보안취약점 알려준 ‘해커’에게 고마워하는 보안문화 형성되길

최근 시만텍과 엔프로텍트 사이트를 해킹했다고 주장하며 자신의 블로그에 그러한 내용의 게시글을 올린 루마니아인 우누(Unu)는 ‘해커’일까, ‘크래커’일까?

이를 두고 각 언론들은 루마니아 ‘해커’ 우누라고 지칭했다. 거기에 우누가 밝힌 바와 같이 “보안업체들이 정작 자신들의 취약점은 간과하고 있고 DB관리도 엉망이다. 그래서야 보안업체로써 명분이 서는가. 조심하라”는 경고 메시지를 지속적으로 언급하고 있다.

본인 역시 이와 관련한 기사를 쓰면서 ‘루마니아 해커 우누’라는 표현을 썼던 것이 사실이다. 하지만 시간이 경과하고 이로 인한 파급을 지켜보며, 너무 쉽게 ‘해커’라는 표현을 사용한 것은 아닌가 하는 생각을 해 본다.

이와 관련해 경찰청 한 관계자는 “이는 엄연한 범죄행위”라며 “아무리 자신이 보안의식을 촉구하기 위해 피해를 주지 않는 선에서 해킹을 한 해커라고 항변하더라도 기업의 명예실추 및 그로 인한 파급은 분명 피해를 야기했을 뿐만 아니라 해킹한 목적이 물론 보안의식 촉구 측면도 있겠지만 그보다는 자기 과시를 위한 것이 더 커 보인다”고 말했다.

즉 현관문이 열려 있는 집을, 지나던 행인이 열려 있는 현관문을 통해 집안으로 들어선다면 이는 엄연한 범죄행위가 되는 것과 같다는 말이다.

우누는 자신의 블로그에 보안업체들을 해킹한 소식을 전달해 국내외에서 유명한 해커로 알려졌다. 하지만 일전에는 버락 오바마 미 대통령의 홈페이지를 해킹했다고 밝혔지만 이는 허위였음이 밝혀져 다시금 그 유명세를 타기도 했다.

한국인터넷진흥원(KISA)의 ‘정보시스템 해킹 현황과 대응(1996)’에 따르면, 해커란 “컴퓨터 시스템 내부구조와 동작 따위에 심취해 이를 알고자 노력하는 사람으로서 대부분 뛰어난 컴퓨터 및 통신 실력을 가진 사람들”로 정의하고 있다. 따라서 해커는 컴퓨터나 네트워크 따위에 대해 탐구를 즐기는 사람들로서, 다른 컴퓨터에 불법으로 침입해 자료의 불법 열람·변조·파괴 따위의 행위를 하는 ‘크래커’와 구별해야 한다고 전하고 있다.

최근 ‘화이트 해커’니 ‘윤리적 해커’ 등의 표현으로까지 ‘해커’가 분리돼 언급되는 것은 명확히 ‘크래커’와는 구별되는 좋은 의미임에도 불구하고 언론 등에서도 이를 명확하게 하지 않고 있기 때문이라고 여긴다. 물론 우누가 SQL인젝션 공격으로 보안업체들의 보안취약점을 알림으로써 이를 보완하는데 일조한 측면도 있기는 하지만 우누는 ‘크래커’로 규정돼야 할 것이다.

보안의식을 촉구하기 위한 선한 목적이 있는 ‘해커’를 단순히 과시욕 하나 때문에 ‘크래커’로 규정하는 것은 옳지 않다고 반발할지 모를 또 다른 많은 ‘해커’들이 있다고 하더라도, 진정한 의미의 ‘해커’의 이름을 다시금 ‘해커’들에게 돌려주기 위해서 말이다.

우리는 일련의 해킹 사건들을 보면서, 어느 한쪽에만 보안수준을 강화하고 개별망 보안위협에 대해서는 신경을 쓰지 않는다면 전체망에 큰 문제가 발생할 수 있다는 것을 지속적으로 배우고 있다는 점에서 ‘화이트 해커’니 ‘윤리적 해커’니 하는 표현으로 도리어 ‘해커’를 좋지 못한 의미로 전달한 것은 아닌지 곱씹어 봐야 한다.

이번 우누의 국내 웹사이트 해킹은 해커가 해당 업체에 보안취약점을 알려줘도 색안경을 끼고 보았던 한국의 보안현실에 대해 어느 정도 변화를 주리라 본다. 그런 점에서 국내 업체들이 자신이 가지고 있던 보안취약점을 알려준 ‘해커’에게 고마워하는 보안문화가 형성될 이후를 위해 지금부터라도 좋은 의미를 가진 ‘해커’의 진정한 이름을 현재는 ‘화이트 해커’니 ‘윤리적 해커’ 등으로 분류해 부르는 일이 없도록 ‘해커’들에게 전해주자.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>