'해커'라고 하면 대개는 남성적 이미지를 떠올리기 십상이다. 어두운 단칸방에서 불을 꺼놓은 채 노트북을 눈이 빠져라 보고 있는 남자들이 영화, 드라마 속 해커의 이미지다. 남성의 전유물로만 여겨졌던 해커의 세계에 도전장을 내민 현직 여성 해커를 만나봤다.
이미 10년 넘게 '화이트햇' 혹은 보안연구원이라는 이름으로 활동해 온 안랩 침해사고대응팀(ASEC) 심선영 연구원㊱이 주인공이다. 심 연구원은 여성 해커가 남자 보다 꼼꼼하고 논리적이라고 강조하며 겁 먹지만 않으면 여성들도 해커를 직업으로 삼는데 문제가 없다라고 말했다.
심 연구원은 'redhidden'이라는 별명으로 활동하고 있는 국내에서 보기 드문 여성 '화이트햇'이다. 해커들 중 악성코드를 이용해 분산서비스거부(DDoS)를 일으키는 등 악의적인 공격을 일삼는 블랙햇과는 반대로, 화이트햇은 취약점을 분석하고 이를 통해 일반회사나 공공부문의 보안성을 강화하는 역할을 맡는다.
별명인 redhidden을 의역하면 '새빨간 거짓말'이라는 뜻이다. 대개 화이트햇이나 보안연구원들은 자신이 발견한 취약점을 갖고 시나리오를 써 본다. 취약점을 이용해 해커들이 어떤 행동을 했을 것이라고 추측해 보는 것이다. 구성한 시나리오가 실제 팩트일 수도 있고, 소설일 수도 있다는 의미를 담아 심 연구원은 이 별명을 사용하고 있다고 설명했다.
■여자해커의 '10년'
심 연구원이 해킹 분야를 공부하기 시작한 것은 대학원 시절이다. 원래 전북대학교에서 통신장비나 펌웨어 프로토콜 등을 공부하다가 해킹에 재미를 붙여 독학을 했다. 영화 '네트'에서 여자 해커로 분한 산드라블럭을 보면서 해커가 되고 싶다는 막연한 생각이 현실이 된 것이다.
지난 2002년 그가 첫 직장으로 들어간 곳은 보안업체인 시큐아이닷컴이다. 침입탐지시스템(IPS) 등에 사용되는 취약점 스캐너를 만드는 일이 심 연구원의 첫 업무였다. 4년 뒤 안랩 시큐리티대응센터(ASEC)로 옮기면서 본격적으로 '취약점 찾아내기'를 시작하게 됐다.
그가 근무하는 ASEC에는 심 연구원을 포함해 3명의 여자 보안연구원이 근무하고 있다. 60명 가량 되는 이 조직에서 불과 3~4년전만 해도 심 연구원 외에 여성은 없었다고 한다.
그는 밤샘 작업이 많고 불규칙적인 생활 때문에 여자들은 해커를 하기 힘들다는 선입견에 대해 일침을 가했다. 해킹이라는 것이 (프로그램을 역추적해 소스코드를 알아내는) 리버싱을 하기 마련인데 프로그램의 방대한 부분에서 인내심을 필요로 하는 일들이 많다며 남자들이 오히려 집중력이 떨어지는 편이고, 꼼꼼하고 세심하게 분석한다는 면에서는 오히려 여자들에게 유리한 점이 많다고 강조했다.
최근 들어 지능형지속가능위협(APT) 공격이 기승을 부리면서 HWP한글문서파일, 어도비 플래시 PDF파일 등에 대한 취약점 분석에도 방대한 파일 안에서 쉘코드와 바이너리를 분석하는 일 역시 높은 인내심을 요구하는 작업이라는 점에서 여자에게 유리한 부분이 많다고 심 연구원은 밝혔다.
■보안전문가 남편과의 결혼 생활
문득 '이 여성 해커가 과연 결혼은 했을까?'라는 호기심이 생겼다. 해커들은 외골수일 것이라는 기자의 선입견 탓에 결혼을 안했을 것이라고 예상했었다. 그러나 예상은 보기 좋게 깨졌다. 그의 남편 역시 보안 관련 일을 하고 있다. 한 대기업의 보안담당자로 근무 중이라고 한다.
심 연구원은 남편과 커피숍에 앉으면 네트워크 구조도를 그려놓고, 어떤 부분이 취약할 수 있는지에 대해 몇 시간이 지나도록 토론하곤 한다. 자신이 이론적인 취약점을 이야기하면 남편은 실제로 침해사고가 있을 수 있는지에 대해 알려주는 식으로 대화가 이어진다. 동업자(?)에 대한 배려일까. 심 연구원이 2~3일씩 집에 못들어가는 일이 생겨도 남편이 많이 이해해주는 편이다. 앞으로 여성 해커를 꿈꾸는 여성들에게는 그는 배우자감으로 보안담당자 혹은 동종업계 사람을 고르는 것이 좋을 것이라고 조언했다.
다만 심 연구원은 2세에 대해서는 아직 특별한 계획이 없다고 말했다. 임신과 출산의 공백 기간이 생기면 하루에도 몇 번씩 바뀌는 해킹 트렌드를 쫓아가지 못할까봐 두렵기 때문이다. 쉬는 기간이 생긴다는 것이 아직까지는 가장 고민이 되는 부분이라고 심 연구원은 말했다.
■여자해커? 겁먹지만 말라
겁먹지만 않으면 됩니다.
심 연구원은 해커를 꿈꾸는 여성 후배들에게 이 말을 꼭 전하고 싶다고 밝혔다. 오히려 세심하고 꼼꼼하게 소스코드를 하나하나 분석해야 한다는 점에서 여자들에게 화이트햇은 '블루오션'이라는 것이다. 남들 다 하는 일이 아니라 나만의 성취를 이루고 싶어하는 여자들에게 직업적인 해커가 한번 도전해 볼 만한 일이라고 자부했다.
심 연구원은 남자들에게 겁을 먹고 접할 기회가 없어서 그렇지 어셈블리코드를 분석하고 밤샘 끝에 나만 알고 있는 취약점을 발견했을 때의 성취감이 남다르다고 밝혔다.
관련기사
- 해커도 '급'이 다르다2012.11.12
- '이이제이'…해커로 해킹 막는다2012.11.12
- 위협 느낀 애플, 해커집결지 '블랙햇' 첫 참가2012.11.12
- 현직 해커의 조언, '해킹 이렇게 막아라'2012.11.12
심 연구원은 안랩에서 기술면접위원을 맡기도 한다. 그는 면접지원자들이 기술면접 중 팀장급 이상 중역들 사이에 자신이 앉아 있는 것을 보고 놀라워하는 일이 많다고 밝혔다. 나를 보고 여성 화이트햇이 많아지길 바란다는 것이 심 연구원의 바람이다.
그는 앞으로 여성 보안전문가들을 위한 커뮤니티를 만들어 보고 싶다는 포부를 밝혔다. 하고는 싶은데 겁나서 못하는 여성들에게 길을 열어주고 싶다는 것이 여자 해커로서 그가 세운 최근 목표다.
