[뉴스핌=성상우 기자] # 지난해 6월17일 미국의 전 세계 군사 전략을 총괄하는 '펜타곤(미국 국방부를 지칭하는 별명)'의 보안 시스템이 하루만에 138차례 뚫렸다. 국방부 홈페이지를 노린 해커들의 소행이었다. 그러나 펜타곤은 오히려 이들에게 총 7만5000달러를 '상금'으로 지급했다. 상금을 받은 이들은 공익 목적으로 타인의 보안망을 침투해 취약점을 알려주는 '화이트해커'들이다. 구글·페이스북도 자사 보안망을 뚫고 들어온 해커들에게 매년 수백만 달러의 상금을 지급한다. 양지로 나온 '화이트해커'들 덕분에 기업들은 놓치고 있던 보안 취약점을 상시 보강하고 있다.
해커잡는 '화이트해커'를 도입하자는 주장이 제기되고 있다. <이미지=홍종현 미술기자> |
23일 보안업계에 따르면 사이버 보안 대책으로 '화이트 해커'와 '사이버탐정'이 필요하다는 주장이 적극적으로 제기되고 있다. '랜섬웨어' 등 나날이 진화하는 해킹 공격에 대한 대응책으로 보다 고도화된 민간 부문의 보안 역량을 수용해야 한다는 주장이다.
특히, 지난 5월 발생한 랜섬웨어 '워너크라이' 사태는 보안업계에서 지능형 지속 공격(APT; Advanced Persistent Threat)에 대한 논의가 본격적으로 진행되는 계기가 됐다.
APT란 다양한 보안 위협을 만들어 특정 기업 및 기관의 네트워크에 지속적으로 가하는 공격을 뜻한다. 주로 조직 내부 특정 직원의 PC에 악성코드를 심은 뒤 그 PC를 통해 전체 서버나 데이터베이스에 접근, 데이터를 빼오거나 봉인시키는 방식을 사용한다.
문제는 '알려지지 않은' APT는 알려진 패턴의 공격에만 대응할 수 있는 기존 백신들로써는 대응할 수 없다는 점이다. 전문가들이 랜섬웨어를 100% 막을 수 있는 근본 대책은 사실상 없다고 토로하는 이유다.
이에 보안업계에선 '화이트 해커(선의의 해커)'들에게 해커 감시를 맡기자는 논의가 진행 중이다. 랜섬웨어 등 나날이 진화하는 사이버 공격에 제대로 대응하기 위해선 보안 대책도 기존에 없었던 방식으로 진화해야 한다는 취지다.
화이트해커란, '선의의 해커'로서 기업 및 기관의 보안 시스템의 취약점을 발견해 관리자에게 제보함으로써 블랙해커나 크래커(악의의 해커)의 공격을 예방하는 역할을 하는 주체를 의미한다. 타인의 네트워크에 침입한다는 점에서 유사하지만 시스템 취약점을 제보하는 '공익 목적'을 가졌다는 점에서 악의의 해커와 구분된다.
선의 또는 공익 목적을 가진 해커들에게 타인의 정보통신망을 순찰하고 살펴볼 수 있게 하는 '자율 순찰대'의 역할을 맡김으로써 블랙 해커들에게 노출될 수 있는 취약점을 사전에 발견·보완할 수 있도록 하고, 현재 진행 중인 해커의 공격에 대해서도 공격 경로를 즉시 추적할 수 있도록 운신의 폭을 넓혀주자는 내용이 최근 논의의 골자다.
보안업체 SK인포섹의 이재우 시큐디움본부장은 "블랙해커들은 갈수록 조직·기업화되고, 해킹 기법 역시 진화하고 있다"며 "새로운 위협을 연구하고, 이를 방어 체계로 발전시킬 수 있는 화이트해커의 필요성이 점차 높아지고 있다"고 말했다.
화이트해커의 본격적인 활동을 위해 정보통신망법의 개정이 필요하다는 주장도 최근 힘을 받고 있다. 현행 정보통신망법 제 48조 1항은 "누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다"고 명시, 망 진입의 공익목적 여부를 묻지 않고 접근 권한 보유 여부에 따라 일률적으로 제한하고 있다.
IT법률 전문가인 구태언 테크엔로 대표 변호사는 "정보통신망법은 권한없이 타인의 정보통신망에 들어가려는 시도 자체만으로 처벌할 정도로 강하게 규정하고 있다"며 "문제는 해커들은 이 법을 무시하는데 화이트 해커는 정당한 목적으로 들어가는 것도 제한돼있어 악의의 해커들의 활동을 더 자유롭게 해주는 셈"이라고 지적했다.
다만 현재 정보통신망법 제 48조 개정 논의는 현재까지 진행된 바 없다. 논의가 시작된다 하더라도 '해킹의 일반적 허용'을 우려하는 정부의 반발이 예상돼 법 개정까진 많은 진통이 예상되는 상황이다.
랜섬웨어 감염된 PC 화면 <사진-블룸버그> |
이에 우회수단으로써 이른바 '사이버탐정' 신설에 관한 논의가 함께 진행 중이다. 연구 목적이나 공익을 위한 선의 등 주로 자발적인 동기로 활동하는 화이트해커들과 달리 직업으로서 '비즈니스적 동기'를 갖고 사이버 영역에서 활동하는 사립 탐정을 두자는 내용이다.
전문가들은 수사기관의 사이버 범죄 수사 전 단계에서 사이버탐정들의 사이버 공격 모니터링 및 정보 수집 활동을 허용함으로써 민간의 우수한 보안 역량을 효과적으로 활용할 수 있게 될 것으로 기대 중이다.
현재 정치권에서 논의 중인 '민간조사업법'이 통과되면 그 하위 역할 범주 중 하나로 '사이버 영역에서의 증거 및 정보 수집' 활동이 가능한 사이버 탐정이 탄생할 것으로 예상된다.
구 변호사는 "사물인터넷(IoT) 시대로 들어서면서 해킹 공격은 더 치명적인 수준일 것"이라며 "온라인 영역에서 모니터링 및 정보수집을 할 수 있는 '조사권한'을 부여받은 '사이버탐정'을 통해 사이버보안망 상시 감시 체제를 유지할 수 있다"고 말했다.
[뉴스핌 Newspim] 성상우 기자 (swseong@newspim.com)