해킹대회의 명암
1. 개인 관점에서 본 해킹대회의 목적 및 기대효과
개인은 준비해 온 해킹기술 및 방법을 겨루고, 온라인 상에서만 만나는 독특한 해커를 실제로 만날 수 있다는 기대감으로 해킹대회에 참석한다. 물론 범죄적 성향을 띤 해커도 일부 참여할 수 있으며, 출전한 사람이 금전적 이익을 위해 사회적 필요악인 악당해커로 변신할 수도 있다.
범죄수사드라마나 SF 영화에서 보는 것처럼 해커가 상대방 컴퓨터에 몰래 침입하여 필요한 정보를 빼가거나 증거자료를 타인이 못 보도록 인멸하는 행위 등을 보면 나 자신도 하고 싶은 자기충동에 휩싸일 수 있다. 반면 이러한 공개적인 해킹대회를 통하여 자신의 해킹 기술을 마음껏 과시할 수 있는 네트워크 환경에서 정해진 시간 내에 상대방과 경쟁함으로써 인정받는 행사가 있다는 게 해커에게는 정말 감개무량할 것이다.
해커, 음지에서 양지로
해커가 범죄자로 인식되는 시점에서 오명을 벗을 수 있는 기회이자 무언의 발언을 할 수 있는 유일한 장이 해킹대회라고 말할 수 있다. 해커들은 개인적인 성향에 따라 주변인물과 정보교류, 개인기술 과시, 타인에게 메시지 전달 등을 한다. 그런데 알려지지 않은 고수준의 해킹기법이 외부에 알려지고 악의적인 범죄 용도로 사용하게 되면 큰 손실을 불러일으키게 된다. 따라서 해킹대회를 통하여 어떤 명제를 두고 해커들이 해킹기법 등을 동원하여 풀어나가는 과정을 모니터링하고 분석한다면 신속한 대응책을 마련하게 될 것이다.
2600 The Hacker Quaterly 잡지 해외사이트 (www.2600.com)
이러한 해킹기법 등이 호기심 및 자기과시를 넘어선 생계수단형 해킹으로 변모한 사례를 보자. P군은 어릴 때부터 컴퓨터 천재로 불려왔으며 초창기 애플, IBM XT, AT 컴퓨터 등에서 최신형 컴퓨터까지 골고루 컴퓨터 지식을 쌓아왔다. 아버지의 사업이 부도가 나고 어머니마저 병원신세를 지게 되자 앞으로 살아갈 길이 막막한 상태에 처했다. 어느날 PC방에서 우연히 채팅을 통해 알게 된 S씨로부터 거액의 제안을 받는다. XX은행 서버 점검 시간에 잠깐 계좌이체를 도와달라는 것이었다. 그 일은 내부에서 30분간 보안 모니터링을 정비하는 동안 관리자 계정 및 암호를 가지고 들어가서 작업 후 로그 기록까지 지우고 나오는 일이었다. 이는 숙련된 해킹기술이 호기심 수준을 넘어 금융범죄로 이어진 케이스이다.
해킹에 의한 피해는 해마다 늘어나고 있다. 또한 해킹 오픈 소스가 인터넷으로 급속히 전파되기 때문에 이에 대응하는 비용 및 시간을 계량화하기가 힘들다. 해킹에 무방비한 시스템은 한순간에 유명무실한 시스템으로 전락할 수 있다. 또한 보안장비, 관리 및 예산에 대한 관심이 부족하다면 항상 해킹위험에 노출되어 있다고 봐도 무방하다. 해킹을 하려는 사람을 막기보다는 이러한 사람들의 욕구를 충족할 수 있는 해킹 대회 또는 프로젝트를 수행하게 함으로써 범죄로의 연결을 미연에 방지하고 또 기술적인 발전에도 기여를 할 수 있을 것이다.
2. 업체 관점에서 본 해킹대회의 목적 및 기대효과
국내외 보안제품은 창과 방패의 개념으로 출발하여 우리 주변에 신제품으로 소개된다. 로마시대 전투에서 쓰인 창은 상대방을 제압하는 무기이지만, 구석기 시대에는 생계 유지를 위해 동물을 잡는 포획수단이었다. 또한 방패는 창에 대항하는 방어 무기로 개인을 위한 보호장비이다. 보안제품에는 취약점을 진단하는 도구(스캐닝 프로그램), 공격에 대비하는 제품(침입자 접근 차단/탐지 프로그램) 등이 있으며 창과 방패의 역할을 하고 있다.
보안 관련 이벤트는 신중하게
국내 한 보안 업체는 자사 제품의 완벽한 보안성을 입증하고 우수성을 홍보하기 위해 제품 출시 전에 외부인에게 일시적으로 공개하여 상금을 걸고 보안제품 문제점 찾기를 한 바 있다. 그 결과는 당혹스러웠다. 어떤 분석가가 이 업체 보안제품의 취약점을 게시판에 공개해 제품출시일 자체가 잠정 보류되기에 이르렀다. 이처럼 보안은 완벽할 수 없으며 누군가에 의해 언제 어디서 어떻게 위협을 당할지 모르기 때문에 이러한 이벤트는 자제해야 한다.
국외 한 업체는 현재 출시된 각 사 별 휴대용 제품의 취약점 찾기를 진행했다. 이 행사는 휴대용 제품의 전반적인 문제점을 확인하고 새로 출시되는 모델의 보완점을 찾고자 한 것이었다. 이전 실례와 유사한 성격을 띠지만 대상이 자사제품에 국한된 게 아니라 모든 제품이라는 데 그 차이가 있다.
해커도 일반인과 마찬가지로 인기 제품에 관심을 가진다. 그런 제품이어야 개선점을 찾아서 지적해주고자 하는 충동이 생기기 때문에 신제품의 취약점 찾기에는 미온적일 수밖에 없다. 이처럼 보안제품의 완벽성이 아닌 발견성에 중점을 둔다면 이러한 이벤트 또한 그 의미가 있을 것이다. 업체는 사용자가 안전하게 보안제품을 사용할 수 있도록 해커를 통해 진단하고 향후 제품의 발전을 위해 투자에 박차를 가할 것이라고 본다.
그런데, 보안제품의 취약점을 찾고자 베타테스터를 모집하고 일정기간 사용하도록 하는 과정에서 만일 베타테스터가 직원으로 가장해 분석을 한 후 문제점을 정리한 보고서를 토대로 해킹을 시도한다면 어떻게 될까?
실제로 한 업체에 이런 일이 발생하기도 했다. 자사 제품의 보안성 점검을 위해 외부인력으로 베타테스터를 모집하였다. 베타테스터로 뽑힌 L군은 업체 내 보안제품을 테스트하는 과정에서 내외부망의 네트워크 망 구성도와 접속 IP, 그리고 외부망과 연결된 웹서버의 위치를 파악하게 되었다. 이러한 내용을 USB 저장장치에 담았다. 베타테스터 기간이 끝난 후 L군은 경쟁 업체 임원으로부터 L군이 베타테스트를 했던 업체의 내부망 시스템의 보안장비 일체와 외부에 연결된 접속 IP를 통해 해당 웹사이트를 해킹해달라는 부탁을 받았다. 이처럼 임시직으로 일하면서 보안관련사항을 유출하고 해킹을 시도한다면 아무리 보안이 철저한 회사일지라도 속수무책이다. 정상적인 접속 IP로 들어온 합법적인 해킹은 내부망 접속을 방어수단 없이 허용되기 때문이다.
이러한 해커를 추적하려면 내부자와 외부자와의 접속기록 및 통화내역 등 회사전반에 걸친 대대적인 보안점검을 해야 할 것이다. 이를 위한 시간과 노력, 비용을 해커들의 자유분방한 행동이 표현되는 해킹대회에 투자한다면 이를 통해 얻는 기대효과는 더욱 많지 않을까 생각된다.
3. 국가 관점에서 본 해킹대회의 목적 및 기대효과
http://news.chosun.com/site/data/html_dir/2009/04/05/2009040500986.html (해커세계대전)
국가 경쟁력 강화와 보안전문가 양성을 취지로 국가 차원에서 후원하는 해커들의 행사가 매년 개최된다. 후원 기관에서는 보안 세미나, 보안 제품 전시회 등을 포함해 해커만의 개인모임에서 한층 더 발전된 합법적인 모임으로 변화시켜려고 노력한다.
해킹대회, 국가적 기술력 향상의 기회로
이때 해킹대회의 참석자는 일반인에게 공개되지 않지만 우승자는 시상식 때 신원이 노출된다. 이런 행사의 취지는 최고 기술력을 가진 이들에게 취업 기회 및 국가별로 출전한 해커들에게 영광을 주기 위한 것으로 보인다. 주변국(중국, 북한, 인도 외 아시아권 국가, 주요 선진국) 해커들의 최신 해킹기법을 확보하고 이에 대한 대응책 마련을 위해서는 하니팟(Honey Pot)과 같은 달콤한 유혹과 함께 상금이 뒤따르도록 함으로써 해킹행사에서 개최목적을 명확히 하고 있음을 알 수 있다. 공식적인 규칙과 예의를 모든 갖춘 이른바 신사적인 해커들이 모여서 대회에 임하는 공식행사이기 때문에 개인적으로 범죄적인 해커로 오인해서는 안 된다. 개최국은 국가적 자존심이 걸린 대회이기 때문에 이에 대한 준비 또한 철저하였을 것이며 주변국에 해킹 강대국으로서 국가적 위상을 떨칠 수 있다고 본다.
국가를 상대로 해킹한 해외 웹사이트
국경이 없는 인터넷을 사용하여 애국적 차원에서 해커가 의도적으로 반시위 행위를 하는 경우, 상대국가 주요기관의 웹서버를 다운시키고 정부기관 내 기밀을 외부로 유출하는 행위는 상대국가에 대한 침략 행위로 간주되고 사이버 전쟁으로까지 확대될 수가 있다. 사이버전의 목적은 먼저 적대국가 내 네트워크 망을 마비시키고 통신교란, 해킹을 통해 전산시스템 내 침투하여 악성코드를 유포시켜 무기관리 시스템의 명령을 지연시키는 행위를 하는 데 있다. 실제 전쟁을 하면 과연 승리는 어느 쪽이 우세할지 짐작할 수가 있을 것이다.
국내의 경우 해커가 공공기관을 공격하여 웹서버 게시판을 통하여 반대 여론을 조성하고 국민이 국가에 대한 부정적인 견해를 갖도록 순식간에 바꾸어 쿠데타를 일으킬 수도 있다. 국내 포털 사이트는 전반적인 모든 서비스를 제공하므로 웹메일, 프로그램 제공 시 의도적으로 해커가 해킹 프로그램을 유포해 상대방의 컴퓨터에 설치하면 해커는 자유롭게 타인명의로 개설된 IP에서 원하는 해킹을 할 수 있다,
일반적 범죄자가 수감되어 있는 상황에서도 범죄자의 계정이 사용되고 실제 여러 명의 계정과 비밀번호가 동시에 해킹당하여 포털 사이트에 순차적으로 접속하는 경우 범죄자가 해커라고 판정하기에는 단서가 부족하다. 알리바이를 위해서는 일반적인 범죄자가 외부에서 인터넷을 사용해야 하고 타인의 계정과 비밀번호도 도용해야 하기 때문이다. 이는 외부인의 해킹으로 판단해야 하며 외국에서 접속한 IP임을 확인할 수가 있다.
이처럼 국내에는 다수의 인터넷 서버가 존재하며 계획적으로 해킹을 당하면 국가적인 신인도 하락, 국민의 보안의식 부족, 국산제품에 대한 신뢰도 상실, 금융 전산 시스템의 부실 등을 초래하며 대 혼란의 사태로까지 이어질 수가 있다. 국가에서도 해커의 능력을 인정하고 평가할 수 있는 제도 활성화 및 해킹 대회 등을 통하여 선의적인 해킹을 장려하면 좋지 않을까 생각된다.
세 가지 관점에서 바라본 해킹대회의 명암을 정리하면 대회의 주체, 개최목적, 후원기관에 따라 대회를 바라보는 시각이나 기대효과가 다르기 때문에 부정적인 면과 긍정적인 면을 면밀히 따져 행사의 의도를 알고 참석하면 개인, 기업, 국가 모두 값진 결과를 얻을 수 있다고 본다. @