IT 컨설턴트로 변신하는 "해커"

이호연의 이미지

L0pht(일명 : 보안 커뮤니티)의 해커들이 기업으로 자리를 옮기고 있다.

그러나 IT 부서들이 보안 업무를 이들에게 의뢰한다는 것은 아니다.

최근 보안 컨설팅 신생 기업이며 고객들에게 보안 감사와 시스템 통합 기능을 지원하는 @Stake는 L0pht와 해커들의 기술을
인수한다고 발표했다.

포레스터 리서치의 분석가이며 @Stake의 창립자인 테드 줄리안은 "이번 인수로 L0pht의 6명 해커들은 @Stake의 연구 개발
업무의 핵심을 담당하게 된다"고 전했다.

지난 7년 여 동안 최고의 보안 환경만을 무력화시킨 L0pht의 해커들은 자신들의 전문 지식을 굳이 증명할 필요가 없다.

그러나 L0pht은 해커들이 악의를 전혀 갖고 있지 않으며 신뢰할 만한 컨설턴트라는 사실을 고객들에게 인식시켜야 한다.

해커들은 익명을 유지할 계획이다.

익명을 요구한 한 제조 회사의 네트워크 관리자는 "정확한 신분도 모르는 상태에서 보안과 같은 민감한 사안을 의뢰할 수
있는가? 나라면 절대 의뢰하지 않을 것"이라고 말했다.

향후 수년 동안 대다수의 기업 IT들은 이를 문제 삼을 것이다.

조사업체인 IDC는 네트워크 보안 서비스 시장이 2003년까지 23억 달러 규모로 확대될 것으로 보고 있다.

이와 같은 고속 성장을 지원할만한 보안 전문가가 충분히 확보돼 있지 않기 때문에 해커들은 물론 최근 미국
라스베이거스에서 열린 데프콘(DefCon) 해커 회의에 참가한 초보 해커까지 호황을 누리고 있다.

그러나 일부 보안 관련 업체들은 해커들을 고용할 계획을 전혀 갖고 있지 않다.

시큐어 컴퓨팅(Secure Computing)의 전문 서비스 담당 이사인 마크 하디는 "데프콘에서 직원을 채용하는 것은 적절하지
못하다.

신뢰할 수 없는 사람들을 직원으로 채용할 수 없다"고 말했다.

하디는 문제의 소지는 있지만 정직한 L0pht 해커에 대해 우호적인 입장을 취하고 있다.

그는 "보안상의 취약점을 발견해 대중에게 알리기 전에 해당 업체와 먼저 접촉한 것 때문에 L0pht가 명성을 얻은 것"이라고
말했다.

시큐어 컴퓨팅은 해킹 커뮤니티와 보기 드문 관계를 즐기고 있다.

2년 전만 해도 시큐어 컴퓨팅은 데프콘 회의를 설립한 젊은 해커인 제프 모스를 고용해 보안 평가 업무를 주관하도록 했다.

모스는 내부 캐시를 시큐어 컴퓨팅에 추가해 해커의 기술을 배우려는 IT 관리자들을 위한 '검은 모자(Black Hat)' 컨퍼런스를
시작했다.

L0pht가 동일한 전철을 밟으라는 법은 없다.

해커들만 사용하는 은어로 '흰 모자(White Hat)'는 보수적인 보안 전문가를 의미하고 검은 모자는 범죄자를 의미한다.

L0pht의 모자는 회색이다.

1993년 그룹이 결성된 이후 L0pht는 보안 커뮤니티의 존경을 받았으며 네트워크 침입 혐의로 고발당한 적이 없다.

L0pht는 네트워크 보안 테스트에서 뛰어난 성능을 발휘하는 L0phtCrack 툴을 개발했다.

L0pht의 해커들도 다양한 업체들을 대상으로 네트워크 보안과 관련된 컨설턴트를 비밀리에 진행하고 있다.

머지는 "연구 개발 작업을 지속적으로 진행하고 있다.

이로 인해 @Stake를 위해 일을 하고 있으며 기업의 보안 상황을 점검하고 취약점을 찾아내어 보완할 수 있도록 한다"고
말했다.

마이크로소프트는 L0pht 해커들의 주요 공격 대상이었으며 해커들은 마이크로소프트 제품의 보안 취약점을 찾아내기 위해
노력했다.

L0pht는 해커 뉴스 레터와 L0pht.com 웹사이트를 운영하며 네트워크 취약성에 대한 상세한 설명과 이를 활용하는 방법과
해커들을 위한 툴을 발표할 예정이다.

이와 같은 접근 방식은 마이크로소프트와 같은 일부 업체들의 분노를 유도할 수 있지만 벤더들이 보안 문제에 민감하게
반응하도록 하는 것에 대해서 기업들은 반론을 제기하지 않고 있다.

머지는 "소비자 옹호 그룹 역할을 하고 있다"고 말했다.

@Stake를 필두로 L0pht는 지속적인 보안 관련 업무를 수행할 것이다.



PC Week