“뚫었을 때의 짜릿함, 무엇과도 비교할 수 없는 해커만의 즐거움이죠.”

강인욱씨(24)의 공식 직업은 보안 전문가다. 하지만 인터넷 세상에서는 그 보다 ‘천재 해커’로 더 통한다.

선린인터넷고등학교에 재학 중이던 2011년, 중·고교생 청소년 해킹방어대회에 나가 우승을 차지한 데 이어 한 글로벌 손해보험사의 모의해킹 대회에서도 1위에 오른 그는 다음 해 전문 해킹 팀 ‘코드레드’를 창설하고 국내 대부분의 해킹 대회를 휩쓸기 시작했다. 유난히 뽀얀 피부와 앳된 얼굴, 여기에 모니터를 바라보는 매서운 눈빛의 반전매력, 그리고 뛰어난 해킹 실력까지 더해지며 업계에서는 그를 ‘천재 해커’로 불렀다.

지난 2014년 한국 인터넷 진흥원(KISA) 주최 해킹방어대회 ‘HDCON 2014’에서 같은 팀 소속 동료와 함께 과제에 대해 논의하고 있는 강인욱 씨(오른쪽).

대학생이 된 2014년 부터 그는 본격적인 활동을 시작했다. 하지만 여느 해커와 달리 그가 관심을 둔 건 바로 ‘방어’기술. 보안 시스템의 취약점을 찾아 공격해 들어오는 해커들에 대응해 이를 막아내는 동시에 해당 취약점을 보완해 내는, ‘해커위의 해커’가 바로 그인 것이다.

업계에서는 전자를 ‘블랙 해커’, 후자를 ‘화이트 해커’로 구분한다. 보안 취약점이란 공격자가 시스템의 정보 보증을 낮추는데 사용되는 약점을 일컫는 말로 쉽게 말해 정부기관이나 기업 등이 자체 전산 시스템을 보호하기 위해 쳐놓은 가상의 방어벽 중 보안이 허술해 블랙해커들의 공격 대상이 되는 영역을 뜻 한다.

“공격이 있으면 방어가 있게 마련이잖아요. 물론 공격하는 것이, 우리 말로는 뚫는 것이 더 재미가 있죠. 누구나 그럴 거에요. 누구도 못 뚫던 걸 뚫었을 때, 그 떄의 짜릿함은 정말 해커가 아니면 알 수 없는 즐거움이죠. 하지만 공격을 잘 하는 사람이 방어도 잘하는 법이거든요.”

대학생 시절부터 당시 외환은행을 비롯해 하나은행과 하나캐피탈 등 금융회사들의 보안취약점을 점검하는 프로젝트 매니저(PM)으로 활동해 온 그는 2014년, 국가 정보망 보호를 담당하는 국군 사이버사령부에서 최신 해킹기법을 강의하고 시연하기에 이른다.

“일부 정부기관이나 글로벌 기업에서는 ‘버그바운티’라는 일종의 제도를 운영하고 있어요. 자신들의 시스템에서 보안취약점을 찾아내 알려 주면 검토 뒤 포상금을 지급하는 제도에요. 공격을 함으로써 방어를 돕는 셈이죠.”

지난해 12월 일본 도쿄에서 열린 국제해킹방어대회 ‘SECCON’ 본선 중 소속 팀 ‘Code Red’가 1위에 올라 선 순간을 촬영한 장면.

지난해 국내 최대 규모의 가상화폐거래소인 ‘빗썸(Bithumb)’에 해킹사건이 벌어지자 해당 로그를 분석하고 조사한 것도 바로 강씨다. 그는 현재 보안 전문회사 라온시큐어의 연구원으로서 최신 보안기술을 연구하고 있다. 보안관련 정부과제 등을 주로 맡고 있지만 전문 해커로서도 ‘현역’인 그는 지난해 12월 세계 최대 규모의 해킹 대회인 일본 ‘SECCONCTF’에 출전해 우수한 성적을 거두기도 했다.

“제가 잘 하는 일을 통해 남, 아니 우리를 돕는 일에 쓸 수 있다는 것이 가장 뿌듯한 것 같아요.”

하지만 해커를 꿈꾸는 후배들에게 꼭 당부하고 싶은 말이 있다고 했다.

“단순히 돈만을 생각하며 안 좋은 의도를 갖고 해킹을 시작하는 친구들도 많아요, 안타깝죠. 다만 세상에는 돈 말고도 더 소중한 것이 많다는 것을, 그 가치를 알았으면 하는 바람입니다.”