― 업무 성격상 컴퓨터 지식이 꼭 필요하다면 전문가를 수사관으로 특채하는 것도 수사력 보강 방법이 될 수 있지 않을까요. 더구다나 앞으로 컴퓨터 범죄는 더욱 늘어날 텐데요.

“그건 그렇지 않습니다. 그런 식이라면 경제사건은 경제학자들이 맡아야 할까요. 컴퓨터 전문가가 수사관의 활동에 도움을 주는 것은 사실이지만, 그렇다고 비수사 인력에게 수사 전체를 맡길 수는 없어요. 크래킹 사건을 수사하려면 수사관 마인드가 있어야지 엔지니어 마인드로는 힘듭니다. 이 점에서 한 우물을 파는 장인정신과 끈질긴 집념을 가진 수사관이 클 수 있도록 배려하는 인사정책이 필요한 거지요.”

― 경찰 시절 다룬 국내 사건 가운데 특히 기억에 남는 크래커가 있다면 소개해주시죠.

“모두 기억나지요. 지금도 그렇지만 컴퓨터 크래킹 사건은 대개 신문 사회면 톱기사잖아요. 그래도 굳이 하나를 꼽는다면, 96년 3·1절을 앞두고 일어난 일본 외무성 홈페이지 크래킹 사건이 잊히지 않습니다. 독도는 우리땅이란 글을 올려 놓으려 했다고 해서 이 계통에서는 ‘독도는 우리땅 사건’이라고도 하지요. 이 일이 일어난 당시는 일본 장관들의 망언이 계속 나오는 통에 대일 감정이 극도로 안 좋을 때였어요. 이때에 한 PC통신의 고급 사용자 모임에 ‘우리가 외무성을 박살내버리자’는 글들이 올라오자 당시 21살 먹은 한 친구가 자신의 실력도 테스트할 겸 NTT 전산망에 연결된 일본 외무성 홈페이지를 뚫은 거예요. 홈페이지를 변조하지는 않았지만, 정부로서는 대단히 곤란한 일이 벌어질 뻔한 거죠.”

그가 이 사건을 기억하는 데는 사건의 사안과는 상관없는 또 다른 이유가 있다. 일본 외무성 외에도 92개 국내외 대학과 연구소 전산망을 휘젓고 다니다 이 소장에게 검거된 범인 최군은 체포 당시 누가 보더라도 인터넷 중독 상태였다. 다니던 자동차정비소를 그만두고 막노동으로 돈을 벌면 대부분을 컴퓨터 업그레이드와 통신비로 사용하고 있었다. 아버지는 공사장 일용 근로자로, 누이는 공원으로 일하며 근근이 살아가는 그의 토굴 같은 집에 들어선 순간, 그는 가난했던 자신의 어린 시절이 생각났다고 한다.



“사건을 송치한 뒤 보안업체 사장을 만나 전후 사정을 설명하고 은밀히 취직을 부탁했지요. 잘 적응하지 못하다가 군대에 갔는데, 몇 번 면회도 갔다 왔습니다. 이 친구, 작년 말 제대해서 요즘은 보안업체에서 잘 지내고 있습니다.”

― 인간적 정리로 자신이 체포한 범죄자를 돕는 일은 충분히 이해할 수 있습니다만, 일반적으로 컴퓨터 범죄자에 대해 사회가 지나치게 관대한 것은 문제 아닐까요.

“96년 12월 한 대형 PC통신사가 해킹을 당한 적이 있습니다. 관리자가 ID를 제대로 간수하지 못해 일어난 사건인데, 잡아놓고 보니 중학생이에요. 그런데 이 아이도 문제였지만, 더 놀란 것은 부모의 태도였습니다. ‘우리 아들이 그렇게 컴퓨터를 잘하느냐’고 묻더니만 ‘그러면 대기업에 취직하는 것은 문제 없겠네요’ 하더군요. 94년 청와대 ID를 도용하는 사건을 일으켰던 이가 어느 대기업에 특채된 일을 염두에 두고 한 말이지요. 단언하건대 크래킹 같은 ‘기술 범죄’ 역시 분명한 범죄예요. 여기서 기술만 보고 영웅시하는 사회 분위기가 계속되는 한 이 범죄는 더욱 기승을 부릴 것이고, 수많은 학생들은 전과자가 되고 말 겁니다.”

해커와 크래커는 반드시 구별해야

이 이야기는 그가 ‘잘 나가던’ 공직을 그만두고 ‘민간인’이 된 이유를 설명해준다. 그는 ‘독도는 우리땅 사건’의 최군을 만난 무렵부터 문제의 심각성을 인식, 해커 자유지대를 만들자는 주장을 줄기차게 펴왔다.

통계적으로 크래커의 평균 연령은 10대 중반부터 20대 중반. 지적 탐구욕이 왕성한 청소년들이 전과자로 전락하는 현실을 두고 볼 수 없었던 것. 실제 많은 기업과 연구소에 그와 같은 제안을 내놓아 긍정적인 답변을 얻기도 했다. 그러나 해커를 범죄자와 동일시하는 사회 분위기가 팽배하고, 더욱이 엄청난 자금이 투입되는 비수익 사업이 쉽게 성사되기는 힘들었다.

그러던 차에 그의 손을 잡아당긴 이는 보안소프트웨어업계에서 1,2위를 다투던 ISS와 사이버게이트 인터내셔널이 합병해 탄생한 시큐어스포트의 김홍선 사장이었다. 보안산업의 발전을 위해서 그 필요성에 공감한 그는 이소장과 의기투합, 1년에 대략 10억원이 소요되는 비용을 해커들의 놀이터 만드는 데 쾌척했다.

― 해커들이 건전하게 자랄 수 있는 공간이 필요하다는 말은 얼마든지 수긍할 수 있지만, 그 용도 만으로는 너무 비용이 많이 드는 것 아닙니까.

“궁극적으로 제가 목표로 하는 것은 이 연구소를 통해 해커를 양성하는 것입니다. 그 점에서 보자면 우리 연구소는 단순한 놀이터에서 끝나는 것이 아니라 교육장소가 되는 것이지요. 작년 한 해 동안 수많은 전산쟁이를 녹초로 만든 y2k는 컴퓨터 없이 하루도 살 수 없게 된 인류의 실상을 확인시켜 주었습니다. 이제 사이버 공간의 최대 화두는 단연 정보보안입니다. 인터넷을 기반으로 한 쇼핑이나 증권 은행 등 모든 형태의 전자상거래는 더욱 확대될 수밖에 없으니까요. 더욱이 y2k는 한시적인 대비로 충분히 예방이 가능한 문제였지만, 보안은 차원이 다릅니다. 이 일을 담당하기 위해서는 정말 많은 해커들이 필요합니다.”

컴퓨터를 통해 기계와 인간이 새로운 공생관계를 엮고 있는 이 즈음, 그에게 해커란 자신의 네트워크 지식을 범죄에 활용하는 크래커와 확실히 구분되는 ‘정보보호기술 발전의 역군’으로 정의된다. 아무리 잘 짜인 방어막이라도 새로운 침투 기술 앞에서는 금방 허물어질 수 있으며, 해커들은 끝없는 열정과 도전의식으로 새로운 보안체제에 도전함으로써 이런 허점에 대한 최상의 방어대책을 만드는 역할을 한다는 것.

“성수대교와 삼풍이 무너졌을 때 우리의 안전불감증을 질타하는 목소리가 높았지요. 하지만 눈에 보이는 건축물의 부실만이 문제는 아닙니다. 그 가공할 파괴력을 놓고 본다면 더 걱정해야 할 것은 구멍이 숭숭 뚫린 전산망 보안이에요.”

방치해둔 ‘대문 열쇠’

그는 실태의 일단을 확인시켜주겠다며 자신의 컴퓨터를 켜고 프리젠테이션 파일을 열었다. 작년 12월 말 교육용 자료를 만들기 위해 그가 직접 ‘훑어본’ 한 국가기관의 컴퓨터 내용이었다. 네트워크에 연결된 한 PC 안에는 사용자가 민원인에게 보낸 회신 공문서와 함께 교회주보, 증권거래 내역 등이 와르르 쏟아져나왔다. 요즘에는 워낙 좋은 해킹 프로그램들이 많아서 고수가 아니라도 이 정도 열람하기는 그리 어렵지 않다고 했다.

이어 연 파일에는 그가 경찰청 근무 당시 크래커들로부터 확보한 비밀번호 분석 자료가 나왔다. ‘1234’ ‘12345’ 같은 일렬로 된 숫자가 40%를 차지하는 가운데 QWER이나 ASDF처럼 자판의 순서를 그대로 쓴 경우가 대부분.

“비밀번호란 자기 집을 지키는 대문 열쇠예요. 그런데도 그 관리 상태는 이렇게 한심하기 짝이 없습니다. 여기에는 고객 정보를 보유하고 있는 기업은 물론이고, 공공기관, 대학 등 예외가 없습니다. 이런 곳에서 여럿이 공용으로 쓰는 ID는 노출되는 즉시 크래커들의 밥이 되고 마는 것이죠. 또 네트워크에 연결된 기업의 중요 컴퓨터에는 자료 유출을 막기 위해 플로피 디스크 드라이브가 없어야 하는데, 국내에서 이런 부분까지 챙기는 회사는 그다지 많지 않습니다.”

― 사정이 그렇다면 지금 당장 전자상거래는 이용하지 말아야 할까요.

“비밀번호 관리는 전적으로 본인 책임입니다. 다만 네크워크의 보안상태를 놓고 본다면 은행 같은 금융기관은 철저하게 보안 장치가 돼 있기 때문에 그다지 걱정을 하지 않아도 됩니다. 대기업들이 운영하는 쇼핑몰도 상대적으로 안전한 편에 속해요. 문제는 중소규모의 웹서버들입니다. 제가 보기에 지금 상태로라면 올해 쇼핑몰을 뚫고 남의 카드로 대금을 지불하는 식의 사건들이 속출할 겁니다.”

시스템 보안은 보험이 아닌 필수

그가 해커 양성을 부르짖는 또 다른 이유가 있다. 바로 사이버 전쟁에 대한 대비책으로서 해커가 필요하다는 것이다. 그가 해커를 일러 ‘국가 안보의 수호자’라 부르는 이유도 바로 이 때문. 오래 전부터 ‘잘 키운 해커 한 명 보병 1개 사단 부럽지 않다’며 ‘10만 해커 양성론’을 주장해온 그는 컴퓨터와 인터넷의 출발을 유심히 살펴보기를 권한다.

“허다한 과학적 진보가 전쟁을 계기로 이루어졌듯이 컴퓨터와 인터넷 역시 전쟁의 부산물입니다. 46년 탄생한 최초의 컴퓨터 에니악은 원래 대포의 탄도거리를 계산해내기 위해 개발된 기계고, 인터넷은 60년대 후반 미국이 핵전쟁에서도 불사조처럼 살아남는 지휘 통신 체계를 확립하기 위해 분산된 컴퓨터간의 통신기술로 개발된 아르파넷(ARPANET)이 모태가 됐지요. 전자상거래 보호의 원천기술 역시 무혈전쟁이라 불리는 사이버전쟁의 방어기술력과 밀접한 관계가 있습니다.”

― 객관적으로 우리의 네트워크 실력이 북한보다 한수 위 아닙니까.

“그건 위험한 자만심입니다. 북한의 해킹 실력이 우리만 못하다고 볼 아무런 근거가 없어요. 우리나라에 정보전이란 개념이 등장한 게 96년입니다. 그리고 작년에야 국방부장관이 해커부대를 만들겠다고 대통령에게 보고했지요. 이에 비해 북한은 86년 미림대학이란 정보전 관련 군사학교를 설립하고 사이버 전쟁을 수행할 해커를 양성하고 있습니다. 미국 국방부 홈페이지에 가장 많이 접근하는 주소도 추적 결과 북한인 것으로 나타났습니다. 설사 북한의 해킹 수준이 우리보다 낮다 하더라도 안심할 일이 못 돼요. 지금 유럽 크래커들의 홈페이지를 보면 자신이 뚫은 사이트의 주소를 훈장처럼 열거해놓고 있습니다. 이건 그곳을 크래킹하고 싶으면 나에게 돈을 달라는 얘기거든요. 이런 인간폭탄들을 북한에서 동원하지 않을거라고 누가 자신할 수 있습니까?”

― 공연히 겁주는 거 아닙니까.

“비단 적은 북한만이 아닙니다. 사이버전쟁은 전시·평시를 막론하고 우방국간에도 수행된다는 것이 상식입니다. 사이버 공격이 가져올 위협의 강도가 어느 정도인지는 아무도 예측할 수 없습니다. 특히 그 공격 대상이 국가라면 문제는 심각해집니다. 몇 가지 예를 들어볼까요. 97년 10월 일단의 크래커그룹은 미국 국방부 컴퓨터망에 침입해 군사위성의 시스템 소프트웨어를 훔친 뒤 이를 테러분자들에게 팔려 했습니다. 이보다 앞서 정보전이란 말을 탄생시킨 걸프전 당시에는 네덜란드의 크래커그룹이 미군병력의 이동 상황에 대한 상세정보를 미 국방부로부터 빼내 이라크에 팔려 하기도 했지요. 이런 사례는 얼마든지 있어요.”

투자하고 교육시켜라

― 실전 경험을 바탕으로 볼 때 사이버 범죄를 예방하기 위한 가장 확실한 방법은 뭘까요.

“첫째는 투자지요. 정보통신망이용촉진 등에 관한 법률을 보면 전산망 사업자는 전산망을 안전하게 관리할 의무가 있어요. 이를 위해서는 네트워크에 방화벽과 침입 탐지장치, 접근 인증장치 등 네트워크 보안과 관련된 투자가 이루어져야 합니다. 정보 선진국인 미국의 기업들은 네트워크 설계비의 10% 이상을 반드시 보안시스템에 투입합니다. 이에 비해 우리나라 대부분의 기업은 기초적인 전산 보안설비를 마련하는 것조차, 해도 그만안 해도 그만인 보험 정도로 여기고 있습니다. 이런 문제가 해결되기 위해서는 무엇보다 회사 경영자가 마인드를 바꾸어야 합니다. 일반적으로 경영자들은 전산실 시스템 관리자들이 놀고 먹는 줄 알고 잡다한 부수업무를 시키고 있거든요. 또 이들의 직급이 대리나 과장에 불과해 그 중요성을 아무리 얘기해도 위에는 잘 먹히지 않아요.”

― 투자 다음은 무엇입니까.

“훨씬 근본적인 문제인데, 바로 교육입니다. 초등학교 때부터 정보통신 윤리교육을 시작해 자연스럽게 윤리 의식이 몸에 배도록 해야 합니다. 그리고 대학에서는 학부 과정에 정보보호학과를 설치해서 공교육이 해커 지망생을 육성해야 해요. 지금 우리나라는 일부 대학원 과정에서만 이런 공부를 시키고 있을 뿐입니다.”

― 앞서 지적하신 작은 규모의 네트워크를 운영하는 회사들이 보안 시스템을 구축하기 위해서는 적지 않은 비용이 들지 않습니까. 그렇다고 구멍이 뚫린 컴퓨터들을 방치할 수도 없는 노릇이고. 현실적인 해결책이 있습니까.

“사이버 무인경비체제를 갖추는 것으로 문제는 상당 부분 해결될 수 있습니다. 요즘 현실 공간에서는 주요 시설물의 경비를 전문 용역업체에게 맡기지요? 마찬가지로 사이버공간에서도 전문가들로 이루어진 경비업체가 전산망을 맡아 관리를 하는 겁니다. 경비업체와 의뢰자의 컴퓨터를 네트워크로 연결해 크래커의 침투를 원격 모니터링하는 거지요. 이렇게 전문 용역업체가 시스템을 관리해주면 전산망은 그만큼 안전해지고 범죄도 대폭 줄어들 수 있습니다.”

― 해커스랩에서 직접 사업할 계획을 갖고 있습니까.

“예. 전산망도 보호하고, 해커를 키우기 위한 재원도 마련할 수 있는 길이라고 생각해 조만간 시작할 계획입니다.”

― 앞으로 돈 많이 버시겠네요(웃음).

“사실 이것말고도 구상중인 사업 아이템이 또 있습니다. 경찰에서의 수사 경험을 살려 사이버 탐정 업무도 시작할 생각입니다. 크래킹을 당한 회사로부터 의뢰를 받아 침입 흔적을 살피고 범인을 찾아 수사기관에 보고하는 등의 활동을 하는 거지요. 앞으로 이 일은 매력적인 직업이 될 겁니다.”

신동아 2000년 2월호