<시리즈> 심층진단 정보보호산업 현주소 (11);해킹기법

우리나라에서 사회적문제가 된 해킹사건의 수는 적지만 비공식적으로는 수많은 해킹사건이 발생하고 있다.

특히 젊은 컴퓨터광들이 많이 있는 대학의 경우 통신망을 통해 다른 대학의 컴퓨터에 침입한다든가 외국의 시스템에 침입하는 일들은 이미 일상적인일이 되어버린 상황이다.

아직은 호기심과 과시욕이 그 해킹의 동기며 피해도 구체적이지 않기 때문에 크게 사회문제화되지는 않고 있다.

국내 최고의 공과대학중 하나인 모대학에서 컴퓨터를 비교적 자주 쓰는 학생들을 대상으로 필자가 비공식적으로 설문조사를 해본 결과 해킹을 시도해본 학생들중 75%가 성공했다는 응답을 얻었다.

또 해킹의 경험이 없으면서도 해킹을 시도하면 성공할 것으로 생각하는 학생이 81%에 달했다.

또 해킹의 동기에 대해서는 37%가 호기심, 12%가 성취욕, 그리고 컴퓨터공부에 도움을 얻기 위해서가 50%였으며 악의나 물질적 욕심은 없었다.

해커들은 유명한 기업 또는 공공기관의 컴퓨터시스템만 골라 불법연결을시도, 성공할 경우 마치 처녀봉을 정복한 산악인처럼 쾌감을 맛보게 된다는것이다.

그러나 해킹의 시작동기가 호기심, 장난 또는 성취욕이라 하더라도 이들이개발해낸 해킹방법이 적성국에 대한 첩보활동이나 산업스파이 활동, 또는 기타 범죄적 목적으로 이용되는 사례가 발생하는 것을 감안한다면 이것은 더이상 호기심에 의한 행동으로 관대하게 취급 될수는 없다.

해커들의 동기는 대개 성취욕이기 때문에 금융기관이나 1급비밀을 취급하는 기관이 아니라 하더라도 얼마든지 흥미의 대상이 될 수 있다.

특히 대상기관이 세계첨단의 컴퓨터시스템을 보유하고 있는 경우에는 더욱그렇다.

우리나라에서 유명한 해커로 알려진 학생들은 유닉스시스템에 대해 상당히깊이 이해하고 있으며 유닉스시스템이 가지고 있는 버그를 잘 활용한다는 특성을 갖고 있다.

문제는 이렇게 훨훨 나르고 있는 해커들에 반해 이들을 막아야 하는 시스템관리자는 거의 손도 못쓰고 있는 상황이다.

관리자들은 많은 업무량 때문에 이 문제에 신경쓸 겨를이 없고 시스템의안전관리를 담당하는 전담요원도 따로 없다.

방화벽이라는 보안소프트웨어가 유일한 대책으로 존재하지만 이 소프트웨어 또한 취약점은 있게 마련이다.

현재로서는 이 문제에 관한한 뾰족한 대책이 없으며 해커들의 도덕성이나법적처벌에 기대는 수밖에 없는 것같다.

아직은 우리나라에서 보고된 사례가 없지만 해킹기술의 정수는 트로이목마방법이다.

이것은 해커들이 남의 컴퓨터를 무단으로 접속하고 또 대형컴퓨터 네트워크를 마음대로 주무르기 위해 사용되던 방법이다.

최근 수년간 물의를 일으키고 있는 컴퓨터바이러스는 트로이목마 프로그램을 상대방이 사용하는 일상적인 프로그램에 몰래 끼워 넣으면 그는 아무런변화도 못느끼면서 일상적인 프로그램을 운영하게 된다.

그러나 그가 이 일상적인 프로그램을 통해 관리하는 모든 정보는 트로이목마를 심어놓은 사람에게 자동적으로 흘러가게 된다.

마치 컴퓨터바이러스에 감염된 프로그램은 사용자도 모르게 다른 프로그램을 또 감염시키고 하드디스크를 파괴하고 파일을 지우는 것과 유사한 개념이다.

여러분들이 쓰고 있는 프로그램에도 트로이 목마가 없다고 단언할 수는 없다.

특히 여러분이 중요한 극비정보를 다루고 있다든가 요주의 인물로 분류되어 있다면 그 가능성은 항상 존재한다.

다만 아직은 우리나라에서 이에 대해 관심을 갖는 사람이 적다는 것이 다행한 일일 것이다.

<김세헌 한국과학기술원 교수>