광주 고교에서의 답안지 유출 사건으로 본 청소년들의 사이버 범죄 실태와 윤리의식
불법 도박 사이트와 딥페이크 악용한 인터넷 성범죄 등 사이버 범죄 유형도 다양화
청소년들, 사이버 범죄의 파급력과 심각성 인식 필요...실전 교육 통해 욕구 해소시켜야
■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 15화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사
□ 권준 국장 안녕하세요. 보안뉴스의 권준 편집국장입니다.
■ 곽경주 이사 안녕하세요. 곽경주입니다.
[심각한 청소년 사이버 범죄]
□ 권준 국장 최근에 우리나라에서도 크게 이슈가 되었던 것이 광주의 한 사립고교에서 기말고사 시험 문제지와 답안지를 교사 PC화면을 자동 캡쳐하는 프로그램을 사용해서 유출해서 큰 충격을 줬잖아요? 그 사건 접하시고 보안 전문가 입장에서는 어떤 생각이 드셨는지?
■ 곽경주 이사 ‘사이버 범죄에 대한 윤리의식이 전혀 없구나‘라는 생각을 했었고요. 과욕이죠, 과욕. 그런데 이 과욕은 누구나 생각할 수는 있는데요. 그것을 실행에 옮기는 것이 간이 굉장히 큰 것이죠. 극소수의 10대들이기는 하지만 그런 생각을 어떻게 할 수 있는지가 저는 참... 저는 범생이입니다(웃음).
□ 권준 국장 (웃음)
□ 권준 국장 근데 그 친구들 알고 보면 공부도 열심히 했던 친구들이고, 전교회장도 되고 그런 친구들이라고 하는데요. 문제가 심각한 것 같습니다.
[손쉬운 해킹 도구 다운로드]
□ 권준 국장 특히, 범죄에 사용된 프로그램 같은 경우에 시간 별로 (컴퓨터 화면을) 자동 캡쳐를 해서 화면에 있는 이미지를 저장해서 빼내어 간 것으로 알고 있는데요. 해당 프로그램 같은 경우가 시중에서 쉽게 구할 수가 있는 건가요?
■ 곽경주 이사 네, 이것은 구글링만 조금 하면은 손쉽게 구할 수 있고요. 사실 이것(캡쳐 프로그램)을 악성이라고 보기도 어려워요.
□ 권준 국장 그러니깐요.
■ 곽경주 이사 사람들이 누구나 정상적으로 사용하는 편한 프로그램이기 때문에 정상적으로 사용하면 정상인데 이런 상황처럼 악용하면 악성코드거든요. 그래서 백신(프로그램) 같은 것들에서도 거의 탐지를 안 하거나 하더라도 저희 쪽 용어로 ‘PUP’라는 것이 있어요. ‘Potentially Unwanted Program’이라고 해서 악성이라고 보기에는 조금 어려운데, 조금 의심스러운 그런 것을 PUP로 진단을 해서 탐지를 하는 경우들이 있는데 그런 케이스로 잡지 않을까 싶고요. 코딩 자체도 하기가 쉽죠.
□ 권준 국장 네, 그래서 보도를 보면 그 (캡쳐) 프로그램을 변형을 시켜서 그렇게 (시험지 유출을) 했는데, 그렇게 하는 것이 어려운 것은 아니라는 말씀이신 것이죠?
■ 곽경주 이사 네, 네. 복잡한 프로그램은 아니기 때문에.
[점점 더 어려지는 해커들]
□ 권준 국장 이번 사건도 사건이지만 요즘 청소년들이 어려서부터 코딩이라든가 그런 해킹 지식 같은 것들을 습득하면서 요즘에 청소년들이 불법 도박 프로그램 같은 것에도 많이 관여한다고 그러거든요. 청소년들이 사이버 범죄에 쉽게 빠져드는 경향이 있는 것 같아요. ‘(해커의) 연령대가 많이 낮아지고 있다’라는 얘기를 체감하고 계신가요?
■ 곽경주 이사 우리나라뿐만 아니라 해외에서도 해킹 그룹들의 연령이 점점 낮아지고 있어요. 해킹 그룹 조직원들의 상당수가 10대라는 얘기가 많이 나오는데요. 예를 들어서 올해 우리나라 대기업과 마이크로소프트 등 글로벌 기업을 해킹했었던 ‘LAPSUS$’ 그룹도 주축 멤버들이 10대라고 했었고 실제로도 10대로 드러났죠.
사이버 범죄 유형 측면에서 보면 ‘딥페이크’라는 기술이 있어요. 딥페이크는 일종의 합성 기술인데 가장 유명한 영상은 (영화) ‘아이언맨’에 나오는 로버트 다우니 주니어 얼굴에다가 톰크루즈 얼굴 합성시켜서 (조작)했던 것인데요. 실제인지 가짜인지 합성인지 구별하기 힘들 정도로 되게 정교하거든요. 이런 딥페이크 기술을 가지고 성범죄를 하는 경우들이 많이 있어요. 최근에 증가하고 있는데 ‘이런 범죄자들을 잡아보면 10대인 경우가 많았다’고 합니다. 우리나라 얘기입니다.
이 정도로 10대들이 새로운 기술에 대해 습득하는 경우도 많고 요즘 컴퓨터도 대중화되어 있고 코딩도 많이 배우기 때문에 이런 것들(사이버 범죄)을 10대들이 접하고, 그들은 또 윤리의식이 낮다보니까 선생님을 협박한다든가 친구를 협박한다든가 (해킹 능력을) 그런 경우로 사용하고 본인의 불공정한 경쟁을 위해서 사용하는 경우들도 많이 있죠.
[청소년 사이버 범죄의 특징]
□ 권준 국장 특히, 청소년들의 해킹 범죄 유형들이나 차별화된 특징들이 있을까요? 어른들하고 다른?
■ 곽경주 이사 어른들은 정교하죠. 공격 수법이라든가 걸리지 않기 위해서 하는 행위들이 아이들보다는 조금 더. 단어 표현이 좀 애매하네요, 성숙하다고 하기도 좀 그렇고.
□ 권준 국장 그렇죠.
■ 곽경주 이사 (어른들은) 잔머리를 많이 쓰죠. 근데 애들은 아직 그런 정도까지는 안하다보니까 잘 잡혀요. 예전에 조선일보 전광판 해킹했었던 중학생도 인터폴 공조로 잡혔잖아요? 애들은 그런 수준이 완성도가 좀 떨어져요.
[오픈소스 코드의 위험성]
□ 권준 국장 말씀하셨지만 청소년들의 사이버 범죄 문제는 사실 우리나라만의 일은 아닌 것 같거든요. 최근에 저희 <보안뉴스>에서도 보도한 바가 있었는데요. 이탈리아의 한 10대 청소년은 ‘Python’ 리포지터리(Repository)라고 얘기를 많이 하는데 (코딩 오픈소스) 저장소 같은 곳에 랜섬웨어 스크립트를 업로드해서 그것을 다운 받은 사람들이 (랜섬웨어에) 감염되거나 이런 일도 발생했다고 하더라고요. 아무래도 청소년들이 요즘에는 그런 개발이라든가 보안 관련 지식을 얻기 위해서 ‘Github’라든가 (코딩 오픈소스) 저장소들, ‘리포지터리’ 많이 활용을 하잖아요? 이런 곳은 어떤 역할을 하는 곳이고 이용할 때 주의사항이랄까요? (알려주신다면)
■ 곽경주 이사 ‘리포지터리’라고 하면 대표적인 것이 Github에요. 개발자들이 서로의 코드를, 자기가 만든 것을 스스로 공유를 하기도 하고 오픈소스 프로젝트를 만들어서, 거기서 이제 자유롭게 자발적으로 코드를 업데이트 시키고 취약점 있으면 취약점 패치하고 이런 것들을 계속 해나가는 것이거든요. 근데 이 Github 리포지터리 특징 중의 하나가 원본 리포지터리를 클론(Clone)시킬 수 있어요. 복사본을 만들어서 자기만의, 자기 혼자의 그 프로젝트를 이어나갈 수 있는 건데요. 지금 이번 건 같은 경우에는 Github의 원본 리포지터리에다가 악성코드를 심은 것은 아니고 복사본 코드에다가 (악성코드를) 넣은 거예요. 왜냐하면 원본에다가 넣으면 원본 프로젝트에 참여하고 있는 사람들이 그것을 다 보고 있거든요? 누가 코드를 업데이트했고 그런 것이 이력이 다 남아요. 근데 클론시킨 다음에 그곳에 소스코드를 업데이트 시키면 약간 가시성이 떨어지죠. 예를 들어서 아까(시험지 유출 사건) 캡처하는 프로그램을 구글링을 해본다고 가정을 하면요. ‘오토 캡쳐’ 이런 식으로 (검색)하면은 Github 리포지터리가 나오는데, 이것이 원본인지 이것이 클론된 것인지 한 번에 알아보기는 힘들어요. 리포지터리 이름도 비슷할 것이고 이번에도 그런 것들을 올린 것이고요.
그리고 오픈소스로 조금 더 얘기를 확장시켜보면 오픈소스의 위험성은 계속 얘기는 되고 있어요. 작년에 이슈화된 ‘Log4j’ 같은 경우에도 오픈소스의 위험성이었고 그(오픈소스) 안의 코드에 악의적인 행위를 하든지 아니면 취약한 코드가 있는지를 검증하는 것 자체가 굉장히 어렵기 때문이죠. 그런데 대민 서비스를 해야 한다거나 수억 명이 사용하는 그런 서비스들을 만들 때 오픈소스를 사용할 경우는 처음부터 보안인력 등의 전문가들이 같이 붙어서 설계단계부터 그 오픈소스의 취약성이 있는지를 판별해 나가면서 개발을 해야 할 것 같아요.
[사이버 보안 윤리 교육의 필요성]
□ 권준 국장 앞으로 청소년들의 사이버 범죄는 점점 더 증가할 것으로 보이는데요.
이런 것들(사이버 범죄)을 완화시키기 위해서는 어떤 측면의 교육이 강조되어야 할까요?
■ 곽경주 이사 큰 카테고리 안에서는 윤리의식에 대한 교육이 필요한데요. 교육을 할 때 “사이버 범죄도 오프라인 범죄만큼의 파급력을 가질 수 있다”, “영향력을 미칠 수 있다”고 하면서 그런 사례들에 대해서 교육을 많이 시켜줘야 할 것 같아요. 과거 조선일보 (전광판) 해킹도 마찬가지이고, 이번에 있었던 시험지 빼돌리는 것이라든가 그 다음에 딥페이크라든가 이것이 범죄라는 것을 확실하게 주지시켜줘야 돼요. 결국에는 잡힌다는 것을 알아야 하죠. 밥 먹고 맨날 사이버 범죄만 일으키는 애들도 잡히는데, 학교에서 깨작깨작(?) 하는 애들이 안 잡힐 것 같냐 이거죠.
그런데 이것이 인간의 기본적인 욕구이기도 하거든요. 하지 말라는 것을 하고 싶고 보지 말라는 것을 보고 싶은 그런 욕구들이 있는데요. 그 욕구를 분출시켜 줄 수 있는 다른 방식의 모의해킹 사이트를 알려준다든가 아니면 대회에 출전할 수 있게 해준다든가 아니면 지금 ‘BoB’라든가 ‘K-Shield’라든가 이런 학생들 대상의 (IT 보안) 교육들이 많잖아요? 그런 교육으로 잘 유도를 해서 (사이버 보안 인재로) 양성할 수 있도록 해야 할 것 같습니다.
□ 권준 국장 오늘 좋은 말씀해주셔서 감사드리고요. 앞으로도 계속 수고해주시고 우리나라 인터넷 안전을 위해서 많이 힘써주시기 바랍니다.
■ 곽경주 이사 열심히 하겠습니다(웃음).
□ 권준 국장 이상 마치겠습니다. 감사합니다.
■ 곽경주 이사 감사합니다.
[권 준 기자(editor@boannews.com)]
불법 도박 사이트와 딥페이크 악용한 인터넷 성범죄 등 사이버 범죄 유형도 다양화
청소년들, 사이버 범죄의 파급력과 심각성 인식 필요...실전 교육 통해 욕구 해소시켜야
■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 15화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사
□ 권준 국장 안녕하세요. 보안뉴스의 권준 편집국장입니다.
■ 곽경주 이사 안녕하세요. 곽경주입니다.
[심각한 청소년 사이버 범죄]
□ 권준 국장 최근에 우리나라에서도 크게 이슈가 되었던 것이 광주의 한 사립고교에서 기말고사 시험 문제지와 답안지를 교사 PC화면을 자동 캡쳐하는 프로그램을 사용해서 유출해서 큰 충격을 줬잖아요? 그 사건 접하시고 보안 전문가 입장에서는 어떤 생각이 드셨는지?
■ 곽경주 이사 ‘사이버 범죄에 대한 윤리의식이 전혀 없구나‘라는 생각을 했었고요. 과욕이죠, 과욕. 그런데 이 과욕은 누구나 생각할 수는 있는데요. 그것을 실행에 옮기는 것이 간이 굉장히 큰 것이죠. 극소수의 10대들이기는 하지만 그런 생각을 어떻게 할 수 있는지가 저는 참... 저는 범생이입니다(웃음).
□ 권준 국장 (웃음)
□ 권준 국장 근데 그 친구들 알고 보면 공부도 열심히 했던 친구들이고, 전교회장도 되고 그런 친구들이라고 하는데요. 문제가 심각한 것 같습니다.
[손쉬운 해킹 도구 다운로드]
□ 권준 국장 특히, 범죄에 사용된 프로그램 같은 경우에 시간 별로 (컴퓨터 화면을) 자동 캡쳐를 해서 화면에 있는 이미지를 저장해서 빼내어 간 것으로 알고 있는데요. 해당 프로그램 같은 경우가 시중에서 쉽게 구할 수가 있는 건가요?
■ 곽경주 이사 네, 이것은 구글링만 조금 하면은 손쉽게 구할 수 있고요. 사실 이것(캡쳐 프로그램)을 악성이라고 보기도 어려워요.
□ 권준 국장 그러니깐요.
■ 곽경주 이사 사람들이 누구나 정상적으로 사용하는 편한 프로그램이기 때문에 정상적으로 사용하면 정상인데 이런 상황처럼 악용하면 악성코드거든요. 그래서 백신(프로그램) 같은 것들에서도 거의 탐지를 안 하거나 하더라도 저희 쪽 용어로 ‘PUP’라는 것이 있어요. ‘Potentially Unwanted Program’이라고 해서 악성이라고 보기에는 조금 어려운데, 조금 의심스러운 그런 것을 PUP로 진단을 해서 탐지를 하는 경우들이 있는데 그런 케이스로 잡지 않을까 싶고요. 코딩 자체도 하기가 쉽죠.
□ 권준 국장 네, 그래서 보도를 보면 그 (캡쳐) 프로그램을 변형을 시켜서 그렇게 (시험지 유출을) 했는데, 그렇게 하는 것이 어려운 것은 아니라는 말씀이신 것이죠?
■ 곽경주 이사 네, 네. 복잡한 프로그램은 아니기 때문에.
[점점 더 어려지는 해커들]
□ 권준 국장 이번 사건도 사건이지만 요즘 청소년들이 어려서부터 코딩이라든가 그런 해킹 지식 같은 것들을 습득하면서 요즘에 청소년들이 불법 도박 프로그램 같은 것에도 많이 관여한다고 그러거든요. 청소년들이 사이버 범죄에 쉽게 빠져드는 경향이 있는 것 같아요. ‘(해커의) 연령대가 많이 낮아지고 있다’라는 얘기를 체감하고 계신가요?
■ 곽경주 이사 우리나라뿐만 아니라 해외에서도 해킹 그룹들의 연령이 점점 낮아지고 있어요. 해킹 그룹 조직원들의 상당수가 10대라는 얘기가 많이 나오는데요. 예를 들어서 올해 우리나라 대기업과 마이크로소프트 등 글로벌 기업을 해킹했었던 ‘LAPSUS$’ 그룹도 주축 멤버들이 10대라고 했었고 실제로도 10대로 드러났죠.
사이버 범죄 유형 측면에서 보면 ‘딥페이크’라는 기술이 있어요. 딥페이크는 일종의 합성 기술인데 가장 유명한 영상은 (영화) ‘아이언맨’에 나오는 로버트 다우니 주니어 얼굴에다가 톰크루즈 얼굴 합성시켜서 (조작)했던 것인데요. 실제인지 가짜인지 합성인지 구별하기 힘들 정도로 되게 정교하거든요. 이런 딥페이크 기술을 가지고 성범죄를 하는 경우들이 많이 있어요. 최근에 증가하고 있는데 ‘이런 범죄자들을 잡아보면 10대인 경우가 많았다’고 합니다. 우리나라 얘기입니다.
이 정도로 10대들이 새로운 기술에 대해 습득하는 경우도 많고 요즘 컴퓨터도 대중화되어 있고 코딩도 많이 배우기 때문에 이런 것들(사이버 범죄)을 10대들이 접하고, 그들은 또 윤리의식이 낮다보니까 선생님을 협박한다든가 친구를 협박한다든가 (해킹 능력을) 그런 경우로 사용하고 본인의 불공정한 경쟁을 위해서 사용하는 경우들도 많이 있죠.
[청소년 사이버 범죄의 특징]
□ 권준 국장 특히, 청소년들의 해킹 범죄 유형들이나 차별화된 특징들이 있을까요? 어른들하고 다른?
■ 곽경주 이사 어른들은 정교하죠. 공격 수법이라든가 걸리지 않기 위해서 하는 행위들이 아이들보다는 조금 더. 단어 표현이 좀 애매하네요, 성숙하다고 하기도 좀 그렇고.
□ 권준 국장 그렇죠.
■ 곽경주 이사 (어른들은) 잔머리를 많이 쓰죠. 근데 애들은 아직 그런 정도까지는 안하다보니까 잘 잡혀요. 예전에 조선일보 전광판 해킹했었던 중학생도 인터폴 공조로 잡혔잖아요? 애들은 그런 수준이 완성도가 좀 떨어져요.
[오픈소스 코드의 위험성]
□ 권준 국장 말씀하셨지만 청소년들의 사이버 범죄 문제는 사실 우리나라만의 일은 아닌 것 같거든요. 최근에 저희 <보안뉴스>에서도 보도한 바가 있었는데요. 이탈리아의 한 10대 청소년은 ‘Python’ 리포지터리(Repository)라고 얘기를 많이 하는데 (코딩 오픈소스) 저장소 같은 곳에 랜섬웨어 스크립트를 업로드해서 그것을 다운 받은 사람들이 (랜섬웨어에) 감염되거나 이런 일도 발생했다고 하더라고요. 아무래도 청소년들이 요즘에는 그런 개발이라든가 보안 관련 지식을 얻기 위해서 ‘Github’라든가 (코딩 오픈소스) 저장소들, ‘리포지터리’ 많이 활용을 하잖아요? 이런 곳은 어떤 역할을 하는 곳이고 이용할 때 주의사항이랄까요? (알려주신다면)
■ 곽경주 이사 ‘리포지터리’라고 하면 대표적인 것이 Github에요. 개발자들이 서로의 코드를, 자기가 만든 것을 스스로 공유를 하기도 하고 오픈소스 프로젝트를 만들어서, 거기서 이제 자유롭게 자발적으로 코드를 업데이트 시키고 취약점 있으면 취약점 패치하고 이런 것들을 계속 해나가는 것이거든요. 근데 이 Github 리포지터리 특징 중의 하나가 원본 리포지터리를 클론(Clone)시킬 수 있어요. 복사본을 만들어서 자기만의, 자기 혼자의 그 프로젝트를 이어나갈 수 있는 건데요. 지금 이번 건 같은 경우에는 Github의 원본 리포지터리에다가 악성코드를 심은 것은 아니고 복사본 코드에다가 (악성코드를) 넣은 거예요. 왜냐하면 원본에다가 넣으면 원본 프로젝트에 참여하고 있는 사람들이 그것을 다 보고 있거든요? 누가 코드를 업데이트했고 그런 것이 이력이 다 남아요. 근데 클론시킨 다음에 그곳에 소스코드를 업데이트 시키면 약간 가시성이 떨어지죠. 예를 들어서 아까(시험지 유출 사건) 캡처하는 프로그램을 구글링을 해본다고 가정을 하면요. ‘오토 캡쳐’ 이런 식으로 (검색)하면은 Github 리포지터리가 나오는데, 이것이 원본인지 이것이 클론된 것인지 한 번에 알아보기는 힘들어요. 리포지터리 이름도 비슷할 것이고 이번에도 그런 것들을 올린 것이고요.
그리고 오픈소스로 조금 더 얘기를 확장시켜보면 오픈소스의 위험성은 계속 얘기는 되고 있어요. 작년에 이슈화된 ‘Log4j’ 같은 경우에도 오픈소스의 위험성이었고 그(오픈소스) 안의 코드에 악의적인 행위를 하든지 아니면 취약한 코드가 있는지를 검증하는 것 자체가 굉장히 어렵기 때문이죠. 그런데 대민 서비스를 해야 한다거나 수억 명이 사용하는 그런 서비스들을 만들 때 오픈소스를 사용할 경우는 처음부터 보안인력 등의 전문가들이 같이 붙어서 설계단계부터 그 오픈소스의 취약성이 있는지를 판별해 나가면서 개발을 해야 할 것 같아요.
[사이버 보안 윤리 교육의 필요성]
□ 권준 국장 앞으로 청소년들의 사이버 범죄는 점점 더 증가할 것으로 보이는데요.
이런 것들(사이버 범죄)을 완화시키기 위해서는 어떤 측면의 교육이 강조되어야 할까요?
■ 곽경주 이사 큰 카테고리 안에서는 윤리의식에 대한 교육이 필요한데요. 교육을 할 때 “사이버 범죄도 오프라인 범죄만큼의 파급력을 가질 수 있다”, “영향력을 미칠 수 있다”고 하면서 그런 사례들에 대해서 교육을 많이 시켜줘야 할 것 같아요. 과거 조선일보 (전광판) 해킹도 마찬가지이고, 이번에 있었던 시험지 빼돌리는 것이라든가 그 다음에 딥페이크라든가 이것이 범죄라는 것을 확실하게 주지시켜줘야 돼요. 결국에는 잡힌다는 것을 알아야 하죠. 밥 먹고 맨날 사이버 범죄만 일으키는 애들도 잡히는데, 학교에서 깨작깨작(?) 하는 애들이 안 잡힐 것 같냐 이거죠.
그런데 이것이 인간의 기본적인 욕구이기도 하거든요. 하지 말라는 것을 하고 싶고 보지 말라는 것을 보고 싶은 그런 욕구들이 있는데요. 그 욕구를 분출시켜 줄 수 있는 다른 방식의 모의해킹 사이트를 알려준다든가 아니면 대회에 출전할 수 있게 해준다든가 아니면 지금 ‘BoB’라든가 ‘K-Shield’라든가 이런 학생들 대상의 (IT 보안) 교육들이 많잖아요? 그런 교육으로 잘 유도를 해서 (사이버 보안 인재로) 양성할 수 있도록 해야 할 것 같습니다.
□ 권준 국장 오늘 좋은 말씀해주셔서 감사드리고요. 앞으로도 계속 수고해주시고 우리나라 인터넷 안전을 위해서 많이 힘써주시기 바랍니다.
■ 곽경주 이사 열심히 하겠습니다(웃음).
□ 권준 국장 이상 마치겠습니다. 감사합니다.
■ 곽경주 이사 감사합니다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
