최근 소비자들 사이에서 반복되는 개인정보 유출사고에 대한 기업의 안일한 대처를 문제 삼는 목소리가 고조되면서 미국의 개인정보 유출 방지 대책이 새삼 조명을 받고 있다. 현재 미국에선 개인정보 유출 등의 사태를 막기 위해 실제 해커가 해당 사이트의 개인 정보 탈취를 시도해보는 일종의 '사전 약속 대련'이 일반화 돼 있다. 이른바 '버그 바운티(bug bounty)' 불리는 이 프로그램은 보안 취약점 등과 관련된 소프트웨어 버그를 보고하면 인센티브와 보상을 제공하는 제도다. 정부나 기업은 이를 통해 해당 사이트의 취약한 부분을 사전에 파악해 보완하는 식으로 개인정보 유출 위협을 최소화하고 있다.
미국 법무부가 인정한 대학생 화이트해커, '고양이 밈'까지 써가며 해커조직 소탕 공로
지난달 19일 미국 법무부(DOJ)는 전 세계적 피해를 야기한 역대급 'IoT DDoS 봇넷'의 소탕(Authorities disrupt world's largest IoT DDoS botnets responsible for record breaking attacks targeting victims worldwide) 사실을 발표했다. 미 법무부는 이번 조치에 대해 "FBI뿐 아니라 독일, 캐나다, 유로폴(Europol)이 공동수행 한 국제협력의 결과물이다"며 "이번 작전에 도움을 준 24개의 민간 기술 기업과 연구자들에도 감사를 표한다"고 밝혔다.
당시 법무부 발표 직후 한 대학생 화이트 해커가 사회적으로 큰 조명을 받았다. 평범한 대학생 신분임에도 악성코드 소탕에 결정적 기여를 한 것으로 알려졌기 때문이다. FBI수사관 엘리엇 피터슨(Elliott Peterson)이 법원에 제출한 기록에 따르면 당시 미국 로체스터 공과대학(RIT)에 재학 중이던 22세 대학생 보안 연구원 벤자민 브런디지(Benjamin Brundage)는 개인적으로 해커조직의 핵심 운영자들을 끈질기게 추적한 끝에 2025년 10월, 수사 당국에 결정적인 수사단서들을 제공했다.
브런디지는 저가형 안드로이드 TV박스들이 대규모로 감염돼 '주거용 프록시'로 악용되는 이상 현상을 발견하고 직접 감염된 기기들을 구매해 분석하고 이들이 공장에서 출고될 때부터 악성코드에 감염된 사실을 밝혀냈다. 주거용 프록시 네트워크가 감염되면 개인의 스마트폰과 PC를 포함한 모든 디지털 기기가 수십만 패킷을 공격하는 기기로 작동하기 때문이다.
브런디지는 감염 사실과 경로를 알아내는 과정에서 중국계 프록시업체 Lpidea를 직접 추적해 악성코드를 만든 운영자들과 접촉하기도 했다. 운영진이 경계를 풀고 그에게 핵심 기술들과 원리들을 공유한 데는 이른바 '고양이 밈(meme)'이 역할을 한 것으로 알려졌다. 브런디지는 WSJ 인터뷰에서 "푹신한 회색 고양이의 넥타이를 사람이 손으로 매만져주는 6초짜리 영상을 사용했다"며 "기술적으로 너무 깊게 파고드는 것 같은 느낌을 주지 않으면서 대화(채팅) 분위기를 풀려고 사용한 것이 잘 통했던 것 같다"고 말했다.
법무부에 따르면 이번에 제거된 봇넷 인프라 악성코드 등은 총 300만대 이상의 IoT기기를 감염시켰으며 2만6000건 이상의 공격을 수행했다. 이 가운데 브런디지가 찾아낸 악성코드는 방화벽 뒤에 숨은 기기까지 침투할 수 있어 사실상 한 국가의 인터넷 체계 전체를 마비시키는 강력한 위력을 가졌던 것으로 분석됐다. 실제 일부 기업의 네트워크에도 침투한 상태였으며 자칫 대규모 데이터 탈취, 랜섬웨어, 백도어 설치 등의 사태가 발생할 수도 있었다. 심지어 구글 또한 1000만 안드로이드 기기가 영향 받은 것이 확인돼 도메인 13개 및 서버를 차단하는 조치를 취했다.
관련업계 등에 따르면 현재 미국은 브런디지와 같은 보안전문가, 즉 화이트해커들이 보안 분야에 깊숙이 관여하고 있다. 정부와 기업들 또한 화이트 해커들의 실전 경험이 될 테스트용 시스템을 적극적으로 제공하고 있다. 2016년에 처음 시작한 미 국방부의 'Hack the Pentagon'이 대표적이다. 이는 공개 웹사이트·시스템의 취약점을 화이트 해커가 찾아내면 보상을 주는 프로그램이다. 이후 정부는 물론 민간기업 차원에서도 보안전문가들의 역량 확대와 경제적 지원에 나서는 분위기가 형성됐다.
현재는 글로벌 빅테크 기업들도 자체적으로 '버그 바운티' 프로그램을 운영하고 있다. ▲구글의 Google VRP (Vulnerability Reward Program) ▲마이크로소프트의 Microsoft Bounty Program ▲애플의 Apple Security Bounty 등이 대표적이다. 버그 바운티 플랫폼 또한 활성화되어 있다. ▲에어비앤비, 닌텐도, 골드만삭스 등 다양한 산업군의 프로그램을 한눈에 볼 수 있는 HackerOne ▲해커들의 스킬에 맞는 프로그램을 매칭해주는 시스템을 제공하며 테슬라, 마스터카드 등이 참여하고 있는 Bugcrowd 등이 대표적이다. 이 밖에 ▲Intigriti ▲YesWeHack 등에는 유럽 기반 기업들과 정부기관 프로그램들이 공개돼 있다.
국내에도 한국인터넷진흥원(KISA)이 8년째 '버그 바운티' 프로그램을 운영해 오고 있지만 미국처럼 활성화되진 못한 상태다. 보상금 규모가 총 8000만원선에 그쳐 인지도가 낮을 뿐 아니라 자사 보안 시스템을 선뜻 공개하는 기업 숫자도 미비하기 때문이다. 반면 지난해 구글은 '버그 바운티' 프로그램을 통해 화이트 해커들에게 지급한 금액이 약 1700만 달러(한화 약 230억원)에 달했다. 애플 역시 보상금 규모가 최대 500만 달러(한화 약 67억 원)나 됐다.
개인정보보호위원회 위원장을 지낸 고학수 서울대 로스쿨 교수는 "(우리 기업들은) 화이트해커가 보안 취약점을 발견해 주면 기업에 도움이 된다고 여기기보다 그 사람의 의도나 배후를 먼저 의심하는 경향이 있고, 기업의 취약점이 외부에 알려질까 더욱 크게 우려하는 분위기가 짙다"고 우려했다. 이어 "우리나라도 하루 빨리 개인정보 보호의 중요성에 대한 기업들 인식이 제고돼야 한다"며 "개인정보보호 시스템을 꼭 갖추려는 기업 문화가 만들어져야 반복되는 개인정보 유출사고도 줄일 수 있을 것이다"고 강조했다.
Copyright ⓒ 르데스크 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
