< 노래 가사 중 >
언제나 기다려주던 사람이
없어졌을 때
잡음만이 나를 둘러쌌어
익숙한 그 이름을
이젠 두번 다시
부를 수 없어서 쓸쓸해져 와
2009년 9월 9일 수요일
게이츠 "빈민돕는 창조적 자본주의" 주창
(뉴욕=연합뉴스) 김현준 특파원 = 빌 게이츠 마이크로소프트 회장은 24일 스위스 다보스 세계경제포럼에서 기업들이 각국 정부 및 비영리단체들과 협력해 가난한 사람들을 도울 수 있는 "창조적 자본주의(creative capitalism)"를 주창했다고 AP통신과 월스트리트 저널(WSJ) 등 미국 언론이 보도했다.
게이츠 회장은 이날 다보스 포럼 연설에서 "자본주의의 방향이 부유한 사람들 뿐만 아니라 가난한 사람들을 위해서도 기여할 수 있는 방안을 찾아야 한다"며 하루 1달러 미만의 생계비로 살아가는 전세계 10억 빈민을 도울 수 있는 길을 모색하자고 촉구했다. 그는 이를 "이를 창조적 자본주의라고 부르고자 한다"고 말했다.
게이츠 회장은 기업들이 가난한 사람들을 위한 제품과 서비스를 만드는데 초점을 둔 사업을 창출해야 한다며 "이런 시스템은 수익을 올리면서도 시장의 힘으로부터 충분한 혜택을 받지 못하는 사람들의 삶을 개선시키는 두 가지 사명을 가져야 한다"고 강조했다.
그는 "나는 낙관주의자이지만 조급한 낙관주의자"라며 "세계가 나아지는 속도가 너무 더디고, 모든 사람들에게 골고루 좋아지지도 않고 있다"고 지적했다.
그는 아프리카의 커피농들이 잘사는 나라의 커피 소비자들에게 쉽게 접근할 수 있게 하는 프로그램 등 시장의 힘이 미치는 범위를 넓힐 수 있는 새 방안을 예시하고, 이런 프로그램들은 증세 등의 조치를 필요로 하는 게 아니라 이미 일부 지도자들이 실천하고 있는 창조적 인식을 요하는 것이라고 설명했다.
그가 이 같은 주장을 하고 나선 것은 자본주의가 최선의 경제시스템이라는 그의 믿음에도 불구하고 자본주의의 부족함에 대한 안타까움이 갈수록 커진 데 따른 것이라고 신문은 설명했다.
그는 남아프리카공화국의 슬럼가인 소웨토 등을 방문해 질병과 빈곤 문제를 이들과 논의하면서 자본주의의 부족함을 목격한 뒤 빈부격차를 줄일 수 있는 접근법을 제시한 책들을 탐독하고 자본주의가 왜 세계 많은 곳에서 제대로 기능을 못하는지에 관한 생각을 정리해 이날 연설에 담은 것으로 알려졌다.
게이츠 회장의 이날 연설은 오는 6월 마이크로소프트 회장직을 물러나겠다고 선언한 그의 궁극적인 목표가 무엇인지 보여주는 것이며, 그가 앞으로 부인과 세운 '빌 앤드 멜린다 게이츠 재단'의 자선활동에 주력할 것임을 시사한 것으로 풀이된다.
june@yna.co.kr
게이츠 회장은 이날 다보스 포럼 연설에서 "자본주의의 방향이 부유한 사람들 뿐만 아니라 가난한 사람들을 위해서도 기여할 수 있는 방안을 찾아야 한다"며 하루 1달러 미만의 생계비로 살아가는 전세계 10억 빈민을 도울 수 있는 길을 모색하자고 촉구했다. 그는 이를 "이를 창조적 자본주의라고 부르고자 한다"고 말했다.
게이츠 회장은 기업들이 가난한 사람들을 위한 제품과 서비스를 만드는데 초점을 둔 사업을 창출해야 한다며 "이런 시스템은 수익을 올리면서도 시장의 힘으로부터 충분한 혜택을 받지 못하는 사람들의 삶을 개선시키는 두 가지 사명을 가져야 한다"고 강조했다.
그는 "나는 낙관주의자이지만 조급한 낙관주의자"라며 "세계가 나아지는 속도가 너무 더디고, 모든 사람들에게 골고루 좋아지지도 않고 있다"고 지적했다.
그는 아프리카의 커피농들이 잘사는 나라의 커피 소비자들에게 쉽게 접근할 수 있게 하는 프로그램 등 시장의 힘이 미치는 범위를 넓힐 수 있는 새 방안을 예시하고, 이런 프로그램들은 증세 등의 조치를 필요로 하는 게 아니라 이미 일부 지도자들이 실천하고 있는 창조적 인식을 요하는 것이라고 설명했다.
그가 이 같은 주장을 하고 나선 것은 자본주의가 최선의 경제시스템이라는 그의 믿음에도 불구하고 자본주의의 부족함에 대한 안타까움이 갈수록 커진 데 따른 것이라고 신문은 설명했다.
그는 남아프리카공화국의 슬럼가인 소웨토 등을 방문해 질병과 빈곤 문제를 이들과 논의하면서 자본주의의 부족함을 목격한 뒤 빈부격차를 줄일 수 있는 접근법을 제시한 책들을 탐독하고 자본주의가 왜 세계 많은 곳에서 제대로 기능을 못하는지에 관한 생각을 정리해 이날 연설에 담은 것으로 알려졌다.
게이츠 회장의 이날 연설은 오는 6월 마이크로소프트 회장직을 물러나겠다고 선언한 그의 궁극적인 목표가 무엇인지 보여주는 것이며, 그가 앞으로 부인과 세운 '빌 앤드 멜린다 게이츠 재단'의 자선활동에 주력할 것임을 시사한 것으로 풀이된다.
june@yna.co.kr
보안전문가가 되려면
| [강은성의 안전한 IT세상]보안 전문가가 되려면 |
| 강은성 안철수연구소 상무 |
| '보안 전문가를 꿈꾸는 이들에게'란 칼럼을 쓰고 보니, 여기 저기에 보안 전문가를 꿈꾸는 이들이 많음을 알게 됐다. 포털의 지식공유 게시판이나 보안 관련 커뮤니티, 각종 기사에도 보안 전문가에 관심을 갖는 이들이 크게 늘었다. 보안 업계에 종사하는 사람으로서 고무적인 일이 아닐 수 없다. 그런데 온라인에 올라오는 질문에 대한 답변에는 보안 학원에서 올린 것들이 많아 도리어 혼란스러운 점도 없지 않았다. 보안 업계 관점에서 의견을 주면 이들에게 도움이 될 것 같다.  질문하는 분들은 크게 세 부류로 나눌 수 있을 것 같다. 우선 대학 입시를 앞둔 고교생들이다. 이들은 보안 전문가가 되려면 어떤 과를 가야 할지 고민하거나 아예 대학 대신에 보안 전문 교육기관이 있다면 그곳을 찾고 싶어했다. 둘째 부류는 대학생들로 자신의 전공 분야를 보안 관련 쪽으로 바꾸고 싶어하는 이들이다. 셋째 부류는 대학을 졸업한 취업준비생이나 직장인들로 전공과 상관 없이 IT 보안 쪽으로 취업하거나 전직하고 싶어하는 이들이다.몇 가지 자주 나온 질문을 골라 답변을 작성해 보았다. 이게 정답은 아닐 수 있지만, 보안 업계의 답변이라는 측면에서 보시면 앞길을 고민하는 분들께 도움이 되지 않을까 생각한다. ◆보안 전문가가 되기 위한 공교육 과정 질문: 보안 전문가가 되려면 뭘 공부해야 하나? 어디서 공부해야 하나? 답변: 한마디로 '보안'이나 '해커'란 단어가 붙은 대학교는 없다. 다 학원이다. 보안 전문가가 되고 싶으면 일단 대학을 들어가는 게 정석이다. 공교육을 통해 체계적으로 배워야 할 지식이 매우 많기 때문이다. 보안 전문가는 간단하게 익히는 몇 가지 해킹 기술로 되는 것이 아니다. 컴퓨터 구조, 운영체제, 네트워크, 자료 구조, 알고리즘, 정보보호, 프로그래밍 언어, 컴파일러 등 컴퓨터와 네트워크에 대한 전반적인 학습을 해야 한다. 이렇게 기본을 잘 닦아 놓아야 계속 새롭게 나오는 IT 기술을 이해하고 익힐 수 있다. 물론 공부보다는 바둑이 훨씬 좋은 바둑신동들처럼 학과공부는 싫지만 컴퓨터를 갖고 노는 것이 즐거운 학생들도 있을 것이다. 입시 공부가 영 체질이 아닌 학생들은 위에 말한 컴퓨터의 기본 분야를 따로 공부하기 바란다. 그리고 대학이나 보안 전문 기관에서 개최하는 해킹(방어)대회에 참여하여 본인의 역량을 입증하는 것이 회사에 들어갈 때 도움이 될 수 있다. 질문: 어떤 학과에 들어가야 하나? 답변: 크게 두 가지가 있다. 하나는 대학의 정보보호학과 또는 정보보호전공이 있는 학과에 들어가는 것이다. 정보보호학과는 보안 전문가로 성장하는 데 필요한 IT 보안 분석에 대한 기초를 가르치기 때문에 매우 유용하다. 컴퓨터공학의 경우 여러 분야를 가르치긴 하는데, 아무래도 프로그래밍에 약하다. 훌륭한 보안 전문가가 되려면 훌륭한 프로그래머가 되지는 못하더라도 웬만한 프로그래밍 실력은 있어야 한다. C나 C++ 등을 이용한 개발은 웬만큼 할 수 있는 게 좋고, 요즘 웹 자바스크립트나 PHP, JSP 등의 웹 스크립트 언어는 웬만큼 다룰 수 있어야 한다. 개발 역량 없이 훌륭한 보안 전문가가 될 수는 없다. 정보보호학과에서 보안 분석을 중점으로 배우면서, 프로그래밍 실력을 키우는 것이 좋겠다. 다른 하나는 컴퓨터공학 관련 학과에 들어가는 길이다. '컴퓨터'나 '인터넷'이라는 단어가 붙은 과가 많으니 조심해서 잘 지원하기 바란다. 회사에서 면접을 하다 보니 '멀티미디어', '전자상거래', '인터넷'이란 단어가 붙은 학과들에서 컴퓨터공학 이론을 배우지 않고도 졸업할 수 있다는 걸 알게 되었다. 컴퓨터 내부를 깊이 알지 못하면 보안을 취미로 할 수 있을지는 몰라도 직업으로 할 수는 없다. 컴퓨터공학을 전공하면서 보안 쪽을 배울 수 있는 한 가지 방법은 보안 동아리에 들어가는 것이다. 보안 동아리의 실력이 천차만별이긴 한데, 비슷한 걸 공부하고 비슷한 취미를 갖는 사람들이 함께 있다는 것이 큰 장점이다. 본인의 열정에 따라 실력을 쌓는 경우도 꽤 있다. 질문: 대학원에 진학하는 게 좋은가? 답변: 사람에 따라 생각이 다를 수 있지만, 기회가 된다면 대학원 진학도 할 것을 권하고 싶다. 학부에 정보보호학과가 없더라도 대학원에서 정보보호를 전공할 수 있는 대학이 여럿 있다. 컴퓨터공학을 전공하고 보안 동아리 활동을 하면서 대학원에서 정보보호를 전공하는 것도 정통 보안 전문가로 성장할 수 있는 좋은 길이다. ◆보안 전문 학원과 자격증 질문: 정보보호나 컴퓨터공학을 전공하지 않았지만, IT 보안 분야로 취업(또는 전직)하고 싶다. 어떻게 준비해야 하나? 답변: 이미 공교육에서 배울 수 있는 시기를 지나친 취업준비생들이 찾을 수 있는 곳이 보안 전문 학원이다. 학원의 특징은 단편적인 지식을 쌓기 쉽다는 점인데, 보안은 종합예술이기 때문에 단기간에 큰 돈을 들여서 성과를 얻기는 어렵다는 점에 유의해야 한다. 가능하면 원리를 이해하고 컴퓨터와 네트워크, 애플케이션 보안의 이론을 알기 위해서 노력하는 것이 필요하다. 전공과 다른 분야에 취업하거나 전직을 한 경우는 그 이후가 매우 중요하다. 전직은 단지 출발일 뿐이다. 앞서 언급한 컴퓨터공학의 기본 지식과 IT 보안에 필요한 기술을 꾸준히 학습하여 실력을 향상시켜야 제대로 자리를 잡을 수 있다. 질문: 보안 전문가가 되기 위해 어떤 자격증이 필요한가? 답변: 보안 전문 자격증으로는 SIS(Specialist for Information Security, 정보보호전문가), CISSP(Certified Information System Security Professional, 정보시스템 보안 전문가), CISA(Certified Information System Auditor, 정보시스템 감리사) 등이 있다. 보안 분야 자격증은 보안을 체계적으로 공부하는 데 도움이 되긴 하지만 그 이상도 이하도 아니다. 다만 정부에서 매년 정보보호컨설팅전문업체를 지정할 때 해당 자격증을 가진 인력이 일정 수 이상 있어야 하기 때문에 보안 컨설팅 업체에 취업하여 보안 컨설턴트로 성장하는 데에는 도움이 된다. 대기업에서도 보안 관리자들을 뽑을 때 자격증이 있는 사람을 선호할 수 있다. 다른 분야는 자격증이 크게 필요한 곳은 없다. 다들 알다시피 자격증은 실력을 보증하지 못한다. 자격증을 중시하는 회사는 지원자의 역량을 검증할 실력이 없는 업체일 가능성이 높다. 본인이 실력이 있다고 자신하면 자격증을 많이 따지는 회사는 선호하지 않는 게 좋다. ◆분야별로 일할 수 있는 곳 다양해 질문: 보안 전문가가 되려면 어떤 직장에 취업하는 게 좋은가? 답변: 전문 분야에 따라 취업하는 곳이 다르다. 우선 보안 전문 업체가 있다. 우리나라 보안 시장의 규모가 작고 보안 전문 업체들도 영세하긴 하지만 기술적인 깊이는 역시 보안 전문 업체를 따라잡을 수 없다. 첫째, 보안 분석가의 경우 전문성을 살리기에 가장 좋은 곳이 안티바이러스 업체이다. 외국 업체들이 국내 시장에서 지지부진한 가장 큰 이유 역시 국내에 보안 전문가를 확보하지 못하고 있어서 국내 고객사들에게 적시에 적절한 분석 서비스를 제공하지 못하기 때문이다. 또한 침입방지시스템(IPS)이나 통합위협관리(UTM) 솔루션 등을 만드는 보안 장비 업체들도 보안 분석가를 조금씩 늘려가고 있다. 그러한 장비들은 새로운 공격이 발견되었을 때 보안 분석을 통한 보안 업데이트 서비스를 해야 하기 때문이다. 둘째, 보안 컨설턴트들을 많이 채용하는 곳은 보안 컨설팅 업체이다. 보안 컨설턴트 역시 보안 전문가 중 고급인력에 속한다. 업무의 대부분이 고객사에 파견나가 하는 일이기 때문에 어려운 점도 있지만, 기업의 시스템과 네트워크, 애플리케이션을 보안 관점에서 넓게 보고, 비교적 기술적 깊이도 있어야 하기 때문에 기술을 좋아하는 사람들이 선호하는 직업이다. 셋째, 보안 관리자를 원하는 곳은 보안관제 서비스 업체이다. 보안 분석가가 일부 필요하기도 하지만, 고객사의 장비를 현지 또는 원격에서 관리, 감시하면서 문제가 발생했을 때 대응하는 것이 주 사업이기 때문에 보안 관리자를 던 선호한다. 특히 보안관제 서비스 업체는 24시간 서비스를 기본으로 하므로, 부서에 따라 2교대, 3교대 등의 근무 조건이 있을 수 있다는 점, 파견관제 서비스의 경우에 대부분의 업무 시간을 고객사에 나가서 근무한다는 점도 알아둘 필요가 있겠다. 보안 관리자는 정부와 공공 부문, IT를 기반으로 하는 기업 등 일할 곳이 비교적 많은 분야이다. 실제로 보도에 따르면 공공 부문에서 보안 관리자의 수요가 크게 늘 것으로 전망된다. 행정자치부에서 내년에 180억원을 투자하여 전국 16개 시도에 '지방 사이버침해대응센터'를 설치한다고 한다. 보유하고 있는 6300여대의 서버를 24시간 모니터링해 해킹과 바이러스 등 사이버 공격을 사전에 탐지, 차단하는 업무를 한다고 한다. 여기까지가 보안 관리자의 업무이고, 실제 상황이 발생하면 해당 문제는 보안 분석가에게 넘긴다. 이러한 업무들은 보안관제 서비스 업체에 외주를 주기도 한다. 그런가하면 포털이나 게임 업체와 같이 사업 자체가 IT 기반인 인터넷 기업, ISP, 대기업, 은행, 대학 등 웬만큼 규모가 있는 업체에서도 보안 관리자를 필요로 한다. 이런 곳은 상대적으로 보안 전문 업체보다 규모가 있어서 해당 업계에 따라 근무 조건은 더 좋을 수도 있다. 다만 기술적 깊이는 다소 떨어진다고 보는 것이 일반적이다. ◆보안 전문가가 되려면 윤리의식 갖춰야 한편, 보안 전문가가 되고 싶은 이들은 절대로 재미로라도 실제 해킹을 하지 말 것을 권유한다. 제대로 된 회사라면 범죄를 저지른 사람을 거의 뽑지 않는다. 그 사람이 보안 회사에 들어와서도 그러지 않는다는 법이 없기 때문이다. 보안 업체는 한마디로 사용자의 신뢰를 먹고 사는 회사다. 직원이 고객사를 해킹한다면 정말 엄청난 악영향을 미친다. 지난 9월에 물리적 보안을 제공하는 모 업체 직원이 고객에게 범죄를 저질러서 결국 사장이 물러난 일이 있다. IT 보안 역시 마찬가지다. 아무리 기술력이 뛰어나더라도 해당 분야의 범죄 경력이 있는 사람을 뽑는 위험을 감수할 회사는 별로 없다. 끝으로 근본적인 질문을 하나 던져야겠다. 왜 보안 전문가가 되고 싶냐는 점이다. 직장을 구하는 여러 이유만큼 보안 전문가가 되고 싶어하는 이유도 다양할 것 같다. 유망하다고 하니까, 취업이 잘 될 것 같아서, 대우가 좋을 것 같아, 장기적인 비전이 있어 보여서, 일의 보람이 있을 것 같아서, 남에게 도움을 줄 수 있어서 등등. 모든 직업이 마찬가지이지만, 보안 전문가 역시 본인의 재미와 적성이 가장 중요하다고 생각한다. 특히 IT 보안 분야는 보안 공격자라는 상대가 있기 때문에 늘 새로운 공격에 대해 공부하고, 보안 공격을 분석하여 방어 방법을 찾아내고, IT 기술의 발전에 따른 새로운 단말, 장비, 네트워크, 소프트웨어에 대한 정보를 꾸준히 찾아야 하는, 겉으로 좋아 보일지 모르지만 결코 가기 쉽지 않은 길이다. 깊이 파고들어가는 호기심, 집중력, 끈기가 부족하다면 IT 보안 분야에 발을 담그지 않는 게 좋다. 더 많은 분들이 보안 전문가를 정확히 이해하여 이 직업에 매력을 느끼고 함께 하길 기대한다. 궁금한 게 있는 분들은 제 메일 주소(kes@ahnlab.com)로 질문을 보내 주시기 바란다. 아는 한도 내에서 성심껏 답변을 드릴 계획이다. |
해커 10만 양병론을 파헤친다 (HOW PC 2000.2)
임채호 (한국정보보호센터 기술대응팀장)
해커 10만 양병론은 1999년 후반부터 국내 언론에 오르내리기 시작했으며, 심지어 모 국회의원은 국회에서 이에 대한 주장을 펴기도 했다. 사실 이 이론은 꾸준히 논란의 대상이 되어왔으면서도 그 전에는 공개적으로 논의되지 못했다. 왜 그럴까? 해커들이 금융망에 침입해 불법 계좌이체로 고객의 돈을 가로챘다는 둥, 미국 국방성 망에 침입했다는 둥 지금까지 신문을 비롯한 언론 매체를 통해 해킹 피해 사례들이 중점 보도된 바 있어 사람들의 인식 속에 `해커 양병`이란 곧 `범죄자 양산`이라는 등식이 성립되어 있었기 때문이다.
상황이 이렇게 된 데는 대중 매체가 해커(Hacker)와 크래커(Cracker)를 정확히 구분해 이해하지 못한 탓도 컸다. 인터넷에서 크래커와 해커는 분명히 다른 개념이다. 크래커가 다른 컴퓨터에 불법 침입하는 사람을 가리킨다면 `해커 10만 양병론`에서의 해커는 보안 전문가를 말하는 것이다. 보안 전문가는 해외 해커의 국내 인터넷 해킹을 방어하거나 기업에서 사내 서버 보안 작업을 통해 기업 정보를 보호하는 실무자를 의미한다.
국내에서 활동 중인 해커는 2,100여 명
이렇듯 국가와 기업의 사활이 걸린 정보 보안 업무를 무리 없이 수행할 수 있는 유능한 해커들이 실제로 얼마나 존재하는지는 아무도 모른다. 이들은 대학 동아리를 중심으로 활동하거나 사설 BBS, 홈페이지 등을 통해 모습을 보인다. 현재 전국적으로 약 2,100여 명의 해커가 활동하고 있는 것으로 추산되며, 파워해킹동호회, 연합풀뿌리, HACKER, 장흥텔 해커동호회, 유니텔 해킹방지동호회, 천리안 채소소프트동호회, 815해커, 초록별 해커동, 블루넷 해커세상, 불패 등 약 20∼30여 개의 공개 동호회가 존재하고 있다. 그 밖에 개인이 만든 국내 해킹 홈페이지도 약 200여 개에 이른다.
전세계적인 해커 현황을 알아보려면 먼저 해킹에 관련된 사이트인 `해커 쿼털리(The Hacker Quarterly, www.2600.org)`를 방문해 보자. 이 곳에서는 지금까지 해킹당한 홈페이지와 관련 컨퍼런스 자료들을 게시하고 있다. 또한 `해커 명예의 전당(Hackers` Hall of Fame, www.discovery.com/area/technology/hackers/hackers.html)`에서는 1960년대부터 1990년대에 걸쳐 연도별로 유명한 해킹 사건과 관련 인물들을 소개하는데, 순수한 의미의 해커에서 시작해 1980년대 웜(Worm)을 제작한 모리스, 1990년대 캐빈 미트닉, 시티은행 해커 등이 등장한다.
전국 대학의 해킹 동아리를 주목하라
그런데 국내외 해커들의 홈페이지를 비교하면 차이점이 있다. 유명한 해외 해킹 홈페이지는 해킹 기법들을 소스까지 포함해 공개하지는 않는다. 그런데 국내에서는 대부분 해킹 강좌를 펼치는 것을 비롯해 해킹 프로그램의 소스를 버젓이 홈페이지에 올려놓기도 하고, 심지어 해킹 프로그램을 판매하기까지 한다. 따라서 아직까지 국내에는 진정한 의미의 해커가 없다는 것이 정보 보안 전문가들의 일반적인 견해이다.
하지만 몇몇 국내 유명 대학 해커 동아리들은 정보 보안을 위한 건전하고 의식 있는 활동을 펼치고 있어 성숙한 면을 보여준다. 카이스트(KAIST)와 포항공대는 대외적인 해킹 방지 활동을 적극적으로 펼치고 있는 대표적인 예이다. 카이스트는 1990년대 초반 KUS(KAIST UNIX Security)라는 해킹 동아리를 만들고 당시 불모지였던 해킹 분야에서 방지 활동에 앞장섰다. 하지만 1996년도에 포항공대를 해킹하는 사건으로 동아리 회장을 비롯해 3명이 구속되고 벌금형에 처해지는 오점을 남겼다. 게다가 같은 해에 카이스트 내 또 다른 동아리의 학생 한 명이 한국통신 코넷(KORNET)에 백도어(Backdoor)를 설치해 홈뱅킹 이용자들의 계좌번호, 비밀번호를 몰래 빼내 불법 계좌이체를 하다 적발됨으로써 학교측이 해킹 동아리 활동을 전면 금지한 일도 있었다. 그러나 현재 KUS는 대외 해킹 안전 진단 봉사 활동을 펼치고 있으며, 당시 학생들은 인젠, A3시큐리티컨설팅이라는 회사를 설립해 활발하게 제품 개발 및 자문 활동을 펼치고 있다.
그에 반해 포항공대의 플러스(Postech Laboratory for UNIX Security) 해킹 동아리는 전통적으로 전산실 업무를 도와주면서 국내 인터넷 정보 보호에 많은 기여를 했다. 카이스트 KUS 동아리와 거의 같은 시기에 발족했으며, 사회적으로 크게 물의를 빚은 적은 없었다. 초대 회장과 회원들은 박사 학위를 마치고 현재 대학 강단과 연구소에서 활동하고 있다. 그 밖에 서울대에서는 가디안 등 2개의 동아리가 활동하고 있으며, 한남대에는 화이트라는 해킹 동아리가 있고, 동아리 회원 가운데는 정보 보호 전문 업체에서 활동 중인 학생들도 있다. 그 밖에도 동국대, 조선대 등 많은 대학에 지도 교수의 자문을 받아 활동하는 해킹 동아리들이 있다.
민간 기업에 의해 이러한 해커가 공개적으로 양성되는 곳이 있다. 시큐어소프트(www.securesoft.co.kr)가 운영하는 해커스랩(Hacker`s Lab)이 그 곳이다. 해커스랩은 시스템에 침입하는 기술을 알아야 방어하는 법을 찾아낼 수 있다는 전제 하에, 해커들이 공개적으로 해킹 기술을 연습할 수 있는 건전한 놀이터 FHZ(Free Hacking Zone)를 제공하고 있다.
FHZ는 초보 관문인 레벨부터 최종 관문인 13까지 주어진다. 각 관문을 통과할 때마다 문제가 나오고, 이를 해결하면 하나씩 레벨을 올릴 수 있다. 각 단계를 거칠 때마다 각각의 홈페이지에 글을 남길 수 있으며, 최종 단계가 되면 명예의 전당에 오르게 된다. 얼마 전에는 해킹 왕 중 왕 서바이벌 대회를 개최해 많은 해커들이 홈페이지를 공략하고 방어하는 경연을 벌일 수 있었다.
한국정보보호센터도 해커를 키운다
인터넷을 이용한 가상 공간으로 전세계가 보다 밀접하게 엮이면서 중요한 정보 기반(Critical Infrastructure)이 타국가나 타경쟁사에게 침입당할 위험도 커졌는데, 그런 일이 발생하면 사회적으로 큰 혼란이 따를 수도 있다. 영화 <네트>에는 해킹으로 공항 관제 시스템에 침입해 비행기를 추락시키는 장면, 병원 시스템을 해킹해 환자의 병력 정보를 허위로 기재하고 살인하는 장면 등이 나오기도 한다. 공항이나 병원뿐 아니라 전력 제어 시스템, 원자력 제어 시스템 등 더욱 중요한 국가 기간 시설에 대한 외부로부터의 해킹은 국가·사회 안보에 심각한 영향을 미치게 된다. 그러므로 세계 각국의 군사·정보 기관 등에서는 자체적으로 해커를 양성하거나 정보 보안 용역을 활용하려고 한다. 그 예로, 중국과 대만에서 바이러스 부대, 해킹 부대를 만들었다는 외신이 전해진 바 있다.
하지만 컴퓨터와 네트워크에 대한 해박한 지식과 경험이 없는 단순한 해커는 해킹 공격과 방어에 도움이 되지 않는다. 보다 폭넓은 기술로 무장하고 투철한 윤리 의식과 국가관을 지닌 진정한 해커가 필요하다. 국가 정보 보안 기관이 해커를 양성한다면 이상하게 들리겠지만 한국정보보호센터(www.kisa.or.kr)에서는 올해부터 전국 각 대학 해킹 동아리를 대상으로 `해킹 방지를 위한 대학생 봉사단(가칭)`을 모집한다. 이 봉사단의 단원들은 자신이 소속된 대학의 캠퍼스 네트워크에 대한 해커들의 공격을 방어하는 활동을 우선적으로 수행하게 되며, 정기적인 모임을 통해 새로운 해킹 기법과 방어 대책을 연구·발표할 예정이며, 기업이나 공공 기관이 요구하면 네트워크 안전 진단·점검 활동을 펼치게 된다. 물론 한국정보보호센터가 제공하는, 각종 네트워크·시스템·암호 관련 기술 교육과 정보 보안을 위한 윤리 교육도 받게 된다.
진정한 해커는 정보 보안에 대한 안목 갖춰야
아직까지는 대학생 해커들 대부분이 단순하게 해킹을 하거나 막는 수준의 잔기술만을 터득한 상황이다. 하지만 국가적인 정보 보안 업무에 종사하기 위해서는 운영체제, 인터넷 프로토콜, 전산 제반 지식 등을 두루 갖춰야 한다. 더 나아가서는 보다 고차원의 암호 분야, 보안 정책 등에 대한 지식과 안목도 갖춰야 한다.
아직까지 해커 10만 양병론에 대해 정부와 기업 차원에서 구체적으로 계획이 수립된 바는 없다. 현 시점에서 무엇보다도 중요한 것은 대학생 해킹 동아리들을 음지에서 양지로 끌어내 좀더 공식적으로 활동할 수 있게 해주는 장치를 마련하는 것이다. 따라서 정부, 기업, 대학이 함께 나서서 21세기의 세계적 사이버 전쟁에 대비해 국내 대학생 해커들을 국가 안보의 든든한 파수꾼으로 육성해 나가는 체계적인 시스템을 시급히 구축해야 한다.
(HOW PC 2000.2)
사이버 탐정 이정남 인터캅 사장
| 사이버 탐정 이정남 인터캅 사장 | |
| [I-Weekly 2003-07-08 11:03] | |
인터넷 범죄 수사의 대부 격인 인터캅 이정남(48) 사장이 탐정으로의 변신을 선언했다.이 사장은 국내에서 최초로 사이버 범죄수사의 길을 연 입지전적 인물. 95년 10월 경찰청장을 설득한 끝에 외사3과의 하부조직으로 해커수사대를 발족한 사람이다. 하지만 그가 이 길로 들어선 것은 우연에 가깝다. 경찰에 입문한 때가 79년, 어느 한 일간지 ‘경찰채용공고’를 본 것이 그 시작이다.
생계를 위해 경찰에 지원했지만 그의 욕심은 유별났다. 늘 무언가를 배우는 데 열중이었다. 그에게는, 그리고 그의 부인에게는 결혼반지가 없다. 경찰 시절 영어공부를 하기 위해 카세트를 사면서 팔아치웠다. 그 뿐만 아니다. 86년 무렵, 당시 3백50만원이라는 거금을 들여 컴퓨터를 산 것. 당시 경찰 월급에 비하면 어마어마한 금액이다. 이러한 열정은 향후 경찰로서의 그의 경력에 상당한 변화를 초래했다. 85년 인터폴에서는 한국 파견 직원을 모집했고 영어, 전산, 통신분야에 대한 이해와 수사경험이 모집 조건이었다. 이정남 사장은 85년 12월, 국내 인터폴 파견 요원으로 선발되면서 또 다른 길을 걷게 된다.
“94년 11월 벨기에 암연구센터 해킹 사건이 터졌습니다. 당시 수사 과정에서 한국이 거론됐는데 경유지로 쓰인 건지, 한국사람이 침입한 건지 알아봐 달라는 수사의뢰가 있었죠. 이 사건이 첫 해킹 수사였습니다.”
이때부터 해커 수사 전담 부서의 필요성을 주장하며 경찰청장을 설득, 결국 해커수사대를 발족시켰다. 이후 97년 7월 컴퓨터수사대로, 99년 사이버테러대응센터로, 2000년 지방청마다 사이버 범죄를 수사하는 조직이 갖춰지도록 토대를 만든 셈이다.
‘해커 10만 양병론’을 주장해 주목을 끈 주인공도 그다. 지난 1·25 인터넷 대란에서 보듯, 사이버 세상의 기반 인프라가 망가지면 현실 세계 또한 큰 타격을 입을 수밖에 없다는 것이 그의 지론이다. 이를 현실화하기 위해 경찰생활을 접고 민간기업으로 몸을 옮겼다. 시큐어소프트와 함께 설립한 해커스랩도 이를 위한 ‘기구’였다
경찰에서 민간 보안업체의 대표로 자리를 옮겼던 그가 최근 인터넷 범죄 전담 탐정으로의 전업을 선언했다. 이러한 전업 이유는 “이미 시장이 이러한 비즈니스를 요구하고 있기 때문”이라고 설명한다.
“기업들 중 해킹 사고를 당하고도 수사를 의뢰하지 않는 경우가 상당수입니다. 일반 개인도 예외는 아닙니다. 아이디를 도용당하거나 인터넷게임 아이템을 빼앗기는 사례도 있죠. 기업의 경우는 예외에 속하지만 개인의 해킹 사례는 경찰에 도움을 청해봤자 수사가 이뤄지기 힘든 실정이죠. 이를 민간이 덜어줘야 한다는 겁니다.”
하지만 “사이버 세상에서 인터넷 범죄를 근절하겠다”는 이정남 사장의 꿈을 이루기에는 몇 가지 난관이 존재한다. 우선 공인탐정 관련법이 상정만 된 채 여전히 계류 중이다.
“당장 민간이 수사를 하지 못해도 좋습니다. 하지만 적어도 역할의 분담은 필요합니다. 기업은 해킹당한 사실을 알리지 않기 위해 수사를 의뢰하지 않고, 개인은 수사를 해주지 않으니 아예 경찰을 찾지 않게 되면 인터넷 범죄의 근절은 꿈도 꿀 수 없죠. 결국 국내 사이버 세상이 무너질 수밖에 없습니다.”
법적인 문제만 해결된다면 곧바로 탐정 업무에 들어갈 태세다. 이를 위한 인적 조직까지 이미 갖춰졌다. 이정남 사장 스스로도 보안 전문가지만 경찰 시절, 그리고 해커스랩 시절부터 연을 맺고 지낸 해커 10여 명과 끈끈한 관계를 유지하고 있다. 사건만 터지면 즉시 투입될 수 있는 인재들이다. 이미 사이버 범죄와의 선전포고는 시작됐다.
|
[더 사이버] '국내 해커수사관 1호 이정남씨' .. 해커 ..
| [더 사이버] '국내 해커수사관 1호 이정남씨' .. 해커 교관 |
| [한국경제 1999-07-26 00:00] |
|
사이버공간의 무법자이자 정보사회의 방해꾼인 해커를 키우겠다니. 그것도 10만명이나. 사이버 범죄조직의 수괴(?) 혐의로 잡혀 들어가려고 작정이나 한 것일까. 그러나 해커들이 이름만 들어도 벌벌 떠는 "가제트 형사"가 이 일에 나섰다. 얘기가 달라진다.
국내 해커수사관 1호인 이정남(44)씨. 얼마전까지 해커를 뿌리뽑기 위해 밤 새우기를 마다하지 않던 그가 거꾸로 "10만 해커 양병론"의 기치를 들었다. 그리고 20년간 입었던 경찰제복을 벗고 컴퓨터보안회사인 시큐어소프트의 기술이사로 자리를 옮겼다.
한국 최고의 "해커 사냥꾼"이 "해커 교관"으로 변신한 것이다. "전산망에 무단침입해 정보를 빼내고 시스템을 파괴하는 인트루더(불법침입자)나 크래커(파괴자)를 키우는게 아닙니다. 컴퓨터의 문제를 도끼(hacker)로 장작 패듯 명쾌하게 해결하는 컴퓨터전문 기술자를 집중적으로 양성하자는 것입니다" 그는 최근 사이버공간에 해커들의 자유지대인 "해커스랩"(www.hackerslab.org)을 만들었다.
아직 정식 훈련장을 열지 않았는데도 사이트 개설 20일만에 2만여명이 다녀갔고 게시판에 오른 글이 5백건을 넘는다. 이씨는 오는 8월초 문을 여는 3단계 훈련장을 준비하느라 요즘 눈코 뜰 새없이 바쁘다. 초급 메뉴에서는 초보적 해킹기술을 사용하는 머드게임을 제공한다. 중급 메뉴를 선택하면 침입자를 막는 방어게임을 즐길 수 있다. 바이러스 방어프로그램과 공격 바이러스를 직접 만들어 보고 기초적인 암호해독기술도 습득할 수 있다.
해킹에 어느 정도 자신있는 사람은 고급 단계에서 실력을 발휘하는 것도 가능하다. 여기서는 정보보호솔루션 업체가 만든 방화벽(침입차단 시스템)을 뚫어보게한다. 보안구역에 침입해 숨겨진 정보를 찾아내는 해커에게는 상금도 준다. 초기투자비만 5억원이 들어가는 프로젝트다.
이런 파격적인 시도가 오히려 해킹범죄를 조장하지 않겠느냐는 우려의 목소리도 있다. 이 사이트에서 해킹기술을 체계적으로 배워 나쁜 곳에 써먹을 가능성이 크다는 지적이다. "컴퓨터 윤리교육과 함께 사후관리를 철저히 할 생각입니다. 미래의 사이버범법자가 될 소지가 있는 사람들을 양지로 끌어내자는 의도이지요"
이씨는 지난 97년초의 "고등학교 입학기념 해킹사건"을 잊지 못한다. 부산 K고등학교 입학을 앞둔 김모군이 장난삼아 대기업인 D사의 PC통신망을뚫고 들어가 4만여명의 E메일 자료와 게시판을 삭제하거나 내용을 바꿔놓았다. 그리고는 "제가 뚫었습니다. 고등학교 입학기념으로..."라는 글을 남기고 유유히 사라졌다. 김군은 결국 10일만에 이씨에게 붙잡혔다. 이 사건은 국내 해킹범죄의 특징을 단적으로 설명한다. 해킹의 대부분은 어린 학생들이 실력을 과시하기 위해 재미삼아 시도하며 "범죄"라는 의식은 거의 없다.
단지 호기심을 충족시키고 자신의 능력을 검증해 보기 위해 시스템에 불법으로 침입, 복구할 수 없을 정도로 심한 피해를 입히고도 아무 죄의식 없이 빠져 나와 버린다. 이씨는 범죄예방만을 위해 이 일을 시작하지는 않았다.
제대로 된 해커를 키워 최고의 실력을 갖춘 네트워크보안 전문가를 배출하고 해킹방지기술 수준을 높여 한국이 더이상 국제 해커들의 안마당이 되지않도록 하는데 그 꿈이 있다. "미국의 FBI나 CIA 컴퓨터망도 뚫리는 마당입니다. 한국은 지금 국제 해커들의 놀이터와 마찬가지입니다. 지난해 신고된 1백58건의 해킹사건 가운데 해외 해커들이 일으킨 사고가 1백23건이나 되지만 국내 해커들이해외로 나간 것은 18건에 불과합니다" 이씨는 사이버시대에는 전자상거래가 경제의 주축을 이루며 국가안보의 관건은 정보보호에 달려 있다고 강조한다.
이 모든 것의 핵심이 컴퓨터보안이라는 것이다. 보안수준을 높이기 위해서는 무엇보다 실력있는 해커들을 키우고 곳곳에 포진시켜 한국의 정보네트워크를 지키는 길밖에 없다. "해커들은 해커들이 가장 잘 압니다. 10만명의 해커를 키워 21세기 사이버코리아를 지키는 수호천사로 만들 겁니다"
이씨는 해커스랩이 그 첫 발걸음이라고 말한다. |
해커스랩
회사소개
해커스랩은 우선 해커라는 의미가 범죄자적 의미가 아닌 순수한 컴퓨터 매니아 로서의 의미를 이땅에 정착시키고져 노력할 것입니다 또한 청소년들이 자유롭게 해킹을 실습할 수 있는 놀이공간으로 이곳에서는 해킹을 해도 수사기관에서 잡아가지 않으니 다른 곳에서 마음 졸이며 해킹하지 말고 해커스랩 에서 마음놓고 공격과 방어 기술을 습득하기 바랍니다.
현실 공간에서는 청소년들이 길거리에서 서로 싸우다 전과자가 되도록 방치하기보다는 체육관에서 신체 단련과 윤리교육을 병행하여 운동선수로 육성하는 방향으로 사회가 운용되고 있으나 가상공간에서는 지적 탐구욕이 왕성한 청소년들을 올바르고 유용한 방향으로 이끌어가는 두뇌체육관이 없기 때문에 가상공간에서 배회하는 청소년들을 올바르게 선도하겠다는 깊은 의지가 담겨 있습니다
인터뷰대상 소개
|
|
이 름 |
이정남 (李楨南) |
|
학 력 |
둥국대 국제정보 대학원 졸업 방송통신대학 행정학 전공 | |
|
생년월일 |
| |
|
|
| |
|
약 력 |
1979. 경찰 투신 (순경 공채) |
인터뷰 내용
이정남 소장님 : 먼저 우리 해커스랩 서비스랩에서 서비스하는 몇 가지 아이템을 살펴보지요.
첫째로 모의 해킹 서비스가 있거든요. 이것은 기업 전산망이 얼마나 보안이 잘 되어있나 외부에서
우리 해커들이 원격으로 진단하여 어떤 취약점이 있는지 리포트 하는 것입니다.
두 번째로 보안 점검이라는 것은 내부망에 들어가 실질적으로 그 회사의 보안이 얼마나 잘 되어있는지
툴을 이용해 점검을 하는 것입니다.
세 번째로 보안감시는 일주일에 한 번씩 전산망에 외부 크래커가 침투하는지 안 하는지 확인하는
것이고 네 번째로 보안 관제, 즉 n-patrol은 24시간 리모트 서비스 하는 것으로 계약한 회사의
시스템을 우리 관제실과 연결하여 크래커 침투를 24시간 감시하는 체제입니다. 다섯 번째로 기업
보안 평가는 기업의 보안성에 대해 등급을 나누어서 등급별로 정책적 보안부터 기술적 물리적 측면을
포함합니다. 여섯 번째로 해커 아카데미는 실전 전문가를 양성하는 교육과정으로 이론 위주의
교육에서 벗어나 실전 위주로 가르칩니다. 한 달에 8일 동안 집중 교육을 시키지요. 마지막으로 해킹
자유 지대는 그 동안 해킹을 배우고자 했던 사람들이 배울 공간이 없어서 (아무데나 해킹했다가)
범죄자가 도고 전과자가 되는 것을 예방하고자 만든 것입니다.
그리고 우리가 한 일로는 작년(1999년) 11월에 “제 1회 해커 왕중왕 대회“ 를 했었죠. 이번에는
(2000년 6월 27일 오전 9시 ~ 2000년 7월 1일 오전 9시) “ 세계 보안 올림페어(Information
Security Olymfair) “를 카이스트가 주최하고 우리가 주관을 합니다. 그리고 금년 8월 15일에는
국내 해커 왕중왕 대회를 열 계획입니다.
그러면 해커 왕중왕 대회 이야기가 나와서 묻는 질문인데요. 지난해 해커왕
수상자는 어떤 분이었나요? 작년 1등한 사람은 프로그래머이고 평소 보안에 관심 많았던 사람으로 MAT라는 아이디를
썼지요. 그런데 일반인에게 해커 이미지가 안 좋았던 관계로 공식 시상식을 열지 못하고 비공식으로
시상을 했었지요.해커 대회의 수상자들은 실력도 뛰어난데 해커스랩의 인력으로도 활용을 하시나요? 활용하고 있지요. 지난번 우승자도 특채로 뽑으려 했는데 이미 다른 회사에 다니고 있었고 본인이
원하지 않았기 때문에 우리 회사로 오지는 안았습니다. 본인이 원하기만 한다면 우리는 (수상자들을)
직원으로 씁니다.그러면 해커스랩은 고급 인력 중심의 회사인 것 같은데요, 고급인력을 어떤 식으로
선발하십니까?우리는 일단 레벨 14 ( 해커스랩 사이트의 해킹 레벨을 말하는 것 ) 통과자가 기본 조건입니다.
그 동안은 해킹실력은 소문으로만 퍼졌고 객관적 검증이 불가능했는데, 우리 해커스랩의 해커
자유지대는 어느 정도 객관성이 검증되었기 때문에 다른 기업에서도 직원 채용시 기준이 되고
있습니다. “ 해커스랩 레벨 14 통과자” 이런 식으로 말이죠.
그리고 작년 11월에 심마니가 네티즌에게 투표 했는데 컴퓨터 인터넷 분야에서 해커스랩이 최고점수를
얻었었죠. 또 작년에 한국 전산원에서 만든 “국가 인터넷 백서” 에 해커스랩이 소개 되었죠. 해커
양성과 해커 자유 지대 부분으로요. 잠깐 자료를 보여드리죠.(라고 말씀하시면서 우리들에게 “국가
인터넷 백서”라는 책을 가져와 펼쳐보이며 설명하셨다.) 우스운 것 같아도 그렇지 않더라구요. 별로
크게 생각하지 않았는데 “국가 인터넷 백서” 에 소개되었다고 하니 다들 놀라더군요. 하하~~~
왜냐하면 “국가 인터넷 백서” 에 소개 되었다는 것은 역사에 기록이 남는다는 얘기거든요해커스랩이 생긴지 얼마 안 된 걸로 알고 있는데요.작년 시큐어 소프트사에서 온라인 사이트를 구축하였고 금년 2월 15일자로 법인 설립을 해서
나왔습니다.활동은 작년 7월부터 하신 것이지요?그렇지요. 실질적인 활동은 작년 7월부터 했지요. 그리고 해커스랩은 사람들이 금기시한 것의
벽을깼다는 것에 의미가 있습니다. 사실 그 동안은 해커, 해킹 하면 공식적으로 양성하자고 주장하지
못했거든요. 그러나 해커와 크래커는 구분해야 합니다. 양성을 하려면 개념 구분이 우선이지요.
해커는 정보통신망의 안전 관리자이고 합법적으로 정보 통신망의 보안 취약점을 연구 개발하고 대응
체계를 갖추는 정보통신망의 안전관리자… 이것이 해커의 개념이지요. 크래커는 불법적으로 타인이
관리하는 정보통신망에 침입해서 자료를 파괴, 삭제, 절취하는 등 범죄를 자행하는 범죄자… 이것이
크래커의 개념입니다. 이렇게 개념을 명확히 구분시키며 해커를 양성하자는 데에 반대할 사람은
없습니다. 우리나라는 그 동안 개념 구분이 모호했기 때문에 사람들이 해커를 범죄자라고 오해한
것입니다. 사실 범죄자는 해커가 아닌 크래커인데도 말이지요. 양성을 위해서는 개념구분이 첫째라는
사실을 강조하고 싶군요. 미래 전쟁은 재래식 전쟁으로 끝나는 게 아니고 사이버 전이 됩니다. 사이버
전에서의 병사는 누구냐? 바로 해커입니다. 따라서 국가 안보를 위해서도 해커를 키워야 하는
것입니다. 그래서 더욱더 해커와 크래커의 구분은 명확해야 하는 것이구요.원래 외국에서는 해커와 크래커를 구분하여 쓰는데 우리나라에 잘못 들어온
것이지요?그렇죠. 한국에서는 언론이 잘 모르는 상태에서 무조건 해커라고 보도하고 마인드를 그쪽으로
심어놓아 버린 것입니다. 그러니 이번 기사에도 꼭 해커와 크래커를 명확히 구분해 주세요.
하하하~~~
그리고 해킹은 정보 통신망 보안쪽, 크래킹은 범죄쪽 이런 식으로 생각을 잡아줘야 해요. 그리고
“10만 해커 양병론” 이 왜 나왔는지 아세요? "10만 해커 양병론" 도 결국은 국가 안보를 위해
준비하자는 의미에서 나온 것입니다. 그런데 제 얘기를 듣고 정보통신부에서 일하시는 분이 저에게
전화를 하셔서 우리가 꼭 10만을 양성해야 하냐, 5만은 안되냐구 물어보시더라구요. 하하~~ 그런데
내가 생각하는 것은 꼭 10만, 5만 그런 계량적인 숫자가 아니에요. 단지 미리 대비하자는 뜻이지요.그런데 사실 해커를 많이 양성했다고 하더라도 키워놓은 인력이 해커가 아닌
크래커가 될 수도 있지 않습니까? 그런 일에 대한 대비는 있나요?그래서 중요한 것이 윤리 교육입니다. 사이버 윤리 교육이 어렸을 때부터 실시되어야 합니다. 예를
들어보면, 자동차가 몇 대 되지 않았던 시절에는 도로 교통법이 필요가 없었어요. 그러나 자동차가
1000만 대를 넘어선 지금 도로 교통법이 없다면 질서가 안 잡히죠. 그리고 유치원 들어가서 가장 먼저
배우는게 뭐에요? 바로 파란불일 때 건너고 빨간 불일 때 기다리는 거잖아요. 그러면 현재 컴퓨터
보급대수가 1500만 대를 넘었거든요. 국민 5.2인당 한대 꼴이에요. 따라서 이제 정부에서 해야 할 일은
보급 확산이 아니라 올바른 사용법을 어렸을 때부터 가르키는 것이에요. 채팅시 예절, 게시판 사용시
예절, 이메일 사용시 예절 등을 가르쳐야 합니다. 초등학교 때부터 이러한 네티켓 교육을 철저히
시키는 것 이것이 해커 양성의 첫번째 조건입니다. 해커와 크래커는 사실 같은 기술을 이용합니다.
예를 들어볼까요? 내가 이 칼을 가지고 밤에 다른 집에 들어가 “돈 내놔!” 라고 하면 이 칼은
흉기입니다. 그러나 사무실에선 어떤 용도로 쓰입니까? 제단용이지요. 또 주부가 이 칼을 쓰면 조리
용구가 되는 것이고, 건축 공사장에 가면 자재 절단용을 쓰입니다. 여기서 가장 중요한 것은 정신
자세입니다. 자신이 가지고 있는 기술을 올바로 쓰고자 하는 정신자세… 그래서 사이버 네티켓 교육이
필요한 겁니다. 그래서 2000년 6월 9일부터 시작한 것이 네티켓 교육 연중 캠페인입니다. 한국일보와
손잡고 시행하고 있지요. 이렇게 초등학교 때부터 교과서에 네티켓 10계명을 실어서 사이버 윤리를
가르쳐야 실력 있는 어린 학생들이 범죄자로 전락하는 것을 막을 수 있습니다. 그리고 해커가
크래커가 되는 것을 방지하기 위해 한가지 더 해야하는 것으로는 지역별 동호회 활동입니다. 지역별
동호회가 활동하는데 제가 가서 윤리와 예절에 관해 특강하고 있지요.그러면 화제를 돌려서 현재 우리 나라 보안 마인드라든가 기업들의 실태는 어떻다고
보십니까?현재 우리 나라의 보안 인력이 굉장히 부족합니다. 따라서 제대로 된 보안 회사는 거의 없다고 볼
수 있지요. 원래 있던 업체도 몇 개 되지 않았고 금년에도 상당히 많은 보안 업체가 생겼거든요.
그런데 실질적으로 Security engineer인 해커들을 데리고 있는 회사는 없어요. 우리 회사는 실전
전문가들로만 구성되어 있거든요. 연봉도 해킹 실력에 따라 결정됩니다. 최고 실력자라면 연봉을
아무리 많이 줘도 아깝지 않아요. 해커는 10년 이상해야 되는 것입니다. 컴퓨터 하드웨어도 완전히
알아야 하고, 소프트웨어에 대해서도 알아야 하고, 네트워킹에 대해서도.. 암호도 알아야 합니다.
그래서 해커는 종합 예술인이에요. 해커는 데려다 놓으면 무슨 일이든지 다 할 수 있어요. 따라서
해커는 양성하기가 굉장히 힘듭니다. 단순히 워드나 엑셀, 파워포인트 하는 수준이 절대 아니에요.
그리고 대학 교육도 보면 잘못 가르치는 게 굉장히 많아요. 대학 4년 졸업한 사람들 보면 워드도 못해,
엑셀도 못해, 파워포인트도 못해… 쓸데가 없어요. 그런 사람들을 어디다 쓰겠습니까? 대학 교육을
보면 쓸데없는 이론 교육 위주로만 나가고 있어요. 기업에서 가르치지 않고도 바로 일할 정도의
수준으로 대학에서 가르쳐야 하는데 그 정도 수준으로 가르쳐 주지 않고 있지요. 오직 필요 없는
이론만 가르치고 있다는 거죠. 이론 대실습의 비율이 3대 7이면 되는데 현재 대학에서는 이론 대
실습의 비율이 8대 2정도입니다. 그러니 할 줄 아는게 없지요. 대학 4년 다닌 사람도 기업에서 1년
이상 재교육을 시켜야 합니다. 그러니 얼마나 낭비이겠습니까?현재 우리나라 보안 업체들 중에서 제대로 된 회사는 어떤 것이 있습니까? 제대로 된 보안회사는 아직까지 없어요. 그리고 보안도 종류가 여러 가지가 있거든요. Firewall도
있고 IDS도 있고 컨설팅, 관제도 있거든요. Firewall 같은 경우는 시큐어 소프트나 어울림 등이 좀 큰
회사이고, 다음에 IDS는 인젠, 펜타 시큐리티 같은 회사가 예전부터 하고 있지요. 다음에 컨설팅은
해커스랩, A3 시큐리티 컨설팅이 있습니다. 다음에 관제는 초기 시장이라 해커스랩이 장악하고
있지요.다음에 보안의 핵심은 ‘사용자가 어떻게 하면 편하게 사용할 것인가 ’입니다. 전혀 불편함을
느끼면 안됩니다. 에스원이나 캡스가 건물과 금고를 경비해주듯이 네트웍을 경비해주는 용역 회사가
생겨서 모든 네트워크를 관리해줄 사람이 필요합니다. 그래야 크래커로 인한 공포에서 완전히 해방될
수 있지요.그런데 보안이 중요하기는 하지만 보안 장비를 설치하면 인터넷 속도가 느려져서
도로 떼어버리는 경우도 많다고 하던데요그렇지요. 느려집니다. 그러나 그것은 바로 기술력의 차이지요. 우리 회사 같은 경우는 Firewall을
쓰지 않습니다. 굳이 Firewall 사용하지 않아도 할 수 있는 방법이 있습니다. 그러나 공개를 하지는
못하고 잇지요. 그런 방법을 공개를 할 경우 Firewall 업체들이 난리가 나거든요. 그 기업들이 망할
수도 있으니깐 공개하지 못하죠. 그리고 사실 사용 용도에 따라 다른 보안 방법을 쓰기 때문에 Firewall
이 없어서는 안되지요.우리 나라는 아직까지 제대로 된 보안 회사가 없다고 하셨는데요. 그렇다면
해외에는 어떤 기업들이 있습니까?해외는 이스라엘과 미국이 보안 강국입니다. 미국 같은 경우는 ISS 사가 상당히 잘하고 있고
이스라엘에는 지난 번에 획기적인 제품을 개발했던 고이 있었는데 미국의 Computer Associate 사로
넘어갔죠. 그리고 전반적으로 강국이라면 미국, 이스라엘, 러시아, 이라크, 북한을 들 수 있습니다.
북한은 해킹 강국입니다. 86년부터 미림 대학에서 준비해 왔습니다.북한은 기술력이 하드웨어는 낙후
했어도 소프트웨어는 굉장히 앞서있지요. 그리고 지난번에 미국의 군사 사이트 접속자가 가장 많은
나라가 어디인지 통계를 내보았더니 북한이 제일 많았다고 하죠. 북한은 이미 오래 전부터 준비해
오고 있었어요. 그래서 위 나라도 준비해야 한다고 내가 계속 주장해 온거죠.그래서 SWAT를 만드신 것이지요?그건 우리가 만든 비밀 팀이에요. 그래서 보안쪽으로 사고가 발생하면 대처해 줄 수 있는 서포트와
비슷한 기능을 하는 팀이지요.구성원이 정말 최고 실력자 이겠네요.당연히 최고 실력자이지요. 우리 회사 직원들은 세계적으로도 Top Class 중의 Top Class에요.
버그 트랙이라고 하는 Security hall이 나오면 올리는 메일링 리스트가 있거든요. 그 버그 트랙을 한
달에 한 번씩 찾아서 새로 올립니다. 그래서 해커스랩 인지도가 해외에서 굉장히 높습니다. 그래서
우리는 버그 찾은 사원은 포상금을 주지요. 왜냐하면 회사를 전세계적으로 널리 알렸지 않습니까…그리고 해커스랩도 벤처 기업인데 또 다른 벤처 아이템을 살려서 진출하려는 전략
솔루션 같은 것은 가지고 계십니까?국내로 만족하지 말고 해외로 나가야겠지요. 사실 우리 나라가 가진 자원은 두뇌밖에 없지
않습니까? 이것을 화용해서 보안 기술을 전세계로 보급하자는 생각을 갖고 있고 우리 나라가 보안
강국으로 전세계를 장악하는 날을 보고 싶은 게 꿈입니다. 미국이 전세계를 휘어 잡은 것도 마이크로
소프트가 갖고 있는 윈도 체계 덕분이지요. 그래서 미국이 전세계 정보시장을 주름잡고 있잖아요.
그것과 마찬가지로 전세계로 보안 솔루션을 보급해서 전세계 Security 시장을 장악하며 누구도 쉽게
우리를 넘볼 수 없습니다. 이런 것이 애국하는 길이지요. 기업의 첫째 목표는 국내 시장에서 돈 버는게
아니라 해외 시장에서 돈버는 것이 되어야 합니다. 그렇게 해서 달러를 많이 벌어 들여야 IMF 같은
사태도 다시 안오겠지요.
그리고 우리 회사는 지금 컨설팅 서비스를 하지 않습니까… 컨설팅이라는 것이 해커들의 실력을
썩히지 말고 활용하자는 것이거든요. 사실 해커는 네트워크와 호스탭에 대해서 아주 잘 아는 사람
들이에요. 그렇기 때문에 각 기업의 정보통신망에서 취약점을 찾아서 막아주어 크래커가 아예 침입을
하지 못하게 하는 것 이것이 아이템이고 솔루션이에요. 물리적 영역이 건물을 캡스가 경하듯이 우리는
네트워크 영역에서 경비를 해주는 것이지요. 그리고 앞으로는 물리적 영역 경비와 네트웍 영역 경비가
같이 갈 것입니다. 그래서 3년 내지 5년 후에는 두 영역의 회사가 통합할 가능성이 아주 큽니다.
통합하여 같이 커가는 것이지요.그러면 지금까지 컨설팅 한 회사는 어떤 곳이 있습니까? LG, SK, 하우리 등 30개 사가 끝나거나 진행 중이고 현재 계속 계약이 이루어 지고 있습니다.
그리고 우리는 하드웨어가 없는 서비스 사업이기 때문에 금년 매출 목표가 50억인데 무난히 달성할
것 같습니다현재 부실한 벤처 기업이 상당히 많은데, 해커스랩 같은 경우는 첫해에 수입이
50억이나 되는 것을 보면 상당히 튼튼한 기업인 것 같습니다.그것은 먼저 제가 작년에 온라인 상에 커뮤니티를 형성하여 인지도를 띄워 놓았기 때문이죠.
그리고 현재 닷컴 기업의 한계가 오프라인에서 수입이 없다는 것이지 않습니까? 온라인 상의
커뮤니티만으로는 수입을 얻을 수가 없지요. 그래서 인터넷 닷컴 기업의 값어치가 떨어진 것이구요.
광고 수입만으로는 회사가 유지되기 어렵습니다. 오프라인 상의 수입이 있어야 회사가 돌아갈 수가
있지요. 그래서 해커스랩에서 오프라인 상의 수입 모델로 잡은 것이 해커 아카데미와 컨설팅, 관제
입니다. 해커 아카데미는 어떤 것이지요?해커 아카데미는 기업의 보안관리자를 대상으로 하는 것입니다. 한 달에 8일 교육인데 일인당
월 수강료가 120만원이고 월화반과 목금반이 있는데 수강생이 상당히 많습니다. 아무래도 실제 해킹
기술을 배우니까 그런 것 같습니다. 해커 아카데미에서 주로 하는 것이 실제 해킹 기술을 배운 다음
버그를 만들고 그 버그를 이용해 시스템이 들어가는 것입니다. 이런 방식으로 최소한 몇 개의 버그는
배워서 나가게 됩니다. 그리하여 관리자가 그 동안은 어떻게 하는지 몰라서 막지 못했던 것도 이제는
철저히 관리 할 수 있게 되는 것이지요.현재 관리자만 대상인데 그 대상을 확대할 계획은 있습니까?네, 계속 범위를 확대해서 11월엔 대학생을 대상으로 할 예정입니다. 현재는 한 개 반이지만
앞으로는 몇 개 반으로 늘려서 전문 대학으로 키울 예정이지요.이번에 독도 사이트의 보안을 해커스랩에서 맡기로 하셨다고 들었습니다.네, 이번에 우리가 독도 사이트를 보호하기로 했습니다. 왜냐하면 독도는 한국의 자존심이
잖습니까. 독도 사이트가 일본 크래커들에게 당하는 것을 그냥 보고만 있을 수는 없었습니다. 소장님께서는 인터폴로 활동하신 경력이 있으신데요. 현재도 경찰청과 같이 일하고
계십니까?네, 요즘에도 같이 일하고 있습니다. 금년 2월에도 지방 크래커가 지방 방송국에 크래커가 침투
하여 보안이 취약하다고 한 줄 써놓고 간 일이 있었습니다. 그래서 제가 나름대로 정보망을 동원하여
찾았지요. 직접 집으로 전화해서 통화도 했는데 전혀 보안 마인드가 없더군요. 보안이 취약하길래
들어가서 취약하다고 써놓은 게 무슨 죄냐고 오히려 물을 정도였습니다. 그러나 자기 아이디도 없이
남의 시스템에 침입하는 것은 분명 불법이라는 것을 설명하고 당장 서울로 올라오라고 하였습니다.
그랬더니 돈이 없다길래 제가 비행기표도 사줘서 올라오게 해서는 자수를 시켰죠. 최초의 자수
사건이지요. 자수하면 형이 감경되기 때문에 자수하는게 좋습니다.저희가 준비한 질문은 다 했는데요. 마지막으로 저희에게 하시고 싶은 말씀이
있으시다면 해주십시오. 학생들이 벤처를 많이 생각하고 창업을 많이 꿈꾸거든요. 그러나 온라인에서 사이트를 구축해
놓고 오프라인에서 수입 모델을 찾지 않으면 아예 처음부터 손대지 않는 게 좋습니다. 확실한 수입
모델이 없으면 하지 마십시오. 사실 학생은 공부할 시기입니다. 지금 공부하지 않으면 앞으로 기회를
얻기가 힘들지요. 하지만 돈 버는 것은 지금 하지 않아도 나중에 얼마든지 기호가 있습니다. 그리고
사실 저도 돈을 벌려고 엄청나게 애썼던 시기가 있었습니다. 주식 투자해서 돈을 조금 벌었었는데
결국 나중에 부동산에서 다 잃었지요. 그 리고 주식 투자했을 때도 직원간에 서로 보증을 서주었는데
제가 보증선 친구가 부도를 내는 바람에 그걸 갚느라 7년이 걸렸습니다. 그래서 여기서 얻은 교훈이
'사람이 돈을 추구하면 돈이 도망간다’는 것이었습니다. 그 후로는 나는 돈을 벌 수 없는가보다 하고
푀하였지요. 대신 내가 좋아하는 일을 재미있게 하려고 애썼습니다. 그랬더니 돈이 쫓아오더군요.
돈을 쫓지 말고 자신이 재미로 또는 취미로 할 수 있는 일을 직업으로 연결시키면 돈이 쫓아온다는
것을 알았지요.
내가 경찰청에서 크래커 수사하면서 느꼈던 문제점들이 굉장히 많거든요. 그게 다 우리 사업의
아이템이에요. 해커 자유지대도 컴퓨터 잘하는 아이들을 전과자로 만들지 말아야 겠다는 생각에서
96년부터 만들자고 주장한 것입니다. 그러나 대기업에도 만들자고 제안했었는데 아무도 거들떠
보지도 않았어요. 그런데 막상 만들어 놓으니 엄청나게 반응이 좋지요. 그래서 여기저기서 같이
하자고 하지만 모두 거절했습니다.해커 자유지대가 세계 최초라고 알고 있는데 그러면 따라서 만든 사이트는 없나요?아직 안 생겼습니다. 이것은 공익적인 서비스이고 돈이 상당히 많이 듭니다. 게임 레벨 개발하는데
6개월이 걸렸고 거기 들어가는 장비와 인력등에 상당히 많은 돈이 들었습니다. 1년에 10억 이상이
들거든요. 이것은 제가 컴퓨터 잘하는 아이들을 전과자로 만들지 말자는 생각에서 공익적으로 하기
때문에 할 수 있는 겁니다. 내가 전에 해커 수사대에서 일할 때, 몇 달씩 조사해서 잡으면 중학생,
고등학생 이럴 때가 있습니다. 그러면 상당히 허탈하지요. 그리고 조사과정에서 왜 했냐고 물어보면
배우고 싶다는 겁니다. 배우고 싶은데 배울 곳이 없지 않느냐고 하지요. 현실 공간에서 청소년을 위한
체육관, 공원 , 도서실 등이 있듯이 사이버 공간에도 스트레스를 풀 수 있는 두뇌 체육관이 필요
합니다. 그래서 해커 자유지대의 목적엔 두 가지가 있는데 하나가 청소년 선도, 또 하나가 국가 안보
수호입니다. 미래는 사이버전이기 때문에 그에 대비해서 인력을 양성해야 하는데 그것이 해커입니다.
그리고 해커 양성의 기본은 윤리 교육이구요. 사이버 네티켓 교육을 절대 소홀히 해서는 안됩니다.
그래서 현재 해커스랩에서는 한국 일보와 손잡고 네티켓 지키기 운동을 하고 있지요. 초등 학교
때부터 올바른 사용법을 알아야 하거든요. 우리의 목표는 초등학교 교과서에 네티켓 십계명을 만드는
것입니다. 그리고 나아가 대학에서도 이 운동에 참여하여 범시민 운동으로 만들어야지요. 그리고 또
하나 보안이 중요한 이유를 빼놓았군요. 보안이 왜 중요합니까? 보안을 소홀이 하면 어떤 문제가
생길까요? 먼저 미래 사회가 어떻게 전개될 지를 생각해 봅시다. 앞으로 3년 후 , 5년 후 미래가 되면
완전히 사이버 사회가 될 것입니다. 전자 상거래, 사이버 뱅킹, 사이버 학교 등이 일반화 되겠지요.
이렇게 모든 것이 사이버 세상에서 이루어지는데 핵심은 보안입니다. 왜 보안이냐 하면 예를 들어
지난 95년 카이스트 학생이 홈 뱅킹을 이용하여 540 여 만원을 불법 이체 했다가 잡혔던 사건이
있었지요. 또 이런 일이 생기면 전자 상거래는 한 순간에 침체됩니다. 고객 재산이 빠져나가는데 누가
그걸 하겠습니까? 일련의 물리적 공간에서 대형사고가 발생하는 이유가 안전불감증과 부실공사
때문이듯이 네트워크도 마찬가지 입니다. 그리고 그렇게 취약한 정보 통신망은 앞으로 사이버전에서
경유지로 이용되기 쉽습니다. 국제 관계에서 영원한 우방이란 없는 법입니다. 국제 관계가 어떻게
바뀔지 모르니깐요. 미국은 이미 사이버전 준비가 끝난 나라입니다. 그런 나라에서 어느 날 갑자기
우리 나라를 사이버 전쟁 대상으로 삼아 한국의 전산망을 공격했을 때 어떻게 피할 것인가… 결국은
잘 키운 해커가 10만 대군 역할을 한다는 것이 거기서 나온 얘기입니다. 사이버전이 벌어지면
공격구에서는 그다지 피해가 없습니다. 그러나 당하는 쪽에서는 엄청난 피해를 입지요. 따라서 보안을
소홀히 하면 국가 안보도 위태롭게 되니다. 따라서 보안에 힘을 써야 하는 것이고, 보안을 하기
위해서는 해커가 필요한것이지요.
**** 본문 중의 용어 설명 ****
※IDS(Intrusion Detection System)
인터넷 등 외부망과의 접속시 일정 요건을 갖추지 않은 사람 에이터의 침입을 사전에 방지하기 위한
방화벽과는 달리, 각종 해킹수법을 이미 자체적으로 내장, 침입행동을 실시간으로 감지 제어할 수
있는 기능을 제공한다. 방화벽이 출입자 인증용 「대문」이라면 IDS는 CCTV등 일종의 건물
「무인자동경비」 장치에 해당한다.
※Firewall (방화벽)
인터넷에서 사내 네트워크로 부정한 액세스가 들어오는 것을 방지하기 위한 시스템. 인터넷과 기업
LAN의 사이에 위치 시킨다.
※Firewall 의 기능
내부 네트워크와 신임할 수 없는 네트워크(예, 인터넷) 사이를 갈라 놓음.
오직 인증 받은 건강한 트래픽 만이 이 Firewall 사이를 오고갈 수 있게 함
Firewall은 자신이 갈라 놓은 네트워크의 사이를 오고가는 모든 트래픽을 캡춰하여 조사하며, 악의
적인 트래픽(컨텐츠, content)이 발견될 시 더 이상 통과하지 못하도록 막는다. Firewall이 트래픽을
어떠한 규정과 방식을 갖고 검사할 것인가는 네트워크 관리자가 설정하기 나름이다. Firewall은
네트워크 관리자가 설정한 규정을 기반으로 트래픽을 검사하며 그에 따른 작동을 하게 된다.
※Firewall의 가장 기본적인 기능
Authorization (허가 = 권한 수여)
Authentication (인증)
Protection from common attacks
Logging (기록)
Firewall의 추가적 기능
Address Translation (NAT와 같은 기능)
Suspicious activity monitoring (부정한 네트워크 작동 시도에 대한 모니터링)
Alerting (경고)
Virtual Private Networking (VPN) (가상사설네트워크)
Virus Scanning (바이러스 스캐닝)
Binary/Executable code scanning (바이너리 코드와 실행 코드 스캐닝 ; 대부분의 해킹 프로그램은
실행 프로그램으로서 서버나 호스트에 안착하게 되며 실행되기 때문에 그에 대한 대비책) URL/news
blocking (특정 사이트나 뉴스 그룹을 보지 못하도록 락을 검)
대표적 Firewall Server (하드웨어)
Compaq ProLiant 1600
Compaq ProLiant 1850R
대표적 Firewall Server (소프트웨어)
※AXENT - 제품명 ; Rator Firewall
※Checkpoint - 제품명 ; checkpoint
피드 구독하기:
글 (Atom)