이재우 동국대 석좌교수 폭탄발언 “모든 해킹은 실정법상 범죄, 해커는 범죄자”


사본 -IMG_299113일 제5회 정보보호의 날을 맞아 진행된 기념식 겸 컨퍼런스에서 ‘정보보호의 과거, 현재, 미래’를 주제로 첫 기조연설에 나선 이재우 동국대학교 석좌교수가 “해킹은 실정법상 범죄, 해커는 범죄자이며 화이트해커, 윤리적해커도 제외될 수 없다”고 폭탄발언했다.

이날 행사는 미래창조과학부, 행정자치부, 국가정보원이 공동 주최한 정부 공식행사였다. (관련기사 : 7월 둘째주 수요일은 ‘정보보호의 날’…올해 5주년 맞아)

이 교수는 이날 사이버보안의 과거와 현재를 지나 미래를 위해 지향해야 할 8가지 과제를 제시했다. 우리나라가 사이버보안 강국이 되기 위해서는 ▲침투방어 훈련의 격상 ▲사이버사회 기강 정립(용어 및 개념 통일) ▲보안산업의 국제화 ▲사이버 외교 안보 강화 ▲사이버 정보전 강화 ▲시큐리티 원칙에 충실한 보안 ▲신기술 능동 보안 ▲보안 거버넌스 확립이 필요하다고 강조했다.

이 가운데 사이버사회 기강 정립을 위해 필요한 부분으로 이 교수는 “컴퓨터 범죄 용어와 개념이 통일돼야 한다”고 지적하고 “해킹은 실정법상 범죄”라고 말했다.

정보통신망 이용 촉진 및 정보보호 등에 관한 법률(정보통신망법)과 정보통신기반보호법에 ‘해킹’ 행위는 징역과 벌금을 물어야 하는 범죄로 규정돼 있다는 점을 근거로 들었다.

이 교수는 “행위 자체가 범죄면 해커는 범죄자”라며 “화이트해커는 범죄가 아니고 윤리적 해커는 봐줄 수 있는 범주가 아니다. ‘초록은 동색’과 같다. 법에 좋은 해커와 나쁜 해커가 구분돼 있지 않은만큼 사회적으로 해킹은 범죄라는 범국민적 공감대가 형성돼야 한다”고 지적했다.

‘해킹’이란 용어는 통상적으로 사용되지만 보안전문가들 사이에서는 악의적인 행위를 하는 해커는 ‘크래커’, 이같은 악의적인 사이버침해를 방어하기 위한 목적으로 특정 시스템의 취약점을 합법적으로 찾고 공격기법을 연구하는 사람들을 ‘해커’로 분류한다. 이를 보다 명확히 차별화하기 위해 ‘화이트해커’ 또는 ‘화이트햇해커’, ‘윤리적해커’라고 표현하기도 한다. 악의적 해커는 ‘블랙해커’, ‘블랙햇해커’라고 부르고 있기도 하다.

우리 정부 역시 사이버보안 인력 양성 프로그램으로 ‘화이트해커’ 양성에 힘을 기울이고 있다. 미래창조과학부의 사이버보안 인력 육성 정책으로 한국정보기술연구원이 운영하는 차세대 보안리더 양성 프로그램인 ‘BoB(best of the best)’가 대표적이다.

차세대 보안인력으로 많은 해킹 커뮤니티와 국내외 해킹대회에 참여하거나 수상자들을 독려·지원하고 있기도 하다.

하지만 이 교수는 이처럼 해커를 사이버범죄자를 의미하는 ‘블랙(햇)해커’와 ‘화이트(햇)해커’, 윤리적해커로 구분하는 이유를 “정부나 공공기관이 아닌 해커가, 해커 커뮤니티에서 자신들의 방어수단으로 만든 것”이라고 했다. 또 이전에 화이트해커가 범죄를 저질렀던 사례를 들면서 “블랙해커와 화이트해커는 언제든 바뀔 수 있다”고 경고했다.

그는 “빈번하게 해킹 사고가 나서 큰 피해를 입고 있다는데 서점에는 다양한 해킹 서적이 공공연하게 팔리고 있고 많은 웹사이트에서 해킹 툴을 너무나 쉽게 다운로드할 수 있다”며 “이는 모순된 현실”이라고 언급하기도 했다.

아울러 한 ‘해커 자격증’을 지목하며 “EC 카운실(Council)에서 만든 이 자격증은 국제 윤리적 자격증으로 알려져 있지만 사실은 말레이시아 전자상거래 회사에서 만든 사설 자격증이다. 이를 국제 자격증으로 선전해 많은 사람들이 자격증을 따고 있다”고 비판했다.

이에 앞서 이 교수는 우리나라 해킹방어대회 방식도 바뀌어야 한다는 점도 강조했다. “해킹방어대회라면 해킹을 잘 방어하는 사람이 수상해야 하는데, 가장 먼저 뚫고 들어온 해커에게 상을 주는 방식”이라며 공격과 방어를 모두 수행하면서 실시간 현황과 점수가 공개되는 방식의 침투테스트인 미국의 넷워(Net Wars), 유럽의 락트쉴드(Locked Shields)를 소개했다. 이 교수는 “우리도 침투방어훈련으로 격상시키고 미국이 범국가적으로 수행하다 전세계 침투교육으로 확산한 ‘사이버스톰’에도 참여해야 한다”고 덧붙였다.

160411-KISA-보도사진1대한민국_정보보호_20주년_기념행사_개최이 교수는 1996년 우리나라 최초의 정보보호 전담기관인 ‘한국정보보호센터’와 센터에서 격상한 ‘한국정보보호진흥원’ 초대원장을 역임한 우리나라 정보보호 분야 선구자다. 동국대 석좌교수로 현재까지 정보보호 분야에서 국내외에서도 많은 활동을 이어가고 있다.

보안 분야에서는 중량감이 큰 전문가로, 정부 공식 행사에서 정부의 정책과도 일부 배치되는 발언을 한 이날 이 교수의 기조연설은 보안 분야에서 논란을 불러올 소지가 다분하다. 한 개인의 소신으로 치부하기에는 무게감도 크다.

이 기조연설 내용에 대한 입장을 정부와 한국인터넷진흥원(KISA) 관계자들에게 물어봤으나 특정한 입장을 표명하지 않았다.

이 교수의 발언은 지나치다 싶을 정도로 강경했지만 보안업계와 일부 전문가들 사이에서는 최근 방어기술보다는 해킹이나 해커들이 너무 부각돼 ‘영웅’처럼 인식된다는 점에서 문제점이 존재하고, 정부의 인력양성 정책도 쏠림현상이 있다는 지적이 나오고 있는 것도 사실이다.

정부와 관련업계 전문가들 사이에서 균형점을 찾을 수 있는 논의가 필요하다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

2 댓글

  1. 심각하네요. 정말 초록은 동색이라고 생각한다면 해커가 다 범죄자라고 한다면 우리 보안은 갈길을 잃을 겁니다.
    총기를 사용하는 사람를 다 범죄자라고 하는 것과 무슨 차이가 있나요.
    군대가 막는 무기가 있고 공격하는 무기가 따로있나요? 이미 전쟁중인 사이버 공간에서 얼라인스로 파트너로 동료로 함께할 사람들을 범죄자로 규정하다니요.
    우리나라 보안 업체에서 실제 해킹 기술을 통해서 보안 제품를 만드는 기업이 얼마나 있을가요.
    실망입니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다