유능한 ‘착한 해커’들 나가라 등 떠미는 한국 기업 문화
  • 이승엽 인턴기자 (syeup20@naver.com)
  • 승인 2018.01.19 16:26
이 기사를 공유합니다

블록체인 비중 나날이 높아져…전문가들, 해커가 자생할 수 없는 제도적 환경 지적

 

“돈 많이 주는 회사, 하지만 재미가 없었다.”

 

보안컨설팅 업체 ‘스틸리언’의 신동휘 이사는 이곳이 벌써 5번째 회사다. 한국인터넷진흥원(KISA), 삼성SDS, 라온시큐어, 소프트포럼 등 여러 정보 보안 회사를 거쳤다. 국내 해커들 사이에서 최고 수준의 ‘실력자’로 인정받는 그가 그중에서도 대기업이었던 삼성SDS를 떠났던 이유는 ‘재미가 없어서’였다. 그는 삼성에 입사한지 겨우 7개월 만에 그만뒀다.

 

이유는 다르지만, 신 이사처럼 한국 기업에 취직했다 퇴사하거나 해외 유수의 기업으로 떠나는 ‘화이트햇 해커’의 수가 적지 않다. 화이트햇 해커는 악의적인 목적으로 활동하는 ‘블랙햇 해커’에 대비되는 개념으로, 전문적인 보안전문가를 의미한다.

 

경찰대 치안정책연구소가 1월18일 발간한 ‘치안전망 2018’에 따르면, 가상통화를 노리는 범죄 등 올해 사이버 보안 위협은 더욱 높아질 것으로 전망했다. 

 

실제로 사이버 보안에 대한 위협은 이미 현실화됐다. 2014년 주요 카드사 고객정보 유출, 2016년 인터파크의 고객정보 유출 등 개인정보유출 사태, 2018년1월 폭로된 인텔 CPU의 보안상 결함 등 정보 보안 문제가 연일 터져나오고 있다. 

 

최근 가상화폐 거래량이 폭등하며 일부 가상화폐 거래소의 연평균 거래량은 7조원을 돌파한 가운데, 거래소의 부실한 보안상태는 사회적 문제로까지 등장했다. 이처럼 최근 모바일 기반 플랫폼의 확산과 사물인터넷·가상화폐 등 블록체인 기술에 대한 사회적 관심과 의존도가 높아지면서, 보안전문가 화이트햇 해커에 대한 관심도 덩달아 높아지고 있다. 

 

ICT 통합 보안 선도기업 라온시큐어 화이트햇센터 기태현 센터장은 “2차 산업혁명에는 인간 소외, 3차 산업혁명에는 정보 격차라는 문제가 발생했다면 4차 산업혁명에서는 정보 보안 문제가 화두가 될 것”이라며 “4차 산업혁명 시대에 해커의 역할과 규모가 커질 것”으로 전망했다.

 

한 국제 해킹방어대회에 참여한 한국인 참가자들. © 사진=연합뉴스

 

관료제 중심의 한국 기업, '화이트햇 해커'들 떠난다

 

화이트햇 해커의 중요성은 날로 커지고 있지만, 정부와 기업의 투자 방식과 해커 문화에 대한 이해 등 접근 방식이 부족하다는 평가가 많다. 해커의 일하는 방식이나 자유로운 문화를 관료제 중심의 국내 대기업이 수용하지 못한다는 지적이다. 

 

신동휘 이사의 경우도 그랬다. 한 대기업에서, 의자에 앉아 처음 일을 시작한지 2시간 만에 퇴사를 마음먹었다는 그는 “돈은 많이 줬지만 정해진 절차를 반드시 준수해야 하는 점도, 상사의 권위적인 태도도 참을 수 없었다”며 “실력 있는 상당수 해커들이 대기업을 기피하는 이유는 재미가 없고 권위적이기 때문”이라고 말했다. 

 

모바일 보안업체 에스이웍스 홍민표 대표도 그랬다. 홍 대표는 “대기업에 있을 때 밤새워 일하고 아침에 지각해 혼나는 경우가 많았다”며 “대기업에서는 보안이 중요하다는 인식은 있었지만 해커를 전문가로 대접해주지 않았다”고 소리를 높였다. 결국 그는 스스로 회사를 차려 나왔다. 국내 해커들이 모여 만든 스틸리언의 출근 시간은 일반 기업보다 늦은 오전 11시. 2013년 실리콘밸리로 진출한 에스이웍스는 직원 스스로 업무 시간을 정하는 탄력적 출근제를 실시하고 있다. 

 

한국형 대기업에선 연구․개발의 자율성이 부족하다는 점도 꾸준히 지적되고 있다. 2010년부터 각종 해킹대회에서 우승하며 ‘세계 최고의 해커’ 타이틀을 얻은 이정훈씨가 2016년 삼성SDS에서 구글로 이직한 일이 업계에서 화제가 되기도 했다. 보안컨설팅업체 라온시큐어 화이트햇 센터의 기태현 센터장은 “이정훈씨의 경우 삼성보다 구글에서 제시한 연봉이 적었다”며 “이정훈씨는 인터넷 브라우저 보안에 관심이 많았는데, 한국에선 관련 연구를 다루는 회사가 없어 구글을 선택한 것으로 알고 있다”고 전했다. 

 

연구하고 싶은 분야는 해커마다 제각각인데, 기업에서는 제한된 업무만 요구한다는 얘기였다. 이정훈씨가 현재 일하고 있는 구글의 보안팀 ‘프로젝트 제로’는 인텔 CPU 게이트를 폭로하며 화제가 됐다. 프로젝트 제로에선 해커가 연구하고 싶은 분야의 제한 없이 해커의 창의성을 최대한 발휘할 수 있도록 하는 것으로 알려졌다.

 

 

낮은 '연구 자율성'과 '고용 유연성'도 고질적 폐해

 

한국 기업의 고용 조건의 유연성 수준이 낮은 것도 전문 해커 인력 유출의 원인으로 지목된다. 일반 대기업에서는 입사 조건에 학사 학위나 보안 관련 자격증을 반드시 요한다. 하지만 해외 기업이나 해커 출신 CEO가 운영하는 보안 업체의 경우 고등학교를 갓 졸업한 청년이나 대학교에 재학 중인 학생도 실력이 뛰어나면 정식 직원으로 바로 채용하는 경우가 많다. 보안컨설팅 업체 스틸리언의 경우 정직원 15명 중 7명이 학사 학위가 없다. 학벌보단 실력을 평가하는 분위기다.

 

예전보다는 나아졌다곤 하지만, 화이트햇 해커에 대한 대우나 임금 등 금전적 처우가 낮은 것도 화이트햇 해커 유출에 한 몫 한다. 에스이웍스 홍민표 대표는 “기업의 보안을 담당하고 있는데도 사회 초년생으로 취급한다”며 “사고가 터지면 보안을 강조하다가도 나중에는 언제 그랬냐는 듯 투자를 미룬다”고 비판했다. 많은 한국의 해커들이 대기업을 떠나 해외 글로벌 기업으로 이직하거나 창업에 뛰어드는 이유도 이 때문이란 지적이었다. 

 

전문가들은 한국 기업이 보안에 많은 관심과 예산을 투입할 제도적 강제 수단이 부족하다고 말한다. 고려대 정보보호대학원 김승주 교수는 “미국이나 유럽의 경우 집단소송제도가 잘 갖춰져 있어 개인 정보 유출 등 보안 문제가 발생할 경우 막대한 보상금 문제가 발생한다”며 “반면 한국은 정보 유출에 대한 보상제도가 아직까지 미비하다”고 전했다. 야후·우버 등은 대규모 고객 정보 유출 사태로 인수 가격이 삭감되는 등 해외에서는 보상제도뿐만 아니라 기업 가치에 보안이 미치는 영향이 상당하다.  

 

법적 보안 기준에 실효성이 없다는 지적도 있다. 2012년부터 정부는 정보통신망법에 따라 정부가 기업의 최소한의 정보보호 상태를 인증해주는 정보보호관리체계(ISMS) 제도를 시행하고 있다. 그러나 ISMS 인증은 최소한의 절차일 뿐, 정보보호관리 시스템이 완비됐다는 것을 뜻하지는 않는다. 인터파크·옥션·네이트·KT·롯데카드 등 인증을 받은 다수의 기업에서 개인 정보 유출 사고가 발생해 인증 제도 자체에 대한 논란이 일었다. 과학기술정보통신부 최동원 침해사고대응과장은 “ISMS 인증을 받았다고 해도 안전을 100% 보장하는 것은 아니다”라며 “인증 취득 후 인증 기술 준수와 유지 책임을 다해야 한다”고 말했다.  

 

일부 기업들은 인증을 포기하고 과태료를 내기도 한다. 인증 컨설팅과 필요한 장비를 구입하는 데 약 1억원의 비용이 소요되는 반면 과태료는 3000만원에 불과하기 때문이다. 이로 인해 해커를 보안 전문가로 대접해주기 보다는 보안 서비스를 대행해주는 단순 용역 업체로 보는 인식이 아직 국내 대기업들 사이에선 팽배하다. 일각에서는 기준 자체를 폐지해야한다는 주장도 있다. 신동휘 이사는 “법 자체의 결함으로 기업이 인증을 받고 나면 ‘이정도면 됐다’고 생각한다”며 “기준 자체를 없애면 피해가 발생할 경우 그에 대한 책임을 온전히 져야하는 기업들이 보안의 중요성을 제대로 인식할 것”이라고 전했다.신동휘 이사는 “법 자체의 결함으로 기업이 인증을 받고 나면 ‘이정도면 됐다’고 생각한다”며 “기준 자체를 없애면 피해가 발생할 경우 그에 대한 책임을 온전히 져야하는 기업들이 보안의 중요성을 제대로 인식할 것”이라고 전했다.   

 

이 기사에 댓글쓰기펼치기