보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[한 주간의 보안이슈 돋보기] 윤리성에 의해 달라지는 해킹의 결과

입력 : 2024-02-10 22:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
인터넷 서점 ‘알라딘’ 해킹 10대, 소년부 송치
게임사 게이머, 인터넷 방송인 등 개인에 초점 맞춘 디도스 공격 늘어
한국형 전투기 기술 등 국가핵심기술 유출 이슈가 시사하는 것


[보안뉴스 김경애 기자] 한 주간의 주요 이슈를 다시 한번 되짚어보고 보안전문가들의 코멘트를 들어보는 코너입니다. 이번 한 주를 되돌아보면 윤리성이란 단어가 계속 떠오릅니다. 윤리성은 해킹/보안 기술의 가치를 끌어올릴 뿐만 아니라 정의감과 사명감, 책임감도 더해져 보안 강화에 있어 엄청난 힘을 발휘할 수 있습니다.

[이미지 = gettyimagesbank]


10대 때부터 유명한 화이트해커 출신인 박찬암 스틸리언 대표는 어떻게 보안기업의 대표 자리까지 올랐을까요? 기자는 지금도 그와의 인터뷰 중 건네받은 책을 잊을 수 없습니다. 그가 집필한 책에서 그는 해킹 입문 시 가장 중요한 덕목으로 윤리성을 꼽았는데요. 당시 어린 나이임에도 불구하고, 책 앞부분에서 윤리성을 강조했습니다. 그만큼 윤리성이 갖는 힘이 크고, 중요한 가치라는 걸 단번에 알 수 있는 것처럼요.

칼이란 도구를 요리에 사용할 때와 범죄에 사용할 때 결과가 첨예하게 갈리듯 해킹 기술도 그렇습니다. 순간의 잘못된 생각과 판단이 엄청난 파장을 일으키고 결과를 낳는다는 것은 다음의 판결에서도 시사하는 바가 크다고 할 수 있습니다.

1. 인터넷 서점 ‘알라딘’ 해킹 10대, 소년부 송치
인터넷 서점 ‘알라딘’을 해킹하고, 전자책을 유포하겠다고 협박한 10대가 가정법원 소년부에 송치된다는 소식이 전해졌습니다. 지난 2일 서울동부지법 형사합의11부(김병철 부장판사)는 18살인 박모군을 사기·정보통신망법위반·공갈 등 혐의로 가정법원 소년부에 송치한다고 밝혔는데요.

이는 처벌보다는 보호처분으로 한 번 더 올바르게 살아갈 수 있는 기회를 준 셈인데요. 송치 처분 이유에 대해 재판부는 “지적 호기심 등을 발휘해 올바른 길로 살아갈 가능성이 있다면 박모군과 가족, 우리 사회에도 도움이 될 것”이라며 “박모군의 가능성을 믿고 기회를 주기로 했다”고 밝혔습니다. 우리나라 10세 이상 19세 미만의 소년 범죄 사건은 경찰서장이나 검사, 판사 등이 가정법원 소년부에 송치할 수 있는데요. 소년부 판사는 심리를 마친 뒤 소년에게 보호 처분을 할 수 있습니다.

이번 사건을 두고 보안전문가들의 의견은 어땠을까요? 저지른 범죄가 악랄해 처벌을 강화해야 한다는 의견이 있었던 반면, 청소년들의 해킹범죄를 사전에 예방할 수 있는 대책을 마련할 필요성이 있다는 의견도 있었습니다. 그리고 윤리의식의 중요성도 다시 한번 강조됐는데요.

“정보통신망을 해킹하는 것은 범죄라는 인식을 갖도록 하는게 매우 중요합니다. 청소년에게 사이버보안 교육과 인식 제고를 통해 이러한 유형의 범죄가 청소년에 의해 발생하는 것을 사전에 줄이는 국가 차원의 대책 마련이 필요합니다.”
-순천향대학교 염흥열 교수-


“해킹 공격은 보통 금전적 이익, 기업 비밀의 탈취, 지적재산권의 침해와 같이 구체적인 이익을 추구하는 경우 또는 순수한 호기심, 디페이스 해킹 등의 비금전적 동기로 나뉩니다. 사이버범죄에 대한 처벌을 보다 강화하는 한편, 사고사례, 처벌수위 등을 적극 전파하는 게 사회 전반의 윤리의식 제고에 도움이 될 수 있습니다.”
-리니어리티 한승연 대표-


“보안에 관한 업무를 하다보면 다양한 유혹이 있는 것은 사실입니다. 이와 같은 상황에 윤리의식의 중요성에 대한 강조는 무엇보다 중요합니다. 다만, 경제적인 부분도 고민해야 합니다. 사람인 만큼 유혹이 왔을 때 이를 과감하게 떨쳐버릴 수 있도록 해야 합니다. 이를 위해서는 보안시장 규모와 기대 수익이 유혹에 넘어가지 않을 수준으로 만들어야 하는데요. 현재 국내 보안시장의 투자 및 활성화 수준이 이 수준에 못 미치고 있다는 것도 생각할 필요가 있습니다.”
-스틸리언 신동휘 CTO-


2. 인터넷 방송인, 게이머들 노린 디도스 공격
최근 게임사, 게이머, 인터넷 방송인 등을 노린 디도스 공격이 심심치 않게 일어나고 있습니다. 특정 개인 등을 타깃으로 했다는 점에서 디도스 공격이 남을 괴롭히는 도구로 가볍게 여겨지며 더욱 만연해지는 것 같습니다. 클라우드플레어는 대부분의 디도스 공격은 짧고 규모가 작다고 했는데요. 그런 현상들이 국내 게임업계에서도 나타나고 있습니다.

지난해 12월부터 라이엇게임즈의 ‘리그 오브 레전드’ 게임 방송인과 게이머를 노린 디도스 공격이 발생했는데요. 공격자는 방송인, 게이머 등의 개인 IP 주소를 탈취해 PC를 공격한 것으로 파악됐습니다.

해당 공격자는 12월 말부터 디도스 공격을 하며, 인터넷 방송인들의 게임 중계를 방해하거나 인터넷 라이브 방송을 방해하고 접속 장애를 일으키는 등의 피해를 입혔는데요. ‘배틀그라운드’, ‘로스트아크’, 아프리카TV 방송인들이 플랫폼에서 진행하는 배틀그라운드 게임 방송, 플랫폼 기업 등을 타깃으로 공격을 일삼았습니다. 이렇듯 디도스 공격이 개인, 소규모 대상을 타깃으로 빈번하게 발생하는 경향이 있습니다.

“인터넷 방송인의 IP 주소를 알아내서 디도스 공격을 감행하는 것은 개인 방송인 입장에서는 막기가 매우 어렵습니다. 이러한 공격을 일삼는 공격자를 색출해 엄하게 처벌함으로써 경각심을 줄 필요가 있습니다.”
-순천향대학교 염흥열 교수-


디도스 공격의 목적지가 인터넷 방송을 하는 게이머를 향한 이유에 대해 살펴보는 것이 중요한 것 같습니다. 그만큼 산업 규모가 증가했으며 그 내부에서 경제적인 효과가 발생하기 때문에 누군가의 이윤을 방해하려는 목적으로 보입니다. 이같은 디도스 공격을 통해 누군가의 이윤을 억제하거나 이윤을 취하는 경우 등 그 목적은 별도로 파악해볼 필요가 있습니다. 그러나 근본적으로 공격자가 피해 대상의 IP를 정확히 식별하고 공격할 수 있었다는 점을 간과하지 말고 어떻게 IP를 식별했는지 파악한 후, 보호할 수 있는 기술적 방안을 고민해야 합니다.”
-스틸리언 신동휘 CTO-


3. 한국형 전투기 기술 유출
인도네시아 국적의 기술자가 한국형 전투기 KF-21 ‘보라매’의 기술 자료 유출 혐의를 받고 있는 것으로 확인됐습니다. 한국항공우주산업(KAI)에 파견된 인도네시아 기술자는 1월 17일 KF-21 관련 자료가 담긴 USB를 외부로 반출하려다 적발됐는데요. 해당 기술자는 USB를 실수로 회사로 가져와 퇴근길에 검색대에서 적발됐다고 주장했습니다.

하지만 KF-21은 우리나라와 인도네시아가 공동 개발 중인 ‘4.5세대급’ 전투기입니다. 2016년에 사업이 시작돼 인도네시아 기술자 20여 명이 항공기술을 습득하고 KF-21 관련 기술을 공유하기 위해 KAI 사천공장에 파견됐다고 합니다.

우리나라에서 번번히 발생하고 있는 반도체 기술 유출 사건 등에서 알 수 있듯이 기술 유출은 자국에 큰 손실을 가져다 줍니다.

“국가핵심기술인 보라매의 기술 자료를 해외로 유출하는 것은 국가의 핵심기밀 유출로서 우리나라의 기술경쟁력과 국가경쟁력에 커다란 영향을 미칩니다. 이러한 핵심기술을 보유하는 기업은 핵심기술 유출을 방지하기 위한 물리적·기술적·관리적 보호대책을 철저히 적용해야 합니다. 특히, 전산 시스템의 취약점 진단을 통한 예방활동은 물론 침해사고 발생시 유출 경로 확인 등을 통해 사고 원인을 조기에 탐지하고 신속히 대응해야 합니다.”
-순천향대학교 염흥열 교수-


“KAI 내부의 정보가 외부로 유출될 가능성이 있는 내용입니다. 상황에 대한 이해와 더불어 어떻게 USB가 내부로 들어와 데이터가 담길 수 있었는지 파악할 필요가 있습니다. 내부적으로 다양한 보안장치가 있을텐데 그 장치들을 어떻게 우회할 수 있었는지 철저하게 점검할 필요가 있다고 봅니다. 나아가 보안 제품들이 100%를 담보하지 않기 때문에 막아야 하는 보안 영역이 아직 남아 있는지 꾸준히 파악해야 합니다.”
-스틸리언 신동휘 CTO-

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)