세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사
사이버 범죄자들에게서 나타나는 공통된 증상, 자폐증
  |  입력 : 2019-03-14 17:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
범죄수사국과 인터폴 등에서 다년간 근무했던 전문가의 결론
“자폐증 있는 사람들, 재능은 있지만 사회적 기술 부족해 범죄의 길로 들어서”


[보안뉴스 문가용 기자] 사이버 범죄자들 사이에서 공통으로 나타나는 증상이 있다는 연구 결과가 발표됐다. 마스터카드의 사이버 보안 부문 부회장인 레베카 레딩햄(Rebecca Ledingham)이 영국의 국가범죄수사국(NCA)과 인터폴에서의 경험을 바탕으로 연구해 발표한 것으로, “사이버 범죄자들은 마약 등 다른 분야의 범죄자들과 상당히 다르다”고 한다.

[이미지 = iclickart]


레딩햄이 다년간 사이버 범죄자들을 수사하고, 그들에 대한 각종 법정 공방을 진행하며 파악한 건, “사이버 범죄자들이 크고 작은 자폐증 증상을 가지고 있다”는 것이었다. “그 어떤 유형의 범죄자들 사이에서도, 한 가지 공통된 증상이 이렇게까지 고루 나타나는 것은 본 적이 없습니다. 사이버 범죄와 자폐증 사이에는 분명히 유의미한 상관관계가 존재합니다.”

레딩햄은 “자폐증은 주로 2~3세부터 나타나기 시작하며, 전 세계 1700만 명이 앓고 있다”고 설명한다. “자폐증을 가지고 있는 사람들이 보여주는 증상은 다양하지만, 주로 호기심이 왕성하고, 문제를 해결하고 싶어 하는 강한 열망을 가지고 있습니다. 그렇기 때문에 자신도 모르게 사이버 범죄로 빠져드는 것처럼 보입니다.”

그러나 레딩햄은 “세상에 동일한 성격의 자폐증을 가진 사람은 존재하지 않는다”는 걸 강조한다. “자폐증을 가지고 있다고 해서 모두가 비슷비슷한 건 아닙니다. 보안 업체 이셋(ESET)의 전문가인 리사 마이어스(Lysa Myers)는 이렇게 표현한 적이 있죠. 자폐 증상을 보이는 사람 한 사람을 만났다고, 모든 자폐증 환자를 만난 건 결코 아니라고요.”

그렇다면 자폐증으로 인해 나타나는 여러 가지 특성들과 사이버 범죄는 어떤 관련이 있는 것일까? “자폐증을 가진 사람들 중 대다수는 수학과 과학에 뛰어난 재능을 가지고 있습니다. IT는 논리적인 문법으로 구성된 분야죠. 그리고 문제에 대한 다양한 답들이 존재하는 분야이기도 하고요. 자폐증을 가진 사람들은 패턴을 찾아내는 걸 좋아하고, 규칙적으로 사고하는 걸 선호하는데, 예를 들어 코드에 작은 세미콜론 하나 없는 것도 이런 사람들은 잘 찾아냅니다.”

또 자폐증의 특성을 가진 사람들 중 ‘과독증’ 증상을 보이는 사람들도 굉장히 많다는 걸 레딩햄은 지적한다. “글자와 숫자에 엄청난 집중력을 보이는 것을 말하는데요, 그렇기 때문에 자폐증이 있는 사람들은 일반 사람보다 뛰어난 읽기 능력을 보여줍니다. 자연어와 프로그래밍 언어가 똑같은 수준으로 쉽게 이해되는 사람들이 많죠.”

사진을 찍은 듯한 기억력(photographic memory) 역시 이런 사람들 사이에서 자주 나타나는 현상이다. 이 역시 네트워크 아키텍처를 기억하거나, 보안 구멍을 머릿속에서 시각화하는 데 도움이 될 수 있다고 한다. “우리가 환자라고 부르긴 하지만, 자폐증 증상을 가진 사람들은 문제를 해결하는 데 있어 상상하기 힘든 집중력을 발휘합니다. 문제가 풀릴 때까지 아무 것도 안 하고 그것에만 집중하죠. 또 세부적인 부분을 놓치지 않고, 규칙을 지키는 것에 매우 엄격하고요. 자폐증 환자들이 집중하는 문제들은, 일반 사람들로서는 포기할 만큼 어렵고 복잡한 것들이 대부분입니다.”

그런데 왜 하필 ‘범죄’로 이끌릴까?
“기억해야 할 건, 우리가 현재까지 구축한 과학과 디지털 세계라는 것이 자폐적인 사고방식 위에 서있다는 겁니다. 자폐증의 여러 가지 특성을 가진 사람들이 뛰어난 면모를 발휘하기 좋은 곳이라는 겁니다. 그러면 여기서 한 가지 질문이 생길 수 있죠. ‘그렇다면 왜 보안 전문가가 되지 않고 범죄자로 빠지기가 쉬운가?’입니다.”

먼저 자폐증을 가지고 있는 사람들은 어느 정도 수준의 ‘사회 불안 증상’을 가지고 있다. 눈을 마주치는 걸 기피하고, 우울증에 시달리는가 하면, 사회적 고립 증상을 겪기도 한다. 또한 스스로를 제어하는 게 힘든 경우도 많다. 레딩햄은 “자폐 증세를 가진 사람들 중 자신들의 가진 능력을 합법적으로 발휘하고자 노력하는 사람들을 많이 봤지만, 대부분 대학 생활에서부터 실패한다”고 말한다. 직업적 능력과 재능은 있지만, 사회성 관련 능력이 부족해 좀처럼 양지로 나오기가 힘들다는 것이다.

마이어스는 “대학이라는 환경이 상상도 힘들 정도로 힘들 수 있다”며 “그래서 사회로 합법적으로 진출하는 데에 초석이 될 수 있는 ‘학위’를 소지하지 못하게 되는 경우가 태반”이라고 덧붙였다.

하지만 인터넷에서는 이야기가 달라진다. 다른 사람과 눈을 마주치거나, 사교적으로 행동할 필요가 없다. “인터넷은 사회적으로 격리된 사람, 적응이 힘든 사람들의 안식처가 되어주곤 합니다.” 그러면서 레딩햄은 “그런 사람들은 일반적으로 게임에 먼저 빠져드는데, 거기서부터 범죄의 길로 들어서는 경우가 많다”고 설명한다. “지금은 포트나이트(Fortnite)라는 게임이 가장 큰 창구 역할을 합니다. 여기서 게임 관련 해킹 프로그램을 맛보며 슬금슬금 ‘해킹의 세계’에 빠져드는 겁니다. 14세 때부터 이런 유혹에 시달리는 경우도 있습니다.”

레딩햄은 “포트나이트나 월드오브워크래프트 계정이 해킹됐다고 해서 경찰이 진지하게 수사에 착수하는 경우는 드물다”고 지적한다. “그런 분위기가, 10대 해커들이 게임이라는 생태계 내에서 범죄에 필요한 기술을 연습하고 실력을 연마하도록 기회를 제공합니다. 법적인 책임을 묻게 되는 경우가 거의 없거든요.” 그러면서 레딩햄은 “그러면서 어린 해커들은 ‘행동과 결과’에 대한 인과관계에 무감각하게 된다”고 덧붙였다.

이런 연구 내용은 어떤 의미를 갖는가?
그렇다면 이러한 연구 결과는 보안 담당자들과 기업들에 어떤 의미일까? 먼저 자폐 증상을 가진 사람들을 보안 담당자로 고용하는 걸 거리끼지 말아야 한다고 레딩햄은 말한다. “하지만 조직 차원에서 쉬운 결정이 아니죠. 어떻게 해야 그런 사람들을 알아보고, 조직 내에 잘 수용할 수 있는지도 모르고요. 자폐 증상을 가진 사람들은 보통 면접 질문들에 답할 때 성격이나 성향을 드러내지 않습니다. 그리고 행동과 관련된 질문들을 어려워하곤 하죠. 즉 가상의 상황에서 어떻게 행동하겠느냐, 와 같은 질문을 어려워합니다. 구체적이고, 문자적이며, 직접적인 질문을 좋아하죠. 마감일을 명확히 해주는 것도 도움이 됩니다.”

“지시와 협조 사항을 구체적으로 하면 할수록 자폐 증상을 가진 사람들과 함께하는 게 쉬워집니다. 그리고 ‘앞으로 일을 하면 이런 저런 일들이 일어날 것’이라는 그림을 그려주는 게 좋습니다. 예를 들어 입사 후 3개월 동안 이뤄야 할 목표를 정하고, 그 목표를 달성하면 어떤 일이 있을 거고, 그 다음 3개월은 또 어떤 목표를 두고 일해야 할지 알려주는 것이죠. 이런 구체적이고 단기적인 목표를 설정하는 건 조직 차원에서도 도움이 됩니다. 절차와 결과를 예상 가능하게 해주는 게 포인트입니다.”

또한 레딩햄은 “입사 과정에서 임무를 주고, 그에 대한 성과를 기반으로 채용하는 방식도 자폐 증상을 가진 사람들에게 유리하다”고 설명한다. “이는 마이크로소프트가 자주 사용하는 방식이기도 합니다. MS는 자폐 증상을 가진 사람들을 채용하는 프로그램을 따로 운영하는 것으로 잘 알려진 기업입니다. 자폐 증상을 가진 인재들에 관심이 있다면 MS의 채용 과정이나 인사 관리를 참고하면 좋을 것입니다.”

3줄 요약
1. 다년간 사이버 범죄자들 체포하고 조사하고 분석한 전문가, “그들에겐 자폐증 있다.”
2. 자폐증은 현대의 IT 및 디지털 세계에서 매우 유리할 수 있는 증상.
3. 사회 구조가 그들을 범죄의 길로 내몰고 있지만, 회사들이 마음을 열면 보안의 뛰어난 인재 될 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)