[이슈칼럼] 낮아진 범죄의 문턱, 어려진 해커들

기초교육 단계부터의 탄탄한 사이버보안 교육 체계 구축...미래 국가 사이버 안보에 기여할 것

[보안뉴스= 이원태 한국인터넷진흥원 원장] 후드를 푹 뒤집어쓰고 컴퓨터 앞에 앉아 어두운 옷을 입고 진지한 얼굴로 컴퓨터 자판을 두드리는 비열한 범죄자의 모습, 우리가 흔히 ‘해커’를 생각할 때 쉽게 연상하는 이미지이며 이 같은 모습은 다양한 온라인 매체나 방송에서도 심심찮게 등장한다. 하지만 이 또한 이미 구시대적인 고정관념이 된 것으로 보인다.

[이미지=utoimage]

이제 해킹은 더 이상 지능적인 범죄 조직에서만 사용하는 기술이 아니다. 전문적인 기술과 지식이 없이도 ‘누구나’, ‘쉽게’ 해킹을 시도할 수 있는 시대가 와버렸다. 포털 검색만으로도 해킹 기술과 방법을 손쉽게 찾을 수 있고, 인터넷 커뮤니티를 통해서도 해킹 성공 사례와 해킹 프로그램 이용방법에 대한 다양하고도 자세한 정보를 구할 수 있는 것이 지금 우리 사이버 환경의 현실이다.

해킹 기술 또는 정보에 대한 접근성 향상은 해커들의 연령대를 낮추기에 이르렀다. 최근 전문 해킹 그룹이 아닌 일반 청소년에 의한 해킹 범죄에 대한 뉴스는 심심치 않게 들려오고 있다. 공개 저장소(PyPI)에 랜섬웨어 유포(이탈리아, ‘22.7), 미 대통령 등 다수 유명인의 소셜아이디 해킹(미국, ’20.7), CIA 국장 해킹 및 기밀정보 유출(영국, ‘15~’16) 등 전 세계적으로 청소년에 의한 다양한 해킹 사례가 꾸준히 발생했다. 미국 보안업체 Tufin Technologies가 뉴욕시 10대 청소년들을 대상으로 한 설문조사에서는 6명 중 1명이 해킹을 시도한 경험이 있다고 응답했으며, 더욱 충격적이게도 39%는 ‘해킹이 멋있다’고 답변했다.

국내에서도 청소년 해킹 사건은 매년 1~2백여 건 수준(경찰청 제공)으로 적지 않게 발생하고 있다. 최근 크게 뉴스가 되었던 교사의 노트북을 해킹해 시험지, 답안지를 유출한 고등학생들의 사례(‘22.7)부터 특정 유튜버에 대한 DDoS 공격(’22.1), 조선일보 옥외 전광판 해킹(‘19.12), 게임서버 DDoS 공격(’17.6) 등 그 형태도 다양하다.

엄연히 범죄인 해킹에 이렇듯 어린 나이의 청소년들이 뛰어드는 이유 중 하나는 앞서 언급한대로 해킹 기술에 접근이 용이해지고 온라인상에서 서로서로 정보를 주고받는 활동이 자유로워진데 있을 것이다. 요즘의 ‘해커 꿈나무’들은 해킹에 필요한 도구와 지식을 온라인에서 손쉽게 확보하고, 이를 바탕으로 통신을 마비시키는 DDoS 공격을 수행하거나 악성코드가 첨부된 피싱메일을 통해 시스템에 접근할 수 있는 자격증명(ID/PWD)을 어렵지 않게 확보할 수 있다.

또한 다크웹, VPN 등 익명 서비스가 발전하면서 청소년 스스로 자신의 신분이 노출되지 않을 것을 알고 마약, 도박, 해킹 등 범죄 행위를 시도해 볼 수 있는 환경이 제공되는 것, 이에 더하여 디지털화된 사회 시스템을 통해 각종 온라인 매체를 어렸을 때부터 자연스럽게 접하게 되면서 해킹 범죄와 관련된 콘텐츠에 노출되는 연령도 낮아지는 것 또한 해킹 범죄로 쉽게 빠져들게 하는 원인들이라고 생각된다.

1950년대에 처음 등장한 ‘해킹’은 지적이고 치기어린 도전 행위라는 점에서 한때 해커문화는 낭만적인 측면이 있다고 평가받기도 했다. 하지만 4차 산업혁명 이후 초연결사회에서의 해킹은 사람들의 재산 및 목숨에 실질적 위해를 가할 수 있는 범죄 행위로, 근래의 해킹 보편화 및 해커 저연령화는 더 이상 방치해 둘 수 없는 사회적 문제가 되었다.

단순히 사후 법‧제도를 통해 처벌하는 방법은 근본적인 해결이 될 수 없다. 또한 디지털 대전환의 거센 흐름을 타고 확산하는 해킹 유행을 원천 차단할 수도 없다. ‘해킹은 범죄’라는 것을 스스로 판단할 수 있는 가치관을 교육해 사전에 범죄의 길로 들어서지 않도록 인도하는 것이 가장 좋은 해결책일 것이다.

한국인터넷진흥원은 한국정보기술연구원과 함께 국내 청소년 등을 대상으로 BoB, K-Shield Jr, 사이버가디언즈 등의 사이버보안 전문교육사업을 추진 중이다. 이 교육은 사이버 공간에서의 올바른 가치관 형성, 직업윤리 향상, 해킹 사고 사례 및 위반 행위 예방 등의 내용을 포함하고 있다. 그러나 교육 기간이 짧고 교육 대상이 정보보호 전문가를 꿈꾸는 청소년 등으로 한정되어 있어 해킹이 보편화되고 저연령화되는 현실에 대응하는 데는 한계가 있다.

사이버 공간에서의 윤리의식은 개인이 처한 환경, 사이버 공간에서의 경험과 교육 등에 의해 오랜 시간에 걸쳐 서서히 형성된다. 사이버보안에 대한 인식 역시 최대한 어린 나이에서부터 장기간의 학습과 경험, 교육을 통해 자연스럽게 내재화 될 수 있도록 해야 한다. 그리고 그 교육의 대상은 전 국민이 되어야 한다.

▲이원태 한국인터넷진흥원 원장[사진=KISA]

따라서 사이버보안에 대한 인식 및 디지털 기술의 올바른 활용방법을 가르치는 교육은 정규교육의 기초단계인 초등교육부터 지속적, 체계적으로 실시되어야 한다. 초‧중‧고 정규교육 과정에 사이버 윤리, 정보보호 방법, 준법의식, 디지털 기술 활용방법 등을 포괄하는 ‘디지털 안전교육’을 개설해 디지털 대한민국의 미래를 함께 책임질 건전한 구성원으로 자라나도록 이끌어야 한다.

미국, 호주, 일본 등 우리에게 친숙한 주요 국가들의 경우에도 올바른 사이버 윤리의식 수립, 보안 위험 인식, 개인정보를 보호하는 방법, 법 이해와 준수, 보안 기술, 디지털 문해력 등을 정규교육 과정에 포함하고 있다. 우리에게 시사하는 바가 많다.

1946년 탄생한 최초의 컴퓨터인 에니악(ENIAC) 이후 디지털 기술의 발전은 우리에게 헤아릴 수 없는 편리함을 선사했고 그 이전 세대와는 비교할 수 없는 삶의 변화를 가져다주었다. 다만 이것이 해킹과 같은 수단으로 악용되었을 때의 부정적인 영향 또한 과거의 사건‧사고와 비교할 수 없을 만큼 커졌다. 안전한 디지털플랫폼정부의 성공적 추진을 위해서 우리도 늦지 않았다. 예로부터 ‘교육은 백년지대계(百年之大計)’라 하는데 흔한 말이지만 이보다 적절한 표현은 없다. 기초교육 단계에서부터의 탄탄한 사이버보안 교육 체계 구축이야말로 궁극적으로 미래 국가 사이버 안보에 기여하는 길이 될 것이다.
[글_ 이원태 한국인터넷진흥원 원장]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)