컴퓨터 보안산업의 노다지 ‘해킹’

무법지대처럼 보이는 인터넷에서 착한 해커 ‘화이트 햇’은 사용자를 안전하게 지켜주면서 돈도 번다

1
얼마 전만 해도 소프트웨어 기업들은 해커를 사이버보안 프로그램의 자산으로 받아들이지 못했다. 그러나 이들의 무한한 잠재력은 기업이 보안전략을 재고하게 만들었다.

잭 휘튼은 2013년 페이스북을 해킹했다. 그리고 회사로 부터 ‘고맙다’는 인사와 함께 2만 달러의 수표를 받았다.

그때까지 그가 받은 상금 중 최대였다. 페이스북은 해커 대회를 개최해 회사 및 사용자 공격에 악용될 수 있는 보안상 허점을 발견한 해커에게 상금을 줬다. 대회에 참가한 휘튼은 전화기를 손에 쥔 재능 있는 해커라면 다른 사람의 계정을 훔쳐갈 수 있는 버그를 발견해 상금을 받았다.

좋은 의도를 가진 해커가 보안상 취약점을 발견해 신고하면 처벌하지 말아야 한다는 생각이 포상금 제도의 시작점이었다. 이 제도는 1995년 넷스케이프가 처음 시작했지만 상금이 컴퓨터 보안산업의 중요한 부분을 차지하게 된 건 최근 들어서다. 순수한 호기심으로 웹사이트의 작동 원리를 알아내 개선하려는 좋은 해커와 개인 정보를 훔치거나 기업 협박을 위해 침투하는 나쁜 해커를 구분하기는 쉽지 않다. 따라서 오랜 시간이 걸릴 수밖에 없었다. 그러나 신세대 기업들은 태도를 바꿨다. 이들은 버그를 보고하는 과정을 표준화하고, 여러 종류의 해커들과 소통하는 방식으로 문제를 해결한다.

해커원(HackerOne)은 야후와 트위터 등 대기업을 위한 버그 포상금 프로그램을 운영한다. 공동 설립자 마이클 프린스와 조버트 애브마는 어린 시절 함께 비디오 게임을 하며 컸던 네덜란드에서 회사를 시작했다. 그들은 상대를 어떻게든 이기기 위해 게임 코드를 수정했고, 코드를 잘 알게 된 후에는 재미로 상대 계정을 해킹하기 시작했다. 그러다 결국 온라인 보안 쪽에서 커리어를 쌓았다. 2011년 두 사람은 스스로에게 도전 과제를 던졌다. 실리콘밸리로 향하기 전 상위 100대 기업의 목록을 만들고, 이들 기업을 하나하나 해킹하기 시작한 것이다. 프린스는 “웹사이트에 들어가서 보안상 취약점을 찾았다”며 “사이트마다 5~15분 정도 걸렸다”고 말했다. 이후 그들은 찾아낸 결과물을 갖고 기업에 연락했다. 그러나 보안에 치명적일 수 있는 정보를 기업들이 귀담아듣지 않는다는 사실을 발견하고 경악을 금치 못했다.
“3분의 1은 답장을 하지 않았다. 노력했지만 담당자에게 정보가 전달되지도 않았다. 다른 3분의 1은 답장을 했지만 ‘고맙다, 그러나 해커와 함께 일하기는 불편하다’는 내용이었다. 이들은 나름대로 해결책을 만들었지만 우리와 소통하지 않았다. 그래서 또 다른 취약점이 생겨났고 우리는 다시 해킹할 수 있었다”고 프린스는 말했다. 나머지 3분의 1은 취약점 보고에 대해 “아주 열린 자세”를 보여줬다. 프린스는 이들 기업의 바비큐 파티에 자주 초대받아 함께 이야기를 나눴다고 설명했다.
당시 페이스북 상품 보안을 총괄하던 알렉스 라이스는 프린스가 알려준 정보를 반긴 사람 중 하나였다. 그는 이들의 프로젝트에 깊은 인상을 받아 대기업 구미에 맞게 버그 포상금 제도를 개선하는 작업에 참여했다. 라이스는 둘과 함께 ‘해커원’이라는 회사를 설립했다. 미디어에서 범죄자를 지칭하는 단어로 오용됐던 ‘해커’가 정당한 의미를 되찾도록 하기 위함이었다. 라이스는 “MIT가 제시한 ‘해커’ 정의에 경의를 표하는 사람은 믿을 수 없을 정도로 다양하다”고 말했다. “해커는 ‘지적 도전을 하는 사람’을 뜻한다. 학자일 수도 있고, 학생이나 이를 취미로 하는 사람, 침투 전문가 등을 지칭할 수 있다.”
보안업계 전문 용어를 쓰자면, 해커는 ‘화이트햇(white hats)’과 ‘블랙햇’으로 구분된다. 주인공과 악당을 모자 색깔로 구분했던 옛 서부영화에서 나온 용어다. 포상금 제도는 화이트햇 해커로 커뮤니티를 구성해 인터넷을 안전한 장소로 만들기 위한 프로그램이다. MIT 컴퓨터과학 및 전기엔지니어링 전공 3학년생 맥스 저스티즈는 화이트햇 해커다. 지루해질 때면 그는 기숙사 방에 있는 리눅스 컴퓨터를 켜고 인터넷을 돌아다니며 버그를 찾는다. “저녁에 시간이 나면 컴퓨터를 켜고 버그를 찾는다. 할 일을 뒤로 미루고 싶을 때면 해킹을 한다.”
저스티즈는 실제 해킹 과정이 영화와 많이 다르다고 말했다. 작업은 웹 페이지마다 전달되는 정보를 샅샅이 뒤지는 걸로 시작된다. 그 다음 그는 정보를 조금씩 변경하며 웹사이트가 허락해선 안 될 작업을 허락하고 있는지 살펴본다. 예를 들어, 은행 웹사이트에서 사용자가 페이지를 옮길 때마다 계좌 번호를 확인하지 않으면, 블랙햇 해커가 계좌번호를 위장해 웹사이트를 속여 다른 사람 계좌에 접속할 수 있는 빈 틈이 생긴다.
저스티즈는 심각한 버그를 가진 기업에 연락했던 때를 기억했다. 그가 해킹을 실험하던 초기였다. 회사는 그에게 감사를 표했지만, 그의 침입을 이미 감지하고 고발할 참이었다고 답했다. 정신이 번쩍 드는 사건이었다. 이후 그는 ‘버그 발견 시 포상’이라는 원칙을 분명히 밝히고 좋은 해킹과 악의적 해킹을 구분하는 기업만 해킹한다. 미국법은 해킹을 광범위하게 정의하기 때문에 컴퓨터 시스템에 대한 거의 모든 행동이 ‘허가 받지 않은 접근’으로 해석될 수 있어 연방범죄로 처벌받을 수 있다. 버그 포상금 제도가 있으면 회사 규정을 위반하지 않는 한 해커가 웹사이트에 접속해 여기저기 찔러봐도 고소당하지 않는다.
저스티즈가 지금까지 받은 포상금 중 최고 금액은 7500달러다. 비밀번호 폴더 접근을 허락하는 치명적 버그를 찾아낸 데 대한 상금이었다. 그는 지금까지 버그 발견으로 2만~3만 달러 정도를 벌었다. “이전보다 외식을 자주 한다”고 저스티즈는 자신이 지금까지 번 돈에 대해 말했다. “새로운 산업과 우연히 마주쳤다. 적절한 때와 장소에 있었다는 점에서 우둔할 정도로 운이 좋았다.” 이렇게 화이트햇 해킹 게임에서는 진짜 돈을 얻을 수 있다. 지난 1월 20일 해커원은 1만7000개 버그를 해결해 준 대가로 해커들에게 상금 584만 달러를 지급했다. 사이버보안 산업의 규모가 750억 달러인 만큼 아직은 푼돈에 지나지 않지만 해킹은 IT 생태계에서 점차 중요해지는 부문 중 하나다.

2
사이버보안 산업의 규모가 750억 달러인 만큼 아직은 푼돈에 지나지 않지만 해킹은 IT 생태계에서 점차 중요해지는 부문 중 하나다.

상금이 걸리지 않은 버그에 시간을 투자할 때도 많다. “어쩔 때에는 티셔츠 한 장만 받기도 한다”고 저스티즈는 말했다. 그가 진정 바라는 건 외식 예산이 아니라 보안 업계에서 계속 이어갈 수 있는 커리어다. 지금까지는 아주 좋다. 해킹 실력 덕분에 인턴도 여러 번 했다. 컴퓨터 보안은 실업률이 0%라고 라이스는 말했다. 따라서 현실에서의 훈련은 가치가 매우 클 수 있다. 페이스북은 2014년 3만3500달러의 상금을 가져간 최고의 버그 사냥꾼 헤지날도 실바를 결국 고용했다. 자신의 기술을 날카롭게 갈아두기 위해 참여하는 해커도 있다. 프린스도 시간이 날 때면 아직도 상금 사냥에 나선다고 말했다.
인터넷 보안은 젊은 인재로 채워진 젊은 분야다. 우리가 대학 3학년 해커와 인터뷰했다고 전하자 해커스원 CEO 마르텐 믹코스는 웃으며 말했다. “그 정도면 나이가 많은 편이다.” 믹코스 CEO가 보기에 해커원은 보이스카웃과 비슷하다. 아이들이 에너지와 호기심을 뭔가 생산적인 일에 쏟도록 돕기 때문이다. 이들의 플랫폼을 활용하는 해커 중에는 상금으로 등록금을 마련 중인 14세 필리핀 소년도 있다.
믹코스 CEO는 오픈소스 소프트웨어 기업 MySQLAB의 CEO였다. 프로그램의 핵심 코드를 공개해 누구라도 코드를 변경할 수 있도록 하는 오픈소스는 초반 소프트웨어 업계에 두려움을 퍼뜨렸다. 해커들이 오픈소스에서 장난을 쳐 기능을 바꿔버릴 수 있다는 우려 때문이었다. 그러나 시간이 지나면서 오픈소스가 폐쇄형 독점 소프트웨어보다 안전한 경우가 많다는 사실이 밝혀졌다. 많은 프로그래머가 소프트웨어의 취약점을 찾아주기 때문이다. 이제 오픈소스는 광범위하게 사용되며 칭송까지 받고 있다. 믹코스 CEO는 화이트햇 해커를 향한 태도에서도 비슷한 변화가 생긴 걸 감지했다. 사이버 보안 고객이 “이제는 개방과 협업의 힘을 느끼기 시작했다”고 그는 말했다.
버그 포상금 제도가 확산되지만 아직 할 일은 많다. 포브스의 글로벌 2000대 기업 중 버그를 신고하는 통로를 열어 두지 않은 기업이 94%에 이른다고 믹코스 CEO는 말했다. 그는 이런 태도가 무책임하다고 생각한다. 인터넷에서 뭔가를 만들었다면 “’와서 해킹 한번 해봐’가 최종 단계가 돼야 한다.”
– 그랜트 버닝햄 뉴스위크 기자