모든 소프트웨어는 보안 취약점이 있다.

구글의 보안조직 ‘프로젝트제로’는 이런 약점을 추적하는 화이트해커팀이다. '해커계의 SWAT(특수기동대)'로도 불린다.

화이트해커는 착한 해커를 뜻하는데 서부영화에 나오는 정의로운 주인공들이 주로 흰색 카우보이 모자를 쓰는 데서 유래됐다.

25일 업계에 따르면 인텔 CPU(중앙처리장치) 보안결함의 충격이 가라앉지 않으면서 이를 처음 찾아낸 프로젝트제로가 주목받고 있다.

프로젝트제로는 인텔의 멜트다운(Meltdown)과 스펙터(Spectre) 보안결함을 반년 전 발견해 인텔에 알려줬다.

프로젝트제로는 인터넷에 연결된 모든 소프트웨어에서 보안취약점을 찾아내 그 회사에 전한다. 90일 정도의 기한을 주고 그 안에 패치(보완책)를 내놓지 않으면 대중에 공개하는 것이다.

보안조직을 갖춘 기업은 많지만 다른 회사의 소프트웨어까지 조사하는 경우는 드물다는 데에 프로젝트제로의 특이점이 있다. 

팀 이름은 ‘제로데이 공격’에서 따왔다. 보안 취약점을 고칠 틈을 주지않고 빠르게 공격을 감행하는 해킹수법인데 대처할 시간이 0일이라 제로데이다. 

프로젝트제로의 존재는 2014년 애플이 ‘사파리’ 웹브라우저의 보안 취약점 패치를 발표하면서 처음 알려졌다. 애플이 이 취약점의 발견자로 ‘구글 프로젝트제로의 이안 비어’를 적은 것이다.

이안 비어는 스웨덴에 살고 있는 영국 국적의 화이트해커다. 애플 분야에서 유명한 버그(오류) 사냥꾼인데 최근 iOS(아이폰 등의 운영체제) 11.2 버전의 버그 15개 가운데 5개를 그가 찾아냈다. 

2년 전에는 비어가 발견한 취약점을 고치기 위해 애플이 무려 8개월을 들여 iOS 커널(운영체제의 핵심)을 다시 쓴 일도 있었다. 

비어는 iOS의 ‘탈옥(jailbreaks)’도구 개발에도 꾸준히 기여하고 있다. 탈옥이란 사용자의 내부시스템 접근을 막기 위한 iOS 방어를 해제하는 것을 뜻한다. 탈옥하면 애플이 지원하지 않는 기능을 사용하거나 앱을 추가로 설치할 수 있다.

태이비스 오만디도 비어 못지 않은 유명인사다. 그는 특히 제조사에 취약점 공개를 강하게 압박하고 그래도 패치하지 않으면 이를 서슴지 않고 공개하는 ‘난폭한’ 방식으로 잘 알려졌다. 

지난해에는 인터넷 세상을 뒤집어놓은 보안사고 ‘클라우드블리드’를 발견해 화제가 됐다. 클라우드블리드는 보안서비스 회사인 '클라우드플레어'에서 개인정보가 수개월 동안 흘러나간 사고인데 유출된 양이 워낙 방대해 아직도 정확히 밝혀지지 않았다. 역대 최악의 보안사고들 가운데 하나로 꼽힌다. 

또 다른 팀원 벤 혹스는 뉴질랜드의 컴퓨터 보안전문가로 어도비 플래시와 마이크로소프트 오피스, 애플 iOS 등에서 다양한 허점을 찾아냈다. 

국내 최고의 화이트해커로 꼽히던 이정훈씨도 프로젝트제로에서 활약 중이다. 2015년 삼성SDS에 입사했지만 1년 만에 구글로 옮겼다. 외국에서는 ‘Lokihardt'(로키하트)라는 닉네임으로 더 유명하다.

이씨는 20세에 세계 최대 규모의 해킹대회 '데프콘'에서 3위를 차지하며 혜성처럼 등장했다. 

미국 보안업체 티어리의 박세준 대표는 한국일보와 인터뷰에서 “진짜 천재는 이정훈씨고 나는 아직 배울 게 많은 기술자일 뿐”이라고 말하기도 했다. 박 대표는 데프콘에서 3번이나 우승컵을 거머쥔 역대 최다 우승자다.

프로젝트제로는 2014년 7월, 당시 구글크롬의 최고 보안책임자였던 크리스 에반스가 멤버를 꾸려 출범했다. 

구글이 프로젝트제로를 만든 데에는 이른바 ‘오로라 작전(Operation Aurora)’이 계기가 됐다. 중국정부와 연관된 사이버 첩보단체가 2009년 구글 등 대형 IT기업들을 해킹해 정보를 빼간 사건인데 이 일로 구글은 세계에서 가장 큰 시장인 중국을 버리고 철수할 정도로 큰 충격을 받았다.

당시 이 첩보단체는 마이크로소프트 웹브라우저인 ‘인터넷 익스플로러 6’의 약점을 파고들어 구글 서버에 침투했다. 경제전문지 포천에 따르면 구글의 공동설립자 세르게이 브린은 “왜 구글의 보안이 다른 회사들의 제품 때문에 위협받아야 하는가?”하는 의문을 품었다고 한다. 

인터넷 전체의 보안을 강화하면 사용자들이 구글 광고를 더 안심하고 클릭하게 하는 효과도 있다고 구글은 말한다. 갈수록 해킹 위협이 늘어나고 있는 만큼 대책이 필요하다는 것이다.

실제로 미국 ITRC(Identity Theft Resource Center, 신분도용자료센터)에 따르면 미국 기업과 정부에서 보고한 데이터 유출사고는 2016년 한 해 동안 40% 증가했다

이정훈씨는 그러나 전자기기를 선택할 때 얼마나 안전한지, 해킹이 얼마나 쉬운지 의외로 신경쓰지 않는다고 한다. 

이씨는 미국 ‘더 레지스터’와 인터뷰에서 아이폰과 맥북을 쓴다고 밝혔다. 애플 제품들은 가장 보안이 뛰어난 운영체제로 평가되지만 그래서는 아니고 단지 외형이 마음에 들어서라는 것이다.

그는 “하지만 가끔 내가 해킹 당하지는 않았나 걱정이 든다”고 말했다. [비즈니스포스트 고진영 기자]