“없어서 못 뽑습니다” 삼성에서 연봉 1억 불러도 거절한다는 직업

모빌리티TV 0

2025.02.21

정보 보안 전문가 화이트해커
기업의 보안 취약점 찾아내기 위해 해킹
평균 연봉 3억에서 4억 원 선

첨단기술이 빠르게 발전하면서 사이버 보안 중요성이 커지고 있다. 공공기관을 중심으로 개인정보 유출 사고가 꾸준히 늘고 있는 가운데 개인정보보호위원회에 신고된 유출 사고 원인의 절반은 ‘해킹 공격’ 때문으로 나타났다.

지난해 개인정보위가 ‘개인정보 정책 포럼’에서 밝힌 바에 따르면 부처가 중앙행정기관으로 출범한 2020년(8∼12월) 47건이었던 개인정보 유출 신고 건수는 2021년 163건, 2022년 167건, 2023년 318건으로 매년 증가 추세다. 유출·유형별로는 해킹 공격이 48%로 가장 많았다.

이렇듯 개인 정보 노출 가능성이 점점 높아지고 공격 형태는 정교해지는 등 문제가 다양하게 불거지고 있으나, 이에 대한 인력이 부족해 해결이 쉽지 않다는 지적도 존재한다.

세계경제포럼(WEF) 글로벌 사이버 보안 전망에 따르면, ‘사이버 보안 기술과 관련 인재 부족을 경험했다’라고 밝힌 글로벌 기업의 경영진은 90%였다. 지난해 8월 포브스도 현재 글로벌 사이버 보안 인력이 400만 명 가까이 부족한 것으로 추산했다.

이런 상황에서 주목받는 유망 직종이 존재한다. 해킹 기술을 이용, 웹 서비스와 프로그램의 보안 취약점을 발견하여 블랙 해커의 공격을 미리 차단하는 ‘화이트해커’다. 화이트해커는 현재 고연봉을 자랑하는 개발자보다 훨씬 더 높은 대우를 받는다.

이러한 화이트해커에 대한 수요는 점차 늘어나는 추세다. 대다수의 기업이 웹 사이트와 프로그램을 자체 개발해 이용하면서 그만큼 해커들이 공격할 대상도 많아졌기 때문이다. 반면 해커의 공격을 막을 수 있는 보안 인력은 수요에 비해 공급이 턱없이 부족하다.

업계 관계자에 따르면 특히 우리나라는 다른 나라에 비해서도 훨씬 적은 수인 약 1,000명의 화이트해커가 활동 중으로 알려졌다. 해킹 강국으로 분류되는 미국과 중국에서는 수만에서 수십만 명에 달하는 화이트해커들이 활동하고 있는 것에 비하면 훨씬 적은 숫자다.

그중 잘 알려진 사람은 2015년, 2016년 폰투오운(Pwn2OWN) 해킹 대회에 참가하여 총 37만 달러의 상금을 받았던 한국 최고의 화이트해커 이정훈 씨다. 이정훈 씨는 대학을 중퇴하고 삼성SDS에 입사했으나, 단 1년 만인 2016년 구글로 이직해 ‘프로젝트 제로 팀’에서 근무했다. 그는 당시 한 매체와의 인터뷰에서 국내에서 화이트해커에 대한 처우가 낮은 점과 근무 환경 등을 들기도 했다.

출처 : tvN 프로그램 '유 퀴즈 온 더 블럭' — 출처 : tvN 프로그램 ‘유 퀴즈 온 더 블럭’

실제로 우리나라에서 해커에 대한 인식은 좋지 못한 편이다. 최근에는 여러 매체에 화이트해커가 등장하면서 해당 직업에 대한 정보가 알려지기는 했지만, 지난해 블라인드에도 ‘화이트해커가 무슨 일을 하는 거예요?’라는 내용의 글이 올라오는 등 여전히 화이트해커가 하는 일에 대해 정확히 모르는 이들도 많다.

또한, 몇 년 전 유명한 대기업으로 알려진 삼성에서는 1억 원가량의 연봉으로 화이트해커를 채용했다가 너무 적은 급여로 인해 지원자가 없었던 경우도 존재한다. 국내 기업에서 해커에게 제시하는 초봉은 약 4,000만 원 수준으로 해외에 비하면 낮은 수준으로 알려져 있다.

반면 구글, 애플, 페이스북, 마이크로소프트 등 글로벌 기업들은 화이트해커를 적극적으로 활용하고 있다. 이들은 주로 거액의 상금을 걸고 ‘버그 바운티’를 진행한다. 버그 바운티는 외부인이 해킹을 통해 기업 소프트웨어나 웹 서비스의 취약점을 발견하면 포상금을 지급하는 제도다.

마이크로소프트는 지난해 11월 ‘제로 데이 퀘스트’라는 이름의 해킹 이벤트를 개최한다는 공고를 냈다. 버그 바운티 중 최대 규모로 알려진 이 행사는 마이크로소프트가 연구원 45명을 직접 초청했으며, 연구 과제를 대중에게 공개하는 방식으로 진행됐다. 2025년 1월 19일까지 진행된 해당 프로그램에서 마이크로소프트는 초대된 참가자를 대상으로 항공료, 호텔 숙박료 등을 제공하고 프로그램 결함을 발견한 연구원에게는 400만 달러(약 55억 원)를 지급했다.

구글은 ‘안드로이드 시큐리티 리워즈(Android Security Rewards)’를 운영하며 2015년부터 2019년까지 1,800개가 넘는 취약점을 발견했고, 포상금으로 총 150만 달러를 지급한 것으로 알려졌다. 2019년 12월 말에는 자사 소프트웨어 결함을 발견하는 해커에게 최대 150만 달러(약 175억 원)의 포상금을 주겠다고 발표하기도 했다.

화이트해커는 이러한 버그 바운티 제도를 통해 억대 수익을 올리기도 한다. 2019년 기준 버그바운티 전문 플랫폼인 해커원(HackerOne)은 버그바운티 프로그램을 통해 1백만 달러 이상 번 보안 전문가가 총 6명이 됐다고 발표했다.

tvN ‘문제적 남자’에 출연한 화이트해커 이승진 씨는 “실력 좋은 해커들은 프리랜서로 일할 경우 연봉 3~4억을 벌 수 있다”라고 말했다. 이어 그는 “미국에서는 연봉 10억도 벌 수 있다”라고 밝히기도 했다.

실제 미국에서 전문 보안 관리자는 많은 연봉을 받는다. 보안 취약점을 파악하고 정보 시스템을 관리하는 사이버보안 관리자의 평균 연봉은 15만 달러에서 22만 5,000만 달러 선(약 2억 317만 원~3억 4,800만 원)이었다.

미국 경제연구소(ERI)에 따르면 기업에서 물리적·디지털 보안을 관리하는 최고정보보안책임자(CISO)는 평균적으로 27만 5,000만 달러(약 3억 7,200만 원)의 기본급을 받는 것으로 알려졌다. 여기에 다수의 CISO들은 매년 50만 달러(약 6억 8,000만 원)의 성과급 명목으로 지급받는다. 반면, 국내의 CISO 평균 연봉은 1억 700만~1억 9,200만 원으로 2억 원을 넘기지 못하는 수준에 머무른다.

이러한 환경에 대부분의 화이트해커는 프리랜서로 활동하며 보안 시스템이 필요한 회사에 자문하거나 시스템 솔루션을 제시하는 보안 컨설팅 회사에서 외주를 받아 일하는 방식을 택하고 있다. 현재 토스에서 근무 중인 유명한 화이트해커 이종훈 리더는 “보안에 대한 정부와 민간의 지원과 투자가 절실하다”고 목소리를 높였다. 그는 “뛰어난 실력을 갖춘 화이트해커들이 대부분 해외로 유출된다”라며 아쉬움을 표하기도 했다.