사이버 전쟁에 대비, 전문 해커를 양성하자는 ‘해커 10만 양병설’이 점차 호응을 얻어가고 있다. 서울지방경찰청 사이버범죄수사대 회의 모습.
임진왜란을 예견하고 일본의 침입을 막고자 율곡 이이가 주장했던 ‘10만 양병설’에 빗댄 ‘해커 10만 양병설’은 과거 이상희 전 과학기술처 장관의 발언에서 비롯됐다. 이 전 장관은 1996년 부산 남구에서 신한국당 후보로 출마하면서 국방 정보화와 교육 정보화를 공약으로 내걸었는데, 국방 정보화 공약의 핵심이 해커 10만 양병설이었다.
연이은 해킹 사고로 해커 끌어안기 한창
앞으로 전쟁은 사이버 전쟁이 될 것이고, 사이버전에서 효율적으로 공격하거나 방어하려면 하드웨어 중심의 군 시스템을 바꿔야 한다는 것. 전자군복무제를 도입, 온라인을 통해 운영되는 해커부대를 창설하자는 것이 그의 주장이었다. 해커 10만 양병설을 내세웠던 이 전 장관의 말은 율곡 이이의 주장이 그랬던 것처럼 10여 년이 지난 아직까지도 실현되지 못한 꿈으로 남았다. 1990년대 중반만 해도 해커 10만 양병설은 사이버 위험에 대한 인식이 과장됐다는 평가를 받았다. 해커의 특성상 잘 쓰이면 본전이고, 자칫하면 해커로 인한 사고위험만 커지기 때문에 정부 차원의 해커 양성이란 요원한 이야기였다.
2009년 7.7 DDoS 대란 같은 사고를 비롯해 중국, 북한 등 대내외적인 해커의 위협이 가시화되면서 해커 10만 양병설에 점차 무게가 실리고 있다(상자기사 참조). 한국인터넷진흥원(KISA)은 ‘KISA 아카데미’에서 해커 전문가 과정을 개설해 3월 오픈할 예정이다. KISA는 대학정보보호 동아리를 대상으로 ‘정보보호 컨퍼런스’도 매년 개최하고 있으며, 정보보호 전문가를 양성하기 위해 기자재, 비용 등을 지원한다. 2009년 31개 대학교의 35개 동아리가 지원을 받았으며 올해는 40여 개 동아리를 지정, 지원할 계획이다.
지식경제부에서는 해커들을 직접 만나 의견을 취합하는 등 해커를 지원하기 위한 정책을 곧 발표할 계획이다. 현재 가장 관심을 두는 일은 언더그라운드에서 활동하는 해커들을 취업시키는 길을 여는 것. 올해 초 국방부가 국방정보본부 예하에 ‘사이버사령부’를 창설한다고 발표해 이와 해커들의 활동을 연계하는 방안도 고민 중이다. 이미 공군은 군에 보안사령부를 신설하는 등 해커의 실질적 활동을 보장하기 위한 계획안을 추진 중인 것으로 알려졌다.
경험 많은 그들 자율적 분위기 조성 필요
정부가 아무리 해커 끌어안기에 나선다고 해도 근본적인 태도 변화 없이는 해커를 정부 차원에서 수용할 수 없다. 지난해 말, 서울시는 해커 출신 공무원을 영입하고자 채용공고를 낸 바 있다. 당시 서울시는 공무원법 기본 요건에 따라 정보보안 분석요원도 나급 공무원이기 때문에 자격요건에 최소 ‘석사 이상’이라는 꼬리표를 붙여놨다.
대졸, 그것도 명문대 출신에 대한 선호도가 높은 대한민국 사회에서 아무리 날고 기는 해킹 실력을 지녀도 인정받기 어렵다. 해커들의 세계에서 학력 따위는 중요하지 않다. 해커들에게 중요한 것은 해킹 경험. 노트북 컴퓨터 도청 가능성을 언론에 발표하며 반향을 일으킨 시큐어연구회 이경태 회장도 “고등학교 때 해킹에 빠져 대학에 가는 걸 무의미하게 생각했다”고 말했다. 이 회장은 고등학교 때부터 해킹과 관련한 다양한 경험을 쌓아 1999년부터 시큐어연구회를 만들어 현재까지 운영하고 있다.
얼마 전 모 언론이 ‘해커 엑소더스’라는 제목의 기사에서 고액 연봉을 받고 해외로 빠져나가는 해커들의 실태를 다뤄 주목받은 바 있다. 하지만 해커들은 이 기사에서처럼 고액 연봉을 받기 위해서가 아니라 자유로운 근무환경 때문에 해외를 선호한다. 해커 커뮤니티 ‘파도콘’의 심준보 회장은 “해외에서는 해커들이 자유롭게 연구할 수 있는 환경을 마련해준다. 자유로운 출퇴근, 업무에 대한 자율성 등이 존중되는데 국내에서는 근태관리를 철저히 하고 조직에 융화되지 못하면 왕따를 만들어 버텨내기 어렵다”고 말한다.
포털에서 ‘해킹학원’을 검색하면 수많은 해킹학원 정보가 쏟아진다. 서울 종로구에 자리한 해킹전문교육센터.
학력 제한과 조직문화에 충성하기를 원하는 한국사회에서 해커들이 자신의 실력을 공식적으로 뽐낼 수 있는 공간은 각종 ‘해킹방어대회’ 정도다. 2009년 국내외에서 치러진 해킹대회는 14건 이상. 1월부터 거의 매달 각종 해킹대회가 열렸다. 해커들의 대축제라 할 수 있는 국제해킹대회 ‘데프콘’부터 ‘코드게이트 해킹방어대회’ ‘파도콘 라이브해킹대회’까지 해킹대회의 주체도 해커 커뮤니티·대학·기업·공공기관·언론 등 다양하다.
혹자는 해킹대회만 휩쓸어도 연봉이 나오겠다고 하는데 실상은 다르다. 매달 개최된다 해도 해외에서 열리는 대회에는 참가 자체가 어렵고, 해킹대회에서 내거는 상금과 노트북 등의 부상으로 생활하는 것은 불가능하다. 특히 해커들은 해킹대회가 기업의 이벤트성, 공공기관의 생색내기 행사로 전락하고 있다는 데 불만이 많다. 해킹대회를 통해 기업 이미지를 높이려는 전략에 그친다는 것. 해킹대회에서 우수한 성적을 거둔 인재를 영입, 기업에 활용하겠다는 목표를 내걸지만 실상 정직원으로 채용하는 경우는 미미하다. 앞서 언급한 학력과 조직문화가 장애물이 된다.
해커도 학원 가서 배운다?
정형화된 문제에 익숙해져 있고 인터넷을 통해 각종 해킹툴을 쉽게 구할 수 있다 보니, 정작 새로운 툴을 만들어낼 수 있는 실력을 갖춘 해커는 줄어들고 있다. 검색사이트에 들어가보면 해커를 꿈꾸는 어린 학생들이 해커가 되는 방법에 대해 질문하는 글이 많이 올라온다. 뭐든지 학원에서 배우는 데 익숙해진 탓에 해킹전문학원, 해커양성교육학원 등 각양각색의 학원이 있지만, 여기서 전문적인 해커가 되는 방법을 배울 수 있으리라 생각하면 오산이다. 학원에서는 해커를 양성하는 게 아니라 컴퓨터의 기본부터 전산전문가 정도를 양성하는 데 그친다.
실력 있는 해커 대부분은 해커 커뮤니티를 통해 양산된다. 터보테크에서 모의 해킹 업무를 담당하는 류재훈 대리는 “학원에서 기본을 배울 수도 있지만, 그렇게 해서 실력 있는 해커가 됐다는 이야기는 못 들었다”며 “대부분 게임 등에 흥미를 가져 좀더 컴퓨터에 능숙해질 수 없을까 하고 이것저것 인터넷을 뒤지다가 해커 커뮤니티에 들어가 해킹의 실질적인 기술을 배운다”고 말했다.
보안 관련 사고가 나면 늘 “건전한 해커의 필요성이 절실하다” “해커들을 양지로 끌어내 문제점을 진단하고 대책을 마련해야 한다”는 등의 말이 관행적으로 나온다. 관련 전문가들은 “개선되지 못하는 우리의 태도에 가장 근본적인 문제가 있다”고 진단한다. 보안업계 한 관계자는 “해커의 장점을 활용하려면 그들이 우리와 다른 특성을 지닌 존재라는 점을 인정해주는 열린 마음자세가 필요하다”고 말했다. 해커가 자신의 능력을 음지에서 활용해 정부와 국민의 적이 될지, 아니면 양지에서 국민의 안전을 위해 실력을 발휘할지는 결국 우리의 태도에 달렸다.
|