[만남] "해커 잡는덴 해커…정책적 양성 시급"■ 윤정경(尹正卿 ·64·경찰청 사이버범죄수사대 기술연구관)
1936년 서울서 태어났다. 1959년 서울대 법대를 졸업했다. 1962년 경찰에 뛰어든 뒤 국외정보와 전산업무를 주로 맡았다. 김포공항 수배자적발 전산실 초대 실장을 지냈고 경찰청 해커수사대 창설요원으로 활동했다. 지난해 12월부터는 경찰청 사이버범죄수사대 기술연구관으로 일하고있다. 국내 해커1호를 검거하고 인터폴의 요청을 받아 국제적인 크래킹사건 해결에 참여했다.
■ 노정석(魯井石·24·㈜인젠 기술이사)
1976년 전북 전주서 태어났다. 1994년 한국과학기술원(KAIST) 산업경영학과에 입학했다. KAIST내 해킹 동아리 쿠스(KUS)의 회장을 지냈다. 1998년 대학을 휴학하고 대학 선배 동료들과 함께 사이버 보안회사인 ㈜인젠을 설립했으며 지금은 기술 이사로 활동하고 있다. 네트워크 기반침입탐지시스템을 개발했으며 현재는 리눅스를 이용한 보안 솔루션을 개발중이다.
인터넷은 정보화사회의 도로이고 핏줄이다. 인터넷을 통해 정보와 상품과 자본이 유통되기 시작한 것은 이미 오래된 일. 모든 일상생활이 인터넷을 통해 이뤄질 날도 멀지 않았다는 예측까지 나왔다. 하지만 이 정보의 세계는 평화롭지만은 않다. 해커가 있기 때문이다. 이들의 침입으로 국가 기간시설과 정보산업의 근간이 파괴되고 정보의 흐름이 끊긴다. 최근에는 야후, 아마존, 바이닷컴 같은 세계적인 인터넷 회사들의 전산망이 해커에 의해 뚫렸다. 해커들은 정보산업의 수준을 높이도록 자극을 주는 의적인가, 정보화 사회의 질서를 파괴하는 해적인가. 해커추적사와 해커출신의 해커예방의가 만났다.
_ 40년의 연령차이에도 불구하고 두 분은 오랜 교유관계가 있다고 들었습니다.
윤정경 = 노이사가 나이는 어리지만 이 분야에서는 저보다 전문가입니다. 1995년말에 사이버범죄가 늘어날 것에 대비해서 해킹전문가로 알려진 노이사에게 기술교류를 하자고 연락을 했습니다. 그때가 대학생때지요?
노정석 = 지금도 휴학생입니다만 경찰에서 사이버범죄에 미리 대처해야 한다고 생각하던 터라 적극 협조했습니다. 윤연구관님은 연세가 많았지만 이 분야에 대한 지식이 참 해박했습니다.
윤정경 = 그 뒤 여러 차례 만났습니다. 저녁도 같이 하면서 기술적인 문제를 많이 물어보았죠. 사이버범죄를 수사하면서도 많은 도움을 받았습니다. 1996년에는 (서울) 도봉면허시험장의 면허발급 과정에 문제가 있는 것 같아 시험장 컴퓨터에 들어가려했는데 쉽지 않더라고요. 노이사가 방법을 가르쳐주었습니다. 덕분에 부정면허발급사건을 해결했지요.
노정석 = 해커는 해킹만 파고들기 때문에 그쪽에서는 최고수입니다.
_ 아무리 실력이 높아도 세계적인 인터넷 사이트 전문가들이 구축한 망을 뚫을 정도라니 참 신기합니다. 도대체 어떻게 이런 해킹이 가능한 것이지요?
윤정경 = 잠깐, 개념을 정리합시다. 우리는 그냥 다른 사람의 전산망에 들어가는 행위를 해킹(hacking), 그런 사람을 해커(hacker)라고 부르는데, 크래킹(cracking), 크래커(cracker)와 구분해야 합니다. 해커는 어떤 기관의 허락을 받고 그 기관의 전산망에 들어가 전산 보안상의 문제점을 체크하는 사람들입니다. 반면 크래커는 몰래 들어가는 범죄자들이지요.
노정석 = 해커는 언제부터 언제까지 들어가겠다고 미리 알려주고 전산 시스템의 문제점을 진단해 줍니다. 해당 기업에 결과를 통보하고 돈도 받습니다. 허락을 받지 않으면 크래커죠.
윤정경 = 물론 현실에서는 명확히 구분하기 어려울 때가 많아요. 우선 사이버기술을 개발한 뒤 이를 시험해 보고 싶은 사람들이 있습니다. 이때 허락을 받지 않고 다른 기관의 전산망에 들어가면 그게 바로 크래킹이죠. 젊은이들이 호기심에서 잘 합니다. 이들은 전산망에 들어가는 것만 생각할 뿐 범죄를 저지른다는 사실을 의식 못해요. 게다가 침입 사실이 들통날까봐 흔적을 지우려 하는데 이러다가 시스템 전체를 지워버리는 수가 있거든요.
노정석 = 이와 달리 전문적인 크래커가 있습니다. 이들의 행동은 돈과 연결됩니다. 은행계좌를 자기 앞으로 돌리는 것 같은 것이지요. 또 특정업체를 위해 경쟁기업을 크래킹함으로써 경쟁기업의 매출과 주가를 떨어뜨리는 경우도 있습니다. 해킹이든 크래킹이든 기본 동기는 같아요. 일종의 권력욕, 지배욕 같은 것이지요. 다른 전산망에 들어가 많은 정보를 접하면 드디어 해냈다는 기쁨이 생깁니다. 저도 컴퓨터는 초등학교 2학년때부터 했지만 네트워킹은 대학교 때 처음 알았어요. 선배로부터 해킹프로그램을 하나 받는데 그걸 이용했더니 다른 사람의 암호와 ID를 금방 알 수 있었습니다. 그후 1주일간 컴퓨터실에서 먹고 자고 할 정도로 컴퓨터에 빠졌습니다.
윤정경 = 그 심정 알만 합니다. 그렇게 기술을 높이다 보면 묘한 승부욕같은 게 생기지 않습니까. 한국과학기술원(KAIST)과 포항공대간에 그런 일 있었잖아요.
노정석 = 그 이야기 이제 그만했으면 좋겠는데. 1990년대초부터 두 학교간에 해킹전쟁이 있었어요. 서로의 컴퓨터 실력을 떠보는 것이지요. 저는 1996년 KAIST내 해킹 동아리 쿠스의 회장으로서 모교에 대한 「배타적 애교심」에서 자존심을 걸고 대결했습니다. 그러다 덜컥 구속까지 됐죠. 그 후 충분히 반성을 해서 후배들에게는 늘 주의를 줍니다.
윤정경 = 구속까지 될 사안이 아니었는데, 참 안타까웠습니다. 크래킹에도 악의적인 크래킹과 자신의 실력을 검증해보고 싶은 크래킹이 있거든요. 실력을 검증해보려고 철없이 한 크래킹에 대해서는 엄벌보다는 해커나 보안 전문가가 되도록 이끌어주어야 할 겁니다. 전산보안기술자 자격증제도가 도입되고 대학에 관련학과가 많이 생기면 큰 도움이 될 겁니다. 물론 악질적인 전문 크래커는 죄를 크게 물어야겠지만요. 한번은 대학 강사 크래커를 잡았습니다. 박사 학위 논문을 써놓고 통과를 기다리고 있더군요. 벌금을 물고 나와 지금은 대학 교수로 활동하고 있습니다. 또 여기저기 전산망을 쑤시고 다닌 중학생도 하나 붙잡았습니다. 부모를 만나 단단히 주의를 주고 고교 입학때까지 컴퓨터를 못하도록 했습니다. 그 아이 나중에 좋은 고교에 진학했더라고요. 만약 그들을 교도소로 보냈더라면 어떻게 됐겠습니까.
노정석 = 맞아요. 잡아들이기만 하면 해커의 씨가 마릅니다. 크래커가 지닌 고도의 기술을 좋은 곳에 쓰도록 유도하는 게 필요합니다. 그렇지 않아도 우리나라는 학교나 연구기관, 기업 등의 전산망이 허술해 국제 크래킹의 주요 통로로 이용된다는 지적을 많이 받습니다. 지금 서두르지 않으면 우리나라 전산망이 큰 곤경에 처할 수 있어요. 그렇기 때문에 해커든 크래커든 그들의 뛰어난 기술을 활용할 필요가 있지요. 사실 고도의 기술을 동원해 크래킹하면 보안시스템이 아무리 좋아도 막는데 한계가 있습니다. 게다가 과거에는 남의 전산망이 들어갈 수 있는 사람이 적었지만 검색 엔진이 많아지고 정보의 위치가 많이 노출됐기 때문에 지금은 어설픈 사람도 쉽게 접근할 수 있습니다.
윤정경 = 크래커는 한가지 특출한 기술로 집중적인 공격을 퍼붓지만 보안기술자는 전체를 방어해야하기 때문에 힘이 분산될 수 밖에 없습니다.
_ 그러면 크래킹은 계속 늘어날 수 밖에 없는 겁니까.
노정석 = 크래커는 기술이 매우 뛰어나서 잡히는 비율이 1%도 안되는 걸로 알고 있습니다.
윤정경 = 크래커 하나를 잡는데 대개 5, 6개월이 걸립니다. 보통 5, 6단계를 경유해 침입하고 흔적을 지우기 때문에 검거가 어렵습니다. 캐나다 미국 일본 등 20여개국을 경유한 경우도 있었어요. 그래서 상당수는 수사가 더 진행되지 못하고 중도에 끝납니다. 크래킹기술이 발전하면 그를 막는 기술도 따라서 발전하는 순기능은 있습니다.
_ 결국 가장 중요한 것은 윤리의 문제이군요.
윤정경 = 어려서부터 정보 통신 윤리교육을 해야 합니다. 몸에 배도록 해야지요. 그래야 크래킹으로 빠지지 않아요. 또 최근 크래커 출신이 신지식인으로 선정된데서 볼 수 있듯 크래커를 영웅시하는 분위기는 바뀌어야 합니다. 호기심 차원이 아니라 은행계좌를 옮기려던 크래킹이었는데 말입니다.
노정석 = 이번 야후 등에 대한 공격은 서울시내 전역에 차를 세워놓아 도시 전체를 마비시키는 식입니다. 이러니 막을 재간이 있겠습니까. 과거에는 방패 하나 들고 앞만 막으면 됐는데 이제는 사방에서 공격을 해대니 어렵습니다. 이런 행위는 해당 기업에만 불이익을 주는 게 아닙니다. 인터넷을 중심으로 세계 산업이 재편되고 있는데 그 기반을 와해시키는 겁니다. 그러니 사회 전체적으로 크래킹을 범죄시하고 엄격하게 처벌하는 분위기가 필요합니다.
윤정경 = 크래킹을 영웅시하면 나중에는 국가안보차원에서 커다란 일이 생길 수도 있습니다.
노정석 = 기업의 전산망도 지금은 국가 차원의 일입니다. 국내 기업의 전산망이 뚫리면 나라 전체의 국제적 신인도가 떨어져 외국 기업의 유치에도 문제가 있습니다. 그래서 저도 1996년 교수님과 선배님들이 보안회사를 만들자고 하는데 적극 동참했던 것입니다.
윤정경 = 일단 우리나라의 보안 기술은 세계적이라 할 만 합니다. 여기 노이사만 해도 미국 회사로부터 스카웃 제의를 받았을 정도니까요. 그러나 아직 인력이 절대적으로 모자란만큼 전문가 양성에 많은 노력을 해야 합니다. 기업의 보안업무를 외국기업에 맡기는 것은 안방 열쇠를 외간 남자한테 맡기는 것과 비슷하거든요.
진행 정리 / 박광희 기자
기사 URL이 복사되었습니다.
댓글0