‘보안의 1인자’라 하기엔 너무 젊지 않으냐고 묻는 이도 있겠지만 해커 세계에서 스물여섯이라면 ‘불혹’에 해당한다. 그는 “지능형 방화벽을 개발했고 보안 OS(컴퓨터 운영체계)를 개발해봤지만, 막상 정부기관에서 보안업무를 맡아보니 생각보다 힘들다”고 말했다. 그에 따르면 정부기관 공무원들은 대체로 보안 인식이 부족하다는 것.

그동안 한국과학기술평가원의 모의 해킹 프로그램은 과학기술부 산하기관만을 대상으로 한 것이었다. 하지만 지난 8월 이경태씨가 주도적으로 참여한 팀이 국가 전 기관을 대상으로 하는 모의 해킹 프로그램을 개발하는 데 성공했다. 이 프로그램에 따라 정부 기관들은 ‘사이버 을지훈련’을 실시했다. 훈련 결과 국방부와 국정원을 뺀 모든 정부기관이 해킹에 취약한 것으로 드러났다.

“정부기관 사이트 90%, 해킹 노출”

이경태씨는 “기자가 출입처 기자실에서 기사를 쓸 때는 주의해야 한다”는 얘기부터 했다. 자신이 열린우리당에 근무할 때 외부에서 대선후보와 중앙당 컴퓨터뿐만 아니라 출입기자의 컴퓨터를 해킹하려는 시도가 여러 차례 있었다는 것. 사이버 선거전에서 있을 법한 정치적 목적의 해킹을 막기 위해 열린우리당은 기자실과 중앙당 네트워크를 분리하고 여러 통신회사의 회선을 혼합해 사용했다고 한다.

“우리나라 정부기관 사이트의 90% 이상이 해킹에 노출돼 있어요. 마음만 먹으면 어디든 뚫을 수 있습니다. 매년 과학기술부와 정보통신부 산하기관을 상대로 모의 해킹 훈련을 해요. 해킹팀은 대학의 동아리 학생들로 구성됩니다. 아마추어 해커라는 얘기죠. 그런데도 대부분의 기관이 뚫렸습니다. 얼마 전엔 실제로 과학기술부 산하 모 기관이 해킹당했어요. 해킹을 당해도 정부기관은 자존심 때문에 쉬쉬해요. 더 부끄러운 사실은 해킹을 당한지조차 모른다는 거예요. 해킹 바이러스에 감염돼 네트워크 속도가 느려지거나 불통되고 나서야 알게 된다는 겁니다. 어떤 연구원에선 해킹으로 홈페이지가 아예 변조된 일도 있었어요.”



정부기관의 전산망 방화벽이 이토록 허술하다는 건 큰 문제가 아닐 수 없다. 이씨의 거침없는 지적이 이어졌다.

“보안담당관은 최고의 ‘눈뜬 봉사’입니다. 우리나라 주요 기관들은 침입방지 시스템, 암호화 시스템 등 보안 시스템을 구축하고도 제대로 관리하지 못합니다. 가장 안전한 ‘보안 솔루션’과 위험관리 시스템(TMS)을 설치해도 그에 걸맞게 관리체계를 바꾸지 않으면 소용없어요. 정보처리기사 1급 자격증 소지자가 해커를 이길 수 없습니다.”

해킹으로 국가적 피해를 보는 것은 미국도 예외가 아니다. 지난 8월 미군 전산망이 뚫려 미 공군 장교 3만3000명의 개인정보가 유출됐다. 미 국방부는 2007년까지 655억달러에 이르는 예산을 정보 보안에 투입할 예정이라고 밝혔다.

미국은 2008년까지 정부 각 기관의 인터넷 주소를 현재의 ‘IPv4’에서 차세대 규격인 ‘IPv6’로 전환할 방침이다. 해커의 침입을 막는 사이버 테러 대책의 일환이다. ‘IPv6’를 채택하면 PC를 랜 에 접속할 때 주소 설정 등 복잡한 과정을 생략할 수 있고, IP 주소들 사이에 혼선이 일어날 가능성이 적다고 한다. 언제 어디서든 접속할 수 있는 유비쿼터스 사회를 앞두고 ‘IPv6’는 거의 필수적인 선택이다.

“‘IPv4’에서 ‘IPv6’로 넘어가는 데는 두 가지가 이유가 있어요. 하나는 IP주소가 포화상태이기 때문입니다. 또 하나는 ‘IPv4’가 안고 있는 프로토콜상 문제점을 해결하기 위해서입니다. ‘IPv4’는 인터넷에서 암호화되지 않아 스니핑(훔쳐보기)이 가능해요. 반면 ‘IPv6’는 암호로 전달되기 때문에 스니핑할 수 없어요. 우리나라에서도 ‘IPv6’로 넘어가려고 연구 중이에요.”

‘눈에는 눈, 이에는 이.’ 해커들은 “해커를 막으려면 해커를 고용해야 한다”고 주장한다. 전설적인 해커로 알려진 미국의 케빈 미트닉은 모토롤라, 노벨 등의 전산망에 침투한 죄로 5년 동안 복역한 후 보안 컨설턴트로 스카우트됐다.

우리나라의 실정은 어떤가. 12년 전 청와대 ID를 도용해 국가전산망을 뒤흔들어놓았던 ‘국내 해커 1호’ 김재열(35)씨는 대우그룹 기획조정실, 기획예산처 재정개혁팀을 거쳐 현재 세계적인 컨설팅 업체에서 일하고 있다.

그러나 해커들은 “기업은 해킹 범죄자를 절대로 채용해선 안 된다”고 강조한다. 해커도 국가관이나 가치관이 뚜렷해야 한다는 것이다. 국내 ‘여성 해커 1호’ 황모(27)씨. 그는 국내 해커들 사이에서 ‘모의 해킹(PT) 전문가’로 정평이 나 있다. 그가 주로 하는 일은 해커로서 시스템을 공격해 취약점을 찾아내는 것이다. 전산학을 전공한 그가 해커가 된 계기는 증권사에서 시스템 엔지니어로 일할 당시 전산망이 여러 차례 해킹당해 이를 막기 위해 해킹을 공부한 것이었다.

“해커는 방화벽뿐만 아니라 데이터베이스, 침입방지 시스템 등 모든 보안 분야에 대해 빠짐없이 알아야 합니다. 그러려면 관련 서적을 빼놓지 않고 읽어야 해요. 해커들 중엔 고졸자가 많아요. 컴퓨터에 미쳐서 다른 공부를 하지 못한 거죠. 하지만 우리 사회에서 고졸 해커는 정보보호기술 인력으로 인정받지 못하는 실정입니다.”

경찰청에 따르면 사이버 범죄 건수는 2002년 11만8868건, 2003년 16만5119건에 이어 지난해에는 20만건을 넘어섰다. 실제로 취재차 만난 해커들 중에도 범죄자로 전락한 이가 적지 않았다.