정보기술(IT) 영역에서는 전문 기술을 활용해 일당을 버는 일자리가 있다. 화이트해커(White Hacker)라고 불리는 직업이 그것인데, 기업의 보안 시스템이나 최신 제품들의 버그나 취약점을 찾고 알려주는 보안 전문가를 말한다. 해커라는 단어에서 취약점을 공격하는 영화 속의 장면을 떠올릴 수 있는데 개인 컴퓨터 시스템이나 인터넷을 파괴하는 블랙해커와는 달리 화이트해커는 양심을 갖고 보안 취약점을 발견하고 알려주는 것이다.

▲ 화이트해커 이미지.출처=금융보안원

은밀한 버그 바운티 제도

화이트해커는 버그 바운티(Bug Bounty)라고 불리는 제도에서 일을 하고 수당을 받는다. 버그 바운티는 기업이 자사의 제품이나 서비스를 해킹할 것을 요청하고, 취약점을 찾은 제3자의 해커에게 포상을 하는 신고제도다. 버그 바운티는 직원들이 놓칠 수 있는 버그나 보안 문제를 빠르게 찾을 수 있다는 것이 장점이며, 구글, 애플, 마이크로소프트 등 글로벌 IT 기업들이 대부분 시행 중이다. 국내에서도 삼성, 네이버, 카카오, 네오위즈, 한글과 컴퓨터 등이 버그 바운티를 시행하고 있는데, 해외만큼 활성화되지는 않는다.

▲ 삼성보안포럼 2017.출처=삼성전자

기업은 보안상의 취약점이라 일을 요청할 때 비공개 형태가 많다고 한다. 버그 바운티를 통해 기업이 찾고자 하는 오류를 요청하면 화이트 해커는 취약점을 발견하고 기업에서 요구하는 보고서 형태로 제출한다. 화이트 해커들은 버그 바운티를 시행하는 기업을 중심으로 일을 수행한다.

빈익빈 부익부

버그 바운티 제도는 아직 국내에서 활성화 되지 않았기 때문에 시장 가격이 정해져있지 않다. 제품과 같은 사소한 버그는 수십만원 대에서부터 보안 시스템의 큰 취약점은 억 단위 보상이 주어진다. 화이트 해커로 활동 중인 A모군은 최근 IT기업 구글의 오류를 발견하고 약 50만원을 받았다고 한다. 작은 버그의 경우 짧게는 며칠이 걸리지만 규모가 큰일의 경우 몇 달이 걸리기도 한다. 화이트 해커의 업무는 광범위한 지식을 요구하며 보안상의 취약점을 먼저 찾고 보고하는 쪽이 수당을 받아 속도가 중요하다. A모군은 자신이 참여했던 버그헌팅 중 4억원 규모도 있었다고 한다.

최근 삼성전자도 사물인터넷(IoT) 환경 구축을 목적으로 보안 문제를 발견하는 사람에게 200달러(약 22만원)부터 최대 20만달러(약 2억2600만원)의 포상금을 지급하는 ‘모바일 보안 보상 프로그램’을 시작했다. 사실 국내는 화이트 해커나 개발자에 대한 인식이나 처우가 좋지않아 해외 기업의 버그를 잡는 것이 돈을 많이 벌 수 있다는 후문이다.

▲ 모바일 보안 체계.출처=폰아레나

해킹을 위해 프로그래머가 되라!

화이트 해커 중에는 평소 프로그래머로 활동하는 사람도 다수다. 어느 기업의 제품이든 프로그래밍으로 제작이 되기 때문에 프로그래밍 실력을 향상하기 위해서다. 프로그래밍 실력이 날이 갈수록 발전하고 새로운 악성코드나 해킹 방법들이 등장하기 때문에 C+이나 자바(JAVA)와 같은 프로그램을 사용한다고 A모 해커는 말했다.

프로그램을 제작하는 또 다른 이유는 다른 수입원을 확보하기 위해서다. 또 국내 화이트 해커 중에 회사에 소속이 되어있지 않는 사람이 대다수며 회사에 속해 있다고 하더라도 다양한 방식의 계약을 맺는다. 앞서 언급한 것과 같이 화이트 해커의 국내 인식과 광범위하게 요구되는 지식으로 뛰어난 실력자가 아니라면 서버 관리자나 네트워크 관리자 등의 일로 방향을 바꾸기도 한다.