범죄는 범죄, 착한 의도를 가졌다 해도 옹호되어서는 안 돼 범죄와 보안 실험을 구분하는 건 고결성, 곧 보안 전체의 정체성

[보안뉴스 문가용] 세계적인 정보보안 교육 및 인증서 발급 기관이자 ISEC 2015의 공동 주관기관인 (ISC)²의 신임 CEO 데이비드 쉬어러(David Shearer)는 행사를 여는 키노트 스피치를 통해 ‘고결성’이 정보보안의 진정한 실력이 되어야 할 것임을 강조했다.
 


일단 쉬어러 CEO는 사이버 보안 즉 Cyber Security라고 통용되는 ‘사이버 보안’ 혹은 ‘정보보안’이라는 용어의 의미가 문화와 법 체계가 다른 여러 나라에 번역되면서, 또 산업의 지형도가 시간에 따라 변화해가면서 변질되는 것을 우려했다. “세계 곳곳에서 사이버 시큐티리라는 말이 사용되지만 그 뜻은 나라마다 조금씩 다릅니다. 특히 갖가지 상황이 일어나다보니 여러 가지 뜻과 의미가 단어 안에 담기고, 그에 따라 자꾸만 그 사용방법이 확장되고 있습니다. 이게 과연 맞는 걸까요?”

쉬어러 회장은 설명을 이어갔다. “화이트햇, 블랙햇, 윤리적 해커, 크래커 등 보안 전문가를 지칭하는 듯 하면서도 범죄자 해커를 지칭하는 건지 헷갈리게 하는 용어들이 많습니다. 그러면서 혼란을 야기하죠. 윤리적 해커는 침투 테스터 혹은 페네트레이션 테스터보다 기술적으로 조금 떨어지는 듯한 뉘앙스로 통용되고 있으며 분명히 보안관련 행사인데 ‘해커’라는 용어를 이름에 달고 있기도 합니다.” 이는 단순히 이름을 뭐라고 붙이느냐의 문제가 아니다. “용어가 다르기 때문에 이들의 관리가 힘들어지고, 그렇기 때문에 법이 천차만별로 바뀌는 것이죠.”

하지만 그의 메시지는 분명하다. “의도야 어찌됐든 범죄 행위는 범죄 행위입니다. 너네 집 문이 얼마나 단단한지 실험하려고 허락 없이 문을 따고 들어와 봤다고 해봐야 결국 무단침입 했다고 자백하는 꼴인 것과 마찬가지죠. 나라마다 다르긴 하지만 범죄에 대한 기준이 법적으로 분명히 마련되어 있고, 그것에 반하는 행위를 하고 나서 ‘보안 조사’를 했다고 할 수는 없습니다. 그걸 그런 식으로 옹호해서도 안 되고요.” 하지만 요즘 일부 보안 전문가들 사이에서 해킹이 굉장히 멋지고 매력적인 일이라는 인식이 퍼지고 있는 것 같아 걱정이라고 그는 덧붙였다. “해커들을 미화시켜 놓는 일부 영화나 소설들에도 책임이 없지 않습니다.”

그래서 보안은 ‘뭐가 맞는지 또 뭐가 틀리는지’부터 알려주는 교육을 해야 한다고 그는 강조한다. 그렇기 때문에 정보보안 교육은 이제 아동기 때부터 학교교육의 일부로서 시작해야 한다고 그는 주장했다. “그래야 실수로라도 해킹과 보안 테스트를 구분 못해 실수하지 않도록 도울 수 있겠죠.” 현재 교육가로 정보보안 업계에서 바쁘게 돌아다니고 있는 그는 “정보보안은 항상 윤리적인 기준을 가지고, 그를 따라야 합니다. 그렇지 않으면 우리는 해커나 다름이 없게 되는 것이죠. 고결성의 기준을 가지고 있을 때 우린 비로소 보안 전문가가 될 수 있다고 봅니다”라고 말했다.

경계가 흐려진다고 하고 융복합에 대한 이야기가 사람들의 입에 오르내릴 때이지만 나쁜 것과 좋은 것의 경계마저 흐트러지면 안 되는 것은, 그것이 정보보안의 뿌리 및 정체성과 직결되는 문제이기 때문이다. 올해로 9년차를 맞은 ISEC 2015는 갈수록 혼란해지는 사이버 보안 시대에 올곧은 중심기둥 하나 세우고 시작했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>