구독상품안내
시스템에 침투해 자료를 지운 행위로 해커가 구속되는 일이 일어났다. 금전적 이해를 구하기 위해 침입한 것이 아닌 해킹으로는 국내 처음을 기록한 이번 사건은 많은 사람들에게 해킹 행위 자체를 바라보는 이전의 시각을 교정할 것을 요구하고 있다.
지난 5월 7일 서울지검 정보범죄수사센터는 포항공대와 이화여대 전산시스템에 침투한 한국과학기술원(KAIST) 대학생 4명을 검거해 이중 두명은 구속하고 두명은 불구속했다고 발표했다.
학교의 전산동아리인 KUS와 SPARCS 회원인 이들은 지난 4월5일 새벽 2시경부터 4시 반까지 동아리방에 설치된 전산시스템을 이용, 포항공대 전자과와 물리학과 등 모두 7개의 시스템에 침투해 그곳 전산시스템의 본체 비밀번호를 바꾸고 전산자료를 모두 삭제한 혐의를 받고 있다.
검찰은 이들을 구속하면서 "지금까지 단속된 해커들은 국내외 전산망에 침입해 들어갔다 나오거나 비밀번호 파일을 빼내는 정도였지만, 이들은 상대방 전산시스템을 사용 불능의 상태에 빠지도록 했다는 점에서 단순한 호기심 차원으로 볼 수 없다"고 밝혔다.
'의도적' 파괴 아니다
검찰 발표가 있은 다음날 찾은 KAIST는 어수선한 분위기였다. 학교 당국자들은 더구나 최근 들어 이 학교 학생들의 자살사건 등이 잇따르는데 엎친데 덮친 격으로 사건이 일어나자 "분위기 쇄신을 위해 고사라도 지내야 할 판"이라고 답답한 심정을 토로했다(실제 15일에는 윤덕룡 원장이 참여해 고사를 지냈다).
그동안 학교에는 암암리에 "누가 어느 시스템을 뚫었다"는 이야기가 무용담처럼 떠도는 등 해킹 자체를 그리 문제시하지 않는 것이 지배적인 분위기였다. 특히 KAIST와 포항공대는 이전에도 상대방 시스템에 침투한 일이 잦았기 때문에 구속으로까지 연결될 것으로는 아무도 생각하지 못했다.
그 의미가 긍정적이든 부정적이든, 그동안 두 학교는 세간에 '국내 최고의 해커 산실'이라는 평을 들어왔다. 그만큼 두 학교가 이 분야에서는 독보적인 존재란 말이다. 우수한 학생들이 몰려 있는 두 학교의 제반 여건은 이들이 성장할 수 있는 최적의 인큐베이터였다. 실제로 두 학교 학생들은 지난 91년 누가 더 고도의 해킹 기술을 갖고 있는가를 놓고 서로의 전산망에 침투하는 '해킹 전쟁'을 벌인 적도 있다.
두 학교는 외국 유명대학 못지 않게 잘 갖추어진 전산망이 도처에 널려 있다. 또 학생들의 전산망 사용에 비용을 부과하는 외국 대학과 달리, 이들 학교에서는 입학과 동시에 무료로 계정을 발급해주고 있어 누구라도 비용 걱정 않고 언제 어디서나 컴퓨터에 접근할 수 있다. 게다가 전원 기숙사 생활을 하고 있기 때문에 시간에 쫓기지 않고서도 24시간 가동되는 이들 시스템을 이용할 수 있다.
여기에 학생들의 수업 참가를 전적으로 자유 의사에 맡기는 학사관리와 이전 문화의 전수가 쉽게 이루어지는 독특한 학교 분위기가 서로 작용해 '컴퓨터 달인'이 양산된 것이다. KAIST의 경우 학사경고 3번이면 자동 퇴학되는 학칙을 운영하고 있는데, 이로 인해 학교를 나가는 학생이 1년에 대략 15명선에 이른다. 이중 머드나 해킹 등 컴퓨터에 빠져 학점을 채우지 못하는 경우가 상당수를 차지하는 것으로 알려져 있다.
한편 구속 학생들은 바둑으로 치자면 적어도 프로 유단자 정도의 실력을 갖춘 것으로 알려져 있다. 이번 사건과 관련해 검찰에 불려갔다 오기도 한 SPARCS 회장 박준일씨(전산과 3학년)는 "법을 모르기도 했고, 안다고 해도 무시해온 것이 사실"이라고 그간의 분위기를 전했다. 가깝게는 작년 11월에도 KAIST의 대표적 BBS인 CSQUEEN에 해커가 침입해 두달치 자료를 몽땅 날린 경험이 있지만, 이런 일이 워낙 잦은데다 마땅히 신고할 만한 창구도 없어 학생들 스스로가 복구하는 선에서 일을 마무리했다는 것이다.
이번 일만 해도 사정은 크게 다르지 않다. 박씨에 따르면 지난 3월 말 KUS 회장인 노정석씨(산업경영과 3학년·구속)는 번연히 자신의 계정으로 침투한 해커에 의해 그동안 보안과 관련해 모아놓았던 자신의 각종 파일이 압축되는 것을 여러 사람과 함께 목격한다. 그런데 사건이 일어난 4월 5일 새벽, 같은 일이 다시 발생했다는 것이다.
처음 일이 일어났을 때는 침입자를 쫓아내는 선에서 일을 마무리했지만, 똑같은 일이 두번씩이나 벌어지자 노씨는 매우 화가 났다고 한다. 그리고 포항공대생의 소행으로 짐작하고 침투를 개시했다가 결국 일을 내고 말았다.
박씨를 비롯한 학생들은 노정석씨 등이 '물증' 없이 '심증' 만으로 사고를 친 것은 명백한 잘못임을 인정하지만, 검찰 발표처럼 애초부터 시스템을 파괴하기 위해 들어간 것은 아니라고 말한다. 노씨가 들어간 당시 상대방 시스템의 상태가 워낙 불안정해 흔적없이 빠져나오려 하는 과정에서 생긴 우발적 행위라는 것이다. 또한 이화여대의 경우는 불법 침투가 아니고, 당당히 정식 절차를 거쳐 시스템 보안 점검을 해주는 대가로 시스템관리자의 권한을 획득한 것이라고 주장한다.
"변명의 여지 없다"
KAIST내에는 현재 KUS와 SPARCS 외에도 HUG, PROCESS 등 6-7개의 전산 동아리가 활동하고 있다. 이중 노씨가 활동하고 있는 KUS는 시스템 보안 사고 및 해킹 방지 기법을 연구하는 동아리. 이전까지 몇몇 학생이 비공개적으로 활동하다가 지난 94년 9월 차성덕 교수(전산과)가 부임하면서 지도교수를 자청, 공개 동아리로 전환됐다.
이 동아리는 해킹 방지 기술을 연구하기 위해 자신들이 운영하는 시스템을 이용해 공격팀 수비팀으로 나누어 뚫고 막는 과정을 통해 시스템 보안 연구를 해오면서 실력을 쌓아왔다. 그렇다고 이들이 자신들이 갈고 닦은 실력으로 이번처럼 시스템을 못쓰게 만드는 일에 주력해왔던 것은 아니다.
오히려 학교 시스템의 보안 결점을 발견해 이를 수리하거나, 자신들의 연구 결과를 잡지 등에 기고하는 등 긍정적인 역할이 더 많았다. 특히 회장 노씨는 시스템 보안을 위해 발족된 CERT 요원으로 활동했으며, 그를 구속한 검찰의 정보수사센터가 발족할 당시에는 SPARCS 회원들과 함께 시스템을 구축하는 아르바이트를 하기도 했다.
KUS 지도교수인 차성덕 박사는 "과연 감옥에 가면서까지 자신의 실력을 과시해야 했느냐"고 안타까움을 표하면서 "행위 자체에 대해서는 변명의 여지가 없다"고 이번 일에 대해 사과했다.
"학생들이 철이 없었다고 해야 할까요. 그동안 학생들을 만날 때마다 '뺨 맞을 수도 있고, 칭찬받을 수도 있다'는 말로 해킹 기술의 긍정적 사용을 주지시켜왔음에도 불행한 사건이 일어났으니 할 말이 없습니다. 앞으로는 컴퓨터를 왜 사용하는지에 대해 진지한 고민을 같이 하고, 또 지식을 올바르게 사용할 수 있도록 컴퓨터 윤리 교육을 강화해나가겠습니다. 다만 이번 일과 관련해 학교의 전산동아리를 범죄자 집단처럼 보지는 말아주십시오."
이같은 반성의 분위기와 함께 KAIST의 학생과 교수들은 이번 일을 우리나라의 시스템 보안이 한단계 강화되는 계기로 삼아야 한다고 입을 모으고 있다. 시스템 보안이 지금과 같은 상태로 계속된다면 이번 사건과는 비교할 수 없는 엄청난 사건도 얼마든지 일어날 수 있다는 것이다.
특히 학생들은 다른 시스템을 못쓰게 만들었다는 것이 결코 잘한 일이 아니지만, 자신이 책임지고 있는 시스템을 무방비로 내놓고 있는 '게으른 관리자' 역시 도의적인 책임이 있다고 주장한다. SPARCS 회장 박씨의 말.
"국내에만 그 범위를 한정한다면 단 1시간 안에 30-40군데는 뚫을 수 있을 겁니다. 저나 이 방에 있는 친구들이 매우 뛰어난 실력을 갖추고 있기 때문이 절대 아닙니다. 어느 정도 익숙해진 사람에게 국내의 시스템은 그야말로 대문 앞에 '여기 열쇠 있음'하고 써붙인 꼴이에요. 시스템 관리자들은 CERT같은 곳에서 나오는 공식 문건만 살펴봐도 막을 수 있는 구멍조차 아무런 대책없이 그냥 놔두고 있는 지경입니다."
해킹 방어기술은 공격 기술과 일란성 쌍둥이다. 기법을 모르고선 막을 수 없으니, 방어 전문가는 또한 공격 전문가일 수밖에 없는 것이 현실이다. 그렇다면 공격과 방어 양쪽중 어느 쪽에 자신의 준거를 두느냐는 전적으로 개인의 판단에 맞겨야 할 성질의 것일까.
불행히도 현재로선 아무런 방법이 없다. 우리는 바야흐로 네트워크가 꿈꾸는 정보민주주의에 대해 심각한 고민이 있어야 할 시기를 살고 있는 것이다.
취재를 마치고 나오는 길에 인터뷰 도중 만난 한 학생의 이야기가 내내 귓전에 울렸다.
"이번 구속이 어떤 식이든 학생들에게 영향을 주긴 하겠지만, 결코 이 학교에서는 해킹 자체가 사라지지는 않을 겁니다. 배우면 써보고 싶은 게 사람 심리잖아요."
