삼성은 최대 14억 보상금…"매달 외제차값 벌게 해줄게" 유혹받는 화이트해커들[은폐⑤]

은폐_해킹 당해도 숨는 기업들

<2부. 음지의 협상>
[2]화이트해커 향한 검은 유혹

장형석 스틸리언 화이트해커 인터뷰

몸값 챙겨 '부자'된 블랙해커들
화이트해커 SNS 찾아 은밀한 제안
공식 보상금보다 10배 넘게 불러

"검은돈 유혹에 절대 혹하면 안돼"
멀쩡한 기업 무너지고 국가안보 위협

챗GPT 제작

세상에는 두 종류의 해커가 있다. 악의적으로 정보를 탈취하는 블랙해커와 이들의 공격을 방어하는 화이트해커. 블랙해커들이 추적이 어려운 암호화폐로 천문학적인 랜섬(몸값)을 챙길 수 있게 되면서 화이트해커에게 은밀한 제안이 오기 시작했다. 대가를 두둑이 챙겨줄 테니 '검은돈'의 세계로 넘어오라는 손짓을 보낸다. 사이버보안 기업 스틸리언에서 화이트해커로 일하는 장형석 팀장(32)도 이런 '악마의 유혹'을 받은 사람 중 한명이다. 그는 지난달 아시아경제와 인터뷰에서 "해커조직으로부터 '함께 일해보자' '공동연구해 보자'는 연락을 수차례 받은 적 있다"며 "자신의 팀에 합류하면 매달 중형 세단 외제차 한대 값의 돈을 주겠다고 약속한 조직도 있었다"고 전했다.

그는 2014년부터 국군사이버작전사령부에서 화이트해커로 활동하기 시작했다. 구글 크롬과 마이크로소프트(MS)의 엣지와 윈도우 운영체제·문서편집기 등에서 보안 취약점을 공식 제보한 경험이 있다.

사이버보안 기업 스틸리언 소속 화이트해커 장형석 팀장이 아시아경제와 인터뷰를 하고 있다. 박유진 기자

- 블랙해커에게 어떤 식으로 제안이 오나.

기업 홈페이지에서 손쉽게 뚫릴 수 있는 취약점을 잘 찾는 화이트해커 명단이 블랙해커가 화이트해커를 포섭하는 수단으로 쓰인다. 능력이 증명된 화이트해커의 사회관계망서비스(SNS) 계정을 찾아 은밀하게 제안한다. 나 같은 경우에는 엑스(X·옛 트위터)를 통해 같이 일해보자고 연락이 왔다. 장기간 조직에 몸담지 않더라도 우리 같은 전문가들이 발견한 취약점 정보를 넘겨주면 거액을 주겠다는 제안도 한다. 취약점을 해당 기업에 제공할 때 받는 보상금보다 훨씬 많은 돈을 주겠다는 식이다. 최소 2~3배, 많게는 10배까지도 부른다.

- 취약점이 블랙해커 손에 들어가면 어떻게 되나.

블랙해커가 그런 큰돈을 준다고 하는 이유는 그 정보가 유출되면 기업이 엄청나게 위험해지기 때문이다. 취약점을 팔라는 연락을 받아봤지만 나는 한 번도 답장해 본 적이 없다. 나뿐 아니라 많은 주변의 해커들이 윤리적인 책임을 중요하게 생각한다. 돈에 눈이 멀어 판매한 취약점이 어디로 어떻게 흘러갈지 모르는 것이 가장 두려운 일이다. 멀쩡하던 기업이 한순간에 무너질 수도 있고 극단적으로는 적대국이 취약점을 사서 미사일을 쏜다거나 원자력발전소를 폭발시킬 수도 있다. 과거에는 사이버공격으로 원자력 시설이 타격을 입은 사례도 있었다. 업계에서는 특정 해커 조직이 정부나 국가 단위의 후원을 받는 것으로 추정되는 경우가 종종 있다. 일부 국가가 사이버공격 역량 강화를 위해 해킹 조직을 통해 제로데이 공격(프로그램의 보안 업데이트가 이뤄지기 전 취약점을 노리는 수법)을 하려고 금전을 제공했다는 국제 보고서들도 있다.

- 화이트해커는 취약점을 어떻게 발견하나.

취약점은 말 그대로 '보안의 틈'이다. 겉보기에는 잘 작동하는 프로그램이라도 그 안을 들여다보면 예상치 못한 실수가 숨어 있는 경우가 많다. 예를 들어 웹 브라우저 같은 프로그램은 수많은 코드와 복잡한 동작으로 이뤄져 있다. 메모리를 잘못 다루거나 특정 상황에서 잘못된 값이 처리되는 경우 해커가 이를 파고들 수 있는 취약점이 생긴다. 화이트해커는 이런 틈을 찾기 위해 프로그램의 동작을 꼼꼼히 살핀다. 자동으로 다양한 입력값을 넣어보면서 이상한 반응이 나오는지를 보는 '퍼징(Fuzzing)' 기법을 쓰기도 하고 아예 코드를 직접 보면서 의심스러운 흐름을 찾아내기도 한다. 오래된 문이 조금만 흔들어도 덜컥 열리는 것처럼 코드도 눈에 띄지 않는 허술한 부분이 존재한다. 경험이 많은 화이트해커는 이런 '느낌'을 빠르게 알아차린다.

- 구체적인 사례를 들어달라.

보안이 허술한 홈페이지는 '파일 업로드' 기능이 위험하다. PDF·JPG 같은 문서나 사진을 올리는 자리에 해커가 랜섬웨어 실행파일을 올릴 수 있다. '로그인' 기능에 취약점이 있다면 관리자 계정까지 탈취당할 위험이 있다. 해커가 아이디를 입력하는 란에 ' OR 1=1 -- 를 써넣는 수법이다. 얼핏 보면 암호 같은 기호인데 사실 '조건이 무엇이든 간에 다 통과시켜라'는 뜻이다. 보안에 구멍이 뚫린 홈페이지라면 이를 정상적인 요청이라고 착각하고 내부정보를 보여준다. 홈페이지나 프로그램의 코드를 눈으로 쭉 읽다 보면 화이트해커 눈에는 취약점으로 보이는 흐름이 있다. 이게 나타나면 위험하다고 인지하는 것이다.

- 기업들은 취약점을 어떻게 해결하나.

취약점은 홈페이지에 뚫린 구멍, 랜섬웨어는 무기인 셈이다. 당하지 않으려면 취약점부터 막아야 한다. 화이트해커로부터 문제점을 제보받으면 그때부터는 해당 기업 내부 개발자들이 움직인다. 우리가 한 제보를 바탕으로 이를 패치(보완)하는 작업을 해 해커가 침입할 수 있는 구멍을 막는다. 대기업이나 해외 빅테크는 취약점에 보상금을 건다. 화이트해커가 공식적으로 제보하라고 독려하는 것이다. 취약점의 심각도에 따라 적게는 30만~50만원, 많게는 억 단위까지 보상금을 지급한다. 삼성전자의 경우 최소 200달러에서 최대 100만달러(우리 돈 28만~14억원)의 보상금을 준다. 분기별로 시상식을 열고 호텔과 비행기까지 제공하면서 화이트해커를 초청하는 곳도 있다. 제보한 화이트해커의 닉네임과 함께 취약점 정보, 보상금 액수가 회사별 보안대응사이트에 공지된다. 이게 화이트해커의 커리어가 된다. 아이러니하게도 이 커리어를 보고 블랙해커들이 접근해 온다.

▲구글이 지난 5년간(2020~2024년) 취약점을 공식 제보한 화이트해커에게 준 보상금. 지난해 화이트해커에게 지급한 돈은 총 1184만2651달러, 우리 돈으로 약 165억원에 달한다.

▲스마트폰·태블릿 등 삼성 모바일의 보안 취약점을 발견한 화이트해커 목록. 삼성은 매년 10명을 선정해 명예의 전당에 올린다. 'SVE'는 삼성이 취약점을 추적·관리하기 위해 부여하는 고유 식별번호를 말한다.

편집자주현실 세계에서 인질극이 벌어지면 누군가 신고를 하기 마련이다. 당한 사람이 직접 하든 주변에서 대신 하든 빨리 경찰에 알리는 게 급선무다. 그런데 랜섬웨어로 인해 벌어지는 사이버 인질극은 정반대다. 피해기업은 돈과 시간을 해커에게 몽땅 빼앗기고도 철저하게 숨기 바쁘다. 지난 10년간 총 2만건이 넘는 랜섬웨어 공격에 대응해 온 이형택 한국랜섬웨어침해대응센터장은 "SK텔레콤처럼 해킹을 당하면 신고하는 기업은 극히 드물다고 봐야 한다. 피해를 입고도 외부에 절대 알리지 않는 기업이 10곳 중 9곳은 된다"며 "해커는 돈만 챙기고 떠나는 구조가 반복되고 있다"고 했다.

전영주 기자 ange@asiae.co.kr
박유진 기자 genie@asiae.co.kr
심나영 기자 sny@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>