- 실력파 고졸 해커들, 학력차별로 범죄자 전락
- 국가보안법, 정보통신법 공부하는 해커들
- 국방부·국정원 외 모든 정부기관, 해킹에 취약
- 한국에 10명뿐인 마스터급 해커, 중국엔 100만
- ‘해킹 살인’ 막으려면 습관부터 바꿔야
7월엔 키보드 해킹과 유사한 방식으로 국내 컴퓨터 5만대를 해킹하고 여기서 빼낸 개인정보를 이용해 사이버머니 2억원을 가로챈 일당이 경찰에 적발됐다. 이들은 국내 포털사이트에 ‘트로이 목마’라는 해킹 프로그램을 설치, 사용자가 키보드로 입력하는 내용을 밖으로 빼냈다. 범인 이모(37)씨는 해킹을 위해 중국인 해커까지 고용했다.
이처럼 해커라고 하면 타인의 컴퓨터에 무단으로 침입해서 프로그램을 훼손시키거나 정보를 빼내는 범죄자상(像)이 떠오른다. 해커는 범죄자인가? 꼭 그렇지만은 않다. 양지의 해커가 더 많은 까닭이다. 이들 중 상당수가 ‘정보보호 전문가’라는 이름으로 보안업체에서 일한다.
‘보안회사에 해커가 왜 있냐?’고 의문을 제기할지 모르지만 해커를 고용하면 시스템의 취약점을 미리 발견함으로써 사이버 범죄를 예방할 수 있다. 이 때문에 보안회사에서 해커 출신을 우대하는 것이다. 이런 점에서 해커는 네트워크를 지키는 파수꾼이라 할 만하다. 창(해킹 툴)과 방패(정보보호 방법)를 다 갖춘 ‘정보보호 전문가’라는 얘기다.
물론 해커 중에는 악의적으로 남의 개인정보를 빼내 팔거나 은행을 해킹하는 범죄형 해커도 적지 않다. 엄격히 구분하자면 이들은 해커가 아니라 크래커다. 컴퓨터에 침투해 자료를 빼내거나 기업이 피땀 흘려 개발한 제품을 빼돌리거나 신용카드 번호를 훔치는 일 따위가 모두 크래커의 소행이다.
해커 출신으로 국내 모 포털사이트에서 일하는 최창국씨는 해커의 세계를 4단계로 분류했다.
“해킹의 새로운 흐름을 만드는 위저드(wizard)급 혹은 마스터급 해커, 이를 주도하는 구루급 해커, 취약점을 발견하고 코드를 새로 짤 수 있는 일반적인 해커, 단순히 해킹 툴을 배포하는 스크립트 해커로 나눌 수 있어요. ‘트로이 목마’ 해킹 툴을 컴퓨터에 깔아놓는 것은 삼류급 해커가 사용하는, 가장 수준 낮은 해킹수법 중 하나입니다.”
해커 세계, 26세면 ‘불혹’
초고속 인터넷 보급률 세계 1위를 자랑하는 한국 해커는 어느 수준이고 그들은 어디에서 무엇을 하고 있을까. 한국의 해커그룹은 1991년 한국과학기술원(KAIST)의 쿠스(KUS)에서 비롯됐다. 쿠스가 창립된 지 1년 뒤에 포항공대에 플러스(PLUS)가 결성되면서 이 둘은 맞대결을 했다.
그러다가 1999년 ‘해커스랩’을 비롯해 ‘와우해커’ ‘널루트’ 같은 해커그룹이 결성됐고, 2002년에는 대학 정보보호동아리연합회(KUCIS)가 결성되는 등 전성기를 맞았다. 하지만 2003년 1월 모 해커그룹 회원 11명이 인터넷 사이트의 개인정보를 유출한 혐의로 불구속 입건된 사건을 계기로 해커에 대한 부정적인 이미지가 확산됐고 해킹 활동은 크게 위축됐다.
국내에서 ‘양지의 해커’, 이른바 ‘정보보호 전문가’로 활동하는 해커는 300여 명이다. 그 가운데 네트워크의 취약점을 발견하고 코드를 새로 짤 수 있는 일반 해커는 50여 명이고, 해킹의 새로운 흐름을 주도하는 마스터급 해커는 10명 안팎이다. 좀처럼 정체를 드러내지 않는 해커를 ‘언더그라운드 해커’라 하는데, 현재 국내에 몇 명이 활동하는지 추정이 불가능하다. 이들은 낮에는 직장인으로 일하다 밤에는 해커 혹은 크래커로 변신한다.
이경태(26)씨는 국내에서 손꼽히는 해커 중 한 명으로 웹해킹 전문가다. 그는 지난 6년 동안 한국전자통신연구원, 국방연구원, 행정자치부, 국정원, 금융감독원 등 정부 주요 기관의 보안 시스템을 개발하는 프로젝트에 참여했다. 지난해까지 열린우리당 차세대전략연구소에서 보안업무를 담당하다 최근 한국과학기술평가원(KISTEP)으로 자리를 옮겼다.
한국과학기술평가원은 과학기술부 산하기관으로 국가 연구개발(R&D) 과제를 조사, 분석, 평가하고 과제의 데이터베이스(DB)를 구축한다. 여기서 이씨가 맡은 업무는 네트워크의 방화벽(침입방지시스템)을 지키는 일이다.
‘보안의 1인자’라 하기엔 너무 젊지 않으냐고 묻는 이도 있겠지만 해커 세계에서 스물여섯이라면 ‘불혹’에 해당한다. 그는 “지능형 방화벽을 개발했고 보안 OS(컴퓨터 운영체계)를 개발해봤지만, 막상 정부기관에서 보안업무를 맡아보니 생각보다 힘들다”고 말했다. 그에 따르면 정부기관 공무원들은 대체로 보안 인식이 부족하다는 것.
그동안 한국과학기술평가원의 모의 해킹 프로그램은 과학기술부 산하기관만을 대상으로 한 것이었다. 하지만 지난 8월 이경태씨가 주도적으로 참여한 팀이 국가 전 기관을 대상으로 하는 모의 해킹 프로그램을 개발하는 데 성공했다. 이 프로그램에 따라 정부 기관들은 ‘사이버 을지훈련’을 실시했다. 훈련 결과 국방부와 국정원을 뺀 모든 정부기관이 해킹에 취약한 것으로 드러났다.
“정부기관 사이트 90%, 해킹 노출”
이경태씨는 “기자가 출입처 기자실에서 기사를 쓸 때는 주의해야 한다”는 얘기부터 했다. 자신이 열린우리당에 근무할 때 외부에서 대선후보와 중앙당 컴퓨터뿐만 아니라 출입기자의 컴퓨터를 해킹하려는 시도가 여러 차례 있었다는 것. 사이버 선거전에서 있을 법한 정치적 목적의 해킹을 막기 위해 열린우리당은 기자실과 중앙당 네트워크를 분리하고 여러 통신회사의 회선을 혼합해 사용했다고 한다.
“우리나라 정부기관 사이트의 90% 이상이 해킹에 노출돼 있어요. 마음만 먹으면 어디든 뚫을 수 있습니다. 매년 과학기술부와 정보통신부 산하기관을 상대로 모의 해킹 훈련을 해요. 해킹팀은 대학의 동아리 학생들로 구성됩니다. 아마추어 해커라는 얘기죠. 그런데도 대부분의 기관이 뚫렸습니다. 얼마 전엔 실제로 과학기술부 산하 모 기관이 해킹당했어요. 해킹을 당해도 정부기관은 자존심 때문에 쉬쉬해요. 더 부끄러운 사실은 해킹을 당한지조차 모른다는 거예요. 해킹 바이러스에 감염돼 네트워크 속도가 느려지거나 불통되고 나서야 알게 된다는 겁니다. 어떤 연구원에선 해킹으로 홈페이지가 아예 변조된 일도 있었어요.”
정부기관의 전산망 방화벽이 이토록 허술하다는 건 큰 문제가 아닐 수 없다. 이씨의 거침없는 지적이 이어졌다.
“보안담당관은 최고의 ‘눈뜬 봉사’입니다. 우리나라 주요 기관들은 침입방지 시스템, 암호화 시스템 등 보안 시스템을 구축하고도 제대로 관리하지 못합니다. 가장 안전한 ‘보안 솔루션’과 위험관리 시스템(TMS)을 설치해도 그에 걸맞게 관리체계를 바꾸지 않으면 소용없어요. 정보처리기사 1급 자격증 소지자가 해커를 이길 수 없습니다.”
해킹으로 국가적 피해를 보는 것은 미국도 예외가 아니다. 지난 8월 미군 전산망이 뚫려 미 공군 장교 3만3000명의 개인정보가 유출됐다. 미 국방부는 2007년까지 655억달러에 이르는 예산을 정보 보안에 투입할 예정이라고 밝혔다.
미국은 2008년까지 정부 각 기관의 인터넷 주소를 현재의 ‘IPv4’에서 차세대 규격인 ‘IPv6’로 전환할 방침이다. 해커의 침입을 막는 사이버 테러 대책의 일환이다. ‘IPv6’를 채택하면 PC를 랜 에 접속할 때 주소 설정 등 복잡한 과정을 생략할 수 있고, IP 주소들 사이에 혼선이 일어날 가능성이 적다고 한다. 언제 어디서든 접속할 수 있는 유비쿼터스 사회를 앞두고 ‘IPv6’는 거의 필수적인 선택이다.
“‘IPv4’에서 ‘IPv6’로 넘어가는 데는 두 가지가 이유가 있어요. 하나는 IP주소가 포화상태이기 때문입니다. 또 하나는 ‘IPv4’가 안고 있는 프로토콜상 문제점을 해결하기 위해서입니다. ‘IPv4’는 인터넷에서 암호화되지 않아 스니핑(훔쳐보기)이 가능해요. 반면 ‘IPv6’는 암호로 전달되기 때문에 스니핑할 수 없어요. 우리나라에서도 ‘IPv6’로 넘어가려고 연구 중이에요.”
‘눈에는 눈, 이에는 이.’ 해커들은 “해커를 막으려면 해커를 고용해야 한다”고 주장한다. 전설적인 해커로 알려진 미국의 케빈 미트닉은 모토롤라, 노벨 등의 전산망에 침투한 죄로 5년 동안 복역한 후 보안 컨설턴트로 스카우트됐다.
우리나라의 실정은 어떤가. 12년 전 청와대 ID를 도용해 국가전산망을 뒤흔들어놓았던 ‘국내 해커 1호’ 김재열(35)씨는 대우그룹 기획조정실, 기획예산처 재정개혁팀을 거쳐 현재 세계적인 컨설팅 업체에서 일하고 있다.
그러나 해커들은 “기업은 해킹 범죄자를 절대로 채용해선 안 된다”고 강조한다. 해커도 국가관이나 가치관이 뚜렷해야 한다는 것이다. 국내 ‘여성 해커 1호’ 황모(27)씨. 그는 국내 해커들 사이에서 ‘모의 해킹(PT) 전문가’로 정평이 나 있다. 그가 주로 하는 일은 해커로서 시스템을 공격해 취약점을 찾아내는 것이다. 전산학을 전공한 그가 해커가 된 계기는 증권사에서 시스템 엔지니어로 일할 당시 전산망이 여러 차례 해킹당해 이를 막기 위해 해킹을 공부한 것이었다.
“해커는 방화벽뿐만 아니라 데이터베이스, 침입방지 시스템 등 모든 보안 분야에 대해 빠짐없이 알아야 합니다. 그러려면 관련 서적을 빼놓지 않고 읽어야 해요. 해커들 중엔 고졸자가 많아요. 컴퓨터에 미쳐서 다른 공부를 하지 못한 거죠. 하지만 우리 사회에서 고졸 해커는 정보보호기술 인력으로 인정받지 못하는 실정입니다.”
경찰청에 따르면 사이버 범죄 건수는 2002년 11만8868건, 2003년 16만5119건에 이어 지난해에는 20만건을 넘어섰다. 실제로 취재차 만난 해커들 중에도 범죄자로 전락한 이가 적지 않았다.
국내에서 손꼽히는 웹해킹 전문가 이경태씨는 열린우리당 차세대연구소에서 보안업무를 담당하다 최근 한국과학기술평가원으로 옮겨갔다.
최근 벼룩시장이나 인터넷에는 ‘해커 구함’이라는 구인광고가 기승을 부리고 있다. 의뢰인은 해커에게 ‘게임 사이트를 해킹해달라’ 혹은 ‘개인정보를 빼달라’고 주문한다. 직업이 불분명한 해커가 돈이 아쉬워서 이를 수락하는 순간 범죄의 길로 내딛는 것이다.
이처럼 해커들은 교도소 담장 위를 아슬아슬하게 걷고 있다. 은행 해킹 사례만 해도 만만치 않다. 올해의 경우 7월까지 발생한 인터넷뱅킹 사고가 8건으로 피해금액은 3억3000만원에 달한다. 전년 대비 4배나 증가한 규모다.
9년째 보안 업무를 맡고 있다는 모 은행 관계자는 “최근 해킹이 부쩍 늘었다. 해킹 시도 사례가 하루 평균 1000여 건에 달한다”면서 “일일이 인터넷 주소(IP)를 추적해 블랙리스트에 올려놓지만 불안하다”고 털어놓았다.
사정이 이렇다 보니 해킹을 막기 위해 해커를 고용하겠다고 나선 은행도 적지 않다. 최근 국내 한 포털사이트에서 조사한 선호 직업 순위에서 사실상 해커를 뜻하는 ‘정보보안 전문가’가 1위에 올랐을 정도다.
‘커피에 소금 타 먹는 사람’
해커들은 “해커는 누구나 될 수 있지만 아무나 될 순 없다”고 말한다.
“해커가 되려면 공부를 많이 해야 해요. 웹 용어가 다 영어잖아요. 마스터급 해커가 되려면 영어에 능숙해야 합니다. 불과 몇 년 전만 해도 해커가 희귀해 기업이 해킹 범죄자를 스카우트했는데 요즘은 안 데려가요. 해커도 국가관과 직업관이 투철해야 해요. 암호학, 전산학만 공부하던 해커들이 요즘은 국가보안법과 정보통신법까지 공부해요.”
보안전문가로 인정받으려면 국제공인 보안전문가 자격증인 CISA(국제공인 시스템감시자)나 CISSP(국제공인 정보시스템보안전문가)를 따야 한다. 지난해 7월부터 정보보안 전문기업체에서는 정보통신기반보호법에 따라 자격증 취득자를 의무적으로 고용하고 있다.
안철수연구소 모의해킹팀에 근무하는 해커 출신 이만기(30)씨는 “예전엔 자기의 실력을 과시하기 위해 사이트를 해킹하는 사례가 많았지만 요즘에는 사적인 이익을 추구하는 웹 해킹이 늘어났다”고 말했다. 또한 지난해까지만 해도 서버 운영체제나 웹 서버가 주된 해킹 대상이었지만, 올해 들어선 주 공격대상이 DB나 웹 애플리케이션으로 바뀌었다고 한다. 개인용 컴퓨터의 CPU(중앙처리장치)가 강화돼 운영되는 소프트웨어가 많아지면서 소프트웨어의 취약점을 노리는 해킹기술이 고도로 발전하고 있다는 얘기다.
‘정보보호 전문가’들은 사이트의 안전성을 점검하기 위해 끊임없이 모의 해킹을 시도한다. 주로 컴퓨터 사용량이 적은 야간에 하기 때문에 보안전문 해커들은 이틀이 멀다하고 밤을 새우는 게 현실이다.
해커는 어떠한 성격의 소유자일까. 기자는 컴컴한 방에서 혼자 ‘컴’ 앞에 앉아 있는 하얀 피부의 과묵한 젊은이를 상상했다. 하지만 막상 만나보니 대부분의 해커는 펑크족을 연상케 할 만큼 자유분방하고 활동적이고 말솜씨가 뛰어났다.
그들은 “커피에 소금을 타 먹을 수 있는 사람”이라고 스스로를 소개했다. 그만큼 상상력이 뛰어나다는 얘기다. 이들은 “도청의 시대는 지나갔고 해킹의 시대가 도래했다”고 말했다.
“비밀번호를 빼내는 피싱(phising)은 손쉬운 해킹이지요. 미국과 영국은 지구의 모든 얘기를 도청하는 일명 ‘애셜론’을 준비하고 있어요. 또 수천개의 컴퓨터 네트워크를 동원하는 사이버 마피아가 급증하고 있어요. 이들은 주로 사이버 증권사기에 관여하고 있습니다. 해킹그룹을 이끄는 건 미국과 중국입니다. 전엔 러시아와 브라질이 강했는데 이젠 중국이 강국이에요. 중국에서는 해커를 ‘헤이커(黑客)’라고 합니다. 우리나라엔 마스터급 해커가 10명 안팎이지만 중국엔 100만명이 넘어요. 세계 최대 규모인 중국 해커의 수준은 마이크로소프트(MS)의 메커니즘을 알아서 공격 코드를 개발하는 데 이르렀습니다. 우리도 선진국처럼 국가전략적 차원에서 해커부대를 양성할 필요성이 있습니다.”
미·중 해커들의 가공할 공격력
과연 국내 해커의 실력은 어느 정도일까. 암호학 박사로 해커양성기관인 한국정보보호교육센터(KISEC) 원장인 서광석씨의 얘기를 들어보면 국내 해커의 수준은 조금 실망스럽다.
“사회 풍토가 해킹을 범죄로만 여기고 해커를 키우는 여건이 형성돼 있지 않다 보니 실력 있는 해커가 자꾸 줄고 있습니다. 진정한 해커라면 새로운 보안 시스템의 취약점을 찾아 공격할 줄 알아야 하는데 그런 실력자가 국내에선 50명 안팎이에요. 반면 미국이나 중국 등 해커 강국에서는 끊임없이 새로운 공격코드를 만들어내 외국 정부기관의 전산망까지 침투합니다. 우리나라에서 이러한 세계적인 해커와 겨룰 만한 해커는 손가락으로 꼽을 정도예요. 우리나라 해커는 주로 웹 해킹을 해요. 웹 해킹의 긍극적인 목표는 DB를 빼내는 거죠. 정보보안 전문가들도 웹 해킹만 상대했기 때문에 외국 해커들이 다양한 방법으로 공격해올 경우 싸워 이길 수 있을지 걱정됩니다. 최근 일부 국가기관에서 일어난 해킹사고도 대부분 외국 해커들의 소행입니다.”
한국정보보호교육센터는 2001년 안철수연구소, 코코넷, 고려대 정보보호기술연구센터, 성균관대 정보보호인증기술연구센터 등이 주축이 돼 설립된 국내 유일의 해커양성기관이다. 6개월 교육과정에 수업료는 500만원. 기수당 평균 20명씩 13기까지 졸업생이 배출됐다. 기업들의 보안전문가 수요가 늘어난 덕분인지 최근엔 수강인원의 2∼3배가 넘는 지원자가 몰린다고 한다.
해커 얘기는 결코 ‘그들만의 얘기’가 아니다. 해킹은 앞으로 일상생활에서 빈번히 일어날 범죄 중 하나이고 그 파괴력은 도청에 비할 바가 아니다. 취재과정에 만난 해커들은 “해킹을 막기 위해서는 습관을 바꿔야 한다”며 주의를 촉구했다.
“해킹 범죄자, 혹은 해커가 시스템 관리자에게 접근하는 지름길이 뭔지 아세요? 습관입니다. 웹관리자들은 ‘admin’이니 ‘sysop’이니 하는 알려진 아이디를 많이 사용해요. 비밀번호로는 ‘1234’ ‘0987’ 등 나열식 숫자를 애용하죠. 신용카드의 비밀번호를 정할 때 전화번호와 생년월일부터 떠올리는 것과 같은 이치죠. 또 많은 사람이 컴퓨터에 앉으면 처음에 e메일부터 확인하고 게임을 하든지 문서작업을 합니다. 인간의 습관을 분석해 추적하면 답이 나와요.”
소름이 오싹 돋는 이런 얘기도 들려줬다.
“유비쿼터스 시대엔 손 하나 까딱 않고 살인이 이뤄질 수 있어요. 미래형 주택을 상상해보세요. 정보통신 환경이 완벽하게 구축되잖아요. 언제 어디서나 자유롭게 집 정보망에 접속해 모든 시설에 작동명령을 내릴 수 있는데, 이것이 악용된다고 상상해보세요. 해킹해 아파트 정보망으로 들어가면 못할 게 없어요. 시간 맞춰 가스 밸브를 열어놓거나 보일러를 작동하는 건 아주 손쉬운 일이잖아요. 이런 사태를 막기 위해서도 습관을 바꿀 필요가 있어요. 일정한 귀가시각을 불규칙하게 바꾼다던가, 집에 들어가서 누르는 스위치 순서를 바꾼다던가….”
![고산준령 고즈넉한 숲에서 치유를 만나다 [+영상]](https://dimg.donga.com/a/300/200/95/1/ugc/CDB/SHINDONGA/Article/65/5e/ab/7c/655eab7c0e99d2738276.jpg)
