화이트 해커 에 대해 알아보는 포스팅을 하겠습니다. 일반적으로 해커는 부정적인 단어로 인식됩니다. 하지만 모든 해커가 나쁜 일을 하는 것은 아닙니다. 선의의 해커라고 불리는 화이트 해커(White Hacker)는 해킹을 방어 목적, 보안 목적으로 하는 사람들입니다. 반면, 고의로 인터넷 시스템과 개인 시스템을 파괴하는 해커들을 블랙 해커 혹은 크래커(cracker)라고 부릅니다.
화이트 해커 가운데서도 아키텍처를 분석해 시스템에 존재하는 취약점을 찾아내서 공격 시나리오를 짤 수 있는 최고 수준의 인력을 엘리트 해커라고 부릅니다.
2009년 7월 7일, 미국의 주요 정부 기관을 비롯해 주요 국가의 포털 사이트, 은행 사이트 등을 분산 서비스 거부 공격으로(DDoS) 서비스를 일시적으로 마비시킨 7.7 디도스 공격 사건이 일어났습니다. 국가정보원은 발생의 진원지로 북한의 110호 연구소를 지목했습니다. 사후 조치로 국가정보원장 주재로 국가 사이버 안전 전략 회의가 개최되어 외국발 사이버 공격으로부터 대응역량을 강화하기 위해 ‘국가 사이버 위기 종합 대책’이 수립 시행되었습니다. 국방부는 다음 해인 2010년 1월 1일에 사이버 방호 사령부를 신설했습니다. 병력은 약 400여 명입니다. 그다음 해인 2011년 대한민국 국방부 직속 사령부로 배속 전환되며, 병력은 약 1,000여 명으로 늘어났습니다.
중국 해커부대 창설은 1997년이고, 북한은 약 2004년으로 추정하고 있습니다. DDoS 공격 사건 이후 신설되었지만, 우리나라도 화이트 해커 양성에 나선 것은 다행스러운 일입니다. 2013년 7월 4일 발표한 국가 사이버안보 종합 대책에서 사이버안보의 창조적 기반 조성을 위해 최정예 정보보호 전문가 양성사업 확대와 영재교육원 설립 등 다양한 인력양성 프로그램을 추진하여 사이버 전문 인력 5,000명을 양성하겠다고 밝혔습니다.
그 대책으로 탄생한 것이 국방 사이버안보 콘테스트(화이트햇 콘테스트)로 국방부와 국가정보원이 해킹 방어대회를 매년 개최하고 있습니다. 2013년에 처음 열렸는데 올해도 국가 사이버안보 역량 강화를 위한 ‘2021 화이트햇 콘테스트’가 국방부와 사이버 작전사령부 주관으로 진행하고 있습니다. ‘화이트햇 콘테스트’는 국내 대표적인 해킹 방어대회 중 하나로, 2013년부터 실시해온 콘테스트는 올해 9회를 맞습니다. 이번 대회에서는 특히 현역 장병과 군무원이 참가하는 ‘국방트랙’이 신설되었습니다.
최근 급증하고 있는 랜섬웨어 공격에 대비하기 위해 기업들도 화이트 해커 양성에 나서고 있습니다. 한국인터넷진흥원에 따르면 지난 2019년 39건에 불과했던 국내 랜섬웨어 침해사고 신고 건수는 2020년 127건으로 325% 폭증했고, 2021에는 상반기에만 78건에 달해 2020년 수준을 넘어설 것으로 보고 있습니다. 이 같은 경향에 따라 정보보안 기업들은 모의 해킹 조직을 확대하는 등 관련 사업을 강화하고 있습니다.
이런 가운데 현대오토에버가 화이트 해커를 양성하고 있어 주목을 끌고 있습니다. 올해로 6년째인 화이트 해커 양성 교육은 참가를 희망하는 전국 고등학생 257명 중에서 40명을 선발해 4개월에 걸쳐 비대면으로 진행하고 있습니다. 참여 고등학생은 현대오토에버 정보보안 전문가 멘토링을 통해 실제로 활용이 가능한 정보보호 기술을 학습합니다. 개인 정보 보호와 정보보호 윤리의 이해, 파이선을 활용한 해킹 기법, 모의 해킹 실습을 통한 웹 애플리케이션 취약점 이해와 분석 등을 실습하며 과정 종료 후 해킹경진대회를 가집니다.
화이트 해커를 양성하는 대학교도 있습니다. 고려대학교 사이버국방학과인데요. 사이버 국방학과는 사이버 전문장교, 더 나아가 국가 정보보호 엘리트 인재 양성을 목표로 하고 있습니다. 고려대와 국방부가 함께 만든 채용조건형 계약학과인 만큼 4년 전액 장학금을 국가로부터 받으며, 졸업 후 7년간 사이버 전문장교로 관련 전문부서에서 일하게 됩니다. 또 군 복무 기간 중 석박사 과정을 이수할 수 있어 전문성을 더할 수 있습니다. 사이버 국방학과의 주요과목으로는 기초적인 배경을 이루는 수학과 프로그래밍부터 사이버 법률, 정책, 해킹, 관리, 디지털 증거수집, 안보학, 암호, 신호, 군 정보 체계 등 정보보안 관련 지식은 물론 사이버 전장에서 활약할 수 있는 군사학 지식도 배우며, 학생들의 이름이나 얼굴 같은 인적사항도 외부에 노출하지 않는 게 특징입니다.
화이트 해커를 아우르는 컴퓨터 보안 전문가는 사이버 테러의 위협으로부터 정보를 보호하는 역할을 하는 사람들입니다. 컴퓨터 내부 네트워크로 권한 없는 자가 침투하는 것을 막아 DB에 저장한 각종 정보를 보호해야 하는 사람입니다. 컴퓨터 보안 전문가는 인증 시스템을 만들어 해커가 내부 시스템에 침투할 수 없도록 하고 암호화 기술을 개발하고 인증방식을 만드는 역할을 합니다.
또한, 컴퓨터 보안 전문가는 바이러스 침투로 컴퓨터가 잘 못 작동하는 것을 방지하기 위해 바이러스 차단 프로그램을 개발하거나 데이터가 손상된 경우 이를 복구하고, 사람들 간에 생기는 정보 격차를 해소해주는 네트워크 보안 컨설팅 역할을 하기도 합니다.
컴퓨터 보안 전문가는 주로 정보보호 전문업체나 보안 솔루션 개발업체, 정부 기관이나 기업체의 정보보안부서 등에서 일합니다. 이런 곳에서 컴퓨터 보안 업무를 담당하기 위해서는 네트워크뿐만 아니라 하드웨어 소프트웨어, 데이터베이스 등 컴퓨터 전반에 대한 해박한 지식이 필요합니다.
컴퓨터 보안 전문가를 양성하는 관련 학과로는 정보보호학과, 정보 보안공학과, 사이버 경찰과 정보보안 해킹과 등이 있고, 정보보안 침해대응 전문가, 모의 해킹 전문가, 디지털포렌식 전문가, 악성코드 분석 전문가, 정보보안 솔루션 개발자, 정보보안 종합 컨설팅 전문가 등으로 활동할 수 있습니다.
컴퓨터 보안 전문가를 위한 자격증으로는 국제 자격증으로 CISSP, CISA가 있고, 국내 자격증 중에서는 정보보안 기사(산업기사), 디지털포렌식 전문가 자격증이 있습니다.
이상 화이트 해커에 대해 알아보는 포스팅을 하였습니다. 화이트 해커가 매력적인 직업이긴 한데 자칫 잘못하면 불법을 저질러 교소도 가기 쉬우니 나는 꼭 바른길만 걷겠다는 다짐을 한 후 공부를 하셔야 합니다. 공부 열심히 하셔서 인류를 구하는 화이트 해커가 되시면 좋겠습니다. 행복하세요!!