해커 꼼짝마!… 사이버戰場 24시간 출동

화이트해커-과학수사전문가 등 20명 모인 안철수연구소 ‘A-퍼스트’팀

21일 서울 안철수연구소 A-퍼스트팀 김지훈 팀장과 팀원들이 “보안업계 최고 실력자가 되겠다”며 활짝 웃고 있다. 안철수연구소 제공

“살인사건이 나면 제일 먼저 하는 일이 뭔 줄 아세요? 현장 보존이죠. 사이버침해 사고에도 ‘초동 대응’이 중요해요. 해커가 남긴 흔적을 재빨리 뒤쫓아야 하거든요.”

보안회사 안철수연구소에는 최근 ‘정예부대’가 생겼다. 악성코드 분석 전문가, 나쁜 해커와 싸우는 화이트해커, 그리고 범인의 흔적을 분석하는 포렌식(과학수사) 전문가 등 20여 명이 모였다. 사이버침해 사고가 있는 곳이라면 365일 24시간 어디든 달려가는 ‘A-퍼스트’팀이다. 물론 사이버사건이 나면 경찰이 출동한다. A-퍼스트팀은 기업의 요청에 따라 출동하는 일종의 ‘사설 수사기관’인 셈이다.

21일 서울 영등포구 여의도동 안철수연구소에서 만난 김지훈 A-퍼스트 팀장은 “사건이 터지면 범인의 흔적을 찾는 일뿐 아니라 원인을 분석하고 재빨리 시스템을 복구해 피해를 최소화하는 업무도 중요하다”고 말했다.

○ 해커 있는 곳에 우리가 간다

“전쟁에서는 공격자가 항상 우위를 점할 수밖에 없어요. 방어하는 사람은 공격자의 행동을 예측해 전략을 짜는 거죠.”

김 팀장은 ‘전쟁’이란 단어를 썼다. 그도 그럴 것이 최근에는 하루가 멀다하게 보안사고가 터진다. 글로벌 기업인 소니는 4월 자사 플레이스테이션 네트워크가 뚫린 이후 20번도 넘게 해킹당했다. 국내에서도 현대캐피탈과 농협 등 금융회사가 뚫렸다.

미리 백신을 깔고 기본을 지키는 게 중요하지만 100% 예방은 불가능하다. 김 팀장은 “공격자들이 새로운 고급 침투기법을 계속 개발해 내고 있기 때문”이라고 말했다. ‘희귀 난치병’을 유발하는 ‘희귀 바이러스’를 누군가 끊임없이 만들어 퍼뜨리기 때문에 재빨리 치료법과 대응방법을 찾아내야 하는 것이다.

안철수연구소는 내부 시큐리티대응센터에서 사이버침해 사고 대응을 맡아왔다. 하지만 각계 전문가를 모아 팀으로 조직해야만 치밀하게 전쟁을 치를 수 있다는 판단에 따라 센터 내 곳곳에 흩어져 있던 최고 전문가들을 모으기로 했다. 서로의 의견을 종합해 전략을 짜는 식이다. 포렌식 전문가인 박호진 책임연구원은 “최근 사람의 취약점을 공략해 원하는 것을 얻어내는 사회공학적 해킹, 희귀 악성코드, 물리적 보안 취약점 침투 등 종합적인 공격이 대세가 되고 있다”며 “보안에도 ‘융합’이 필요하다”고 말했다.

○ “보안 전문가 인정받는 계기 됐으면”

“미국 드라마 CSI(과학수사대)를 좋아해요. 법의학자와 과학자들이 범인의 흔적을 찾아 나가는 과정에서 힌트를 얻거든요. 저도 해커가 남긴 지문을 어떻게 찾을까 고민하게 되죠.”

박 연구원은 원래 시스템을 자유자재로 조정하는 악성코드가 좋아 2000년대 중반 보안업계에 뛰어들었다가 CSI 같은 디지털 포렌식에 빠져들었다. 포렌식은 법의학에서 나온 용어로 사건현장에서 범인의 흔적을 찾는 일이다. 화이트해커가 해커의 눈으로 시스템의 취약점을 찾아낸 뒤 침투경로를 추적한다면 포렌식 전문가는 시스템에 남겨진 지문을 찾는다.

사건이 난 뒤 법정 공방에 필요한 증거자료도 모은다. 정보가 유출된 고객의 피해를 어떻게 보상할지, 누구에게 1차 책임이 있는지 등에 대한 법적공방도 늘고 있기 때문이다. 박 연구원은 “회사를 다니면서 고려대 정보보호대학원에서 디지털 포렌식을 전공하고 관련 자격증도 땄다”며 “종합적인 사고능력이 필요하기 때문에 한시라도 공부를 안 할 수 없다”고 말했다.

박 연구원뿐 아니라 A퍼스트팀 모두가 긴장을 놓지 않는다고 한다. 정예부대인 만큼 차별화된 기술을 개발해야 한다는 부담감도 있다. 김 팀장은 “힘들어도 A퍼스트팀을 통해 보안업무의 전문성이 부각되고, 처우도 좋아져 ‘3D업종’이라는 인식을 바꿔놓고 싶다”고 말했다.

김현수 기자 kimhs@donga.com