“해커로 해커 막으니 보안 걱정 뚝”

KB국민銀, 화이트해커 활용 효과 톡톡… 세계적 기업들 상금 걸고 공격 유도
취약점 수시로 점검해 시스템 보완

KB국민은행은 국내 금융회사 가운데 처음으로 화이트해커(보안전문가로 활동하는 선의의 해커)에게 의뢰해 지난해부터 보안시스템을 자체 점검하고 있다. 해커가 취약점을 발견하면 보안팀이 즉시 대비책을 마련한다. 해커는 해커로 막는다는 이이제이(以夷制夷) 전략이다.

화이트해커 역할을 맡아 KB국민은행의 보안시스템을 공격한 라온시큐어의 김운봉 이사는 “화이트해커를 활용하면 약점을 찾는 것은 물론 해커의 공격 방식도 파악할 수 있어 효과적인 방어가 가능하다”고 말했다. 하지만 이 같은 사례는 국내에서는 매우 드물다. 국내 기업들은 자사의 보안에 허점이 있다는 사실이 외부에 알려지는 것이 두려워 감추는 데 급급하기 때문이다. 보안 책임자의 권한이 별로 없고 위상도 턱없이 낮은 점 역시 문제로 지적된다.

보안 선진국들의 사정은 사뭇 다르다. 유명 해커들은 기업의 네트워크나 최신 프로그램을 뚫거나 망가뜨린 뒤 이를 자랑스럽게 해당 관리자에게 알린다. 기업들이 먼저 상금을 내걸고 화이트해커들의 공격을 유도하기도 한다. 자사의 보안시스템 점검 기회로 삼기 위해서다. 구글과 페이스북 같은 세계적 정보기술(IT) 업체들도 이런 ‘버그 바운티(Bug Bounty·버그 발견자 보상)’ 제도를 운영하고 있다.

화이트해킹의 가능성을 원천적으로 차단하고 있는 국내 정보통신망법을 개정해야 한다는 지적도 나온다. 보안 전문가인 최영록 씨는 “미국에서는 화이트해커가 보안에 취약한 기업을 찾아내 공개하는 것을 ‘표현의 자유’로 인정하는 판례가 적지 않은 것을 참고할 필요가 있다”고 말했다.

정호재 기자 demian@donga.com