창궐하는 사이버 공격시대에 화이트 해커 수요 증가 > 경제∙비즈니스

 

인도네시아에서 ‘해커’라 하면 범죄행위와 연관된 부정적인 이미지가 당장 떠오르지만 실제로 일부 해커들은 해킹 피해자들을 돕거나 사이버보안 상의 위험성을 사전에 방지하는 직업을 장래 목표로 삼고 있다.

 

13일 자카르타포스트에 따르면, 스스로를 윤리적 해커그룹, 또는 화이트 해커라 칭하는 이들은 자신들의 해킹 기술을 악의적 목적이 아니라 합법적인 일에 활용하고자 한다.

 

빈티지 포인트 시큐리티 인도네시아(Vantage Point Security Indonesia) 소속 사이버 보안 컨설턴트아구스 스띠야 라마딘은 인도네시아에서도 최근 일련의 심각한 사이버 보안 이슈들이 발생하면서 화이트 해커 커뮤니티 안에서도 많은 이야기들이 오가고 있다고 말한다.

 

아구스는 해커 커뮤니티인 인도엑스플로이트(IndoXploit)와 에티컬 해커 인도네시아(Ethical Hacker Indonesia)에서 적극적으로 활동하고 있는 회원이다.

 

그는 상당수 해킹 사건들이 온라인 도박과 불법 P2P 대출 플랫폼들과 연관되어 발생한다고 지적했다. 국가사이버암호해독국(BSSN) 자료에 따르면 작년 1월부터 10월까지 사이에 인도네시아 전국 기준 3억6,100만 건의 사이버 공격이 발생했다.

 

사이버보안회사인 포티넷(Fortinet)은 자체적으로 조사한 데이터를 기준, 랜섬웨어 공격도 작년에 두 배 증가했다고 밝혔다.

 

랜섬웨어란 피해자의 컴퓨터나 핸드폰에 심어 개인 계정이나 기업의 인터넷망 통제권을 마비시키거나 강탈한 후 마치 인질범들이 몸값을 요구하듯 이를 회복시켜 주는 대가로 거액을 요구하는 범죄에 사용되는 악성 코드를 말한다.

 

이러한 해킹 피해를 당했을 때 공격자가 누구인지 알기 어렵고 소셜미디어 계정이 해킹 당하는 경우도 적지 않은 상황 속에서 어쩌면 화이트 해커를 고용하는 것은 효과적인 해결방법 중 하나일 수도 있다.

 

아구스는 작년에 사촌의 소셜미디어 계정이 해킹 당했을 때 자신의 해킹 기술을 활용해 계정 통제권을 되찾아주었는데 그것이 해킹 피해자를 도운 첫 경험이었다. 이후 그는 사이버 공격을 당해 협박 또는 갈취 피해를 당하는 친구들 여럿을 도와주었다.

 

하지만 소셜미디어 계정이 해킹 당할 경우 공격한 해커가 해당 계정의 내용물들을 영구적으로 변형시켜버린 경우가 많아 이전에 업로드한 개인정보들을 완전히 원상복구하는 것은 기대하기 어려운 일이다.

 

아구스는 그런 문제해결 의뢰를 받으면 작업이 완전히 끝나기 전까지는 해당 비용 또는 수고비에 대한 언급을 하지 않는다. 문제를 해결하는 과정에서 어떤 난관에 봉착할 지 알 수 없고 어떤 경우에는 무난히 해결되기도 하지만 어떤 경우엔 복구가 전혀 불가능한 경우도 있기 때문이다. 정액제로 할 수 없는 일이고 만족할 만한 결과를 얻지 못하거나 아예 성과를 내지 못하기도 한다.

 

말랑에 사는 소셜미디어 인플루언서 붕아는 2021년 1만 명이 팔로우하는 자신의 인스타그램 계정 아이디를 해커에게 빼앗겨 해당 계정을 되찾아줄 화이트해커를 애타게 찾은 적이 있다. 그러나 결국 그녀의 노력은 결실을 맺지 못했고 바닥부터 다시 시작해야만 했다.

 

그녀의 소셜미디어 계정을 해킹한 해커는 계정 통제권을 되찾으려면 응분의 대금을 지불하라고 협박했다. 다급했던 붕아는 요구하는 대로 돈을 주었지만 해커는 계정 통제권을 돌려주는 대신 추가로 돈을 더 요구했으므로 결국 계정 회복을 포기하고 처음부터 다시 시작할 수밖에 없었다.

 

한편 메단에 사는 프로그래머 입누히반은 코스넷 인도네시아 플랫폼의 팟캐스트에 나와 계정 회복에 드는 비용을 언급했다. 시간은 단 몇 분이 걸리기도 하고 일주일 이상 걸리기도 하므로 청구하는 비용은 상황에 따라 달라진다고 전제했다.

 

하지만 일반적으로 인스타그램의 경우 팔로워 숫자에 따라 복구 비용을 정하기도 하는데 1,000명 이하의 팔로워를 가진 계정의 경우 복구비용은 100만 루피아(약 8만3,000 원)전후라고 예시했다.

 

아뜨마자야 대학교 공공정책연구소(AJIPP)의 개인비밀-기술법 연구원 미프따 파들리는 화이트 해커들이 비즈니스와 상업적 부문의 고객들 관심을 끌고 있는 현재 상황을 설명했다.

 

이들 화이트 해커 그룹들 중에는 기업들의 사이버 보안감사에 참여해 사이버 보안 활동이 철저하고 독립적으로 잘 이루어지고 있는지 평가하는 객관적인 제3자 역할을 하는 곳도 있다.

 

미프따 연구원은 화이트 해커들을 조직적으로 통합하려면 개인정보보호협회들이 활성화되어야 한다고 지적했다. 그러기 위해서는 모든 해커들이 불법적인 범죄자들이란 세간의 인식을 바꾸는 것이 선행되어야 한다. 화이트 해커와 해킹 범죄자들 사이에는 분명한 차이가 있기 때문이다.

 

미프따는 화이트 해커에 대해 개선된 인식을 가진 기업들이 화이트 해커들을 자신들의 부족한 기술적 부분을 보완하는 전략적 파트너로 인정하고 사이버 보안감사에 참여시킨다면 인도네시아는 사업 및 고용 측면에서도 많은 가능성이 열릴 것으로 보았다.

 

글로벌 기술위원회(Global Tech Council) 역시 기업들이 정보보안, 정보보호, 윤리적 해킹 교육, 네트워크 보안관리 및 소프트웨어 보안을 포함하여 온라인에서 해야 할 과업과 하고자 하는 사업들이 다양해지고 수적으로도 크게 증가함에 따라 화이트 해커에 대한 수요도 증가할 것이라고 전망했다.[자카르타포스트/자카르타경제신문]