[중국 베이징] 새로운 형태의 CTF 해킹대회 ‘벨루미나 베이징(Belluminar Beijing / ctf.360.com/en) WCTF2016’이 중국 베이징 크라운 프라자 호텔에서 6월1일부터 3일까지 개최되고 있다. 이번 대회는 한국 POC SECURITY와 중국 보안기업 Qihoo360이 공동주최한다. 데일리시큐는 대회 현장에서 치후360 핵심보안부서 총괄매니저 MJ0011(Zheng Wenbin. 이하 MJ. 29. 사진)을 만나 인터뷰를 진행했다.
 
치후360(이하 360)은 중국에서 텐센트와 함께 가장 규모가 큰 IT시큐리티 전문 기업이다. 이미 한국을 비롯해 유럽과 미주까지 사업 영역을 확장해 글로벌 기업으로 도약하고 있는 중국의 대표적인 보안기업이라 할 수 있다. 이러한 기업에 보안총괄을 맡고 있는 MJ.
 
특히 360의 핵심 보안연구팀인 360Vulcan팀은 지난해 열린 캔섹웨스트(CanSecWest)의 이벤트 폰투오운(Pwn2Own) 버그바운티 대회에 참가해 13만2500달러를 획득할 정도로 실력파 연구팀이다. 또 국제적인 해킹 대회에서도 상위에 랭크되고 있는 팀이다. MJ는 이들을 총괄하고 있는 매니저 역할을 담당하고 있다.
 
MJ는 360의 장점에 대해 “360은 PC와 모바일 보안분야에 수백만의 유저를 보유하고 있으며 계속 유저들이 늘어나고 있다. 직원들도 기본 연봉 이외에 많은 스톡옵션과 보너스를 받고 일하고 있다. 특히 보안 엔지니어에 대한 대우는 특별하다. 다른 분야 직원들보다 연봉과 인센티브가 더욱 크다”며 “예를 들어 5년차 엔지니어가 연봉과 다양한 옵션 인센티브를 받게 되면 5억이 넘어가는 경우도 있다. 대략 5년차 기본 연봉은 1억원 수준이다”라고 말했다. 한국보다 보안 연구 엔지니어에 대한 대우가 좋다는 것을 알 수 있다.
 
그는 이번 대회를 열게 된 목적에 대해 “최근 중국에서 IT보안에 대한 관심이 높다. 정부에서도 투자를 많이 하고 있고 더불어 학생들도 이 분야 진출을 위해 공부를 열심히 하고 있다”며 “이번 벨루미나 대회를 통해 중국인들에게 이런 대회가 있다는 것을 보여주고 싶었고 중국 해커들이 더욱 발전할 수 있는 기회가 됐으면 하는 바람으로 개최하게 됐다”고 설명했다.
 
중국의 IT보안 인력의 증가와 관련 산업이 성장하는 이유에 대해 물었다. 그는 “360과 텐센트, 바이두, 알리바바, 화웨이 등 대기업들이 생겨나면서 보안에 대한 관심들이 커지기 시작했다. 대기업에서 보안인력들을 필요로 했고 보안솔루션 도입도 늘어나면서 인력과 산업이 함께 성장하고 있는 추세다”라며 “높은 연봉을 주고 보안인력들을 대기업에서 채용하고 있기 때문에 좋은 인력들이 보안분야에 관심을 가지게 되고 더불어 보안기술도 더욱 높아지고 있다. 그래서 좋은 보안솔루션도 많이 만들어 낼 수 있게 됐다. 즉 기업들의 투자가 늘어나면서 좋은 인력들에게 높은 연봉을 주고 영입하고 좋은 인력이 보안분야에 몰리면서 산업도 성장하는 선순환 구조에 진입한 것이다. 한국과는 사뭇 다른 분위기다.
 
특히 그는 중국내에서 블랙해커(해킹 범죄자들)들이 줄어들고 있다고 전했다. MJ는 “예전에는 블랙해커들이 많았다. 한국 사이트를 해킹해 돈을 버는 해커들도 있었고 해킹을 이용해 불법적인 돈을 버는 해커들이 많았지만 이제는 현저히 줄어들었다”며 “대기업에서 실력있는 블랙해커들을 영입하기 시작한 것이다. 블랙해커들도 높은 연봉을 받으며 안정적으로 일하기를 원했기 때문이다. 서로의 이해관계가 맞아 떨어진 것이다. 이제 블랙해커들도 화이트해커로 전향해 기업에서 일하는 경우가 늘어나 해킹 범죄자들이 크게 줄어들고 있다”고 전했다.
 
이번 벨루미나 대회는 각 팀들이 2문제씩 출제해 서로의 문제는 푸는 방식으로 진행되며 이후 문제에 대한 해설 세미나도 열린다. 400여 명의 중국 학생들과 보안기업 종사자들은 세미나에 참석해 세계적인 해커들의 기술 수준을 실제로 볼 수 있고 자신들의 실력을 향상시킬 수 있을 것이라고 MJ는 말한다.
 
또한 그는 “중국에서 최근 스타트업 기업들이 늘고 있다고 한다. 창업 규제가 많이 완화되면서 보안관련 창업도 늘고 있다. 현재 중국에서 보안기업은 1천개 정도이며 20여 개 기업이 상위에 랭크돼 있다”고 말했다.
 
북한에 대한 연구 성과가 있는지도 물었다. MJ는 “북한 사이버 공격에 대해 연구를 하고 있지만 실제 그런 공격들이 북한 해커들의 소행인지 특정하기는 힘들다. 북한 해커들이 사용하는 악성코드라고 해서 분석도 해 봤지만 이 또한 북한 해커들의 악성코드인지 특정하긴 힘들다. 한국에서 어떤 근거로 북한 해커의 소행이라고 특정하는지는 알 수 없다. 최근 북한 사이트도 해킹을 당했다고 해서 분석을 해봤지만 누가 공격을 했는지 특정하기는 힘든 부분이 있다”고 설명했다.
 
중국은 최근 각종 국제해킹대회에서 실력을 인정받고 있으며 글로벌 버그바운티 대회나 아이폰 해킹, 자동차 해킹 등에서 세계적인 주목을 받고 있는 해커들이 늘어나고 있다. 그 이면에는 정부와 기업들의 투자가 있었다는 것을 MJ 인터뷰를 통해 알 수 있었다. 실력있는 해커들을 기업이 영입하고 마음껏 연구할 수 있는 환경과 연봉을 제공해 주고 있다. 그러면서 실력있는 해커들과 학생들이 보안분야에 더욱 관심을 갖고 공부를 하고 있다. 최근 중국 시진핑 주석도 IT보안의 중요성을 강조하면서 정부의 투자도 중국의 사이버 보안 인력과 산업의 발전에 불을 지피고 있다. 한국이 주목해야 할 부분이다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<중국 베이징=데일리시큐 길민권 기자> mkgil@dailysecu.com