화이트 해커와 블랙 해커는 서부영화에서 유래했다. 범법자들은 주로 검은색 카우보이 모자를 썼기 때문에 블랙 해커는 범법자를 말하는 것이 되어버렸다.
블랙 해커의 증가는 적정한 보안 관련 일자리 부족과도 무관하지 않다. 단순히 양의 문제가 아니라 질적으로 좋은 일자리 말이다. 실제 화이트 해커는 대부분 보안 분야에서 일하고 있고, 그들은 전직이나 전향할 일이 많지 않으므로 안정적 생활을 꾸려간다.
 |
| ▲ [사진=픽사베이 제공] |
예를 들어 해킹 행위 중 발견한 취약점이 있을 때 사적인 이익을 취하지 말고 의도적으로 빨리 관리자를 찾아 보안 취약점을 통보해야 하는데 이와 같은 일을 미루거나 업무를 게을리 하는 것이다. 그리하여 기업들은 사내 그레이 해커를 감시하기 위하여 IT 보안기업에게 비밀리에 버그를 탐지해 주거나 보안 취약점을 탐지해 주는 서비스를 많이 요청한다.
이 경우 실제 사내 보안 담당자가 어떻게 대처하는지 경영진은 시범적으로 해 봄으로써 기술 보호 수준이 어느 정도인지 검토할 수 있다.
때때로 기본적으로 스크립트 키디(Script Kiddie) 수준의 컴퓨터 프로그램 사용에 익숙한 부류들은 그들의 실력을 과장하는 경향을 보여주기도 하기 때문에 컴퓨터 네트워크 보안시스템이 잘 갖추어진 기관 등에서 전문적 해커가 기업의 데이터를 사이버 공격할 때 어느 수준의 보안이 대비되어 있는지 알기가 어렵다.
특히 내부 구성원이 불만을 가져 IT 시스템을 파괴하려는 고의를 가지면 매우 위험하다. 그런 만큼 외부에서 의뢰를 받건, 지인들의 특정한 의뢰를 받건, 이런 시도가 있으면 내부적으로 즉시 감지할 수 있는 힘이 사내 보안 담당자에게 존재하여야 한다. 국가는 IT기술의 발전에 따른 IT 보안 고도화를 이해하고 해커들의 윤리를 바로 잡을 수 있는 체계정당성 있는 법제 마련이 필요하다.
현재 ‘정보통신망이용촉진 및 정보보호 등에 관한 법률’(정보통신망법) 제44조의7 ‘불법정보의 유통 금지’ 제1항에는 ‘정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조하거나 그 운용을 방해하는 내용의 정보’, ‘법령에 따라 분류된 비밀 등 국가기밀을 누설하는 내용의 정보’, ‘국가보안법에서 금지하는 행위를 수행하는 내용의 정보’, ‘그 밖에 범죄를 목적으로 하거나 교사(敎唆) 또는 방조하는 내용의 정보’ 등은 유통하여서는 안 된다고 규정하고 있다. 하지만 이에 따른 벌칙은 존재하지 않는다.
저작권법에는 기술적 보호조치를 제대로 하지 않거나 무력화하는 경우에 대한 정의와 이를 위반할 경유에 부과하는 벌칙을 규정하고 있다.
저작권법 제104조에는 ‘특수한 유형의 온라인 서비스제공자의 의무 등’이란 제명 아래 ‘다른 사람들 상호 간에 컴퓨터를 이용하여 저작물 등을 전송하도록 하는 것을 주된 목적으로 하는 온라인서비스제공자는 권리자의 요청이 있는 경우 해당 저작물 등의 불법적인 전송을 차단하는 기술적인 조치 등 필요한 조치를 하여아 한다’고 규정하고 있다. 이를 위반하면 3천만원 이하의 과태료를 부과한다.
저작권법 제104조의2(기술적 보호조치의 무력화 금지)에는 ‘누구든지 정당한 권한 없이 고의 또는 과실로 기술적 보호조치를 제거·변경하거나 우회하는 등의 방법으로 무력화하여서는 아니 된다’고 규정하고 있다. 이를 위반하면 5년 이하의 징역 또는 5천만원 이하의 벌금에 처할 수 있다.
불완전하더라도 해야 할 의무를 아예 안하는 것(진정 부작위)과, 하여야 할 의무를 했는데 불완전한 것(부진정 부작위)에 대한 행위 위법과 동기 위법을 생각해 볼 때 할 수 있는 기술적 보호조치를 다 해야 하는 것이 공격으로 무력화하는 행위보다 결코 가벼운 주의의무라고는 볼 수 없다. 즉 특정 분야의 기술적 보호조치 의무와 기술적 보호조치 무력화 제재 의무의 행위 무게는 유사하다고 할 수 있다.
최근 들어 화이트 해커 자리를 구하기 쉽지 않다. 우크라이나와의 전쟁으로 러시아가 수세에 몰리자 친러 해커들의 경우 러시아에 적대적인 조직들에 디도스 공격을 하기 위한 프로젝트인 ‘디도시아’를 실시하고 있다고 한다.
디도스 공격은 공격자 입장에서 수행하기가 쉬운 편에 속한다. 게다가 추적의 위험도 거의 없다. 심각한 보안 상황을 야기할 가능성도 적다. 금품을 요구하지 않는 해커들은 메시지 전달 방법으로 사이버 공격을 하고 대개 디도스 공격으로 자신들의 메시지를 전달하려 한다.
이러한 해킹 관련 정보를 국가는 지속적으로 공유하고 관련 법령의 중요성을 인식하여야 한다. 법령은 국민들에게 어떤 행위가 범죄인지 알리는 가장 좋은 홍보수단이다. 해커들이 화이트 해커이든 블랙 해커이든 그레이 해커이든 자신이 어디에 속하든 범죄를 스스로 중지·미수시킬 수 있는 가장 강력한 동기이기 때문이다.
해커는 IT 보안 담당자이면서 사이버 공격자로서 취약성을 찾아내는 자이기도 하다. 보안 담당자로서 제 역할을 다하는 기술적 보호조치 의무가 사이버 공격인 기술적 보호조치 무력화보다 결코 덜 중요한 것 같지 않다.
[박정인 단국대 연구교수·법학박사]
[ⓒ 메가경제. 무단전재-재배포 금지]
