[다산칼럼] 해커의 패러독스 .. 홍준형 <서울대 교수>

홍준형 < 서울대 교수 / 공법학 >

유명 전산망에 침입해 난동을 부리면 전설이 되는 사람들이 있다.

해커, 크래커라 불리는 사람들이다.

얼마 전에도 야후 CNN 아마존 등 유명한 인터넷 사이트가 해커들에게
집중공격을 받아 서비스가 중단되는 사태가 벌어졌다.

우리나라도 예외는 아니어서 이미 적지 않은 수의 대학이나 주요 기관이
해킹 피해를 입었다.

오히려 지구촌 해커들이 한국의 전산망을 "내집처럼 드나들며" 다른 유명
전산망을 우회공격하기 위한 거점으로 삼고 있다.

한국의 허술한 사이버보안이 국제적인 비난을 받고 있는 실정이다.

정부도 최근 사이버테러에 대한 범정부차원 종합대책을 마련하기에
이르렀다.

최근 국무총리 주재로 9개 관련부처 장관들이 참석한 가운데 열린
"사이버테러방지 관계장관회의"에서 <>사이버테러신고센터 설치
<>"사이버테러기술지원단"의 구성 <>정부.공공전산망이나 은행.증권거래
시스템 등 국가안보나 경제.사회적으로 중요한 정보통신 기반시설에
보안시스템 설치를 의무화하고 강도 높은 처벌규정을 담은 가칭
"정보통신기반보호법"의 제정 등 종합적 대책을 내놓은 것이 그것이다.

정부의 이런 노력은 만시지탄의 감이 없지 않지만 크게 환영할 만한 일이다.

다른 한쪽에서는 해커들이 사이버스페이스의 기린아로 각광을 받고 있다.

"잘 키운 해커들"이 정보통신망의 안전을 약속한다는 말이 공공연히 나돈다.

유명 사이트를 헤집고 다닌 영웅담의 주인공들이 속속 대기업과 관련기관에
융숭한 대우로 특채된 사례들이 사람들의 입에 오르내린다.

얼마 전에는 악명높았던 CIH바이러스보다 더 전파력이 강한 컴퓨터바이러스
를 유포시킨 장본인이 앳된 소년으로 밝혀져 경악을 자아낸 적이 있었다.

그 역시 얼마 후면 유수의 업체나 기관에 특채되지 않을까.

중국이나 북한도 컴퓨터바이러스 특수부대를 운영중인 것으로 알려지고
있다.

이런 상황에서 해킹의 폐해나 위험성을 부정하는 사람은 없을 것이다.

그 사회적 비난 가능성과 불법성도 의문시되지 않는다.

문제는 큰 사고를 쳐야 자신의 실력을 입증할 수 있고 또 사계에 고수로
등단하게 되는 해킹세계의 해적형 경쟁구조에 있다.

물론 해커들의 세계에서 합법과 불법은 그리 큰 관심사가 아니다.

유명 사이트의 보안체계를 어떻게 얼마나 빨리 돌파하느냐가 문제일 뿐이다.

그들은 "주유소 습격사건"마냥 "그냥" 해킹을 감행하고 사라지기도 한다.

여기에 실물 세계의 기성질서와 가치들이 무력화되는 사이버스페이스의
또 하나의 특징이 드러난다.

불법여부만을 따지다가는 전산망이 다 마비돼도 막을 사람이 없을 터이니
뛰어난 해커들을 되살려내어 활용해야 한다.

해킹은 필요악이기도 하다.

강력한 보안프로그램을 만들어 내려면 고난도 해킹에 대한 이해가 절대적
이기 때문이다.

그러나 한 쪽에서는 해킹의 위험성과 반사회성을 강조하면서도 다른 한
쪽에서는 해커의 양성을 외치는 이율배반적 유연성에 석연치 않은 점이 있는
것도 사실이다.

실제로 엄청난 피해를 가져왔거나 초래할 우려가 있는 해커들을 정부까지
나서 후원하게 된 것이 어쩔 수 없는 현실이라 할지라도 "꿩잡는 게 매"라는
식의 게임논리를 내버려 둘 수는 없기 때문이다.

그러기엔 "해커탄생"의 대가가 너무 엄청나지 않은가.

탁월한 재능을 보유한 인력들이 "질 나쁜" 해킹의 유혹에 빠져들지 않도록
만드는 방법은 없을까.

물론 단속과 처벌 강화만으로 폭주족을 근절할 수 없듯이 범죄화전략과
재래식 규제수단으로 "질 나쁜" 해킹을 막는 것은 불가능한 일이다.

그러나 주요전산망의 보안체계를 점검하는 차원에서 모의 해킹시합을
열거나 가상공간에서 방어시스템을 공격해 마음껏 그 재능을 발휘할 수
있도록 하는 해커 콘테스트 같은 방법을 통해 해커들이 선량한 얼굴로
등단할 수 있도록 할 수는 있을 것이다.

그리고 정보보안이 절대적으로 요구되는 기관일수록 그 보안체계를 유지,
개선 또는 설치하기에 앞서 안전점검을 거치도록 할 필요가 있다.

그러려면 그들 기관의 관리자들의 인식이 바뀌어야 한다.

비싼 돈 들인 시스템이니 안전하겠지 하는 방심이나 공연히 시험해보았다가
뚫리면 손해라는 소아병적 태도로는 해커조차 예측 못할 해킹의 위험을
방지할 수 없다.

반면 왜 해킹방지의 주력이 될 전문인력, 즉 선량한 해커들이 제때,충분히
배출되지 못하는지를 생각해 보아야 한다.

정보보호분야의 만성적 인력부족과 낮은 처우는 알만한 사람은 다 아는
보편적 현상이다.

이들에게 해킹이나 바이러스와 씨름하는 것보다 더 고된 일이 있다면 그런
열악한 근무조건, 그리고 사회의 무관심과 싸우는 일이다.

정보보호 전담기구나 인력을 육성하기 위해 노력하기는커녕 걸핏하면
구조조정의 칼날을 들이대며 오히려 사기를 위축시킨 장본인은 누구였던가.

그렇기에 문제가 터지기 전까지는 별반 돈되는 일이 아니라고 소홀히 하다
뒤늦게 생긴 위기의식으로 부랴부랴 종합대책이라는 것을 만들어 내는
정부의 "뒷북행정"을 보면서 진정으로 정보보호분야 전문인력의 소중함을
인식하고 그들을 정당하게 처우할 준비가 되어 있는지, 과연 그렇게 실천할
용의가 있는지 묻고 싶다.

< joonh@snu.ac.kr >

( 한 국 경 제 신 문 2000년 3월 2일자 ).