화이트 해커와 사이버 탐정에 대한 고찰
화이트 해커와 사이버 탐정에 대한 고찰
  • 구태언 변호사(taeeon.koo@teknlaw.com)
  • 승인 2020.03.02 10:44
  • 댓글 0
이 기사를 공유합니다

구태언 변호사 / 법무법인 린 태크앤로
구태언 변호사 / 법무법인 린 태크앤로

 

몇년전 미국 펜타곤(Pentagon)의 보안 시스템이 해킹되는 사건이 발생했다. 펜타곤은 전 세계 군사 전략을 총괄하는 미국 국방부의 별칭으로 보안이 엄격하기로 유명하다. 하지만 그것은 착각이었다. 펜타곤이 직접 해커들을 불러 모아 진행한 ‘해킹 더 펜타곤(Hack the Pentagon)’ 대회에선 1410명의 해커들이 무려 1189건에 달하는 취약점을 찾아냈다. 놀라운 건 대회를 시작한 지 13분 만에 첫 번째 취약점이 발견됐다는 것이다. 심사 결과 총 138건이 유효하고 새로운 취약점으로 인정됐는데, 그중 6건은 18세 어린 해커가 찾아낸 것이다. 전 세계에서 가장 강고하다는 펜타곤도 보안에 구멍이 뚫려 있음이 확인된 순간이었다. 

보안 약점 찾아내는 착한 침입자, 화이트 해커   

날로 진화하는 해커들에 맞설 대안으로 ‘화이트 해커’가 주목받고 있다. 화이트 해커(white hacker)란 기업이나 기관의 보안 시스템에서 취약점을 찾아내 블랙 해커의 공격을 예방하는 역할을 하는 착한 해커를 말한다. 권한 없이 타인의 보안 시스템에 침입하는 것은 동일하지만, 블랙 해커가 돈을 목적으로 보안 시스템을 파괴한다면 화이트 해커는 호기심 또는 공익적 목적으로 보안 구멍을 찾아낸다. 화이트 해커가 주목받는 이유는 전문가들도 놓치고 있는 보안 취약점을 찾아내는 능력이 탁월하기 때문이다. 실제로 내로라하는 첨단기술을 보유한 기업들은 너나없이 버그 바운티(Bug Bounty)’ 제도를 운영하고 있다. 

버그 바운티는 보안 취약점 신고에 대한 포상제도로, 기업의 네트워크를 해킹해 취약점을 찾아내면 상금을 주는 제도다. 구글, 애플, 마이크로소프트, 페이스북 등 글로벌 ICT 기업들이 대표적이다. 이들 기업은 자사 보안망을 뚫고 들어온 화이트 해커들에게 매년 수백만 달러의 상금을 지급하고 있다. 국내에서도 삼성전자와 네이버, 카카오, 네오위즈, 한글과컴퓨터 등 5개 기업이 버그 바운티 제도를 실시하고 있다. 

최근에는 화이트 해커를 전문적으로 양성해야 한다는 목소리에 힘이 실리고 있다. 기발한 방식으로 사이버 공격을 감행하는 해커에 대적할 만한 상대는 그에 필적할 만한 해킹 기술을 가진 화이트 해커뿐이라는 인식이 확산되고 있다. 우리나라 화이트 해커들의 실력은 이미 세계적인 수준이다.

일례로 2017년 12월 열린 국제해킹대회에서 한국 연합팀(Cykorkinesis)이 우승을 차지했다. 미국 데프콘(DEFCON)과 일본 세콘(SECCON)에 이어 세계 3대 국제해킹대회로 꼽히는 대만 히트콘(HITCON)에서다. 게다가 3년 연속 우승이다. 우리나라 화이트 해커들은 세계 3대 국제해킹대회 우승자 명단에 지속적으로 이름을 올리고 있다. 

2018년 4월 과학기술정보통신부가 주최한 국제해킹방어대회 ‘코드게이트 2018’에서도 한국팀이 우승을 거머쥐었다. 5년 만에 되찾은 우승이다. 올해로 11회째를 맞은 코드게이트 대회는 전 세계 화이트 해커들이 모여 컴퓨터 시스템 내부에 있는 취약점을 발견하고 보완하는 기량을 겨루는 행사다. 올해엔 70개국 4500명이 참가했다. 초중고교 학생들이 참여할 수 있는 세계 유일의 대회이기도 하다. 선린인터넷고 학생이 주니어부 우승을 차지했다.  

하지만 국내에서 화이트 해커로 활동하기엔 법적 제약이 너무 크다. 현행 정보통신망법 제48조 제1항은 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다’고 정하고 있다. 진입 목적에 관계없이 권한 없이 타인의 정보통신망에 들어가려는 시도 자체만으로 처벌할 정도로 강력한 규정이다. 

이로 인해 악성코드를 분석하고 대비하려는 화이트 해커조차 타인의 정보통신망을 침해하면 정보통신망법으로 처벌받고 있다. 해커의 공격 경로를 이미 파악한 상태에서도 처벌이 두려워서 선뜻 밝히지 못하는 경우까지 생겨나고 있다. 반면 악의의 해커들은 법도 무시하고 마음껏 통신망을 돌아다니는 아이러니한 상황이 이어지고 있다.  

사이버 보안이 곧 수익모델, 사이버 탐정  

화이트 해커의 본격적인 활동을 위해서는 정보통신망법 개정이 필수적이다. 하지만 현재까지 개정 논의가 진행된 적도 없고, 설사 논의가 진행된다 해도 공식적인 해킹 허용을 정부가 승인하기는 어려울 것이다. 그래서 대안으로 생각해볼 만한 것이 바로 사이버 탐정’이다. 화이트 해커가 자발적으로 선의에 의해 활동하는 프리랜서라면, 사이버 탐정은 정식 직업으로서 사이버 영역에서 비즈니스를 하는 사립 보안 전문가라고 할 수 있다. 우리나라에선 탐정이란 직업이 낯설지만 OECD 35개국 중에서 우리나라만 빼고 나머지 34개국 모두가 사설탐정제를 운영하고 있다. 

미국은 1850년 탐정제도를 도입해 무려 168년의 역사를 자랑한다. 일본은 2006년에 탐정업무의 적정화에 관한 법률’을 제정하고 사설탐정제도를 정식 도입했다. 2016년 경찰청 자료에 따르면 미국에서 활동 중인 사설탐정은 6만여 명에 이른다. 셜록 홈즈의 나라인 영국에는 1만7천여 명의 사립 탐정이 활동하고 있고, 독일에서는 2만2천여 명의 탐정이 활동 중이다. 

우리나라도 1999년부터 ‘민간조사업’이라는 명칭으로 꾸준히 사립탐정제도 도입을 위한 논의가 이어져 왔다. 2005년 17대 국회부터 9명의 국회의원이 총 11건의 탐정법을 발의했다. 하지만 법률체계의 미비’와 ‘사생활 침해 우려’ 등을 이유로 매번 좌절됐다. 

하지만 이제는 법 제정 논의를 좀 더 적극적으로 진행할 필요가 있다. 예상을 뛰어넘는 사이버 공격에 효과적으로 대응하기 위해서는 화이트 해커 등 민간 영역의 보안 전문가를 수면 위로 끌어올려야 한다. 기존 화이트 해커는 법 규제에 가로 막혀 운신의 폭이 좁지만, 사설탐정제도를 도입하면 정식으로 조사 권한을 부여받은 사이버 탐정이 합법적으로 네트워크에 들어가 보안 취약점을 찾아내거나 사이버 공격에 대응할 수 있게 된다. 사이버 범죄 수사 전 단계에서 사이버 탐정들에게 사이버 공격에 대한 모니터링이나 정보 수집 활동을 허용한다면 턱없이 부족한 보안 역량을 효과적으로 보완할 수 있을 것이다. 

탐정제도 도입은 일자리 창출에도 긍정적이다. 대한공인탐정연구협회에 따르면 우리나라에 사설탐정제도가 도입될 경우 약 1만5000여 개의 일자리가 창출되고 약 1조2000억 원 규모의 경제 유발 효과가 예상된다고 한다. 

사이버 보안은 정부 규제나 보안 업체의 의지만으로는 결코 성공을 거두기 어렵다. 보다 고도화된 민간 부문의 보안 역량을 적극적으로 수용하고 활성화해야 한다. 제도적 보완을 통해 수면 아래 가라앉은 민간의 우수한 보안 인력들을 뭍으로 끌어내고, 차세대 보안 전문가들을 적극적으로 양성할 때 비로소 사이버 보안 인프라가 제 힘을 발휘할 수 있게 될 것이다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • ABOUT
  • CONTACT US
  • SIGN UP MEMBERSHIP
  • RSS
  • 2-D 678, National Assembly-daero, 36-gil, Yeongdeungpo-gu, Seoul, Korea (Postal code: 07257)
  • URL: www.koreaittimes.com | Editorial Div: 82-2-578- 0434 / 82-10-2442-9446 | North America Dept: 070-7008-0005 | Email: info@koreaittimes.com
  • Publisher and Editor in Chief: Monica Younsoo Chung | Chief Editorial Writer: Hyoung Joong Kim | Editor: Yeon Jin Jung
  • Juvenile Protection Manager: Choul Woong Yeon
  • Masthead: Korea IT Times. Copyright(C) Korea IT Times, All rights reserved.
ND소프트