행복한 교육
정보 보호 전문가 지한별 연구원 보안 지키는 선의의 해커, 수많은 유혹 이겨내야

글 _ 양지선 기자

정보통신기술이 빠르게 발전하고 스마트폰 사용이 일상화되면서 국가, 기업, 개인이 가지고 있는 사이버 정보에 대한 보안의 중요성이 갈수록 커지고 있다. 지한별 연구원은 정보 보호 전문가로서 보안 기술을 연구하며, 한국정보기술연구원에서 운영하는 차세대 보안 리더 양성 프로그램(Best of the Best, 이하 BoB)에서 멘토로도 활약하고 있다. 지 씨와 만나 정보 보호 전문가로서의 삶과 진로에 관한 이야기를 들었다.



기사 이미지



  해커라고 하면 일반적으로 다른 사람의 컴퓨터에 침입해 정보를 캐내거나 시스템을 망가뜨려 혼란을 일으키는 ‘블랙 해커’를 떠올린다. 이런 블랙 해커에 맞서는 ‘화이트 해커’는 보안 취약점을 미리 발견해 해커의 침입을 막고, 시스템 손상 시 이를 복구하는 정보 보호 전문가다. 최근 사이버 범죄가 늘어나고 해킹 기법이 발달하면서 화이트 해커의 필요성은 점점 늘어나고 있다. 특히 코로나19가 불러일으킨 비대면 환경은 정보 보안에 대한 우려를 가속했다.


  지한별 연구원은 5년 차 화이트 해커로, 우연히 입부한 대학 동아리가 진로를 정하게 된 계기가 됐다. 지난 2014년 서울과학기술대학교 융합산업공학과에 입학한 그는 과내 정보보안동아리 융합보안연구회(CSS)에 들어가면서 보안 업계에 관심을 가지게 됐고, 컴퓨터공학과도 복수전공을 했다. 이후 한국정보기술연구원의 화이트 해커 양성 프로그램(BoB)에 참여하면서 본격적으로 정보 보호 전문가의 꿈을 키웠다. 2017년에는 BoB에서 최종 10인에 선정되며 보안 인재로서의 역량을 인정받았다. 


  그는 남초 보안 업계에서 꿋꿋이 발을 딛고 있는 여성이기도 하다. 이전 회사에서 팀원 17명 중 홀로 여성이었던 그는 “해커라고 하면 아직 어둡고, 무섭다는 이미지가 강하다.”라며 “성별과 관계없이 누구에게나 똑같이 어려운 일이고, 본인이 잘할 수 있는 분야를 찾아가면 된다.”라고 말했다. 


  멘티였던 BoB에서 이제 멘토로서 활동하며 후임 양성에도 애쓰고 있는 그는 “보안에서도 기술, 관리, 법, 거버넌스 등 다양한 분야가 있는데, 앞으로 여러 분야를 종합적으로 파악해나가면서 멘티들에게 다양한 경험을 나눠주고 싶다.”라고 했다.



지한별 연구원은 BoB를 통해  화이트 해커를 꿈꾸는 이들에게  멘토링을 하고 있다지한별 연구원은 BoB를 통해 화이트 해커를 꿈꾸는 이들에게 멘토링을 하고 있다


기사 이미지 지 연구원은 “화이트 해커로서 일하기 위해서는 컴퓨터 시스템에 대한 전체적 이해와 신기술을 꾸준히 공부해야 한다.”라고 전했다.



다음은 지한별 연구원과의 일문일답.


하나,

화이트 해커로서 어떤 일을 하게 되는지 궁금하다.

  “기업과 사전에 계약 후 제품의 취약점을 찾아내 시스템 작동상 문제점이 없는지 파악하는 일을 한다. 블랙 해커처럼 모의 해킹을 시연해보지만, 해당 제품의 보안을 강화하려는 의도를 가진다는 점에서 완전히 다르다. 취약점을 파악한 후에는 보안 가이드라인과 같은 대응 방안을 제공한다. 최근에는 스마트TV, AI 스피커, IP카메라, 스마트 도어락 등 IoT 제품의 보안성을 연구했는데, 우리가 일상에서 쉽게 접하는 편리한 기기들이 사실은 해킹의 위험에 쉽게 노출될 수 있다는 사실을 느끼곤 한다.”


둘,

일하면서 느꼈던 성과나 보람은 무엇이었나?

  금융기업의 보안성을 진단하다 보면 시스템상에서 다른 사람의 금융 정보를 마음대로 볼 수도 있고, 은행 계좌 안의 돈을 무한대로 불려놓을 수도 있다. 다른 사람의 계좌에서 내 계좌로 돈을 이체하거나 비밀번호를 바꾸는 것도 가능하다. 이런 보안 취약점을 찾아서 안전하게 서비스를 이용할 수 있게 될 때 뿌듯하다. 다만 일반 사용자의 이용을 막기 위해 주로 새벽 1시~6시 사이에 안전성 테스트를 하게 되는데, 밤을 새우며 일해야 하니 그 부분이 가장 고생스러웠다(웃음).”


셋,

화이트 해커로서 일하는 데 필요한 역량은?

  “첫째는 소명의식과 윤리의식이다. 일하다 보면 수많은 유혹을 이겨내야 한다. 컴퓨터를 잘 다루는 어린 학생들은 단기간에 실력이 급성장하는데, 실력을 과시하려다가 불법인지 모르고 범죄를 저지르기도 한다. 보안 업계는 윤리의식이 엄격해서 한번 실수하면 끝이다. ‘선한 일을 한다’라는 인식을 마음속에 가지고 있어야 한다. 호기심, 분석하려는 자세, 창의력도 필요하다. 무엇보다 보안 분야에 대한 애정이 있어야 한다. 공부해야 할 것도 많고 어려운데 신기술은 계속 나온다. 열정이 없으면 오랫동안 할 수 없는 일이다. 또, 제가 다른 화이트 해커와 차별화되는 점은 커뮤니케이션 능력이다. 분석한 결과를 쉬운 말로 풀어서 산업에 적용될 수 있도록 하는 것도 중요한 역할이다.”


넷,

화이트 해커의 급여는 어느 정도 수준인가?

  “화이트 해커는 실력에 따라 연봉이 천차만별이다. 나이가 어린데도 단기간에 억대 연봉을 받는 경우도 있다. 평균적으로 보면 다른 IT 분야보다 낮을 수 있지만, 예전보다 대우가 많이 좋아졌다. 금융기업이나 대기업에서 보안 인력이 많이 부족했는데, 이제 자체적으로 화이트 해커팀을 뽑고 있다. 실력을 증명한다면 급여를 많이 받을 수 있다. 버그 바운티(기업의 서비스 및 제품을 해킹해 취약점을 찾은 해커에게 포상금을 주는 제도)를 활용하면 프리랜서로도 활약할 수 있다.”


다섯,

화이트 해커의 미래를 어떻게 전망하나?

  “로봇, IoT, 인공지능, 클라우드 등 기술이 발전하고 새로운 것이 끊임없이 등장하고 있는데, 이를 안전하게 사용하려면 보안이 무조건 뒷받침돼야 한다. 각 기업에서도 보안 전문가의 영입을 우선적으로 고려하게 될 것이다. 이전에는 대학에 정보보안학과가 많지 않았는데, 보안 관련 신생 학과가 많이 늘어났다. 보안 관련 인재를 양성하려는 정부 지원 정책도 많다. 보안은 IT 기술이 발전하면서 자연스럽게 같이 발전하는 분야라고 생각한다.”


마지막,

진로를 고민하는 청소년들에게 하고 싶은 말은?

  “잘하는 것보다 열심히 하는 게 중요하다고 말해주고 싶다. 결과에만 집중하다 보면 성공 아니면 실패로 끝이 나는데, 사실 과정에서 배우는 게 훨씬 많다. 진로를 어떻게 정해야 할지, 대학에서는 어느 과를 선택해야 할지 고민이 많을 때 일단 이것저것 경험해보자는 마음이 컸다. 학창 시절 영어에 자신이 없었지만 일부러 영어 말하기 대회에도 나가보고, 과학동아리를 만들어 친구들과 청소년 신제품 아이디어 공모전에도 나갔다. 화이트 해커로 진로를 정하게 된 것도 우연히 학내 정보보안동아리에 참여한 것이 계기였다. 조금이라도 흥미 있는 게 생기면 일단 해보자. 중요한 건, 잘하려고만 하지 말고 즐기면서 하라는 것이다.” 




TIP BOX


정보 보호 전문가


TIP. 1 하는 일

정보 보호 전문가는 모의 해킹 및 취약점 분석을 실시하여 조직의 가치 있고 중요한 정보를 보호하기 위한 대응 방안을 제시한다. 해커의 침입을 빠르게 찾아내어 중요한 정보를 보호하고, 시스템 손상이나 정보 유출 시 이를 원래대로 되돌리는 일을 한다. 발생한 악성 코드 파일을 분석하여 그에 맞는 진단 방법을 제시하고, 보안 프로그램 및 보안 관련 장비를 개발하기도 한다.


TIP. 2 준비 과정

정보 보호 전문가가 되기 위해서는 보통 고졸 이상의 학력이 필요하며 컴퓨터 시스템·하드웨어·운영체제·정보 보안 등 IT 전반에 대한 지식을 갖춰야 한다. 따라서 대학에서 컴퓨터공학, 정보 통신공학, 정보 보안(보호)학 등을 전공하여 업무에 대한 이해 수준을 높이는 것이 좋다. 보다 전문적인 지식을 습득하기 위해 한국인터넷진흥원 사이보안인재센터에서 제공하는 정보 보호 관련 교육 프로그램을 이수할 수 있다. 정보 보호 전문가가 되기 위한 필수 자격증은 없지만, 정보처리기사나 정보보안기사를 취득하게 되면 취업에 도움이 된다.


TIP. 3 적성 및 흥미

최신 해킹 기법이나 악성 코드 분석을 위해 체계적이고 논리적인 사고 능력이 필요하다. 정보 보호 정책을 세우거나 피해가 발생했을 때 새롭고 독특한 방식으로 문제를 해결하는 능력이 중요하다. IT와 밀접한 관련이 있는 직업이기 때문에 평소에 최신 IT 기술이나 장비에 호기심이 많고 깊게 탐구하는 과정을 즐기는 사람이어야 한다. 또한 상사나 임원진을 설득하여 정보 보호 정책을 실행하도록 해야 하기 때문에 다른 사람을 설득하고 토론 및 논쟁을 즐기는 사람에게 적합하다.