정보화시대를 맞아 컴퓨터범죄가 늘어나고 있는 가운데 얼마 전 검찰에서는 국가기관의 메인 컴퓨터에 대학에 재학중인 학생이 침입했다고 발표해 해커에 대한 경각심을 불러일으킨 적이 있다. 최근에는 해킹이라는 신종 범죄까지 등장해 각급 행정기관이나 기업체들은 정보보안에 비상이 걸린 상태다. 아무리 좋고 최신 정보라도 제대로 보관을 못해 해커들이 빼내 가면 아무 쓸모가 없기 때문이다. 그러나 불행하게도 아직까지 완벽한 보안시스템은 등장하지 않아 해커들의 침입을 원천 봉쇄하기는 어렵다.
서울여자대학교 전산과학과 김명주 교수. 그는 정보화의 새로운 범죄로 등장한 해커추방에 앞장서고 있는 학자다. 보안교육 및 보안시스템 연구를 위해 대학 안에 「서울여대 인터넷 보안그룹」을 만들어 컴퓨터보안에 관한 각종 교육과 자료제공, 보안툴 개발 등에 주력하고 있다.
해커의 등장은 유닉스 출현으로부터 시작된다. 오픈시스템을 표방한 유닉스환경은 누구나 실력을 갖춘 컴퓨터메니어면 다른 메인컴퓨터에 들어가 자유자재로 돌아다닐 수 있다.
그래서 유닉스환경의 최대 고민은 보안문제다. 그동안 보안에 대해 많은연구결과가 나왔지만 아직 완벽한 보안시스템은 나와 있지 않다.
김 교수는 일부의 해커에 대한 시각교정을 촉구했다『최근 들어 컴퓨터 관련 범죄가 늘어나면서 「해킹」이라는 신종 범죄유형이 등장했습니다. 해커에 대해 일부에서 「정보화시대의 영웅」이라는 인식을 갖기도 하는 것 같은데 이는 위험한 생각입니다.』
원래 해커라는 명칭은 좋은 의미로 사용되기 시작했다. 스티븐 레비가 쓴「해커(컴퓨터 혁명의 영웅들)」라는 책이나 가이 스텔의 「해커관련 사전」에서 해커는 「컴퓨터를 사용하는 일반 사용자들은 자신에게 필요한 컴퓨터지식을 습득하는데 최소한의 노력만을 투자하는데 비해 해커들은 컴퓨터시스템의 능력을 극대화시키고 이에 따른 지식을 배우는 것을 즐기는 사람들」이라고 정의했다.
그래서 스스로를 해커라고 부르며 해커라는 신분에 자부심을 느끼는 컴퓨터 전문가들은 컴퓨터 범죄와 연관된 해커들을 「크래커」라고 별도로 구분하기를 원한다는 것.
김 교수는 해커가 긍정적인 측면으로만 사용되기에는 이미 시대적 상황이그것을 용납할 수 없는 단계에까지 와 있다면서 「컴퓨터 범죄현상을 정보화의 역기능 현상」이라고 말한다.
정보화의 역기능 현상을 구분하는 방식은 컴퓨터 주변 역기능, 컴퓨터 처리과정 역기능, 컴퓨터 활용 역기능 등이 있는데 해킹은 컴퓨터 활용 역기능에 속한다.
해킹 관련 컴퓨터 범죄는 전체의 컴퓨터 범죄 가운데 17%애 불과하지만 해킹이 컴퓨터범죄의 주범인양 인식되고 있는 것은 인터넷을 비롯한 컴퓨터 네트워크가 컴퓨터활용의 절대적 비중을 차지하고 있기 때문이다.최근의 해킹기법에 대해 김 교수는 「과거에는 패스워드 시스템 파일을 뒤져 암호를 푸는 형태를 취하였는데 이러한 패스워드에 대한 보안이 섀도방식 등을 통해강화되자 이제 운영체제 내부의 허점을 찾아 시스템 관리자의 권한을 얻는추세」라고 지적했다.
김 교수는 일반 사용자들이 사용하는 유닉스명령은 내부적으로 루트만이다룰 수 있는 영역을 거쳐서 수행는데 해커는 이러한 내부의 허점을 알아내루트의 권한을 불법적으로 얻을 수 있어 시스템을 해커가 마음대로 할 수 있다는 것이다.
예상이 해커의 가장 좋은 대비책이라는 김 교수는 『운영체제를 공급하는회사는 자신들의 운영체제에 보안 허점이 발생하면 이에 대한 대비자료들을고객들에게 제공하는 형태를 꾸준히 취하고 있습니다. 이것을 패치라고 합니다. 그러나 패치에 대해 시스템관리자가 해커보다 둔감하다면 이미 그 시스템은 해커에게 노출되었다고 볼 수 있습니다』
그러나 이런 방식은 문제가 많다. 만일 어떤 회사에 컴퓨터가 1백대 있다면 1백대에 대한 보안을 일일이 해야 하는 이는 현실적으로 어려움이 많기때문.
그래서 최근에 등장한 보안기법이 바로 「방화벽」이다. 방화벽은 외부에서 특정 회사내의 컴퓨터를 접근하기 위해서는 게이트웨이라고 불리는 보안점검 전문컴퓨터시스템을 통과하도록 하는 것이다.
김교수는 이러한 기술적 대비책도 중요하지만 제도적 및 교육적 대비책도동시에 마련해야 한다고 주장한다.
『수사체제에 대한 제도정비 및 일반인들의 인식제고도 시급합니다. 해킹은 이제 범죄행위 입니다.해킹을 당할 경우 이를 일괄성 낭패로만 덮어둘 일이 아니라 법적신고를 통해 응분의 처벌을 받도록 해야 합니다』
따라서 검찰내에 「정보범죄 대책기구」나 「정보범죄 수사센터」같은 기구를 만들어야 한다는 것.
그는 『대부분의 해커는 컴퓨터분야 전문가라는 점을 감안해 대학이나 대학원생들에 대한 도덕교육을 체계적으로 실시해야 해커를 추방할 수 있을 것』이라고 강조했다.
김명주교수 악력
학력
86년 서울대 컴퓨터공학과 졸업
88년 서울대 컴퓨터공학과 석사
93년 서울대 컴퓨터공학과 박사
경력
91년 일본 추쿠바국립대학 정보전자공학계 연구원
92년 서울대,국민대 강사
93년 서울대 컴퓨터 신기술 공동연구소 자료실장 겸 특별연구원
95년 서울여자대학 전산과학과 교수