- 《“성수대교와 삼풍이 무너졌을 때 우리의 안전불감증을 질타하는 목소리가 높았지요. 하지만 눈에 보이는 건축물의 부실만이 문제는 아닙니다. 그 가공할 파괴력을 놓고 본다면 더 걱정해야 할 것은 구멍이 숭숭 뚫린 전산망 보안이에요.”》
무슨 수를 써서든 방에 몰려든 이 호기심 많은 젊은이들은 컴퓨터를 이용해 당시로선 기상천외한 프로그램을 만들어냈다. 하지만 이들에게 그 프로그램이 무엇이고, 용도가 무엇인지는 중요하지 않았다. 그들을 열광시킨 것은 기계에 대한 접근과 자신들의 작업 그 자체였던 것. 그들에겐 모든 형태의 ‘닫힌 문’이 모욕으로 간주됐다. 그래서 그들은 세상사의 진행원리를 발견하고 개선하기 위해서는 누구든 이 문을 열어야 한다고 믿었다.
이들은 자신들을 일러 해커라 불렀다. 이는 당시 MIT에서 ‘순수한 즐거움 이외에는 어떠한 건설적인 목표도 갖지 않는 프로젝트나 그에 따른 결과물’을 뜻하는 은어 해크(HACK)에 사람을 뜻하는 ER를 붙인 말이다.
자신들의 활동을 통해 정보의 완전한 개방과 공유라는 불문율의 전통을 세운 이들은 드디어 다음과 같은, 해커 윤리강령을 선언하기에 이른다.
1. 컴퓨터에 대한 접근은 그 어느 누구에게도 방해받아서는 안 된다.
2. 모든 정보는 개방돼야 하고 공유해야 한다.
3. 권력에 대한 불신, 분권화를 촉진하라.
4. 해커들은 그들 자신의 해킹에 의해서만 심판받아야 하며, 연령 지위 재산 같은 사이비적 판단 기준에 의거해서는 결코 안 된다.
5. 컴퓨터를 통해 예술과 아름다움을 창조할 수 있다.
6. 컴퓨터는 모든 생활을 더 나은 방향으로 변화시켜줄 수 있다.
해커들의 놀이터를 지키는 사람
다소 장황하게 해커의 연원을 늘어놓은 이유는 해커를 지극히 사랑하는 한 흥미로운 인물을 만나기 위해서다. 시스템 보안 소프트웨어업체인 시큐어소프트의 이정남 소장(45). 그는 ‘정보보호기술 발전의 역군’인 해커와 ‘골치 아픈 범죄자’ 크래커를 구별하지 않는 세태를 어떻게든 바로잡아야겠다고 벼르고 있다. “뭐라 부르든 그게 무슨 대수냐”는 사람도 있지만, 해커를 바라보는 사회의 부정적 인식은 바로 잘못된 호칭에서부터 출발한다는 것이 그의 생각이다. ‘아름다운 세상’을 만들기 위해서는 저 MIT의 초창기 해커보다 더 열정적인 해커가 필요하다는 것.
작년 6월 해커에 대한 애정을 더욱 구체화하기 위해 20년 동안 몸담았던 경찰관 생활을 청산하고 인생항로를 바꾼 그는 요즘 이 회사에서 운영하는 해킹 연구소 ‘해커스랩(www.hackerslab.org)’의 소장을 맡아 해커를 양성하고 있다.
공직에서 시스템 보안회사의 임원으로. 언뜻 맥이 닿지 않아 보이는 이 변신은 그의 경찰 이력을 살펴보는 순간 곧 이해된다. 군 제대 후인 79년 경찰 입문 이래 꼬박 20년을 채우고 이 회사에 합류하기까지, 그의 모든 활동은 ‘컴퓨터’와 ‘통신’ 두 단어에 모아진다.
서부경찰서 경비과에서 출발, 84년에는 서울 경찰청 112 지령실로 자리를 옮겨 C3 지령 준비작업에 참여하며 IBM 대형 기종을 익혔다. 이어 86년에는 통신에 대한 지식과 영어실력을 인정받아 인터폴 한국지부에 근무하면서 수많은 국내외 컴퓨터 범죄를 수사, 이름을 날렸다.
97년 8월 인터폴에서 운영하던 크래커수사대와 형사국에서 운영하던 지능사범 수사반을 통합한 컴퓨터 범죄수사대가 경찰청에 창설됐을 때, 산파역을 맡았던 이가 실무 반장인 바로 그였다. 경찰 재직시절부터 네트워크 업계에 그 이름이 알려져 있던 그의 별명은 ‘크래커 잡는 형사 가제트.’ 만화영화 주인공인 형사 가제트는 그의 ID이기도 하다.
― 해커형사로 활동하시던 분이 맡은 연구소 이름에 해커가 들어가 있군요. 연구소 소개 좀 해주시죠.
“쉽게 말해 해커들이 마음껏 활동할 수 있는 놀이터예요. 다양한 단계의 해킹 문제를 제시해놓고 해커나 해커지망생들이 재주껏 연습을 하도록 하지요. 다른 데 가서 나쁜 일 하다 ‘어둠의 자식’ 되지 말고 이곳에서 놀라는 의미입니다.”
― 이런 사이트가 아니더라도 사이버스페이스에 놀이터는 얼마든지 있지 않습니까.
“그건 해커가 아닌 경우의 이야기죠. 일반적으로 강호의 고수들은 무엇보다 시스템 자체를 주무르는 데 관심이 쏠려 있습니다. 여기서 까딱 잘못했다가는 한순간에 전과자가 되는 거지요. 젊은이들에게는 분출하는 에너지를 발산할 곳이 필요합니다. 현실 공간에서는 체육관이 그런 역할을 하듯이 가상공간에서도 지적 탐구욕이 왕성한 젊은이들에게 자유로운 연구와 기술연마의 무대가 필요하거든요.”
― 일반적으로 해커들은 자신을 노출시키지 않는 것으로 알고 있습니다. 해커들이 실제로 이 사이트에 많이 방문하나요?
“익명성이 보장되고 관심이 있으니까 많이들 오죠. 작년 7월 운영을 시작한 이래 12월 말까지 대략 2만7000여명의 회원이 모였습니다. 물론 이들이 모두 해커는 아니고, 제 짐작으로 국내에는 500명 정도의 최고수 해커가 있는 것으로 짐작돼요. 우리 회원 가운데는 최고 등급인 14레벨에 10여명, 그 바로 아래인 13레벨에 200여명이 올라 있는데, 이 정도 수준이면 고수 대접을 받을 수 있을 겁니다. 그러니까 아직 절반 정도는 노출이 안 된 상태라고 할 수 있겠죠. 그동안 사이트를 마비시키려는 악의적인 공격도 꽤 있었습니다만, 아직 한번도 당한 적은 없습니다. 저와 함께 있는 직원이 6명인데, 모두 최고수준의 고수거든요.”
― 작년 말에는 해킹 대회를 열었다지요.
“11월2일부터 5일간 500만원짜리 노트북을 상품으로 내놓고 해커 왕중왕 서바이벌 게임대회를 가졌습니다. 보안장치를 해놓은 우리 서버를 해킹해 자신의 홈페이지를 올려놓고 이를 방어하는 대회였지요. 10대 초반부터 40대까지 469명이 참가했는데, 참 흥미진진했습니다. 홈페이지를 관리하는 특정서버에 사용자번호와 비밀번호를 입력하지 않고도 들어갈 수 있는 접근권을 노바디(nobody)라고 하고, 서버 관리자의 접근권을 루트(root)라고 하는데, 경기 도중 노바디는 3012번, 루트는 20번이 바뀌었습니다.”
― 우승자는 누구였나요.
“그건 비밀입니다. MAT라는 ID를 사용한 26살의 건실한 청년이라고만 하지요. 시상식이 있던 날 노트북을 받은 뒤 금방 사라졌습니다.”
인터폴에서 컴퓨터 범죄 수사 시작
그와 해킹 이야기를 나누다 보니 어려운 전산용어가 마구 튀어나오기 시작했다. 도대체 경찰 생활하면서 언제 이렇게 네트워크 실력을 쌓았나 싶다. 취재 전 받아본 그의 경력 소개서에 따르면 그는 전북 진안에서 태어나 가난을 면하기 위해 가족과 함께 서울로 와 공장생활을 하며 검정고시로 고등학교 과정을 마쳤다. 83년 입학한 방송대에서는 행정학을 전공. 정식으로 전산공부를 한 적은 한번도 없다. 그렇다면 경찰에 몸담았을 때 실전을 통해 내공을 쌓았다는 얘기인데….
― 컴퓨터를 접한 것은 언제부터였습니까.
“유닉스를 쓰는 대형기종은 경찰청 지령실 있을 때 조금 공부했고 PC는 XT급 컴퓨터가 막 보급되던 86년 무렵이었습니다. 아내 모르게 350만원이란 거금을 카드로 긋고 덜컥 컴퓨터를 집에 들였지요. 당시 제가 살던 독립문 집이 1450만원이었고, 근처의 금화 시민 아파트 한 채가 400만원이던 시절이었습니다. 나중에 아내가 그걸 알고는 깜짝 놀라더군요.”
87년 만들어진 우리나라 최초의 BBS인 엠팔(EMPAL)의 초창기 멤버이기도 한 그는 장안의 날고 기는 컴퓨터 파이어니어들과 ‘접속’했다. 경찰이란 자신의 신분상 사찰활동을 하고 있다는 등의 오해를 피하기 위해 오프라인 모임에는 나가지 않은 대신 2400bps급의 모뎀을 사는 데는 50만원이란 거금을 아낌 없이 투자했다. 결과적으로 오늘날 그를 네트워크 전문가로 만든 것은 이 당시의 투자인 셈.
― 인터폴에 있으면서 컴퓨터 범죄 수사를 시작하셨다고 들었습니다.
“인터폴에 발령을 받고 일반 수사업무와 함께 맡은 일이 국제 통신 업무였어요. 그때까지만 해도 그런 인프라가 없었기 때문에 컴퓨터 범죄 같은 것은 국내에서 별로 관심을 끌지 못했지요. 그런데 인터폴이 형사국 소속에서 외사국으로 이관된 92년경부터 슬슬 외국의 컴퓨터 범죄 사례와 수사 기법 등의 연구자료가 날아오기 시작하더군요. PC통신을 아는 사람이 별로 없어 이 자료를 제가 정리했는데, 우리도 곧 문제가 심상치 않아질 것이라는 예감이 들었습니다.”
― 당시라면 컴퓨터가 우리 사회에 본격적으로 보급되던 시절 아닌가요.
“맞습니다. 286이니 386이니 하는 말이 대화에 등장하고 윈도 3.1 사용법에 매달리던 무렵이지요. 그런데 94년 6월, 몇몇 대학과 연구기관에만 제한적으로 제공되던 인터넷이 한국통신 코넷의 상용화로 개방되면서 사정이 확 달라졌어요. 관심이 인터넷으로 쏠리게 된 거죠. 이후부터는 제 예측대로 크고 작은 크래킹 사건이 연속으로 터지기 시작했습니다. 일일이 보도가 안 됐다 뿐이지, 참 사건 많았어요.”
이 당시 경찰청이 처리한 사건 가운데 특히 국내 크래커의 소행으로 의심받던 유럽암연구센터 크래킹 사건(94년 11월), 프랑스 남파리대 크래킹 사건(95년 8월) 등은 그가 없었다면 큰 낭패를 볼 뻔한 국제적 사건이다. 그는 수년간 인터넷 정보를 정리해둔 축적자료를 바탕으로 우리나라가 경유지로 이용됐음을 밝혀내고 이를 인터폴에 통보, 범인을 잡는 데 큰 도움을 줬다. 이 사건들로 인해 그는 경찰 내에서 독보적인 크래킹 전문 수사관으로 자리를 굳혔다.
― 국내에서 크래킹 사건을 다루는 공권력으로는 경찰청 컴퓨터범죄수사대말고도 대검 중수부의 컴퓨터범죄 전담수사반이 있지 않습니까. 두 기관의 전력을 비교해보면 어떨까요.
“저는 경찰 쪽의 수사능력이 훨씬 높은 수준이라고 봐요. 이건 제가 경찰 출신이라서 하는 얘기가 아니라 제3자들이 인정하는 부분입니다. 지금까지 사건 해결 사례를 보면 99%가 경찰 작품이에요. 그래서 경찰 내에서는 ‘우리가 유일하게 검찰을 누르는 건 컴퓨터 수사 분야’라고들 합니다.”
― 경찰의 수사력이 더 센 특별한 이유가 있습니까.
“무엇보다 경찰은 인지사건을 주로 다루는 데 비해 검찰은 신고 사건에 주력하고 있기 때문 아닐까 싶어요. 대개의 기술자들은 자신의 컴퓨터가 뚫렸다는 것을 최대의 치욕으로 여기기 때문에 강간사건의 경우처럼 신고율이 극히 낮아요. 미국 RAND연구소에서 나온 94년 자료를 보면 피해를 본 전산망 관리자가 신고해 오는 비율은 0.2% 정도에 불과합니다. 그렇다면 신고를 기다릴 게 아니라 범죄를 찾아다녀야지요. 우리는 사설 BBS나 PC통신 등을 뒤져 쉼 없이 정보를 수집하고 관찰하면서 크래킹 현장을 찾아다녔습니다.”
경찰청 컴퓨터수사대 내에도 그가 발군의 실적을 올릴 수 있었던 데는 해박한 실력도 실력이지만 그의 사람 다루는 솜씨도 한몫했다. 신고자가 자존심을 다치지 않도록 신원을 보호해줌으로써 전산망관리자를 내편으로 끌어들였고, 또 체포된 범인들과는 취직알선 등 지속적 관계를 유지했던 것.
누구보다 전산망 돌아가는 사정을 잘 아는 이들이 우범지역의 동향을 그에게 전해주는 ‘망원’이 되기를 자청했다. 이와 함께 아버지의 영향으로 일찍부터 컴퓨터를 접한 두 아들이 사설BBS 등을 돌아다니며 동태를 관찰하는 등 충실한 보조 수사관 역할을 해준 것도 그에겐 큰 도움이 됐다.
“크래킹 수사를 하기 위해서는 수사관도 크래커 못지않은 지식과 기술을 쌓아야 합니다. 미국의 경우 보직에 임명되면 적어도 5년은 근무해야 한다고 하더군요. 그만큼 이 일에 전문성이 요구된다는 의미죠. 그런데 국내에서는 일도 힘들고 아이들 상대하는 게 재미 없다고 길어야 1~2년을 채우면 도망가듯 빠져갑니다. 이 점에서 상대적으로 경찰이 검찰보다는 사정이 나았던 거죠.”
― 업무 성격상 컴퓨터 지식이 꼭 필요하다면 전문가를 수사관으로 특채하는 것도 수사력 보강 방법이 될 수 있지 않을까요. 더구다나 앞으로 컴퓨터 범죄는 더욱 늘어날 텐데요.
“그건 그렇지 않습니다. 그런 식이라면 경제사건은 경제학자들이 맡아야 할까요. 컴퓨터 전문가가 수사관의 활동에 도움을 주는 것은 사실이지만, 그렇다고 비수사 인력에게 수사 전체를 맡길 수는 없어요. 크래킹 사건을 수사하려면 수사관 마인드가 있어야지 엔지니어 마인드로는 힘듭니다. 이 점에서 한 우물을 파는 장인정신과 끈질긴 집념을 가진 수사관이 클 수 있도록 배려하는 인사정책이 필요한 거지요.”
― 경찰 시절 다룬 국내 사건 가운데 특히 기억에 남는 크래커가 있다면 소개해주시죠.
“모두 기억나지요. 지금도 그렇지만 컴퓨터 크래킹 사건은 대개 신문 사회면 톱기사잖아요. 그래도 굳이 하나를 꼽는다면, 96년 3·1절을 앞두고 일어난 일본 외무성 홈페이지 크래킹 사건이 잊히지 않습니다. 독도는 우리땅이란 글을 올려 놓으려 했다고 해서 이 계통에서는 ‘독도는 우리땅 사건’이라고도 하지요. 이 일이 일어난 당시는 일본 장관들의 망언이 계속 나오는 통에 대일 감정이 극도로 안 좋을 때였어요. 이때에 한 PC통신의 고급 사용자 모임에 ‘우리가 외무성을 박살내버리자’는 글들이 올라오자 당시 21살 먹은 한 친구가 자신의 실력도 테스트할 겸 NTT 전산망에 연결된 일본 외무성 홈페이지를 뚫은 거예요. 홈페이지를 변조하지는 않았지만, 정부로서는 대단히 곤란한 일이 벌어질 뻔한 거죠.”
그가 이 사건을 기억하는 데는 사건의 사안과는 상관없는 또 다른 이유가 있다. 일본 외무성 외에도 92개 국내외 대학과 연구소 전산망을 휘젓고 다니다 이 소장에게 검거된 범인 최군은 체포 당시 누가 보더라도 인터넷 중독 상태였다. 다니던 자동차정비소를 그만두고 막노동으로 돈을 벌면 대부분을 컴퓨터 업그레이드와 통신비로 사용하고 있었다. 아버지는 공사장 일용 근로자로, 누이는 공원으로 일하며 근근이 살아가는 그의 토굴 같은 집에 들어선 순간, 그는 가난했던 자신의 어린 시절이 생각났다고 한다.
“사건을 송치한 뒤 보안업체 사장을 만나 전후 사정을 설명하고 은밀히 취직을 부탁했지요. 잘 적응하지 못하다가 군대에 갔는데, 몇 번 면회도 갔다 왔습니다. 이 친구, 작년 말 제대해서 요즘은 보안업체에서 잘 지내고 있습니다.”
― 인간적 정리로 자신이 체포한 범죄자를 돕는 일은 충분히 이해할 수 있습니다만, 일반적으로 컴퓨터 범죄자에 대해 사회가 지나치게 관대한 것은 문제 아닐까요.
“96년 12월 한 대형 PC통신사가 해킹을 당한 적이 있습니다. 관리자가 ID를 제대로 간수하지 못해 일어난 사건인데, 잡아놓고 보니 중학생이에요. 그런데 이 아이도 문제였지만, 더 놀란 것은 부모의 태도였습니다. ‘우리 아들이 그렇게 컴퓨터를 잘하느냐’고 묻더니만 ‘그러면 대기업에 취직하는 것은 문제 없겠네요’ 하더군요. 94년 청와대 ID를 도용하는 사건을 일으켰던 이가 어느 대기업에 특채된 일을 염두에 두고 한 말이지요. 단언하건대 크래킹 같은 ‘기술 범죄’ 역시 분명한 범죄예요. 여기서 기술만 보고 영웅시하는 사회 분위기가 계속되는 한 이 범죄는 더욱 기승을 부릴 것이고, 수많은 학생들은 전과자가 되고 말 겁니다.”
해커와 크래커는 반드시 구별해야
이 이야기는 그가 ‘잘 나가던’ 공직을 그만두고 ‘민간인’이 된 이유를 설명해준다. 그는 ‘독도는 우리땅 사건’의 최군을 만난 무렵부터 문제의 심각성을 인식, 해커 자유지대를 만들자는 주장을 줄기차게 펴왔다.
통계적으로 크래커의 평균 연령은 10대 중반부터 20대 중반. 지적 탐구욕이 왕성한 청소년들이 전과자로 전락하는 현실을 두고 볼 수 없었던 것. 실제 많은 기업과 연구소에 그와 같은 제안을 내놓아 긍정적인 답변을 얻기도 했다. 그러나 해커를 범죄자와 동일시하는 사회 분위기가 팽배하고, 더욱이 엄청난 자금이 투입되는 비수익 사업이 쉽게 성사되기는 힘들었다.
그러던 차에 그의 손을 잡아당긴 이는 보안소프트웨어업계에서 1,2위를 다투던 ISS와 사이버게이트 인터내셔널이 합병해 탄생한 시큐어스포트의 김홍선 사장이었다. 보안산업의 발전을 위해서 그 필요성에 공감한 그는 이소장과 의기투합, 1년에 대략 10억원이 소요되는 비용을 해커들의 놀이터 만드는 데 쾌척했다.
― 해커들이 건전하게 자랄 수 있는 공간이 필요하다는 말은 얼마든지 수긍할 수 있지만, 그 용도 만으로는 너무 비용이 많이 드는 것 아닙니까.
“궁극적으로 제가 목표로 하는 것은 이 연구소를 통해 해커를 양성하는 것입니다. 그 점에서 보자면 우리 연구소는 단순한 놀이터에서 끝나는 것이 아니라 교육장소가 되는 것이지요. 작년 한 해 동안 수많은 전산쟁이를 녹초로 만든 y2k는 컴퓨터 없이 하루도 살 수 없게 된 인류의 실상을 확인시켜 주었습니다. 이제 사이버 공간의 최대 화두는 단연 정보보안입니다. 인터넷을 기반으로 한 쇼핑이나 증권 은행 등 모든 형태의 전자상거래는 더욱 확대될 수밖에 없으니까요. 더욱이 y2k는 한시적인 대비로 충분히 예방이 가능한 문제였지만, 보안은 차원이 다릅니다. 이 일을 담당하기 위해서는 정말 많은 해커들이 필요합니다.”
컴퓨터를 통해 기계와 인간이 새로운 공생관계를 엮고 있는 이 즈음, 그에게 해커란 자신의 네트워크 지식을 범죄에 활용하는 크래커와 확실히 구분되는 ‘정보보호기술 발전의 역군’으로 정의된다. 아무리 잘 짜인 방어막이라도 새로운 침투 기술 앞에서는 금방 허물어질 수 있으며, 해커들은 끝없는 열정과 도전의식으로 새로운 보안체제에 도전함으로써 이런 허점에 대한 최상의 방어대책을 만드는 역할을 한다는 것.
“성수대교와 삼풍이 무너졌을 때 우리의 안전불감증을 질타하는 목소리가 높았지요. 하지만 눈에 보이는 건축물의 부실만이 문제는 아닙니다. 그 가공할 파괴력을 놓고 본다면 더 걱정해야 할 것은 구멍이 숭숭 뚫린 전산망 보안이에요.”
방치해둔 ‘대문 열쇠’
그는 실태의 일단을 확인시켜주겠다며 자신의 컴퓨터를 켜고 프리젠테이션 파일을 열었다. 작년 12월 말 교육용 자료를 만들기 위해 그가 직접 ‘훑어본’ 한 국가기관의 컴퓨터 내용이었다. 네트워크에 연결된 한 PC 안에는 사용자가 민원인에게 보낸 회신 공문서와 함께 교회주보, 증권거래 내역 등이 와르르 쏟아져나왔다. 요즘에는 워낙 좋은 해킹 프로그램들이 많아서 고수가 아니라도 이 정도 열람하기는 그리 어렵지 않다고 했다.
이어 연 파일에는 그가 경찰청 근무 당시 크래커들로부터 확보한 비밀번호 분석 자료가 나왔다. ‘1234’ ‘12345’ 같은 일렬로 된 숫자가 40%를 차지하는 가운데 QWER이나 ASDF처럼 자판의 순서를 그대로 쓴 경우가 대부분.
“비밀번호란 자기 집을 지키는 대문 열쇠예요. 그런데도 그 관리 상태는 이렇게 한심하기 짝이 없습니다. 여기에는 고객 정보를 보유하고 있는 기업은 물론이고, 공공기관, 대학 등 예외가 없습니다. 이런 곳에서 여럿이 공용으로 쓰는 ID는 노출되는 즉시 크래커들의 밥이 되고 마는 것이죠. 또 네트워크에 연결된 기업의 중요 컴퓨터에는 자료 유출을 막기 위해 플로피 디스크 드라이브가 없어야 하는데, 국내에서 이런 부분까지 챙기는 회사는 그다지 많지 않습니다.”
― 사정이 그렇다면 지금 당장 전자상거래는 이용하지 말아야 할까요.
“비밀번호 관리는 전적으로 본인 책임입니다. 다만 네크워크의 보안상태를 놓고 본다면 은행 같은 금융기관은 철저하게 보안 장치가 돼 있기 때문에 그다지 걱정을 하지 않아도 됩니다. 대기업들이 운영하는 쇼핑몰도 상대적으로 안전한 편에 속해요. 문제는 중소규모의 웹서버들입니다. 제가 보기에 지금 상태로라면 올해 쇼핑몰을 뚫고 남의 카드로 대금을 지불하는 식의 사건들이 속출할 겁니다.”
시스템 보안은 보험이 아닌 필수
그가 해커 양성을 부르짖는 또 다른 이유가 있다. 바로 사이버 전쟁에 대한 대비책으로서 해커가 필요하다는 것이다. 그가 해커를 일러 ‘국가 안보의 수호자’라 부르는 이유도 바로 이 때문. 오래 전부터 ‘잘 키운 해커 한 명 보병 1개 사단 부럽지 않다’며 ‘10만 해커 양성론’을 주장해온 그는 컴퓨터와 인터넷의 출발을 유심히 살펴보기를 권한다.
“허다한 과학적 진보가 전쟁을 계기로 이루어졌듯이 컴퓨터와 인터넷 역시 전쟁의 부산물입니다. 46년 탄생한 최초의 컴퓨터 에니악은 원래 대포의 탄도거리를 계산해내기 위해 개발된 기계고, 인터넷은 60년대 후반 미국이 핵전쟁에서도 불사조처럼 살아남는 지휘 통신 체계를 확립하기 위해 분산된 컴퓨터간의 통신기술로 개발된 아르파넷(ARPANET)이 모태가 됐지요. 전자상거래 보호의 원천기술 역시 무혈전쟁이라 불리는 사이버전쟁의 방어기술력과 밀접한 관계가 있습니다.”
― 객관적으로 우리의 네트워크 실력이 북한보다 한수 위 아닙니까.
“그건 위험한 자만심입니다. 북한의 해킹 실력이 우리만 못하다고 볼 아무런 근거가 없어요. 우리나라에 정보전이란 개념이 등장한 게 96년입니다. 그리고 작년에야 국방부장관이 해커부대를 만들겠다고 대통령에게 보고했지요. 이에 비해 북한은 86년 미림대학이란 정보전 관련 군사학교를 설립하고 사이버 전쟁을 수행할 해커를 양성하고 있습니다. 미국 국방부 홈페이지에 가장 많이 접근하는 주소도 추적 결과 북한인 것으로 나타났습니다. 설사 북한의 해킹 수준이 우리보다 낮다 하더라도 안심할 일이 못 돼요. 지금 유럽 크래커들의 홈페이지를 보면 자신이 뚫은 사이트의 주소를 훈장처럼 열거해놓고 있습니다. 이건 그곳을 크래킹하고 싶으면 나에게 돈을 달라는 얘기거든요. 이런 인간폭탄들을 북한에서 동원하지 않을거라고 누가 자신할 수 있습니까?”
― 공연히 겁주는 거 아닙니까.
“비단 적은 북한만이 아닙니다. 사이버전쟁은 전시·평시를 막론하고 우방국간에도 수행된다는 것이 상식입니다. 사이버 공격이 가져올 위협의 강도가 어느 정도인지는 아무도 예측할 수 없습니다. 특히 그 공격 대상이 국가라면 문제는 심각해집니다. 몇 가지 예를 들어볼까요. 97년 10월 일단의 크래커그룹은 미국 국방부 컴퓨터망에 침입해 군사위성의 시스템 소프트웨어를 훔친 뒤 이를 테러분자들에게 팔려 했습니다. 이보다 앞서 정보전이란 말을 탄생시킨 걸프전 당시에는 네덜란드의 크래커그룹이 미군병력의 이동 상황에 대한 상세정보를 미 국방부로부터 빼내 이라크에 팔려 하기도 했지요. 이런 사례는 얼마든지 있어요.”
투자하고 교육시켜라
― 실전 경험을 바탕으로 볼 때 사이버 범죄를 예방하기 위한 가장 확실한 방법은 뭘까요.
“첫째는 투자지요. 정보통신망이용촉진 등에 관한 법률을 보면 전산망 사업자는 전산망을 안전하게 관리할 의무가 있어요. 이를 위해서는 네트워크에 방화벽과 침입 탐지장치, 접근 인증장치 등 네트워크 보안과 관련된 투자가 이루어져야 합니다. 정보 선진국인 미국의 기업들은 네트워크 설계비의 10% 이상을 반드시 보안시스템에 투입합니다. 이에 비해 우리나라 대부분의 기업은 기초적인 전산 보안설비를 마련하는 것조차, 해도 그만안 해도 그만인 보험 정도로 여기고 있습니다. 이런 문제가 해결되기 위해서는 무엇보다 회사 경영자가 마인드를 바꾸어야 합니다. 일반적으로 경영자들은 전산실 시스템 관리자들이 놀고 먹는 줄 알고 잡다한 부수업무를 시키고 있거든요. 또 이들의 직급이 대리나 과장에 불과해 그 중요성을 아무리 얘기해도 위에는 잘 먹히지 않아요.”
― 투자 다음은 무엇입니까.
“훨씬 근본적인 문제인데, 바로 교육입니다. 초등학교 때부터 정보통신 윤리교육을 시작해 자연스럽게 윤리 의식이 몸에 배도록 해야 합니다. 그리고 대학에서는 학부 과정에 정보보호학과를 설치해서 공교육이 해커 지망생을 육성해야 해요. 지금 우리나라는 일부 대학원 과정에서만 이런 공부를 시키고 있을 뿐입니다.”
― 앞서 지적하신 작은 규모의 네트워크를 운영하는 회사들이 보안 시스템을 구축하기 위해서는 적지 않은 비용이 들지 않습니까. 그렇다고 구멍이 뚫린 컴퓨터들을 방치할 수도 없는 노릇이고. 현실적인 해결책이 있습니까.
“사이버 무인경비체제를 갖추는 것으로 문제는 상당 부분 해결될 수 있습니다. 요즘 현실 공간에서는 주요 시설물의 경비를 전문 용역업체에게 맡기지요? 마찬가지로 사이버공간에서도 전문가들로 이루어진 경비업체가 전산망을 맡아 관리를 하는 겁니다. 경비업체와 의뢰자의 컴퓨터를 네트워크로 연결해 크래커의 침투를 원격 모니터링하는 거지요. 이렇게 전문 용역업체가 시스템을 관리해주면 전산망은 그만큼 안전해지고 범죄도 대폭 줄어들 수 있습니다.”
― 해커스랩에서 직접 사업할 계획을 갖고 있습니까.
“예. 전산망도 보호하고, 해커를 키우기 위한 재원도 마련할 수 있는 길이라고 생각해 조만간 시작할 계획입니다.”
― 앞으로 돈 많이 버시겠네요(웃음).
“사실 이것말고도 구상중인 사업 아이템이 또 있습니다. 경찰에서의 수사 경험을 살려 사이버 탐정 업무도 시작할 생각입니다. 크래킹을 당한 회사로부터 의뢰를 받아 침입 흔적을 살피고 범인을 찾아 수사기관에 보고하는 등의 활동을 하는 거지요. 앞으로 이 일은 매력적인 직업이 될 겁니다.”