이재우 동국대 석좌교수(국제정보보호대학원)가 13일 ‘제5회 정보보호의 날’ 컨퍼런스에서 ‘정보보호의 과거, 현재, 미래’를 주제로 첫 번째 기조강연을 했다.
이 교수는 1996년 한국인터넷진흥원의 전신인 한국정보보호센터의 초대원장을 역임했다. 한국 정보보호 20년 역사의 산 증인으로 불리는 그는 “해커란 용어에 대한 명확한 개념정립이 필요한 시점”이라며 “모든 해킹은 실정법상 범죄며 해커는 범죄자”라고 강조했다
이 교수는 또 해킹방어대회 방식도 바뀌어야 한다고 말했다.
그는 “해킹방어대회라면 해킹을 잘 방어하는 사람이 수상해야 하는데, 가장 먼저 뚫고 들어온 해커에게 상을 주는 방식”이라며 문제점을 지적하고, 공격과 방어를 모두 수행하면서 실시간 현황과 점수가 공개되는 방식의 침투테스트인 미국의 넷워(Net Wars), 유럽의 락트쉴드(Locked Shields)를 소개했다.
이 교수는 “우리도 침투방어 훈련으로 격상시키고 미국이 범국가적으로 수행하다 전세계 침투교육으로 확산한 ‘사이버스톰’에도 참여해야 한다”고 덧붙였다. 그러면서 “미국은 침투 테스트를 매 2년마다 하다가 2012년부터는 공격팀과 방어팀으로 나누어 매년 개최한다”며 “한국도 이러한 침투테스트 확대가 필요하며 훈련 결과는 침투와 방어 등 종합적인 부분을 평가해야 한다”고 지적했다.
이 교수는 또 “사이버 보안은 과거와 현재보다 미래의 발전이 더 중요하다”고 했다. 향후 우리가 지향해 나가야 할 보안 목표로 ‘침투방어 훈련의 격상’ ‘사이버 사회의 기강 확립’ ‘보안산업의 국제화’ ‘사이버 외교안보의 강화’ ‘사이버 정보전의 강화’ 등을 제시했다.
사이버사회의 기강 확립을 위한 컴퓨터 범죄용어와 개념 통일의 필요성도 언급했다. 이 교수는 “해커들의 커뮤니티에서 화이트해커와 블랙해커를 구분해 화이트해커는 범죄가 아니고 윤리적 해커는 봐 줄 수 있는 논리가 아니다”며 “법에 좋은 해커와 나쁜 해커가 구분돼 있지 않은 만큼 사회적으로 해킹은 범죄라는 범국민적 공감대가 형성돼야 한다”고 말했다.
정보통신망법과 정보통신기반보호법에 ‘해킹’ 행위는범죄로 규정돼 있다는 점이 근거다.
이는 정부가 진행중인 ‘화이트해커’ 프로그램의 문제점을 지적한 것으로 풀이된다. 현재 한국정보기술연구원은 차세대 보안리더 양성 프로그램인 ‘BoB(best of the best)’을 운영하면서 차세대 보안인력으로 많은 해킹 커뮤니티와 국내외 해킹대회에 참여하고 있다.
이 교수는 그러나 사이버 범죄자를 의미하는 ‘블랙(햇)해커’와 ‘화이트(햇)해커’, 윤리적 해커로 구분하는 이유에 대해 “정부나 공공기관이 아닌 해커가, 해커 커뮤니티에서 자신들의 방어수단으로 만든 것”이라고 말했다. 그는 “블랙해커와 화이트해커는 언제든 바뀔 수 있다”고 지적했다.
그는 “빈번하게 해킹 사고가 나서 큰 피해를 입고 있다는데 서점에는 다양한 해킹 서적이 공공연하게 팔리고 있고 많은 웹사이트에서 해킹 툴을 너무나 쉽게 다운로드할 수 있다”며 “이는 모순된 현실”이라고 말했다.
이 교수는 ““EC 카운실(Council)에서 만든 해커 자격증은 국제 윤리적 자격증으로 알려져 있지만 사실은 말레이시아 전자상거래 회사에서 만든 사설 자격증”이라며 “이를 국제 자격증으로 선전해 많은 사람들이 자격증을 따고 있다”고 비판했다.
이 교수는 특히 “보안산업의 국제화를 위해서는 고유한 핵심기술을 개발해서 벤치마킹하고 싶은 선망 대상 국가가 돼야 하고, 사이버 외교 안보강화를 위해서는 안보 분야의 국제 공조 강화와 함께 사이버 범죄 대응 및 보안시장에서의 협력이 절실히 필요하다”고 강연했다.
