전문기술 습득한 사이버범죄 줄줄이 포착...윤리성, 직업의식 부재 도마 위
인재양성: 검증된 인성과 자질로 선별, 윤리교육 강화, 사후관리 필수
보안종사자: 합법과 불법에 대한 인식 제고와 처우개선 중요
[보안뉴스 김경애] 최근 들어 화이트해커, 프로그래머, 정보보호 관련 종사자들이 사이버범죄의 유혹에 넘어가 범죄에 가담하는 사건이 잇따라 발생하고 있다. 이로 인해 IT, 보안전문가들의 윤리성 문제가 또 다시 수면위로 부상하고 있다. 더욱이 미래부가 2016년 업무보고를 통해 소프트웨어 교육을 초·중등으로 확대할 계획을 밝힌 상황에서 10대, 20대의 사이버범죄도 잇따라 적발되고 있어 윤리와 인성교육이 갈수록 중요해지고 있다.
전문기술 습득해 고스란히 범죄에 악용
지난 19일에 해외에 서버를 두고 800억원대 도박사이트를 운영해온 권모 씨가 경찰에 붙잡혔다. 그는 지난 1997년부터 2003년까지 네트워크 관련 회사를 운영한 바 있는데, 네트워크 운영 경험과 전문지식을 이용해 VPN으로 일본에서 접속한 것처럼 IP를 위장했다. 이러한 수법으로 그동안 국내 운영사무실의 위치를 숨기고 수사기관의 추적을 피해왔으며, 악성코드 차단 솔루션이 없고, 노후된 프로그램이 대다수인 PC방의 허술함을 노리고 범행을 저질렀다.
이와 함께 18일 전국 7,459개 PC방의 약 47만대 PC를 감염시키고, 4년간 좀비PC로 악용한 A모 씨는 IT 벤처 사업가와 수도권 지역의 유명대학 컴퓨터학과 중퇴 출신으로 알려졌다. 그는 16년간 프로그래머로 활동한 경력을 바탕으로 백신 등 보안 솔루션 탐지를 우회하는 고도의 기술을 사용해 악성코드를 제작·유포했다.
2015년 3월에는 인터넷 보안전문가가 불법 도박업자로부터 10억 원을 받고 경쟁 도박사이트를 해킹해 마비시킨 혐의로 구속됐으며, 2014년 11월 온라인결제 취약점을 이용해 부당이득을 챙긴 프로그래머 김모 씨는 명문대 컴퓨터공학과 출신의 6년 경력 프로그래머로 알려졌다.
대학생들의 경우도 윤리의식 부재가 심각하다는 지적이 나온다. 2015년 8월에는 인하대학교 학생들이 조직적으로 교수의 계정과 전산시스템을 해킹해 출결, 과제, 성적 등을 조작한 사실이 드러났다. 이들은 인하대학교 해킹보안동아리 출신으로 당시 사건은 경찰조사까지 이어지지 않았고, 학교측 징계로 마무리된 것으로 알려졌다.
10대가 저지른 사이버범죄 역시 예외는 아니다. 지난 12월에는 고교생 3명이 웹하드 사이트를 통해 악성프로그램을 유포해 좀비PC를 만들고 넥슨 게임 서버에 장애를 일으켰으며, ‘번개장터’ 어플에 엑소 콘서트 티켓과 박서준 팬미팅 티켓을 양도한다는 허위 글로 유인해 돈을 가로챈 10대도 경찰에 붙잡혔다. 또한, ‘좋아요’ 수가 많은 페이스북 페이지의 관리자 계정 해킹프로그램을 판매한 고등학생 D군은 ‘악성코드 백신 우회’, ‘디도스 공격’, ‘해킹툴’ 등 기능별 프로그램 제작 의뢰 등의 광고 글을 게시하고, ‘○○소프트’ 라는 회사이름까지 만들었다.
소명의식 부족한 인재양성, 부작용 드러나
이렇듯 정보보호관련 기술을 익혀 사이버범죄에 악용하는 사례가 잇따라 발생하고 있다. 이와 관련 서울여대 김명주 교수는 “오랜 기간 IT 분야에 종사한 숙련기술자가 자신의 경험과 지식을 범죄에 활용하는 것은 어느 정도 예견된 부작용”이라며 “이미 오래 전부터 직업윤리가 전제되지 않는 전문기술인 양성제도가 서서히 그 부작용을 드러내는 것”이라고 지적했다.
플라이하이 김기영 실장은 “보안 분야 일을 하게 되면 많은 것을 알게 되는데, 할 수 있다고 해서 다 해버리면 문제가 된다. 이는 곧 힘이 세다고 다른 사람을 때리거나 죽이는 것과 마찬가지”라며 “보안 분야는 양날의 검과 같이 양면성이 있기 때문에 잘 쓰면 좋을 수 있지만 나쁘게 사용하면 독이 된다. 이로 인해 무엇보다 인성이 중요하며, 인재양성에도 태도와 자세, 인성 등의 자질을 집중적으로 살펴봐야 한다”고 말했다.
특히, 어린 학생일수록 범죄에 대한 인식수준이 미흡할 수 있어 윤리 및 인성 교육은 매우 중요하다. 이는 각종 청소년 해킹대회에서 부정행위가 발각되는 사례만 보더라도 알 수 있다. 특히, 정부에서 지원하는 인재양성 프로그램에서의 인성 및 윤리교육이 더욱 강화되어야 한다고 전문가들은 입을 모은다.
이와 관련 본지에 관련 문제를 제기한 한 제보자는 “국가에서 지원하는 정보보안 인재양성 프로그램의 경우 교육생 선발과정에서 좀더 검증된 인성검사를 통한 선별작업이 필요하다”며 “마음만 한번 잘못 품으면 해킹사고 등 사이버범죄를 일으킬 수 있기 때문에 검증체계와 사후관리가 한층 더 강화되어야 한다”고 지적했다.
인성과 자질로 검증...윤리교육은 강화
특히, 정보보호 분야에서의 인력양성은 검증된 인성 테스트를 거쳐 대상자를 선별해야 하고, 윤리교육이 강화되어야 한다는 게 보안전문가들의 공통된 의견이다.
그레이해쉬 이승진 대표는 “도덕점수를 잘 맞는다고 해서 범죄를 안 저지르는 건 아니지만 차세대 보안리더 양성 프로그램인 BoB(Best Of the Best)나 서울여자대학교처럼 사전에 적성테스트, 인성 검사를 진행하는 것이 바람직하다”며 “기업, 정보보호 교육분야에서 이를 도입하고 확대해야 한다”고 말했다.
한 보안전문가 역시 “보안에서의 윤리는 가장 기본이다. 사고 후 징계도 필요하겠지만, 무엇보다 보안기술을 익힐 때 법적·윤리적 사항을 반드시 알아야 하며, 범죄전력이 있는 사람에게는 취업 제한 등의 조치가 요구된다”며 “어린 학생일수록 윤리의식 확립을 위한 체계적인 교육이 필요하다”고 말했다.
이어 김명주 교수는 “세월호 사건 때 승객들을 방치하고 혼자 먼저 탈출한 선장 사례를 놓고 ‘직업윤리’의 중요성이 부각된 바 있는데, 직업윤리는 선진사회로 들어갈수록 더욱 필요한 요소로 꼽히고 있다”며 “특히, 정보화 사회 기반이 확대될수록 직업윤리가 더욱 중요해지고 있어 정보보호 전문가들의 직업의식에 대한 점검이 필요하다”고 밝혔다.
이에 서울여대도 2년 전부터 정보보호 영재교육원이 진행하는 중고등학생 대상 교육에서 전체 교육시간의 30%를 직업윤리, 인성 교육에 치중하고 있다는 것. 이렇듯 교육이나 대학입학 전, 주요 시스템 관리자 채용 시에는 인성검사가 선행되어야 한다는 게 그의 설명이다.
인재양성은 사후관리 필수, 정보보호 업무는 처우개선 중요
일각에서는 사이버범죄를 저지른 학생들의 징계 수준에도 문제가 있다는 의견이 제기됐다. 이에 대해 한 제보자는 “인하대 해킹동아리 사건의 경우 학교 측은 자체적으로 정학 수준으로 마무리됐다”며 “이는 조직적으로 전산망을 해킹한 범죄자들에게 너무 약한 처벌이다. 사이버범죄에 있어 윤리문제는 가볍게 넘어갈 문제가 아니다”라고 지적했다.
그레이해쉬 정구홍 수석은 “음지의 해커들을 계속해서 양지로 끌어내는 것이 중요하다”며 “그런 측면에서 각종 해킹대회, 보안 컨퍼런스를 비롯해 입문자들에게 방향성을 제시하는 해킹캠프나 BoB와 같은 인재양성 프로그램이 그 역할을 어느 정도 잘 해주고 있다. 오픈된 커뮤니티를 통해 다양한 사람들, 특히 올바른 가치관을 가진 선배, 멘토들과 교류하게 되면서 자연스럽게 하지말아야 하는 것들을 알게 될 수 있다. 또한, 지속적인 교류를 토대로 취업까지 연결되어 합법적으로 자신의 기술을 발휘할 수 있는 제대로 된 직업을 가질 수 있게 된다”고 설명했다.
이어 정구홍 수석은 “해킹을 처음 접하는 친구들이 양지에서 공부하고 커뮤니케이션 할 수 있도록 교육 환경을 더욱 확대시켜 나가야 한다. 그리고 이들에게 올바른 인성과 가치관을 심어줄 수 있는 운영방안을 계속해서 고민해야 한다”고 강조했다.
김명주 교수는 “IT 전문가들은 다른 직업에 비해 어렵게 배우고 오랜 기간 훈련한 전문인인 만큼 사회적으로는 적절한 대우가 필요하다”며 “그러나 현실은 그렇지 않아 한탕주의 범죄의 유혹을 받는 것이 사실이며, 사회적으로 부당한 대우도 여기에 한몫을 하고 있다”고 전했다.
합법과 불법에 대한 명확한 인식 제고 필수
또 다른 의견으로는 사이버범죄에 대한 범죄 인식 수준이 낮은 점과 합법과 불법에 대한 명확한 인식 제고도 거론됐다.
한 보안전문가는 “잘 뚫는 사람이 막는 것도 잘 한다면서 기존 인식과 다르게 생각하는 사람들도 분명 있다”며 “과거 불법 해킹 경력자들이 만든 보안회사에서 고객을 해킹한 사례를 보면 아직까지 범죄에 대한 인식 수준이 낮다”고 지적했다.
시큐리티플러스 박형근 대표는 “합법과 불법에 대한 명확한 인식 제고 없이 무조건 화이트해커를 추켜 세우는 업계 분위기도 이런 문제를 야기하는데 한 몫한다”며 “화이트해커라는 의미 자체가 목적이 순수하다면 결과가 어찌됐던 상관없다는 의미가 담겨져 있어, 보안전문가의 길을 가려는 꿈나무들에게 혼동을 야기시킬 수도 있다”고 지적했다. 결국 이는 기업이나 서비스 제공자 입장에서는 화이트나 블랙이나 한끝 차이라는 얘기다.
그러면서 박형근 대표는 “교육 프로그램이 균형 잡힌 시각을 갖춘 상황에서 공인된 침투 테스트 전문가를 키워 내는 것을 목표로 하고 관리되어야 한다”며 “기업에서도 중요 서비스에 대해서는 외부 침투 테스트 전문가의 도움을 받는 버그바운티 제도를 적극 활용해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
인재양성: 검증된 인성과 자질로 선별, 윤리교육 강화, 사후관리 필수
보안종사자: 합법과 불법에 대한 인식 제고와 처우개선 중요
[보안뉴스 김경애] 최근 들어 화이트해커, 프로그래머, 정보보호 관련 종사자들이 사이버범죄의 유혹에 넘어가 범죄에 가담하는 사건이 잇따라 발생하고 있다. 이로 인해 IT, 보안전문가들의 윤리성 문제가 또 다시 수면위로 부상하고 있다. 더욱이 미래부가 2016년 업무보고를 통해 소프트웨어 교육을 초·중등으로 확대할 계획을 밝힌 상황에서 10대, 20대의 사이버범죄도 잇따라 적발되고 있어 윤리와 인성교육이 갈수록 중요해지고 있다.
전문기술 습득해 고스란히 범죄에 악용
지난 19일에 해외에 서버를 두고 800억원대 도박사이트를 운영해온 권모 씨가 경찰에 붙잡혔다. 그는 지난 1997년부터 2003년까지 네트워크 관련 회사를 운영한 바 있는데, 네트워크 운영 경험과 전문지식을 이용해 VPN으로 일본에서 접속한 것처럼 IP를 위장했다. 이러한 수법으로 그동안 국내 운영사무실의 위치를 숨기고 수사기관의 추적을 피해왔으며, 악성코드 차단 솔루션이 없고, 노후된 프로그램이 대다수인 PC방의 허술함을 노리고 범행을 저질렀다.
이와 함께 18일 전국 7,459개 PC방의 약 47만대 PC를 감염시키고, 4년간 좀비PC로 악용한 A모 씨는 IT 벤처 사업가와 수도권 지역의 유명대학 컴퓨터학과 중퇴 출신으로 알려졌다. 그는 16년간 프로그래머로 활동한 경력을 바탕으로 백신 등 보안 솔루션 탐지를 우회하는 고도의 기술을 사용해 악성코드를 제작·유포했다.
2015년 3월에는 인터넷 보안전문가가 불법 도박업자로부터 10억 원을 받고 경쟁 도박사이트를 해킹해 마비시킨 혐의로 구속됐으며, 2014년 11월 온라인결제 취약점을 이용해 부당이득을 챙긴 프로그래머 김모 씨는 명문대 컴퓨터공학과 출신의 6년 경력 프로그래머로 알려졌다.
대학생들의 경우도 윤리의식 부재가 심각하다는 지적이 나온다. 2015년 8월에는 인하대학교 학생들이 조직적으로 교수의 계정과 전산시스템을 해킹해 출결, 과제, 성적 등을 조작한 사실이 드러났다. 이들은 인하대학교 해킹보안동아리 출신으로 당시 사건은 경찰조사까지 이어지지 않았고, 학교측 징계로 마무리된 것으로 알려졌다.
10대가 저지른 사이버범죄 역시 예외는 아니다. 지난 12월에는 고교생 3명이 웹하드 사이트를 통해 악성프로그램을 유포해 좀비PC를 만들고 넥슨 게임 서버에 장애를 일으켰으며, ‘번개장터’ 어플에 엑소 콘서트 티켓과 박서준 팬미팅 티켓을 양도한다는 허위 글로 유인해 돈을 가로챈 10대도 경찰에 붙잡혔다. 또한, ‘좋아요’ 수가 많은 페이스북 페이지의 관리자 계정 해킹프로그램을 판매한 고등학생 D군은 ‘악성코드 백신 우회’, ‘디도스 공격’, ‘해킹툴’ 등 기능별 프로그램 제작 의뢰 등의 광고 글을 게시하고, ‘○○소프트’ 라는 회사이름까지 만들었다.
소명의식 부족한 인재양성, 부작용 드러나
이렇듯 정보보호관련 기술을 익혀 사이버범죄에 악용하는 사례가 잇따라 발생하고 있다. 이와 관련 서울여대 김명주 교수는 “오랜 기간 IT 분야에 종사한 숙련기술자가 자신의 경험과 지식을 범죄에 활용하는 것은 어느 정도 예견된 부작용”이라며 “이미 오래 전부터 직업윤리가 전제되지 않는 전문기술인 양성제도가 서서히 그 부작용을 드러내는 것”이라고 지적했다.
플라이하이 김기영 실장은 “보안 분야 일을 하게 되면 많은 것을 알게 되는데, 할 수 있다고 해서 다 해버리면 문제가 된다. 이는 곧 힘이 세다고 다른 사람을 때리거나 죽이는 것과 마찬가지”라며 “보안 분야는 양날의 검과 같이 양면성이 있기 때문에 잘 쓰면 좋을 수 있지만 나쁘게 사용하면 독이 된다. 이로 인해 무엇보다 인성이 중요하며, 인재양성에도 태도와 자세, 인성 등의 자질을 집중적으로 살펴봐야 한다”고 말했다.
특히, 어린 학생일수록 범죄에 대한 인식수준이 미흡할 수 있어 윤리 및 인성 교육은 매우 중요하다. 이는 각종 청소년 해킹대회에서 부정행위가 발각되는 사례만 보더라도 알 수 있다. 특히, 정부에서 지원하는 인재양성 프로그램에서의 인성 및 윤리교육이 더욱 강화되어야 한다고 전문가들은 입을 모은다.
이와 관련 본지에 관련 문제를 제기한 한 제보자는 “국가에서 지원하는 정보보안 인재양성 프로그램의 경우 교육생 선발과정에서 좀더 검증된 인성검사를 통한 선별작업이 필요하다”며 “마음만 한번 잘못 품으면 해킹사고 등 사이버범죄를 일으킬 수 있기 때문에 검증체계와 사후관리가 한층 더 강화되어야 한다”고 지적했다.
인성과 자질로 검증...윤리교육은 강화
특히, 정보보호 분야에서의 인력양성은 검증된 인성 테스트를 거쳐 대상자를 선별해야 하고, 윤리교육이 강화되어야 한다는 게 보안전문가들의 공통된 의견이다.
그레이해쉬 이승진 대표는 “도덕점수를 잘 맞는다고 해서 범죄를 안 저지르는 건 아니지만 차세대 보안리더 양성 프로그램인 BoB(Best Of the Best)나 서울여자대학교처럼 사전에 적성테스트, 인성 검사를 진행하는 것이 바람직하다”며 “기업, 정보보호 교육분야에서 이를 도입하고 확대해야 한다”고 말했다.
한 보안전문가 역시 “보안에서의 윤리는 가장 기본이다. 사고 후 징계도 필요하겠지만, 무엇보다 보안기술을 익힐 때 법적·윤리적 사항을 반드시 알아야 하며, 범죄전력이 있는 사람에게는 취업 제한 등의 조치가 요구된다”며 “어린 학생일수록 윤리의식 확립을 위한 체계적인 교육이 필요하다”고 말했다.
이어 김명주 교수는 “세월호 사건 때 승객들을 방치하고 혼자 먼저 탈출한 선장 사례를 놓고 ‘직업윤리’의 중요성이 부각된 바 있는데, 직업윤리는 선진사회로 들어갈수록 더욱 필요한 요소로 꼽히고 있다”며 “특히, 정보화 사회 기반이 확대될수록 직업윤리가 더욱 중요해지고 있어 정보보호 전문가들의 직업의식에 대한 점검이 필요하다”고 밝혔다.
이에 서울여대도 2년 전부터 정보보호 영재교육원이 진행하는 중고등학생 대상 교육에서 전체 교육시간의 30%를 직업윤리, 인성 교육에 치중하고 있다는 것. 이렇듯 교육이나 대학입학 전, 주요 시스템 관리자 채용 시에는 인성검사가 선행되어야 한다는 게 그의 설명이다.
인재양성은 사후관리 필수, 정보보호 업무는 처우개선 중요
일각에서는 사이버범죄를 저지른 학생들의 징계 수준에도 문제가 있다는 의견이 제기됐다. 이에 대해 한 제보자는 “인하대 해킹동아리 사건의 경우 학교 측은 자체적으로 정학 수준으로 마무리됐다”며 “이는 조직적으로 전산망을 해킹한 범죄자들에게 너무 약한 처벌이다. 사이버범죄에 있어 윤리문제는 가볍게 넘어갈 문제가 아니다”라고 지적했다.
그레이해쉬 정구홍 수석은 “음지의 해커들을 계속해서 양지로 끌어내는 것이 중요하다”며 “그런 측면에서 각종 해킹대회, 보안 컨퍼런스를 비롯해 입문자들에게 방향성을 제시하는 해킹캠프나 BoB와 같은 인재양성 프로그램이 그 역할을 어느 정도 잘 해주고 있다. 오픈된 커뮤니티를 통해 다양한 사람들, 특히 올바른 가치관을 가진 선배, 멘토들과 교류하게 되면서 자연스럽게 하지말아야 하는 것들을 알게 될 수 있다. 또한, 지속적인 교류를 토대로 취업까지 연결되어 합법적으로 자신의 기술을 발휘할 수 있는 제대로 된 직업을 가질 수 있게 된다”고 설명했다.
이어 정구홍 수석은 “해킹을 처음 접하는 친구들이 양지에서 공부하고 커뮤니케이션 할 수 있도록 교육 환경을 더욱 확대시켜 나가야 한다. 그리고 이들에게 올바른 인성과 가치관을 심어줄 수 있는 운영방안을 계속해서 고민해야 한다”고 강조했다.
김명주 교수는 “IT 전문가들은 다른 직업에 비해 어렵게 배우고 오랜 기간 훈련한 전문인인 만큼 사회적으로는 적절한 대우가 필요하다”며 “그러나 현실은 그렇지 않아 한탕주의 범죄의 유혹을 받는 것이 사실이며, 사회적으로 부당한 대우도 여기에 한몫을 하고 있다”고 전했다.
합법과 불법에 대한 명확한 인식 제고 필수
또 다른 의견으로는 사이버범죄에 대한 범죄 인식 수준이 낮은 점과 합법과 불법에 대한 명확한 인식 제고도 거론됐다.
한 보안전문가는 “잘 뚫는 사람이 막는 것도 잘 한다면서 기존 인식과 다르게 생각하는 사람들도 분명 있다”며 “과거 불법 해킹 경력자들이 만든 보안회사에서 고객을 해킹한 사례를 보면 아직까지 범죄에 대한 인식 수준이 낮다”고 지적했다.
시큐리티플러스 박형근 대표는 “합법과 불법에 대한 명확한 인식 제고 없이 무조건 화이트해커를 추켜 세우는 업계 분위기도 이런 문제를 야기하는데 한 몫한다”며 “화이트해커라는 의미 자체가 목적이 순수하다면 결과가 어찌됐던 상관없다는 의미가 담겨져 있어, 보안전문가의 길을 가려는 꿈나무들에게 혼동을 야기시킬 수도 있다”고 지적했다. 결국 이는 기업이나 서비스 제공자 입장에서는 화이트나 블랙이나 한끝 차이라는 얘기다.
그러면서 박형근 대표는 “교육 프로그램이 균형 잡힌 시각을 갖춘 상황에서 공인된 침투 테스트 전문가를 키워 내는 것을 목표로 하고 관리되어야 한다”며 “기업에서도 중요 서비스에 대해서는 외부 침투 테스트 전문가의 도움을 받는 버그바운티 제도를 적극 활용해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
