◆참석자(가나다순)
배상우 안랩 컨설팅사업본부 기술컨설팅팀 수석 컨설턴트
이권형 인포섹 지식관제사업본부 전략관제팀 차장
조주봉 라온화이트햇 보안기술교육팀 팀장
김원석 전자신문 비즈니스IT부 차장(사회)
온라인에서 발생하는 지능형 범죄에 대한 우려가 높다. 파밍을 통한 사이버 절도, 스마트폰 앱을 이용한 소액결제 사기 등이 기승을 부리고 사이버 테러, 사이버 전쟁 등 더 큰 위협들이 현실화되고 있다. 이런 공격들은 날로 발전하고 지능화되고 있다는데 심각성이 있다. 본지는 국내 보안업체에 근무하고 있는 해커들과 이야기를 나누는 자리를 마련했다. 이들은 보안 취약점을 분석하고 찾아내 공격을 예방하는 최일선에 있는 사람들이다.
◇사회(전자신문 비즈니스IT부 차장)=먼저 해커에 대한 관심이 크다. 해커라는 단어도 낯설지 않은데, 해커는 어떤 사람들인가.
◇배상우 (안랩 수석 컨설턴트)=영화나 드라마에 나온 이미지들 때문에 해커하면 어두운 방안에서 컴퓨터를 하는 이런 생각들을 한다. 하지만 평범한 사람들이다. 직장인과 다를 바 없다. 크래킹(허용 범위를 초과해 침입하는)하는 사람들도 보면 평범한 학생이 많다.
◇이권형 (인포섹 차장)=성격에 따라 화이트해커와 블랙해커 등으로 나누기도 하지만 전반적으로 평범한 직장인, 일반인과 크게 다르지 않다.
◇사회=주로 밤에 일할 거란 생각이 든다.
◇이권형=꼭 그렇지 않다. 고객사 필요에 따라 할 뿐이다. 보통 주간에 많이 작업 한다.
◇배상우=10년 전에는 야간에만 하는 게 일반적이었다. 우리 작업으로 시스템이 멈추지 않을까 걱정해서다. 지금은 인식이 많이 개선됐다.
◇조주봉 (라온화이트햇 팀장)=해커가 특별한 사람인 것처럼 보는 경향이 많다. 하지만 저희도 일반적인 사람이고, 다른 점이라면 남들보다 좀 더 전자제품이라든지 소프트웨어에 관심이 있다는 것이다.
◇사회=어떻게 해커의 길로 들어섰는지 궁금하다.
◇조주봉=컴퓨터를 좋아했다. 게임 크랙(복제 방지나 제한을 푸는 행위) 등을 하면서 어느 날 신문에 `해커`가 있다는 걸 알게 됐다. 이후 사람들하고 소통하면서 본격적으로 해커의 길로 들어섰다.
◇이권형=원래 해커가 되려 한 건 아니었다. 수학자나 물리학자를 꿈꿨는데 대학교 때 보안 동아리에 들어가면서 접했다. 공부하다보니 해킹이 뚫는 기술이 아니라 운용체계(OS)나 네트워크에 대해서 자세히 파고 들어가고 거기에 대한 잘못된 점 찾는 일이라는 걸 알았다. 이 기술로 다른 사람을 도와줄 수 있겠다 싶어 정식으로 진출하게 됐다.
◇배상우=나는 전형적인 스타일이다. 초등학교 때 컴퓨터를 접했다. 그 때는 컴퓨터가 게임기였다. 부모님에겐 공부하는 거라 말씀 드렸지만(웃음). 게임이 점점 복잡해지면서 꼼수를 찾게 됐다. 게임 크랙이었다. 내 캐릭터를 무적상태로 만드는 식으로 데이터를 고쳤다. 게임을 만드는 쪽으로 관심이 갔다. 프로그래밍이라는 걸 배우고 PC 통신 동호회에서 리눅스도 접하고 전문가들은 유닉스를 쓴다는 데 그건 또 어떤 건 지 공부하면서 이쪽으로 오게 됐다.
◇사회=주로 게임 쪽을 많이 언급했는데, 해커가 된 결정적 동기는 무엇인가.
◇배상우=제일 큰 건 호기심이다. IT 기술은 빨리 변하지 않나. 최근 클라우드·빅데이터 얘기 많이 하는데, 시스템이 어떻게 구동되는 지 궁금해한다. 우리 같은 사람들은 운영보다는 구동 원리가 무엇인지, 과정에서 놓치고 있는 건 무엇인지 등을 생각한다. 사람이 완벽하지 않으니까 자연스럽게 중간에 생기는 구멍 같은 게 있다. 그런 부분을 발견하는 게 해킹이다.
◇이권형=새로운 것이 나오면 항상 호기심이 생긴다. 스마트폰 보면 PC처럼 취약점이 많지 않을까 생각해보고 직접 해보고.
◇조주봉=집에서 TV보다가도 한 번 분석해 보고 싶고, 공유기가 있으면 들어가 보고 싶고 그런 마음이 든다.
◇배상우=프린터도 옛날엔 인쇄만 하는 기계였다. 그런데 요새는 기능이 다양하다. 그런 걸 볼 때 `어떻게 구현했을까` 하는 궁금함이 있다.
◇사회=프린터 얘기가 나와서, 프린터도 보안 문제가 있나?
◇조주봉=최근 국내 프린터에서 백도어(보안이 제거된 일종의 비밀통로)가 발견된 적 있다. 기능이 다양해지면서 공격자가 쉽게 들어갈 수 있는 부분들이 존재한다.
◇사회=우리나라의 해킹 기술이 어느 정도인지 궁금하다. 먼저 다른 나라의 해커들은 어떤가.
◇이권형=미국·호주를 보면 참 부럽다. 기술력은 우리가 더 뛰어나다고 보는데 처우는 많이 다르다. 보수가 2~3배 정도 높다. 영어만 되면 바로 해외 진출하고 싶다(웃음).
◇사회=인력풀에서 볼 때 우리나라보다 호주나 미국이 훨씬 더 많은가?
◇배상우=미국은 대학생이 해킹을 안 했으면 학생도 아니다 싶을 정도로 일상적인 일 같다. 특히 공대생들은 해킹 기법 한 두 가지씩은 해본 경험들이 있다고 한다. 보안에 대한 비즈니스는 한국과 거의 일치하는데 문화적인 차이가 있다. 법률적인 차이도 그렇다. 몇몇 국가들은 좀 관대하다. 예를 들어 해킹 자체는 큰 문제 삼지 않는다. 피해가 발생했을 때 책임을 묻는다. 우리나라는 엄격한 편이다.
◇조주봉=외국은 해킹에 대해 나쁘다는 인식보다는 그냥 한 번 해보는 경향들이 많다. 우리나라는 윤리적인 교육을 강조해서 그런 지 절제를 하는 편이다. 때문에 경험, 실전에 약한 측면이 있다.
◇사회=최근에 일어나는 해킹 사건들을 보면 중국에서 이뤄진 게 많다고 한다. 중국의 해킹 기술 수준은 어떻게 평가하는가.
◇조주봉=코드를 분석해 보면 중국은 초등학생도 사용할 수 있는 툴들을 많이 제공한다. 사용자 친화적이라고 할까. 악성코드가 많다는 것도 특징이다. 그런데 대부분 특정 집단에 의해서 만들어진 것들을 이용하는 경우가 많다. 러시아 같은 경우 코드들이 논리적이고 잘 짜여진 반면에 중국은 사용자 친화적이지만 내부적으로는 이것저것 껴놓는 경우가 많다.
◇배상우=A해킹 그룹이 B해킹 그룹 사이트에 있는 코드를 가져다 이것저것 끼워 넣는 경우가 많다. 사용하기에는 중국이 편하다. 러시아는 프로그램 많이 알고 있다는 게 눈에 보일 정도다. 코드에 수학적인 아름다움이 보인다.
◇사회=국내 수준과의 차이는 어떤가.
◇배상우=과거 중국은 한참 멀었다고 생각했는데, 인구가 많아서인 지 몇몇 기술은 중국이 선도한다. 윈도 환경을 마이크로소프트보다 중국 해커들이 잘 안다고 얘기할 정도다. 그런데 우리나라는 사람도 적고 문화 자체가 경직돼 있다. 해킹 정보를 공유하기도 꺼린다. 자체 검열하다보면 정보가 개개인에게 축적만 되지 여럿이 공유해 발전하지 않는다.
◇사회=산업적으로 이야기를 옮겨서, 국내 산업 중 보안이 취약한 분야는 어디라고 보는가.
◇이권형=산업 분야는 이제껏 외부에서 접근할 수 없는 폐쇄망이었다. 그러다보니 우리가 진단할 수 있는 영역이 아니었다. 쇼핑몰이나 은행 같은 경우 꾸준히 신경을 쓰면서 거의 다 보안이 됐다고 보는데, 폐쇄망 쪽은 아무래도 취약점이 많지 않을 것이다.
◇사회=폐쇄망이라는 게 어떤 뜻인가.
◇이권형=아예 외부에서 접속하지 못하게 차단해 놓고 내부에서만 운용하는 것이다. 점점 서비스가 고도화되면서 폐쇄망도 조금씩 인터넷에 연결을 하고 있다. 이제 그 쪽도 보안할 때가 됐다.
◇사회=폐쇄망도 해킹이 가능한가.
◇이권형=최근에 스턱스넷(발전소·공항·철도 등 기간시설을 파괴할 목적으로 제작된 컴퓨터바이러스) 같은 것도 산업 대상이다. 아주 불가능하다고 얘기할 수 없다.
◇조주봉=마음먹고 공격을 한다면 할 수 있는 부분이 많다. 그간 해커들의 발길이 닿지 않는 곳, 아직 접근하지 않았던 곳, 보안을 신경 쓰지 않았던 곳들이 산업 분야에 있다. 누가 검증해본 적 없고 당해본 적 없기 때문에 더 취약할 것이라 예상된다. 실제로 해커들은 굉장히 공격하기 쉽다고 말한다. 접하기 힘들다보니 안 했던 것뿐이다.
◇배상우=산업 중에서도 특히 의료 분야를 우려하고 있다. 금융·대기업·공공 분야는 오랜 기간 다양하게 준비해왔다. 반면 상대적으로 의료 분야는 보안 문제에 관심을 늦게 보인데다 대다수의 병원들이 의료 장비를 더 구매하려 하지 IT쪽에는 투자는 꺼리는 경향이 있다. 의료 정보는 상당히 민감하기 때문에 걱정이 있다.
◇사회=나름 보안이 잘 돼 있다고 하는 금융 쪽에서도 최근에 사건·사고가 많다. 어떻게 평가하나.
◇배상우=상대적으로 다른 분야보다는 보안이 앞서 있는 편이다. 하지만 최근엔 스마트폰으로 은행 업무를 하면서 여러 문제들이 발생하고 있다. 스마트폰은 PC보다 성능이 부족하고, 또 고객 편의성을 중요시 하기 때문에 보안과의 적절한 균형성을 맞춰야 한다.
◇조주봉=스마트폰이 발전해도 PC 수준만큼의 보안 기능을 수행하기에는 부족한 부분이 있다. 그러다보니 PC보다 위험할 수 있다. 더 준비해야 된다.
◇사회=IT가 국민 생활과 밀접해 지면서 사이버 전쟁에 대한 우려도 크다.
◇조주봉=최근에 언급됐던 사이버 전쟁들을 보면 실제 해커들이 개입했던 건 많지 않았다. 특정 집단에서 디도스 공격을 하는 수준이었는데, 디도스는 고도의 기술은 아니다.
◇배상우=테러와 전쟁을 구분해서 볼 필요가 있다. 사이버 테러는 해커 그룹들이 특정 기업을 공격해 피해를 입히는 것이다. 최근의 소니 해킹 사례 같은 것이다. 전쟁은 국가와 국가 간에 일어난다. 미국처럼 사이버 부대를 창설한다고 공개적으로 표명하는 나라가 나올 정도다. 걱정은 자금과 인력이 뒷받침되면 더 큰 일들을 할 수 있다는 데 있다. 군대라든 지, 정부 소속의 특정 해킹팀 같은 경우 영화에 나오는 첩보 작전을 충분히 수행할 수 있다.
◇사회=우리나라는 어떤가. 해커 부대나 특정 소속의 집단들이 있나.
◇조주봉=각 기관마다 있다고 들었다. 국방부부터 시작해서 각각 별도로 보유하는 것 같다.
◇사회=최근 선관위 디도스 공격 등 정치적 해킹도 적지 않다.
◇이권형=해킹이라는 게 인터넷만 연결되고 목적이 있으면 누구나 할 수 있는 거다. 때문에 원천적인 차단은 불가능이다. 중요한 건 그런 행위를 어떻게 제재하는 지다. 행위 자체는 막을 수 없기 때문에 결과에 대해 책임지는 법적인 강화가 필요하다.
◇배상우=정치적 목적을 위한 해킹 같은 게 비겁한 행위라 생각한다. 오프라인에서 당당하게 표출하지 않고 안전하게 컴퓨터 뒤에 숨는 것이다. 핵티비즘(정치·사회적인 목적으로 사이버 공격을 하는 행위) 활동은 지속적으로 나타날 것이다. 순수한 정치적 목적도 있겠지만 어떤 유명세를 얻기 위한 수단일 수도 있다. 우리나라에선 그간 이런 일들이 상대적으로 적었지만 한국도 어노니머스와 같은 해커집단들의 안전지대가 아니다. 대비를 해야 한다.
◇조주봉=정치적 해킹이라는 게 금전적인 목적과도 연계돼 있어 앞으로 더 많이 생길 것이다. 보안에 더 많이 신경 쓸 수 밖에 없다.
◇사회=해커 육성 차원에서 의견을 듣고 싶다. 해외 처우가 더 좋다고 했는데, 현재 우리나라의 해커들 현실과 산업 경쟁력을 높이기 위해 필요한 부분이 있다면.
◇조주봉=우선 IT 산업이 더 커져야 한다고 생각한다. 그래야 보안 수요도 느는 것이고, 우수 인재들도 진출할 것이다.
◇이권형=나를 포함해서 이전 세대들은 스스로 호기심을 갖고 찾아서 공부하는 형태가 많았다. 하지만 요즘은 드라마나 영화에 자주 언급되면서 막연한 꿈만 갖는 경우가 다수다. 연구하기 보다는 호기심으로 배워서 활용할 생각만 하는 식이다. 능동적으로 연구하는 사람들이 극히 줄어 걱정이다. 당나귀를 직접 물을 먹이는 것이 아니라 당나귀가 물가에 찾아갈 수 있도록 하는 교육이 필요하다.
◇배상우=다양한 정부 기관에서 육성 정책 내놓으면서 긍정적 영향들이 있다. 하지만 인위적이란 생각이다. 마이크로소프트나 애플처럼 성공한 모델들이 등장했을 때 희망을 보고 우수 인재들이 뒤를 잇는 선순환이 아니라 일단 만들어내는데 급급하다. 현직에 몸답고 있는 사람들에 대한 처우개선이나 불합리한 사업 환경을 개선해 이 일을 하고 싶게 자연스러운 동기 유발이 중요하다.
◇사회=최근 게임에 대한 규제에서 볼 수 있는 것처럼 해커 양성이 마치 산업이나 사회를 혼란케 한다는 오해도 있을 것 같다.
◇배상우=해커들이 하는 역할이 저는 의사와 비슷하다고 생각한다. 의사가 칼을 가지고 하지만 사람을 죽이는 건 아니지 않는가. 의사는 오히려 병을 고쳐준다. 해커에 대한, 해킹에 대한 역사가 짧아 일부 오해가 있을 순 있겠지만 도움을 주기 위해 하는 일을 한다. 칼을 들었다 해서 범죄자처럼 바라보는 인식은 개선돼야 한다.
◇조주봉=창과 방패 모두를 들고 있기 때문에 양면성이 있지만 현재 보안 산업을 보면 공격에 대해서는 알지 못하는 사람이 많다. 단순히 침입여부, 문제 발생만 판별하는 게 보안이라 생각한다. 공격자들의 행동을 예측하고 앞서 대비해야 하는데 너무 지키는 쪽만 강조하는 게 안타깝다.
정리=
윤건일기자 benyun@etnews.com
