크게 작게 100자평 쓰기  블로그 스크랩  이메일  프린트 

중국 최고 해커 "빌게이츠도 해커다"

중국 최고의 해커, 1세대 흑객과의 대담

중국 최고의 해커가 말하는 ‘진정한 해커’

해커 연령대 낮아지고 공격도구는 더욱 지능화

중국내 500만 해커 활동...금전추구현상으로 윤리의식 부족

지난해부터 국내에서 중국발 해킹이 급증하고 있다. 주로 우리나라 게임계정을 노리고 있으며 이를 이용해 돈을 벌겠다는 목적이 가장 큰 것으로 알려져 있다. 그렇다면 중국 해커들은 어떤 사람들이고 중국 해커들의 동향과 중국의 보안시장은 어떤가를 알아보는 것도 중요한 일이다. 이러한 관점에서 중국 해커들의 토론 내용을 게재한다.

오늘날 해킹 툴들이 범람하면서 해킹공격이 시장경쟁수단으로 빈번히 이용되고 있다. 해커들의 움직임이 점점 사회각계의 주목을 받고 있는 가운데, 중국TOP해커(흑객) 두명이 남방 IT살롱에 게스트로 출연해 토론을 벌렸다. 이 내용은 중국정보 전문기업인 CN Security(대표 류승우 www.cnsec.co.kr)에서 번역ㆍ제공했다. 원문은 www.163.com에서 볼 수 있다.

<게스트>

설조하 : 심천CNNS부회장(www.cnns.net)

진석언 : 광주역성과학기술 총경리(www.71168.cn)

<사회자>

163재보센터 프로듀서 : 류홍영

163과학기술 : 고풍

1. 빌게이츠도 해커다.

고풍: 요즘 해커가 핫 이슈로 떠오르고 있다. 얼마 전 막을 내린 중국네트워크토론회 3일 동안 sina, P&G, Anti-Hacker 포럼들이 연속으로 해킹 당하였다. 무엇 때문에 요즘 들어 이렇게 많은 해킹사건이 발생하는 것인가? 오늘 남방 IT살롱 제6기에서는 중국 제1, 제2세대의 “대표적인 해커” 설조하와 진삼억을 어렵게 모셨다.

최초의 해커는 애국주의, 네트워크 고수들의 대명사였다. 하지만 지금의 해커들에게는 자주 부정적인 의미가 부여된다. 오늘 모신 두 분의 게스트는 오래 전에 소위 말하는 해커 생활과 이별한 후, 지금은 각자의 영역에서 높은 성과를 이루고 있다. 하지만 요즘 빈번히 발생하고 있는 해커사건에 대하여 두 분이 비교적 깊은 이해를 가지고 있다고 생각한다. 먼저 두 분에게 간단한 자기소개를 부탁한다.

설조하: 우선 163과학기술이 이런 자리를 마련해 준 것에 대해 감사 드린다. 현재 중국에서는 “Hacker”라는 단어가 이미 악용되고 있는 상태이다. 나는 오늘 네트워크 보안 대표로 해커란 화제에 대하여 말하려고 한다. 2001년 네트워크 Bubbles이 파괴된 후 한동안 곤란한 상황에 놓여 있었는데 우리는 이를 견뎌내고 네트워크 보안을 주요 영업업무로 만들었다. 어려움은 이미 지나가고 산업의 전망도 좋은 편이다.

류홍영: 설조하님의 옛 강호시절의 닉네임은 무엇이었는가?

설조하: 처음 채팅방 대화명이 '늙은독물'이였는데, 나중에는 내 닉네임이 되었다.

진삼억: 나는 제8군단 출신이며, 99년 해커에 입문하게 되었다. 오늘 이런 자리를 마련해준 163에 감사드린다. ‘Hacker’(해커)라는 단어가 악용되고 있다는 것에 대해 동감하고 있으며 지금은 이 단어를 입에 올리기조차 싫어졌다. 일반인들은 해커를 QQ를 훔치거나 사이트를 더럽히는 아주 신비한 인물로 보고 있다. 실제로 진정한 해커는 이런 짓을 하지 않는다. 인터넷상의 내 별명은 ‘진3공자’ 이다. 99년 화남이공대학을 졸업한 다음 한동안 교사직에 근무하다 지금은 네트워크 보안업종에 종사하고 있다.

류홍영: 두 분은 아주 개성이 뚜렷한 게스트다. 여러분의 개인 이력을 네티즌들에게 설명해달라.

설조하: 토론을 시작하기 전 반드시 ‘Hacker’란 단어에 대하여 확실하게 정의하고 구분지을 필요가 있다고 생각한다. Hacker의 본뜻은 아름다운 일을 하는 사람이다. 최초의 공인된 네트워크 Hacker는 시스템을 사용하고 조작하는 사람이다. 빌게이츠와 같은 사람들이 포함된다. 이들은 최초에 네트워크에 공헌한 사람들로서 Hacker라 칭할 만하다.

현재 해커는 세 가지 공인된 유형이 있다. 하나는 네트워크에 공헌한 사람, 둘은 취약점을 발견한 사람, 셋은 공격수단을 이용하는 사람이다. White Hat은 프로그램을 만들고, Black Hat은 프로그램으로 사람을 죽이며, 그 중간엔 회색 Hat도 있다. 네트워크 보안회사에는 예전에 해커로 불리던 많은 사람들이 있는데 그들은 완전히 손을 씻은 게 아니라 자신의 기술을 사회에 유익한 쪽으로 응용하는 것인데 이들이 White Hat에 속한다. 그리고 취약점을 발견하여 개발회사로 하여금 패치를 발표하게끔 하는 것도 정의로운 해커이다.

진삼억: 설조하의 해커에 대한 의견을 기본상 동의한다. 실제로 많은 해커들이 취약점에 대한 연구와 툴의 제작에 집중하는데 이는 크래커로 놓고 말했을 때 해킹 툴에 대한 의존성이 더 강해지게 된다.

류홍영: 오늘 재미있는 부분은 두 분은 Hacker로 불리면서도 모두 흰색 옷을 입고 나왔는데 다른 사람들에게 당신들이 해커가 아니라는 것을 알려주기 위하여 일부러 입고 나온 것이 아닌가? 만약, 지금 당신들을 해커라고 부른다면 받아들이겠는가?

진삼억: 실제로 나는 해커들의 배우고자 하는 태도와 연구정신을 좋아한다. 하지만 이런 이유 때문에 해커로 불릴 수는 없다. 우리도 지금 배움의 과정을 거치는 중이다. 다른 사람들은 우리를 해커라고 부르지만 나 자신은 해커와는 거리가 멀다고 생각한다. 이는 사람마다 마음속으로 생각하는 해커에 대한 이해와 관계된다.

2. 중국에는 500만 명의 해커가 있다. BAIDU 공격은 초등학생도 가능하다.

류홍영: 일반 네티즌들은 해커를 공격자로 보고 있다. 데이터를 획득한다거나 조작 등 이런 행위 때문에 일반인들은 그들이 현실생활에서 달성하지 못하는 항의적인 정서를 내보이는 것이라고 생각한다. 두 분에게 중국 해커의 발전역사와 또 현재 경험하고 있는 변화에 대해 듣고 싶다.

진삼억: 중국에 해커는 95년에 처음 출현했다. 그때가 바로 진정한 의미의 해커였다. 그 뒤에 기술을 나타내기 위한 해커들이 모습을 드러냈는데, 최근에는 범죄를 저지르는 해커조직까지 생겨 메일로 상대를 위협한다. 사회의 발전은 해커가 더 이상 예전처럼 순수하게 기술을 배우는데 그치는 것이 아니라 최근에는 금전을 목적으로 행동하게 만들었다. 하지만 요즘의 사건들은 아무런 목적도 없는 추세이다.

해커는 현재 정확한 인도가 부족해 인터넷상에는 수많은 툴들이 넘쳐 나고 일반인들도 관련교육과정을 배울 수 있게 되었다. 만약, 초등학생 들이 해킹 툴에 대하여 배우게 된다면 윤리의식이 없는 상태에서 아이들은 극단적인 방향으로 치닫게 될 것이다. 현재 우리가 파악하고 있는 것은 어린아이들이 게임 사이트를 해킹해 자신의 QQ를 심어놓는데 우리로 하여금 웃음을 자아내게 한다.

고풍: 진삼언님은 baidu, sina도 어린이들이 해킹했다고 생각하는가?

진삼언: 일부 어린이들은 가능하다. 많은 어린이들이 대량의 radmin(해킹한 서버)을 보유하고 있는데 이것을 이용해 서비스 거부공격을 일으킨다. 얼마 전 Anti-Hacker사이트를 해킹한 것도 어린이다. 이 어린이는 나에게 그림을 보내 자기의 성과를 나타냈는데 3,000대의 radmin을 보유하고 있다면서 아주 자랑스러워 하고 있었다.

고풍: 2006 중국네트워크토론회가 열리는 3일 동안 매일 한 개의 사이트가 공격을 당하였는데 계획적이고 사전에 모의된 집중 공격행위가 아닌가?

진삼언: sina가 해킹 당한 사실에 대해서 나는 구제적인 내부사정을 잘 알지 못한다. 토론회기간에 집중적으로 일어난 공격은 아마도 일부 사람들이 뉴스를 만들기 위하여 고의적으로 만들어낸 것 같다. 그래야만이 널리 주목 받을 수 있기 때문이다.

설조하: 구체적인 정황과 사실은 잘 모르나 나의 경험으로 놓고 봤을 때 공격은 매 시각마다 발생되고 있다. 네트워크토론회와 우연하게 일치되었을 가능성이 더 높다고 본다.

류홍영: 두 분은 강호에서 제1세대, 제2세대 해커로 불리고 있는데 언제부터 해커로 불리였는지, 두 분의 경험으로 보았을 때 해커가 앞으로 어떤 방향으로 발전할 것 같은가?

설조하: 나는 누가 나한테 남제(남방의 황제)라는 봉호를 붙여주었는지 모른다. 내 유일한 특징은 보안업계에 종사하고 있는 사람 중에서 나이가 많은 편에 속한다는 것인데 보안업계에 종사하면서 공격에 대해 어느 정도 이해가 없으면 안된다. 아까도 말했듯이 해커는 3종류로 나뉘는데 그 중 White Hat의 발전은 앞으로 기술과 상품개발에 더 많은 가치를 제공하게 될 것이다. White Hat는 은행을 침투해 데이터베이스를 불러올 수 있을 만한 충분한 능력이 있으나 이는 법에 어긋나기 때문에 똑같은 능력으로 자신의 회사를 더 번창하게 만들기 위해 노력한다.

나는 네트워크 보안업종이 점점 더 중요하게 될 것이라는 데 대해 믿어 의심치 않는다. 예를 들어 전자정부 기관업무, 인터넷뱅킹, 네트워크 게임 등은 네트워크 보안에 대한 요구가 아주 높다. 때문에 White Hat의 이윤공간이 아주 넓다. 현재 공격능력을 갖춘 사람은 전세계적으로 2,000만 명이 있는데 3~5% 비율로 계산했을 때 중국해커는 300~500만명 정도이다.

류홍영: 일반적인 공격수단은 아주 많은데 어떤 것이 있고 어떻게 방어할 것인가?

진삼언: 일반 사이트에는 관리자페이지가 있고 여러 프로그램에는 모두 취약점이 존재한다. 혹은 서버상에 설치한 프로그램에도 모두 취약점이 존재하기 때문에 모두 공격이 가능하다. 일반적인 수단이라고 한다면 서비스 거부를 꼽을 수 있는데, 이는 네트워크 프로토콜 자체의 결함이다. 중국의 사이트는 아주 취약한데 현재 전자정부기관 업무방면까지 포함하여 보안의식이 아주 약하다. 또 다른 방면으로 일부 해커들은 자기발전과정에서 장애물을 만났을 때 다른 업종으로 바꾸게 된다.

3. 돈 많은 기업들이 공격대상이 되기 쉽다

류홍영: baidu, sina 이후에 다음 공격목표는 어디라고 생각하는가?

설조하: 돈 많은 사이트와 돈 많은 기업일 것이다. 현재의 보안정황으로 봤을 때 이로 인한 공격의 원가는 점점 더 높아질 것이고 목적성도 점점 더 강해질 것이다. 앞으로는 직접적으로 공격하는 것은 점점 더 어려워 질것이고 전자우편, 응용보안, 스크립트 등과 같은 응용층부터 시작하는 공격은 더 많아질 것이다. 그러려면 응용에 대해 연구해야 한다. 이로 인해 공격원가는 아주 높아질 것이고 목적성도 더 높아질 것이다.

고풍: baidu 해킹의 원가는 얼마나 될까? 만약, 당신이 baidu의 CTO라면 어떻게 대응할 것인가?

설조하: 더 정확히 말하면 BAIDU 사건은 DoS 공격이 원인인데 원가는 높지 않다. BAIDU는 일반적인 서비스 거부공격을 막을 능력을 가지고 있으며 재력이 있다. 우리의 보안서비스 중에도 이런 서비스가 있다. 만약, 내가 CTO라고 한다면 첫번째로 서버와 보안에 대한 투입을 더 확대시키고, 두번째로는 응급조치를 확실하게 해놓을 것이다. 이러한 공격은 소모전이기 때문에 당신에게 서로 다른 예비책이 있다면 방어할 수 있을 것이다.

향후, Black Hat은 점점 더 많아질 것이 확실한데, 그 원인은 네트워크 응용과 공간이 클수록 더 많은 이익이 Black Hat으로 하여금 사업가, 개인, 조직에 손을 뻗치게끔 재촉하기 때문이다.

4. 해킹공격은 의적행위인가 이익추구인가

류홍영: BAIDU가 해킹 당한 것에 많은 사람들이 정의의 표현이라고 생각하고 있는데 두 분은 정의로운 행동이란 생각이 더 많이 드는가, 아님 경제상의 목적이라고 생각하는가?

진삼언: BAIDU 사건은 많은 사람들이 동정할 가치가 있다고 생각한다. SK-II도 이런 이유에서 해킹 당한 것이다. 일부 해킹 고수들이 이와 같은 방법으로 분노의 심정을 표현하는 것 같은데 대부분의 고수들은 정의감을 가지고 있다고 말할 수 있다. 하지만 어떤 사건들은 일반 해커들이 할 수 없는 것들이 있다. 점점 더 많은 해커들이 예전처럼 단순하게 기술을 목적으로 하지 않고 금전을 위하여 행동하고 있다.

설조하: BAIDU 공격사건은 법률정의로 놓고 봤을 때 국제사회에서는 불법행위라고 정의하고 있다. 중국은 이미 이 협정에 가입한 상태이기 때문에 조사할 의무를 가지고 있다. 현재 우리나라(중국)는 사이트 등을 공격하는 해커에 대하여 조사를 강화하고 있다. 공격능력을 가지고 있으면서 행동이 조금이라도 이상하다면 공안의 주요 조사대상이 될 가능성이 높다. 만약, 공격당한 상대방이 충분한 자금적 여유가 있다면 설령 서비스 거부공격이라고 하더라도 해커를 찾아낼 수가 있을 것이다.

5. 해킹공격이 시장경쟁수단이 되고 있다

방청객: 얼마 전 각 대형 사이트들이 공격당한 사건이 있었는데, 개인적인 생각으로는 조작의 원인도 있다고 생각한다. 내가 생각한 바로는 사이트를 운영하는 많은 사람들이 공격을 받았다고 하면 공격당하는 유동량이 아주 많게 되는데 이러한 공격은 서버실에서 제어하는 것인가, 아니면 radmin이 비교적 많은가?

설조하: 그에 대해 조금 아는 바가 있는데, 이는 일반적으로 사이트운영자가 서로 공격하는 행위이다. 사이트를 운영하는 사람에게는 훌륭한 ADSL이 있고 심지어는 돈을 들여 경쟁상대를 공격하기도 한다. 조직이 있을 가능성이 높은데 원인의 시작은 역시나 상업경쟁이다.

방청객: 만약, 경쟁상대의 공격이라고 한다면 sina, sohu, 163과 같은 3대 가문이나 baidu, google등은 경쟁상대가 아주 많은데 이들은 어떤 방법으로 해커의 위협에 대응해야 하는가?

설조하: 나의 경험담인데, 2000년 초 나는 융자업무를 담당하고 있었다. 그날 투자자들에게 설명하고 있을 때 공격을 당한 것이다. 나중에 회복한 다음에도 공격은 한 달 동안이나 계속되었다. 이로써 나는 자기의 방어만 철저하게 한다면 아무런 문제도 없다고 생각한다. 공격시간이 너무 길면 발견되기도 쉬워진다.

진삼언: 우리의 방화벽은 매초마다 침입을 감지해낸다. 우리는 공격자가 누군지를 모르기 때문에 자기 스스로 조치를 취해 방어할 수밖에 없다. 공격도 일반적으로 한달간 지속되다가 멈춘다. 일부 고객들이 손실된 것이 있다고 우리를 찾아오는데 서비스 거부방면에는 방법이 아주 적다. 우리업계에는 이런 말이 있다. 절대적인 안전은 없다, 절대적인 불안전만 있을 뿐이다.

6. 해커는 아직도 나라를 위해 선뜻 나설 수 있는가?

방청객: 만약, 정부가 국가의 안전을 위해 해커들을 필요로 한다면 해커들은 중미해커전쟁처럼 선뜻이 나설 수 있는가?

설조하: 우리 회사는 교육, 방어, 분석, 기술발견 등을 할 뿐이다. 이정도면 충분하다고 생각한다. 우리는 방어수단을 제공할 뿐이며, 개인적으로는 교육정도밖에 해줄 수 없다.

진삼언: 개인적인 입장을 놓고 말한다면, 특수한 시기가 온다면 젊었을 때는 일부 참여할 가능성이 있다. 하지만 성인이 된 지금은 특별한 수요가 없는 한 협조정도만 고려해볼 수 있다. 이는 조금 민감한 문제이기 때문에 사적으로 토론해야 마땅할 것 같다. 애국심은 누구에게나 있다.

설조하: 더 보충하자면 당신의 물음은 어느 정도 추측에서 나온 것 같다. 국가가 전쟁중이 아니라면 인터넷상의 행위도 없을 것이다. 현재 일어나고 있는 모든 행위는 모두 개인행위이다. 평화시기에 공격행위에 관한 법률은 우리나라도 다른 나라와 같이 규정되어 있기 때문에 조직이란 있을 수가 없다. 일반적인 공격은 모두 개인의 행위이다.

7. 네트워크 보안은 지나치게 비싸다. 중소기업들은 어떻게 자기를 보호해야 하나

방청객: 두 분은 모두 네트워크 보안회사에 있는데 국가와 돈이 많은 기업들을 위하여 네트워크 보안을 해준다. 하지만 우리 중소기업들은 원가가 너무 높아 엄두를 못 낸다. 재력이 없는 중소기업을 위해 어떤 서비스를 제공해주고 어떤 건의를 해줄 수 있는가?

설조하: 보안은 자금이 필요하다. 우선, 당신에게 얼마만큼의 돈을 지불할 수 있는지 묻고 싶다.

방청객: 우리는 보안 시스템을 갖출 때 지불해야 하는 대가와 보안을 하지 않았을 때 치러야 하는 대가 중에 어떤 것이 더 높은가를 우선 고려할 것이다. 당신들이 제공하는 서비스는 어떤 그룹에게 적합한가?

설조하: 당신은 수익의 10-15%를 네트워크 보안에 투자할 마음이 있는가?

방청객: 초기에는 투자할 맘이 없지만 회사가 커진다면 투자할 의향이 있다. 마치 정품 프로그램과도 같다. 처음에는 사용하지 않지만 회사가 커지면 사용하지 않으면 안 되는 것처럼 말이다.

설조하: 우리가 제공하는 서비스 중에는 중소기업만을 위한 서비스가 있는데 한 달에 몇 백위안(한화 몇 만원)을 초과하지 않으며, 기본적으로 중소기업의 보안수요를 만족시킨다. 프로그램에 큰 문제가 생겼을 때는 방문 서비스도 하지만 일반적으로는 전화를 통하여 지원한다.

류홍영: 보안원가에 대한 물음이 나왔는데 도대체 기업하나가 얼마의 보안원가를 지불해야만 안전보장을 받을 수 있는가?

진삼언: 많은 창업형 기업들이 이점을 많이 고민하고 있다. 회사의 규모가 작을 때는 보안원가가 높은 것 같아 꺼려한다. 하지만 회사규모가 커지면 우리와 같은 작은 규모의 보안회사를 선택하지 않는다. 국내에는 300여 개의 보안기업들이 고급형 노선으로 가고 있으며, 저급형 서비스로 가는 기업들은 아주 적다. 이윤이 적기 때문일 것이다. 그러므로 보안회사들은 점점 운영이 힘들어진다.

류홍영: 중국 보안산업 시장의 규모는 어느 정도 되는가?

진삼언: CNNIC가 최근에 발표한 데이터에 의하면 2008년까지 중국 보안시장은 105억에 달한다고 한다.

류홍영: 보안업무로 전환한 다음 현재 당신들의 생활은 어떤가?

설조하: 현재 기업에 대한 투자는 모두 다르다. 대부분의 작은 기업들은 투자가 아주 적거나 아예 없는 경우도 있다. 하지만 대부분의 큰 기업들은 투자가 아주 많을 뿐더러 심지어는 낭비되고 있는 추세이다. 전체적으로 말하자면 보안시장에서 우리가 추구하는 것은 전체 IT 시장의 5~10%이다.

류홍영: 어떤 해커는 국내 여러 대형 사이트들을 하루면 해킹할 수 있다고 하는데 가능성이 있는가?

진삼언: 만약, 비교적 고급 수준의 서비스 거부를 사용한다고 하면 어느 정도의 가능성이 있다. 문제는 어느 정도를 해킹하느냐 인데, 일부분의 작은 프로그램으로는 취약점은 찾아낼 수 있겠으나 전체적으로 해킹하기는 어려울 것이다. 전제 네트워크는 아주 취약하다. 미국 과학자는 한 연구에서 “완벽할 것 같은 네트워크에도 ‘아킬레스의 건’이 존재한다”라고 밝힌 바가 있다. Sina의 이번 사건이 바로 전형적인 예라고 볼 수 있다.

설조하: 네트워크 응용과 네트워크 보안에는 반드시 투자해야 한다. 하지만 보안은 아주 큰 보증을 얻을 수는 있지만 어떤 보안이든 어떠한 실수도 없다고는 말할 수 없다. 하지만 보안에 대한 투자는 기업인에게 큰 안심을 가져다 줄 것이다.

8. 실제로 네트워크 암흑조직이 존재하나?

방청객: 해커는 우리로 하여금 할리우드영화를 떠오르게 한다. 암흑조직은 보호비를 받으러 다니고 가계들은 조직의 괴롭힘을 당하기 싫어서 보호비를 내고 그들의 보호를 받아 다른 조직의 위협을 받지 않는다. 그리하여 암흑조직 간의 구역을 명확히 지정하여 서로 침범하지 못하도록 한다. 그렇다면 해커의 영역은 어떤가? 서로 간에 구역이 존재하는가? 서로 간에 숨겨진 규칙 같은 것은 없는가?

진삼언: 보호비는 우스갯 소리에 지나지 않는다. 네트워크 암흑조직의 사기행위는 법률로 단속할 수 있다. 이는 현실상의 검은 세력과는 거리가 멀기 때문에 섞어서는 안된다. 현재의 해커계는 내놓고 보호비를 받는 정도까지는 오지 않았다.

방청객: 오늘 보안에 대한 많은 이야기를 하였는데 최상의 보안은 무엇인가?

설조하: 최상의 보안은 존재하지 않는다. 보안은 원가의 대항이고 기술의 대항이다. 보안을 위해 우리가 할 일은 공격자가 원가를 감당할 수 없게 만드는 것이고, 우리의 목적이기도 하다. 그리고 보안은 계속적인 투자이지 일회용이 아니다.

9. 법률은 해커에 대한 관리 감독의 강도를 점점 높이고 있는데, 해커의 미래는 어느 방향으로 발전할 것인가?

류홍영: 해커는 학생, 직장인, 암흑조직 등 많은 부류가 포함된다. 우리의 법률은 이런 행위에 대하여 충분하게 규정짓고 단속할 수 있는가. 도덕적으로 단속할 것인가. 두 분의 대답을 듣고 싶다.

진삼언: 진정한 의미의 해커는 자기가 무엇을 해야 하는지, 하지 말아야 하는지를 알고 있다. 지금의 정황으로 볼 때 해커행위에는 두 가지 양극화 현상이 발생하고 있다. 하나는 연령대가 낮아지고 있다는 것이고, 또 하나는 도구가 ‘지능화’되고 있다는 것이다.

이런 정황에서는 정부의 정확한 가이드가 필요한데 CCTV에서 해커조직범죄에 대하여 보도한 적도 있었다. 올해 5월, 국가에서는 관련법규를 제정하였는데 해킹행위에 대하여 엄격한 처벌을 충분히 가할 수 있게 되었다. 해킹기술, 연구할 수도 있고 취미가 될 수도 있다. 하지만 절대로 타인의 이익을 위협해서는 안된다. 그게 최선이다.

설조하: 중국 최초의 해커 Coolfire가 해커수칙을 만들어서 발표했었다. 그 내용 중에 ‘이익을 쫓지 말고, 공격을 위한 공격은 하지 말라’고 나와 있다. 우리가 발표하는 취약점은 모두 공격을 위한 공격이 되지 않을 것이다. 기본적인 도덕원리와 사회적인 도덕은 서로 융합된다. 법률상으로도 처벌과 타격강도가 더 강력해졌는데 예전엔 해커가 범죄를 저질러도 공로를 세움으로써 자신의 죄를 보상할 수 있었다. 하지만 지금은 어림도 없다.

류홍영: 해커에서 보안연구원까지, 네트워크상의 ‘나쁜 어린이’들에게 두 분은 무슨 말을 해주고 싶은가? 만약, 이를 사춘기라고 한다면 어떻게 넘겨야 하는가? 이런 경험이 있는가?

설조하: ‘나쁜 어린이’가 아니라 공격능력을 가지고 있는 사람이다. 능력이 있는 것은 나쁜 일이 아니다. 관건은 타인을 침해하는 일을 하지 않는 것이다. 우리에게는 그들을 훈계할 의무가 없다. 다만, 자기가 책임을 져야 하고 반드시 책임을 져야 한다고 말해주고 싶다.

고풍: 아침에 한 중학생과 채팅을 했는데, 그는 국경절(10월 초 연휴, 한국의 경우 추석)이 다가오는데 휴가 전에 시간을 짜내어 더 많은 사이트를 해킹 할 것이라고 하면서 자기는 해킹을 좋아하고 해커 중에서 ‘소용’과 ‘노독물’이 자신의 우상이라고 했다. 제1대 해커로서 후배들에게 어떤 충고를 해주고 싶은가?

진삼언: 소용과 노독물은 몸소 심오한 해킹기술은 올바른 길에 사용하여야 한다는 것을 보여주면서 많은 사람들의 규범이 되고 있다. 일부 사람들은 트로이목마를 심고 타인의 데이터를 훔치며 불법을 저지르고 있는데 이는 배울 바가 못 된다. 해커는 매 시각마다 금전이익의 유혹을 경험하고 실제로 함정에 빠지기도 쉽다.

한 보도에 의하면 해킹 툴을 이용하여 많은 사이트들을 해킹 한 15세 중학생이 있었는데 경찰을 보자마자 놀란 나머지 엉엉 울었다고 한다. 자기는 초기화면만 바꿨을 뿐이지 다른 건 아무것도 하지 않았다면서...이번 사건에서 어린이들이 법률의식이 약하고 자기를 제어할 능력이 부족하다는 것을 보여준다.

류홍영: 만약, 당신이 정보산업부의 보안관리 공무원이라면 국가의 IT 보안을 위해 어떤 일을 하겠는가?

설조하: 나는 나의 관점만을 말한다. 네트워크 보안은 더 강화되어야 한다. 첫째는 법률이 규범되어야 하고, 둘째는 보안 산업정책이 더 완벽해져야 한다. 우리 보안회사 들은 제약과 불공평한 대우를 받을 때가 있다. 셋째는 사용자도 자기의 실제정황에 근거해 자기를 위한 조치를 취해야 하며, 매체들도 여론의 책임이 있다. 여러분들이 관심을 가지고 중시를 해야 만이 더 낫은 보장을 누릴 수 있다.

방청객: 인터넷에 떠도는 소문에 의하면 두 분이 중미 해킹전쟁과 대만공격 등 애국주의활동에 참여했다고 하는데, 비록 지금은 정상적인 사업을 하고 있지만 그래도 옛날사건에 휘말려 조사받을 걱정을 하지는 않는가?

진삼언: 우리는 처음부터 좋은 사람이었다. 때문에 심리상에서 그 어떤 압박감도 없다. 배우는 것과 연구하는 것은 우리의 취미이기 때문에 더 많은 정력을 우리의 기술에 쏟고 있다. 인터넷상에서 떠도는 내용은 대부분은 소문일 뿐이다.

설조하: 중미 해킹전쟁 때 나는 호남성으로 가는 기차 안에 있었기 때문에 참여할 시간이 없었다. 보안을 하는 사람들 중에는 나쁜 일을 해보지 못한 사람들이 더 많다.

10. 해커의 최종 도착점은 어디인가?

방청객: 현재 재미를 목적으로 해킹을 하는 사람들에게 직업과 관련해 어떤 조언을 해줄 것인가?

설조하: 당신이 말한 것은 일부분의 사람이지 전부는 아니다. 이 부류의 사람들은 호기심이 강하다. 하지만 반드시 규정되어야 하며 자칫하다가는 불법을 저지르게 된다. 기술은 연구가치가 충분하기 때문에 많이 연구하고 많은 가치가 있는 툴들을 만들어 합법적으로 돈을 벌고 비용을 받아야 한다.

진삼언: 자기가 배운 것을 합법적으로 사용하는 것은 기본적인 규칙이다. 이 기초에서 자기 직업에 대한 계획을 세워야 하는데, 앞으로 Anti-Hacker 팀이 반드시 생길 것이다. 현재 업내 종사자들은 모두 전문교육기관 출신이 아니지만 일부 해커들이 Anti-Hacker 직업에 종사할 것이다. 기술수준이 일정한 수준에 도달하면 전문가가 되는 것이다.

류홍영: 마지막으로 해커에 대하여 정의를 내리자면?

설조하: 흑객(黑客)이란 말은 Hacker에서 유래되었고 네트워크 공격 및 방어능력을 가진 기술자를 말한다.

진삼언: 컴퓨터 기술을 장악한 모든 사람들 중 최고로 우수한 사람을 말한다.

설조하: 공격과 방어는 창과 방패처럼 떼어놓을 수가 없는 사이이다. 보통 기술자들은 방어능력이 있다고 해서 공격능력도 있는 것은 아니다.

류홍영: 정의한 해커가 어떤 사람이든, 상업목적이 있던 조직을 가진 파괴자이던 간에, 해커세계에는 많은 스토리들이 있고 많은 사건들이 발생하고 있다. 또한, 많은 생존의 비밀규칙들이 있다.

더 많은 것은 우리들의 추측과 표면상의 인식이다. 이번 계기로 여러분들은 해커의 성장과정을 이해하게 되었을 것이다. 오늘의 대담은 여기서 마친다. 참여해준 여러분들에게 감사드린다.

보안뉴스=길민권 기자 reporter21@boannews.com
입력 : 2006.11.23 17:18 22'

경제토론방 100자평 쓰기  블로그 스크랩  이메일  프린트 


 |