“윤리교육 필요하지만 효과성은?”

“비윤리적 행위 줄일 수 있도록 커리큘럼 구성해야”

인터넷 환경이 생활 그 자체가 되었으며, ‘요람에서 무덤까지’ 지속되고 있다. 인터넷이 발달된 환경에서 자라나는 청소년들은 인터넷 인프라를 당연하게 여기면서도 사이버 공간에서 지켜야 할 윤리에 대한 의식은 매우 낮은 형편이다. 사이버범죄를 줄이기 위해 정보통신윤리교육을 강화해야 한다는 주장이 높게 일고있다.

해킹을 자랑스러워하는 청소년, 악플을 서슴지 않는 어린이. 사이버 윤리의식이 없는 상태에서 인터넷 환경을 무방비로 접하게 되어 나타난 현상이다. 인터넷을 이용하는 모든 어린이와 청소년이 범죄자가 되는 것은 아니지만, 컴퓨터 앞에 오래 앉아있는 어린이·청소년이 이러한 범죄에 노출될 확률이 높은 것은 사실이다.

해커출신이면서 보안업체를 이끌고 있는 두 명의 CEO가 사이버 윤리의식 제고에 대한 의견을 나누었다. 김기홍 세인트 시큐리티 대표이사와 류승우 CN시큐리티 대표이사이다. 이 인터뷰는 서면을 통해 제시한 같은 질문에 대한 김기홍·류승우 두 대표의 답변을 정리한 것이다.

김기홍 사장은 보안 전문가 모임 와우해커 운영진이다. 류승우 사장은 hacker4u 보안동호회, 해자모 보안동호회 시삽, 「hacker4u의 해킹보안노트」를 집필했다.

 

전 연령층에 대한 윤리교육이 필요하다

Q.우선 이번 특집의 주제부터 얘기해 보자. 정보통신윤리교육의 필요성과 효과성에 대해 어떻게 생각하나?

김기홍: 공공교육에서 정보통신윤리 교육은 반드시 필요한 과정이라고 생각한다. 인터넷 문화가 급속도로 발전하면서 청소년들은 인터넷 환경이 구축돼 있는 상황에서 성장하고 있다. 청소년들이 인터넷 문화를 이끌고 있지만, 이를 악용하는 부작용도 발생한다. 어렸을 때 인터넷 문화를 접해가는 과정에서 충분히 윤리교육을 받지 못했기 때문이다.

학교를 비롯한 교육기관이 이러한 교육을 실시하지 않아 대부분의 청소년은 또래 집단으로부터 인터넷을 접한다. 윤리의식이 자리 잡지 못한 청소년에게 긍정적인 문화보다 부정적인 문화가 더 매력적으로 다가오게 돼 인터넷 문화가 부정적인 면으로 발달하게 되었다.

청소년에게 인터넷 윤리의식을 심어주기 위해서는 교육을 이용해야 한다. 어린 시절부터 정보통신 윤리교육을 충분히 실시하면 현재 사이버 공간에서 나타나는 많은 문제점이 올바르게 자리잡힐 것이다.

류승우: 교육의 필요성에 대해서는 동의한다. 어린 시절부터 정보통신 윤리에 대한 교육을 실시해야 한다는 점은 조금의 이의도 제기할 필요 없다. 인터넷이 보편화되고 일상화되면서 어린 아이들에게 인터넷은 하나의 놀이와 교육의 공간이 되고 있다. 인터넷이 생활 깊숙이 자리하고 있음에도 불구하고 윤리 교육이 부족한 것이 현실이다. 현실에 발맞춰 어릴때 부터 사이버 상의 윤리 의식이 자리 잡을 수 있도록 지금부터라도 변화해야 한다고 생각한다.

그러나 교육의 효과성은 별개의 문제라고 생각한다. 현재와 같은 인터넷 윤리교육은 효과가 없다. 성교육의 예를 들어보자. 초·중·고등학교에서 실시되는 성교육의 내용이 많이 바뀌었다고 하지만, 여전히 순결을 강조하는 교육에 그치고 있다. 학교에서 성교육이 실시됐다고 해서 성 관련 범죄가 줄어드는 것은 아니다. 마찬가지로 정보통신 윤리교육을 실시한다고 해서 사이버 침해사고나 악성댓글이 줄어들 것이라고 보기는 어렵다.

그럼에도 불구하고 정보통신 윤리교육은 있어야 한다. 지금 많은 어린이와 청소년들은 자신의 행동이 잘못된 것이라는 사실 자체를 인지하지 못하고 있다. 교육을 받은 어린이나 청소년은 적어도 어떤 행동이 잘못된 것인지 알 수 있을 것이다.

Q.청소년 뿐 아니라 성인교육도 필요하다는 주장이 있다. 악성댓글을 다는 많은 사람들이 윤리의식을 정립하는 단계에 있는 어린이가 아니라 이미 사회적인 권위를 누리고 있는 중·장년층인 경우도 있다. 성인에 대한 윤리의식에 대해서는 어떻게 생각하나?

류승우: 우리나라는 초고속 인터넷 가입가구 세계 1위, 정보화 수준 3위이다. 짧은 기간 안에 놀라운 성장을 이뤘다. 그에 따른 부작용이 청소년에게만 나타난다고 볼 수 없다. 성인의 사이버 윤리의식도 상당히 왜곡돼 있다.

우리나라 사람들은 어려서부터 자연스럽게 인터넷을 접하지만, 사이버 윤리의식은 누구도 가르쳐주지 않는다. 익명성이 보장되는 인터넷 환경에서는 어린아이부터 성인까지 누구나 비윤리적인 행위를 죄의식 없이 쉽게 저지른다.

김기홍: 지난번에 발생한 웹하드 업체 해킹사건은 사이버 윤리 의식을 잃어버린 기성세대들이 금전적인 이득을 추구하기 위해 시도한 범죄에 죄 의식을 느끼지 못하는 10대들이 합세한 것이다. 상업적인 이윤을 추구하는 기성세대들이 인터넷의 급속한 발전은 받아들이면서도 사이버 윤리는 고려하지 않았다.

이 사건은 성인들이 상업적인 목적을 추구하기 위해 아무것도 모르는 10대 청소년을 활용했기 때문에 더 나쁜 사건이다. 이는 10대의 사이버윤리교육 뿐만 아니라 기성세대의 윤리교육이 필요하다는 것을 너무나 잘 보여준다. 윤리의식이 부재한 상태에서 인터넷을 상업적인 도구로 무분별하게 활용하고, 이를 악용하는 것은 사회나 타인에게 매우 큰 피해를 줄 수 있다는 사실을 숙지시켜야 한다.

처벌 강화로 윤리의식 올라갈까

Q.인터넷 윤리는 정보통신 기술의 관점에서 다뤄져야 함에도 불구하고, 기존의 주입식 강의에서 벗어나지 않기 때문에 교육의 효과성이 떨어진다는 지적이 있다. 따라서 교육강화보다 처벌을 강화해야 한다는 주장이 나온다. 이에 대해서는 어떻게 생각하나?

류승우: 국가기관과 포털사이트 등을 중심으로 악성댓글방지와 더 나은 인터넷 이용환경을 조성하기 위해 제한적 본인확인제가 실시되고 있다. 그러나 최근 아프간 사태를 봐도 제한적 본인확인제의 효과성이 떨어진다는 사실을 알 수 있다. 아직 시행단계에 있는 상태라 단정지을 수는 없지만, 보다 효과적으로 악성 게시물 등을 줄여나가기 위해서는 적절한 법적 처벌이 필요하다.

죄를 저지른 사람은 처벌을 받아야 한다. 그러나 죄를 저지른 사람이 자신의 죄에 대한 죄책감을 갖지 못한다면 처벌을 받은 후 반감이 더욱 커지게 되고, 다시 범죄를 저지르는 악순환이 계속된다. 처벌강화와 함께 의식변화를 위한 윤리교육이 동반돼야 한다. 어린 아이에게 나쁜 행동이 어떤 것인지 가르친다고 해서 아이가 곧바로 그 행동을 고치는 것은 아니다. 먼저 철저히 교육 한 후 잘못을 저질렀을 때 합당한 벌을 주어야 한다.

강력한 처벌에 대한 우려 한 가지는 누구나 이해하고 인정할 수 있는 확실한 기준이 마련돼야 한다는 것이다. 현재의 법은 해석하기에 따라 애매한 면이 있다.

Q.기준의 애매성이란 무엇인가?

류승우: 사이버 윤리라는 측면에서 다소 벗어나는 이야기이긴 하지만, 우리나라는 특정한 침해사고에 대해 지나치게 크게 부풀려 생각하는 면이 있다. 해킹이 아닌데도 심각한 해킹사고라고 보도하는가 하면 해커는 무조건 나쁜 사람이라고 인식하는 경향이 있다.

2002년 와우해커 운영진이 대거 구속되면서 2003년까지 해킹에 대한 규제가 너무 심했다. 이후 매년 말이면 마치 연례행사처럼 해킹 등 침해사고를 분석해 발표하면서 위협을 과대포장 하는 경우가 있다. 언론이나 분석기관들이 10년 뒤 정보보호 전문가가 유망직종이 될 것이라고 하지만, 실제로 보안업계에서는 그렇게 생각하지 않는다. 규제가 심하고 기술개발이 수월하지 않기 때문이다.

Q.그러나 해킹을 방치할 수는 없는 것 아닌가?

류승우: 비윤리적인 행동을 방치해서는 안 된다. 그것은 맞는 말이다. 그러나 비윤리적인 행동을 과대포장해 오히려 그러한 행동을 더욱 부추기는 면이 있다는 것도 간과해서는 안된다.

언론의 예를 보자. 언론들은 해킹이나 악플 등 사건이 발생했을 때 여과 없이 보도할 뿐만 아니라 과장해서 위협함으로써 독자들의 시선을 끌어모으는데 집중한다. 언론이 볼 때 이러한 비윤리적 행동은 단순히 흥미위주의 가십거리일 뿐이다. 이에따라 일반인들은 반윤리적 행위에 대한 비판이 아닌 오직 흥미를 위한 주제로 해킹과 악플을 받아들인다.

김기홍: 비윤리적인 행동을 과대포장한다는 지적에 동의할 수 없다. 얼마나 큰 사건이 일어나야 큰 사건이라고 이야기를 할 것인가?

우리 사회는 이름과 주민등록번호만 빠져나가도 자신을 대신해 다른 사람이 일상적인 활동을 할 수 있다. 사회구조에 빈틈이 많기 때문에 어렵지 않게 신분을 위조할 수 있다.

정보통신부, 한국정보보호진흥원을 비롯해 상당히 많은 공공기관이 취약성 해결을 위한 노력을 하고 있지만, 정말 큰 문제는 일반 인터넷 사용자를 대상으로 서비스를 하는 업체이다. 이들은 개발 시간에 쫓기고 결과물에만 초점을 맞춰 진행하다 보니 보안요소를 전혀 고려하지 못한다.

고객 정보를 해킹해 정보를 악용한 사람들도 문제가 있지만 많은 사람들의 개인 정보를 보유하고 있는 서비스 업체가 기본적인 보안 시스템의 취약성을 남겨두었다는 것도 문제이다. 고객에게 서비스를 하는 업체라면, 고객의 정보를 기본적으로 암호화해서 보관하고 그것이 해킹을 통해 노출이 된다고 하더라도 암호화를 한 내용을 복호화 할 수 없도록 시스템을 구축을 하고 운영을 해야 한다.

하루도 빠지지 않고 보안 관련 이슈 사항을 가지고 이야기를 하고 있지만 여전히 수많은 업체들은 보안은 필수가 아니라 부가적인 사치라고 생각하는 경향이 있다.

Q.해킹기술의 발달이 보안의식을 강화한다는 주장이 있다. 이 때문에 해킹기술을 연습할 수 있는 해킹 연습장이 필요하다고 한다. 그러나 현재 마련된 해킹 연습장은 최근 유행하는 해킹 유형에서 한참 멀리 떨어져 있기 때문에 해커들을 모으지 못하고 있다는 지적이 있다.

김기홍: 우리나라에는 수많은 해커들이 존재한다. 양지로 나와서 좋은 보안 업체에서 올바른 생각을 하며 좋게 활동을 하는 화이트 해커들이 있는가 하면, 음지에서 활동하면서 세상 밖으로 나오지 않고 음지 생활에 적응이 돼 타인에게 피해를 주는 활동을 하는 크래커 집단도 있다.

각종 대회나 해킹 연습장을 통해서 해커들이 연습을 한다. 하지만 몇 시간 안에 모든 것을 해결해버리는 해커에 비해 연습장의 레벨이 너무 낮다. 식상하고 재미도 없는 곳에 어떤 해커가 가겠는가? 골프의 경우를 생각해보자. 연습장에서 100번 연습하는 것 보다 필드에 한번 나가는 것이 훨씬 매력적이다. 해킹도 마찬가지라고 생각한다. 해킹연습장을 애용하는 해커에게 발전이 있을까? 남들이 해결하고 이미 그 해결 방법들이 돌아다니는 연습장은 해커를 잡아 두기 위한 방책이 될 수 없다.

기업과 기관이 노력해서 화이트 해커를 양성하는 사회적인 시스템을 만들어야 한다고 생각한다. 실제 운영되고 있는 시스템에 대한 진단이나 취약점 분석을 내부에서 평가하는 것이 아니라 오픈 베타나 오픈 서비스를 진행하면서 많은 보안적인 이슈 사항의 이야기를 들어야 한다. 또 그러한 진단을 받았을 경우 그에 정당한 대가를 지불해야 한다.

이러한 선행 사례가 만들어 지기 시작한다면 해커들은 점점 음지에서 양지로 나오게 될 것이다. “해커 연습장 이런 것이 있으니 거기에서 놀아라”고 하는 것은 부족하다. 실제로 운영되고 있는 시스템에서 현장 적응력을 높여 인력 활용 측면에서도 더 좋은 효과를 볼 것이다.

류승우: 해킹 연습장이 없는것 보다는 있는게 낫다. 그러나 김기홍 사장의 지적처럼 지금 수준의 연습장으로는 부족한 것이 많다. KISA 등 공공기관과 민간업체 일부에서 해킹 연습장을 제공해주고 있지만, 해커들의 욕구를 충족할만한 수준의 연습장은 없다.

화이트 해커 양성을 위해 정부가 발벗고 나서야 하며, 민간의 지원도 반드시 있어야 한다고 생각한다.

“인터넷 사용자·서비스업체 모두 노력 필요”

Q.마지막으로, 해커출신 보안 전문가로서 사이버 윤리의식 강화를 위해 반드시 필요한 것이 무엇이라고 생각하는지 말해 달라.

류승우: 거듭해서 강조하지만, 초등학교 때부터 사이버 윤리 교육을 실시해야 하며, 성인의 의식변화를 위한 교육도 반드시 있어야 한다. 이를 위해서는 바른 여론을 형성하고, 미디어를 이용한 홍보가 있어야 한다.

현실적인 처벌조항을 확립하고, 상·벌에 대한 명확한 기준이 반드시 마련돼야 한다.

김기홍: 현실적으로 적용 가능한 2가지 방향을 고려해 볼 수 있다. 하나는 인터넷을 이용하는 사용자에 대한 것과 인터넷을 이용해서 서비스를 제공하는 업체에 대한 현상이다.

인터넷 이용자에게는 인터넷을 악용하지 못하도록 해야 한다. 정부와 기관에서 하루가 멀다 하고 악성유저에 대한 권고를 하고, 정책을 만들어내고 있지만, 악플과 해킹사고는 조금도 줄어들지 않고 있다. 악플로 자살하는 사람이 나타나는 것은 심각한 것이다. 네티즌의 댓글 하나가 사람을 죽인 것이다.

해킹도 마찬가지이다. 해킹을 자랑스러워하는 분위기를 지양해야 한다. 젊은 세대들은 자신이 가진 뛰어난 기술을 악용하지 않도록 스스로 채찍질을 해야 한다. 아무리 좋은 기술을 가지고 있어도 그 기술을 좋은 곳에 활용하지 않고, 여러 사람에게 피해를 주는 행위를 한다면 차라리 기술이 없는 것이 낫다. 그것은 본인 스스로 뿐만 아니라 자신이 속해 있는 가족, 그룹, 학교, 회사에까지 피해를 준다.

보안 기술을 이용해 사회에 긍정적인 역할을 할 수 있는 창구는 무궁무진하다. 기업은 귀를 꼭 막고 모든 외부의 의견을 수렴하지 않는 나쁜 습관을 버렸다. 공격적인 의사만 밝히지 않는다면 많은 사람들이 귀를 기울여 준다. 해당 회사에 도움이 되는 기술은 경제적인 이득을 제공하기도 한다. 외부에서 점검을 했던 취약점 내용을 해당 회사에 알려주고 남들 보다 훨씬 빠르고 쉽게 입사를 하는 경우도 있다.

보안 관련 학회와 국내·국제적인 보안 관련 대회도 많이 열리고 있으니 그런 곳에 참가를 해서 다른 사람과 경쟁을 벌여 보는 것도 도움이 될 수 있다. 폐쇄적인 활동 보다는 밝은 곳으로 나와서 활동을 하다 보면 생각도 긍정적인 방향으로 흘러가서 좋은 생각이 나게 될 것이다.

[월간 정보보호21c 통권 제85호 김선애 기자(info@boannews.com)]

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>