컴퓨터 범죄와 싸우기 위해서는 법과 정책으로는 충분하지 않고 공격자의 동기를 이해하는 것이 도움이 된다.                                                    


최근 비행 항공지도를 연구하는 동안 소위 작은 세계에서 벌어지는 데이터 도난 문제와 컴퓨터 범죄의 고도화에 법률적인 도구만을 가지고 효과적으로 대응할 수 있을지 의심하기 시작했다. 컴퓨터 범죄에 대항하기 위해서는 법률이 필수적이라는 데는 별 의심이 없다.

그런 과정은 영국의 컴퓨터 남용법을 통해 행해졌는데 지금은 ‘불법 남용’의 범위를 확장하고 DDoS(Distribute Denial of Service : 분산 서비스)공격에 적용하기 위한 컴퓨터 남용에 대한 정의를 개선한다. 정책들 역시 범죄대항 도구로서 필수적이다. 예를 들면 더 많은 기업들이 올해 노트북 암호화를 필수적인 것으로 만들었다.

그러나 법적인 도구들로 충분할까? 내가 가르치는 한 학생은 “최선의 법률과 정책도 사람들의 컴퓨터 남용을 멈추게 할 수는 없다”며 “정말 효과를 보고 싶다면 사람들을 변화시켜야 한다”고 말했고 나 역시 거기에 동의한다. 침입, 위반 및 사기행위는 그에 대한 동기를 가진 사람들 때문에 일어난다.

사람들이 원하지 않는 행위에 관련되는 것을 이해하는 것은 범죄반응을 형성하는 데 결정적인데 아마 우리가 생각하는 것보다 더 넓을 것이다. 일반적인 컴퓨터 범죄반응은 범죄학 101조를 구체적으로 나타낸다. 그것은 범죄의 기회를 축소시킴으로써 잘못을 저지르기 힘들게 만들고, 그런 행위에 대한 구속이나 실직 등의 대가를 치르게 함으로써 범죄에 대한 유혹을 축소시켜 범죄를 방지하고 억제하는 것이다.

그러나 해커나 직원이 왜 그런 일을 했는지 물어보기를 멈추어버린 때가 언제인가? 범죄동기는 전통적인 범죄반응만큼이나 컴퓨터 범죄반응과 깊은 관련이 있고 법적인 도구들은 한계가 있다. 의무적인 컴퓨터 암호화 정책은 내부 남용을 예방하지 못한다. 그러나 직원이 나쁜 생각을 품으면 우리는 ‘왜’라는 물음을 통해 무언가를 배울 수 있다.

직원들이 범죄행위에 동기부여를 받는 이유를 질문하는 것은 어떻게 하면 보안 리소스를 더 잘 분배할 수 있는지를 알아낸다. 해커가 왜 액세스를 원하는지 질문하는 것은 어떤 액세스가 가장 위험한지를 정하는데 도움을 준다. 동기를 전략 방정식에 포함함으로써 범죄에 대한 조짐을 감지할 수 있다. 직원이 범죄를 저지른 이유에 대한 동기는 드러나지 않고 지나칠 수 있다.

● 배경을 잘 확인하고 전 고용주에 대한 소송, 폭력이나 지시 불이행 같은 주의할 만한 채용경력에 대한 감시
● 직원이 정책을 위반했음을 가리키는 인력관리부나 관리자들에 의한 업무 장애기록
● 임박한 문제나 외부 이메일의 과도한 사용에 대해 경고하는 엔진 연구추적 같은 업무시간 중의 업무외적 웹 검색 패턴
● 회사의 가치와 상충되는 관심을 가리키는 블로그, 웹 포럼이나 뉴스 기사 댓글을 포스팅하기
● 이메일이나 IM을 통한 다른 직원과의 로맨틱한 의사소통

한 가지 주의사항은 기업이 현재나 미래의 위협에 대한 지속적인 부서간 의사소통이 부족하다면 동기의 실제적인 가치를 잃어버릴 수 있다는 것이다. 법적인 수단만으로 컴퓨터 범죄와 맞서 싸우기를 희망할 수 있지만 사람들이 왜 그렇게 행동하는지를 이해하지 못하면 이 작은 세계에서 두려워할 것이 너무 많다.
<글: 줄리 타워 피어스 사이버 범죄와 사이버 법 전문 변호사 겸 교수>
Copyright ⓒ 2006 Information Security and TechTarget
 
[월간 정보보호21c 통권 제82호(info@boannews.com)]
             
             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>