실제 사용되고 있는 의미로서 크래커와 해커의 차이
개인정보의 개념, 애플리케이션 시장으로의 진출 한 번 더 고민해야
[보안뉴스 문가용] 한 독자가 28일 본지에 실린 칼럼 “애플리케이션 보안, 현재 보안 상황에 맞는 개념일까?”에 크래커와 해커의 차이를 묻는 댓글을 남겼다. 개발과 변화의 속도가 워낙에 빨라 관련 정보를 읽는 것만으로도 숨이 턱까지 차오를 때 나타나는 현상은 사람들이 각기 용어를 자기식대로 이해하고 사용한다는 것인데 지금 정보보안 업계가 딱 그렇다. 해서 독자에게 최대한의 답도 드릴 겸 요즘 여러 가지로 혼란을 야기하는 용어와 개념들을 몇 가지 정리해보았다.
▲ 지금은 잘 모르겠지만 내일은 이해할 수 있을 거야
1. 해커와 크래커
일반적으로 말하는 해커는 보안 구멍을 뚫고 들어와 뭔가 나쁜 목적을 성취해낸 범죄자들을 의미한다. 사전적 정의를 말하는 게 아니라 일반 시사지와 같은 곳에서 사용될 때의 의미가 그렇다는 것이다. 구글과 같은 곳에서 hack이나 hacker 등으로 검색을 해보면 주요 시사지에서 취재한 사이버 보안 관련 소식이 주르륵 검색된다. 아, 이거 영업비밀인데...
심지어 오늘은 미국의 대학입학시험인 SAT가 해킹되었다는 소식도 있었다. 하지만 읽어보니 SAT를 주관하는 곳에서 시험 문제를 만드는 비용을 줄이기 위해 미국 국내 시험 문제를 해외 학생용 SAT 시험지에도 일부 재사용했고, 이를 눈치 챈 아시아 지역의 SAT 전문 학원들이 인터넷 검색을 통하여 일부 문제를 미리 알아내 학생들이 고득점을 얻게 했다는 내용이었다. 우리가 흔히 생각하는 해킹 기술은 전혀 동원되지 않은, 출제자의 실수로 벌어진 해프닝이 ‘해킹’이라는 헤드라인을 달고 등장했다. 컴퓨터와 비슷한 기계가 한 대라도 섞여 있는 시스템에 문제가 생기면 일단 먼저 언급되는 게 해킹이라고 이해하면, 신문지들의 용례를 대부분 이해할 수 있다.
하지만 해킹은 단어의 유래나 자곤파일(Jargon File : 컴퓨터 프로그래머들이 사용하는 용어와 은어를 정리한 인덱스)을 참조해보면 ‘지적 유희’와 관련이 깊은 말임을 알 수 있다. 위키피디아에 의하면 “시스템 및 솔루션의 기능을 최대 한계까지 알아내는 걸 즐기는 행위”라고 적혀 있다. 보안의 구멍은 이 지적유희를 즐기는 사람들이 찾아낸 시스템과 솔루션이 가진 한계와 동의어가 된다. 이런 부류에 속한 (지적인) 사람들로서는 위에서 말한 일반적인 용례가 달가울 리 없다. 그래서 진짜 나쁜 놈들을 구분하기 위해서 나온 게 크래커 혹은 크래킹이다. 다만 아직도 일반인들 사이에서는 이 구분법이 널리 퍼지지 않았다. 아는 사람들끼리만 아는, 그들만의 표현인 것.
2. 수식어를 붙이자 vs. 나쁜 것의 권장이다
오히려 일반인들이 보다 직관적으로 이해할 수 있는 건 ‘해커’라는 단어 앞에 수식어를 붙일 때였다. 그래서 언론사에 따라 ‘좋은’, ‘화이트’, ‘윤리적’ 해커라고 불러 안전을 위해 보안 구멍을 찾는 사람들을 따로 지칭하기도 한다. 이에 상대되는 표현으로는 ‘블랙’ 해커나 ‘비윤리적 해커’, ‘악성 해커’ 등이 있다. 하지만 ‘공격자’나 ‘사이버 범죄자’가 보다 더 일반적이다.
해커라는 말 자체가 나쁜 것으로 인지되고 있는 게 일반적이니 굳이 이 용어를 쓸 필요가 있느냐, 라는 주장도 있다. 이런 주장을 하는 사람들은 ‘보안 담당자’나 ‘침투 테스터’, ‘보안 전문가’라는 표현을 쓴다. 이들은 해킹 콘테스트나 해커 양성소와 같은 말도 반대한다. 어떤 브랜드에서 만든 옷의 주머니가 얼마나 허술한지 알아보기 위해 소매치기 콘테스트를 열거나 소매치기 양성소를 만들지는 않는다는 것. 이는 도리어 나쁜 행위를 권장하는 것과 다름없다는 게 주장의 본질이다.
결국 해킹(혹은 해커)과 크래킹(혹은 크래커) 및 여러 관련 표현을 선택할 때 고려해야 할 것은 단순 사전적 의미를 넘어 1) 겨냥하고 있는 독자층 2) 현재 일반적으로 받아들여지고 있는 의미와 3) 그에 따른 개인의 윤리관 및 언어관 등으로 확장된다고 볼 수 있다. 그런데 그런 단어 및 개념들이 요즘 들어 꽤나 여러 가지가 ‘생기고 있어’ 이왕 하는 김에 답글을 이어나가 본다.
3. 개인정보와 정보공유
개인정보라고 하면 떠오르는 것이 무엇인가? 주민등록번호? 전화번호? 생년월일? 다 맞다. 그런데 ‘개인정보는 이러이러한 것들이다’라는 정의는 불변의 개념이 아니다. 법의 개정에 따라, 국제적인 정서 변화에 따라 얼마든지 바뀔 수 있고, 과연 최근 유럽이 일반정보보호규정을 도입함으로써(발효 시점은 2018년) 개인정보가 되는 것들이 더 많아질 예정이다. 아직 정확한 가이드라인이 나오진 않았지만 종교, 취향, 신발 사이즈, 옷 치수 등도 모두 개인정보로 포함될 가능성이 높을 것으로 점쳐지는 상황이다.
보통 유럽에서 시작된 정서 및 철학의 변화가 세계 전체로 퍼져나가는 걸 생각해본다면, 이는 유럽 대륙에서만 통용될 문제는 아닐 것으로 보아야 한다. 단순히 옷 치수를 물었다는 이유로 의도와 상관없이 성희롱 신고를 당하는 게 더 이상 농담만이 아니듯, 앞으로 모르는 사람에게 묻는 질문 하나하나를 신중히 해야 할 지도 모른다.
게다가 현재 미국의 정보공유법을 필두로 ‘보안을 위해서 정보를 공유해야 한다’는 움직임이 가속화되고 있는데, 개인정보의 정의 문제가 상당한 걸림돌이 될 수도 있을 것으로 보인다. 정보공유를 어떻게 해야 하는지, 개인정보에 포함되는 정보가 무엇인지 모두가 정확히 이해하기 전까지 다른 사람과 공유한 정보 속에 누군가의 개인정보가 들어가는 사고가 끊임없이 발생할 것으로 예상된다.
4. 제조와 서비스, 어디서부터 어디까지?
애플리케이션 보안 역시 개념이 확장되고 있다. 애플리케이션이란 것이 오프라인 환경에서 온라인 환경으로 대거 넘어가기 시작하면서다. 이는 정확히 무슨 뜻일까? 요즘 부쩍 강조되고 있는 시큐어코딩이 중요하긴 하나 이것의 실천만으로 보안을 해결할 수 없다는 뜻이며, 그걸 넘어 제조사들은 사용자의 사용습관 및 환경까지도 고려해야 한다는 것이다. 즉 ‘만들고 출시하고 A/S 일정 기간 해주고 끝’이 아니라 ‘시큐어코딩으로 만들고 안전하게 출시하고(요즘 앱 마켓들도 불안하니까) A/S가 아니라 업데이트를 사실상 영원히’ 해야 한다는 뜻이 된다. 보안 문제 때문에 전통적인 ‘제조’ 및 ‘서비스 제공’의 범위가 달라지고 있는 중이다.
하지만 이렇게 이상적인 제조 과정을 처음부터 끝까지 밟아나갈 제조사들이 얼마나 있을까? 업데이트를 해야 하는데 앱 제작사가 없어지는 바람에 보안 구멍 숭숭 난 채로 사용되고 있는 앱들이 이미 얼마나 많은가. 회사가 존재하지 않는 앱들을 찾아내 스토어에 신고하고 사용자에게 알리는 걸 전문으로 하는 서비스가 생길지도 모르며, 더 나아가 보안 문제로 이런 앱들을 사용 금지 처분하는 정책이 마련될 가능성도 다분하다. 기발한 앱 아이디어 하나로 승부가 가능한 시장이 더 이상 아니라는 뜻도 된다. 지속성이 관건인데, 이는 자본력과도 연결되는 또 다른 차원의 문제이기도 하다.
5. 말의 역설, 보안과 닮은꼴
시간이 갈수록 어떤 말은 의미가 점점 더 많아지고 어떤 말은 줄다 못해 소멸된다. 말의 본질이 ‘소통’에 있다면 그것은 한 발 더 나아가 ‘이해’와도 연결이 된다. 소통의 도구로서 ‘말’은 의미가 확장되고 변하며 폐기처분도 되기 때문에 완전하지 않다. 하지만 매우 역설적이게도 위 몇몇 예들처럼 그런 변화들에는 추론이 가능한 이유들이 있는데, 이런 것들을 추적하다보면 ‘이해’에는 큰 도움이 된다. 따라서 말이 빨리 빨리 만들어지고 변하는 때일수록 즉시적인 소통보다 장기적인 이해의 노력이 더 필요케 되는데, 이 또한 역설적이다. 시간에 쫓길 수밖에 없는 발전과 변화의 시대에 ‘잠깐, 그 걸음을 멈추게’를 외치는 보안의 역설적인 존재의의와 어딘지 닮아 있어 반갑다.
댓글로 인해 보안 용어는 물론 의의까지 생각해 보게 되는 계기를 만들어주신 독자께 감사의 인사를 드린다.
[국제부 문가용 기자(globoan@boannews.com)]
개인정보의 개념, 애플리케이션 시장으로의 진출 한 번 더 고민해야
[보안뉴스 문가용] 한 독자가 28일 본지에 실린 칼럼 “애플리케이션 보안, 현재 보안 상황에 맞는 개념일까?”에 크래커와 해커의 차이를 묻는 댓글을 남겼다. 개발과 변화의 속도가 워낙에 빨라 관련 정보를 읽는 것만으로도 숨이 턱까지 차오를 때 나타나는 현상은 사람들이 각기 용어를 자기식대로 이해하고 사용한다는 것인데 지금 정보보안 업계가 딱 그렇다. 해서 독자에게 최대한의 답도 드릴 겸 요즘 여러 가지로 혼란을 야기하는 용어와 개념들을 몇 가지 정리해보았다.
▲ 지금은 잘 모르겠지만 내일은 이해할 수 있을 거야
1. 해커와 크래커
일반적으로 말하는 해커는 보안 구멍을 뚫고 들어와 뭔가 나쁜 목적을 성취해낸 범죄자들을 의미한다. 사전적 정의를 말하는 게 아니라 일반 시사지와 같은 곳에서 사용될 때의 의미가 그렇다는 것이다. 구글과 같은 곳에서 hack이나 hacker 등으로 검색을 해보면 주요 시사지에서 취재한 사이버 보안 관련 소식이 주르륵 검색된다. 아, 이거 영업비밀인데...
심지어 오늘은 미국의 대학입학시험인 SAT가 해킹되었다는 소식도 있었다. 하지만 읽어보니 SAT를 주관하는 곳에서 시험 문제를 만드는 비용을 줄이기 위해 미국 국내 시험 문제를 해외 학생용 SAT 시험지에도 일부 재사용했고, 이를 눈치 챈 아시아 지역의 SAT 전문 학원들이 인터넷 검색을 통하여 일부 문제를 미리 알아내 학생들이 고득점을 얻게 했다는 내용이었다. 우리가 흔히 생각하는 해킹 기술은 전혀 동원되지 않은, 출제자의 실수로 벌어진 해프닝이 ‘해킹’이라는 헤드라인을 달고 등장했다. 컴퓨터와 비슷한 기계가 한 대라도 섞여 있는 시스템에 문제가 생기면 일단 먼저 언급되는 게 해킹이라고 이해하면, 신문지들의 용례를 대부분 이해할 수 있다.
하지만 해킹은 단어의 유래나 자곤파일(Jargon File : 컴퓨터 프로그래머들이 사용하는 용어와 은어를 정리한 인덱스)을 참조해보면 ‘지적 유희’와 관련이 깊은 말임을 알 수 있다. 위키피디아에 의하면 “시스템 및 솔루션의 기능을 최대 한계까지 알아내는 걸 즐기는 행위”라고 적혀 있다. 보안의 구멍은 이 지적유희를 즐기는 사람들이 찾아낸 시스템과 솔루션이 가진 한계와 동의어가 된다. 이런 부류에 속한 (지적인) 사람들로서는 위에서 말한 일반적인 용례가 달가울 리 없다. 그래서 진짜 나쁜 놈들을 구분하기 위해서 나온 게 크래커 혹은 크래킹이다. 다만 아직도 일반인들 사이에서는 이 구분법이 널리 퍼지지 않았다. 아는 사람들끼리만 아는, 그들만의 표현인 것.
2. 수식어를 붙이자 vs. 나쁜 것의 권장이다
오히려 일반인들이 보다 직관적으로 이해할 수 있는 건 ‘해커’라는 단어 앞에 수식어를 붙일 때였다. 그래서 언론사에 따라 ‘좋은’, ‘화이트’, ‘윤리적’ 해커라고 불러 안전을 위해 보안 구멍을 찾는 사람들을 따로 지칭하기도 한다. 이에 상대되는 표현으로는 ‘블랙’ 해커나 ‘비윤리적 해커’, ‘악성 해커’ 등이 있다. 하지만 ‘공격자’나 ‘사이버 범죄자’가 보다 더 일반적이다.
해커라는 말 자체가 나쁜 것으로 인지되고 있는 게 일반적이니 굳이 이 용어를 쓸 필요가 있느냐, 라는 주장도 있다. 이런 주장을 하는 사람들은 ‘보안 담당자’나 ‘침투 테스터’, ‘보안 전문가’라는 표현을 쓴다. 이들은 해킹 콘테스트나 해커 양성소와 같은 말도 반대한다. 어떤 브랜드에서 만든 옷의 주머니가 얼마나 허술한지 알아보기 위해 소매치기 콘테스트를 열거나 소매치기 양성소를 만들지는 않는다는 것. 이는 도리어 나쁜 행위를 권장하는 것과 다름없다는 게 주장의 본질이다.
결국 해킹(혹은 해커)과 크래킹(혹은 크래커) 및 여러 관련 표현을 선택할 때 고려해야 할 것은 단순 사전적 의미를 넘어 1) 겨냥하고 있는 독자층 2) 현재 일반적으로 받아들여지고 있는 의미와 3) 그에 따른 개인의 윤리관 및 언어관 등으로 확장된다고 볼 수 있다. 그런데 그런 단어 및 개념들이 요즘 들어 꽤나 여러 가지가 ‘생기고 있어’ 이왕 하는 김에 답글을 이어나가 본다.
3. 개인정보와 정보공유
개인정보라고 하면 떠오르는 것이 무엇인가? 주민등록번호? 전화번호? 생년월일? 다 맞다. 그런데 ‘개인정보는 이러이러한 것들이다’라는 정의는 불변의 개념이 아니다. 법의 개정에 따라, 국제적인 정서 변화에 따라 얼마든지 바뀔 수 있고, 과연 최근 유럽이 일반정보보호규정을 도입함으로써(발효 시점은 2018년) 개인정보가 되는 것들이 더 많아질 예정이다. 아직 정확한 가이드라인이 나오진 않았지만 종교, 취향, 신발 사이즈, 옷 치수 등도 모두 개인정보로 포함될 가능성이 높을 것으로 점쳐지는 상황이다.
보통 유럽에서 시작된 정서 및 철학의 변화가 세계 전체로 퍼져나가는 걸 생각해본다면, 이는 유럽 대륙에서만 통용될 문제는 아닐 것으로 보아야 한다. 단순히 옷 치수를 물었다는 이유로 의도와 상관없이 성희롱 신고를 당하는 게 더 이상 농담만이 아니듯, 앞으로 모르는 사람에게 묻는 질문 하나하나를 신중히 해야 할 지도 모른다.
게다가 현재 미국의 정보공유법을 필두로 ‘보안을 위해서 정보를 공유해야 한다’는 움직임이 가속화되고 있는데, 개인정보의 정의 문제가 상당한 걸림돌이 될 수도 있을 것으로 보인다. 정보공유를 어떻게 해야 하는지, 개인정보에 포함되는 정보가 무엇인지 모두가 정확히 이해하기 전까지 다른 사람과 공유한 정보 속에 누군가의 개인정보가 들어가는 사고가 끊임없이 발생할 것으로 예상된다.
4. 제조와 서비스, 어디서부터 어디까지?
애플리케이션 보안 역시 개념이 확장되고 있다. 애플리케이션이란 것이 오프라인 환경에서 온라인 환경으로 대거 넘어가기 시작하면서다. 이는 정확히 무슨 뜻일까? 요즘 부쩍 강조되고 있는 시큐어코딩이 중요하긴 하나 이것의 실천만으로 보안을 해결할 수 없다는 뜻이며, 그걸 넘어 제조사들은 사용자의 사용습관 및 환경까지도 고려해야 한다는 것이다. 즉 ‘만들고 출시하고 A/S 일정 기간 해주고 끝’이 아니라 ‘시큐어코딩으로 만들고 안전하게 출시하고(요즘 앱 마켓들도 불안하니까) A/S가 아니라 업데이트를 사실상 영원히’ 해야 한다는 뜻이 된다. 보안 문제 때문에 전통적인 ‘제조’ 및 ‘서비스 제공’의 범위가 달라지고 있는 중이다.
하지만 이렇게 이상적인 제조 과정을 처음부터 끝까지 밟아나갈 제조사들이 얼마나 있을까? 업데이트를 해야 하는데 앱 제작사가 없어지는 바람에 보안 구멍 숭숭 난 채로 사용되고 있는 앱들이 이미 얼마나 많은가. 회사가 존재하지 않는 앱들을 찾아내 스토어에 신고하고 사용자에게 알리는 걸 전문으로 하는 서비스가 생길지도 모르며, 더 나아가 보안 문제로 이런 앱들을 사용 금지 처분하는 정책이 마련될 가능성도 다분하다. 기발한 앱 아이디어 하나로 승부가 가능한 시장이 더 이상 아니라는 뜻도 된다. 지속성이 관건인데, 이는 자본력과도 연결되는 또 다른 차원의 문제이기도 하다.
5. 말의 역설, 보안과 닮은꼴
시간이 갈수록 어떤 말은 의미가 점점 더 많아지고 어떤 말은 줄다 못해 소멸된다. 말의 본질이 ‘소통’에 있다면 그것은 한 발 더 나아가 ‘이해’와도 연결이 된다. 소통의 도구로서 ‘말’은 의미가 확장되고 변하며 폐기처분도 되기 때문에 완전하지 않다. 하지만 매우 역설적이게도 위 몇몇 예들처럼 그런 변화들에는 추론이 가능한 이유들이 있는데, 이런 것들을 추적하다보면 ‘이해’에는 큰 도움이 된다. 따라서 말이 빨리 빨리 만들어지고 변하는 때일수록 즉시적인 소통보다 장기적인 이해의 노력이 더 필요케 되는데, 이 또한 역설적이다. 시간에 쫓길 수밖에 없는 발전과 변화의 시대에 ‘잠깐, 그 걸음을 멈추게’를 외치는 보안의 역설적인 존재의의와 어딘지 닮아 있어 반갑다.
댓글로 인해 보안 용어는 물론 의의까지 생각해 보게 되는 계기를 만들어주신 독자께 감사의 인사를 드린다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
 TH.jpg)
 th.jpg)
 THJ.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
