지난 14일 국무회의, 북한과 중국에서의 해킹에 의해 2004년부터 지금까지 정부 자료 총 13만여건이 유출됐다는 국가정보원의 충격적인 보고가 올라왔다. 또 국회의원들은 국정감사에서 연일 정부부처의 자료와 개인정보가 유출된 사실을 지적하고 있다. 이러한 숱한 보안 사고를 접하면서 얻은 또 하나의 교훈은 완벽한 방어란 없다는 것이다. 끊임없는 점검과 보안의식 만이 큰 사고를 막을 수 있다. 사회 곳곳의 취약점을 지적해 주는 윤리적 해커가 필요한 이유다. 전자신문은 해커들의 목소리를 통해 국내 보안 체계의 문제점은 무엇인지를 진단하고, 이로써 보안 선순환 구조를 만들 수 있는 방안을 모색해 본다.
<글싣는 순서>
제1회. 사회가 귀 닫았다
제2회. 윤리적 해커는 누구?
제3회. 해커 양성론의 허와 실
제4회. 해외는 어떤가
제5회. 보안 선순환 구조가 필요하다
1.사회가 귀를 닫았다
#사례1. ‘충고는 싫어’
해커 A씨는 최근 보안 담당자들의 모임에서 메신저의 취약점을 지적하기 위한 비공개 시연을 준비했다. 그러나 메신저 기업들에서 시연 직전까지 거센 항의 전화를 받았다. 이를 보완할 것이라는 대답이 아닌 ‘무조건 안 된다’는 통보였다.
A씨는 메신저나 웹하드처럼 브라우저와 별도 창을 띄워 사용하는 SW는 아이디와 비밀번호가 쉽게 노출될 수 있어 보완이 필요하다는 지적을 하고 싶었다. 그것도 기업과 기관의 보안 담당자들을 대상으로 하는 시연이어서 악용될 가능성도 적었지만 취약점 자체가 알려지는 것을 꺼려하는 눈치였다.
시연이 아닌 단순 지적인 경우에도 상황은 별반 다르지 않다. 해커 B씨는 일면식이 없는 때에는 괜한 지적을 했다가 오히려 처벌을 당할 수 있어 조심스럽기만 하다고 설명했다.
#사례2. ‘해커는 단속 대상?’
해커 C씨는 보안 사고가 터지면 때때로 경찰청 사이버 수사대의 호출을 받는다. 고도의 기술이 필요한 해킹일 때 이런 기술을 갖고 있는 사람들이 가장 먼저 수사 대상에 오르기 때문이다. 처음에는 C씨가 관여했을 것이라는 추측 탓이었지만, 범죄자의 단서를 찾기 위해 이들을 추궁하기도 한다. 이러한 연락을 받을 때마다 C씨는 마음이 불편해진다.
#사례 3. ‘의심의 눈초리’=공격과 방어는 떼려야 뗄 수 없는 관계다
기업이나 기관이 보안 시스템을 도입할 때 윤리적 해커들에게 모의 공격을 의뢰한다. 이로써 안정성을 검증받고 싶은 것이다.
하지만 좀처럼 이들을 초청하는 경우는 없다. 혹시나 이들이 나중에 악의적인 목적을 가진 크래커로 돌변하지 않을지 하는 의심 때문이다. 이래저래 불편한 눈초리 탓에 의뢰받은 해커도 자리가 불편해 원격 공격을 자원하는 것이 보통이다.
우리 사회가 해커를 바라보는 시선이다. 최근 보안 사고가 끊이지 않으면서 보안 경시 풍조에 뼈저린 반성이 제기됐지만, 이보다 더 큰 문제는 순수한 의도의 지적과 충고도 귀를 닫고 무시한다는 점이다.
그동안 보안 전문가부터 해커에 이르기까지 크고 작은 문제를 지적해 왔지만, 이들의 지적이 순수하게 받아들여진 적은 많지 않다.
일명 윤리적인 해커라고 불리는 이들은 네트워크와 시스템 곳곳의 취약점을 찾아내 사고가 터질지도 모르니 대비해야 한다는 지적을 하지만, 담당자들은 콧방귀만 뀔 뿐 취약점은 눈가림으로 덮고 넘어가기 일쑤다. 오히려 해커들은 이러한 지적의 대가로 처벌당할지도 모른다는 불안을 감수해야 했다. 취약점을 찾아낸 사람 이름을 명시하기까지 하면서 외부의 지적에 개방적인 해외와는 다른 모습이다.
순수한 지적에 무조건 색안경을 끼고 보는 것도 문제다. 수사 당국은 주요 해커의 명단을 확보해 놓고 사고가 터지면 이들부터 의심하고 본다.
이들을 의심하지 않더라도 최소한 무언가 알고 있을 것이라고 보는 것도 문제다. 이 때문에 명예를 얻는 것을 최고의 목표로 한다는 윤리적 해커들은 정부 주최 해킹 대회에 나가는 것조차 꺼린다. 정부가 관리할 것이 두려워서다.
이들을 음지로 내몰 것이 아니라 순수한 지적을 반영해 보안을 강화하는 계기로 삼아야 한다는 주장이 힘을 얻고 있다. 특히 최근처럼 해외발 공격이 심각해지는 상황에서는 누구보다 공격 패턴과 시스템을 많이 연구하는 해커들의 도움이 절실하다.
김기영 소프트포럼 연구소장은 “악의적인 공격을 막도록 도와주는 순수한 의도의 해커들까지 좋지 않은 시선으로 보는 경향이 있다”며 “해커들은 시스템 전문가여서 안전한 시스템을 위해서는 이들의 활약이 절대적으로 필요하다”고 조언했다.
문보경기자 okmun@etnews.co.kr