최근 미국 정부가 해커로 추정되는 북한 사람들을 기소하면서 북한 해커에 대한 관심이 높아지고 있다.

일부 언론에서는 북한 해커들이 수천명에 달한다고 보도했다. 또 일각에서는 북한 해커들을 특수전 부대원으로 또는 천재, 괴물처럼 묘사하기도 한다.

만약 미국 정부의 주장처럼 북한 해커들이 사이버범죄를 저질렀다면 필자는 그들을 행동을 옹호할 생각이 없다.

그러나 이 문제를 해결하기 위해서는 냉정하고 객관적으로 접근해야 한다고 본다.

필자는 해커에 대한 정의부터 생각해 볼 것을 제안하고 싶다. 이를 위해 부끄러운 고백을 하려고 한다.     

필자는 과거에 해킹을 했던 적이 있다. 시작은 고등학교에 다닐 때였다.

게임 프로그램을 구매했는데 그 게임에는 불법복제를 막기 위한 장치가 있었다.

게임을 시작할 때 마다 특정한 질문(수백 가지)을 하고 거기에 영어 단어로 답해야 했다. 답은 종이 책자 형태로 제공됐다.

그런데 어느 날 답이 적힌 책자를 잃어버렸다. 게임을 너무 하고 싶었던 필자는 불법복제 방지 암호를 깨기로 결심했다.

밤을 새워가며 시도를 한 끝에 방법을 찾았다. 게임 프로그램이 매번 필자가 알고 있던 1개의 질문만 하도록 소스코드를 바꿨다.

프로그램을 실행할 때마다 1가지 질문만 나왔고 그 답을 알고 있었기 때문에 게임을 할 수 있었다.

이후로 각종 프로그램을 조작, 개조하고 암호체계를 깨기 시작했다.

대학에 진학했을 때 인터넷 붐이 일었다. 이에 필자의 관심은 인터넷 사이트들의 취약점을 찾고 해킹을 하는 것으로 바뀌었다.

그렇게 몇년 동안 해킹을 했다. 물론 다른 사람의 정보를 탈취하거나 금전적 이득을 취하지 않았다. 스스로의 재미와 만족감을 위해 했던 행동이었다.

대학교 고학년이 된 이후로 다시는 그런 행동을 하지 않았다. 또 지금도 그런 과거를 깊이 반성하고 있다.

필자가 이후로 해킹을 하지 않은 이유는 그 자체가 심각한 범죄라는 것을 인식했기 때문이다.

또 그런 위험한 범죄를 하는 것 보다 우리가 해야 할 의미있고 좋은 일들을 많다는 것을 깨달았다. 다른 일을 하면 되는데 위험을 감내할 필요가 없었다. 

그렇다면 필자는 해커일까? 아닐까? 현재 전혀 해킹을 하고 있기 않기 때문에 해커가 아니라고 생각한다.

그런데 문제는 해킹에 관한 지식은 머릿속에 그대로 남아있다는 점이다. 그럴 일은 없겠지만 만약 필자가 내일 해킹을 시도한다면 해커 즉 사이버범죄자가 되는 것이다.

즉 해커는 의지에 따라서 결정된다. 해킹의 기반은 IT 지식이다. IT 지식을 좋은 곳에 쓰면 개발자, 컨설턴트, 전문가가 될 것이다.

하지만 IT 지식을 나쁜 곳에 쓰면 해커가 되는 것이다. 보안 전문가가 보안 지식을 이용해 해커가 될 수 있고, 반대로 해커가 개과천선해서 보안 전문가가 되는 사례도 있다.

일부에서 지적하는 것처럼 해커들은 외계인 같은 존재가 아니다. 6000명~7000명처럼 딱 규정할 수도 없다. 물론 사이버부대에 소속된 규모가 정해져 있을 수 있지만 IT 전문가나 개발자가 지시에 따라 해킹을 할 수도 있다.

미국이 북한 해커 3명을 기소한 것으로 앞으로 해킹이 발생하지 않을까? 몇명을 체포한다고 해킹 문제가 해결되지 않는다.

30명, 300명, 3000명 더 많은 해커들이 나올지도 모른다. IT 지식을 기본적으로 갖고 있다면 조금 더 공부를 해서 해커가 될 수 있다.

그러면 북한에서 IT 지식을 갖고 있는 사람들을 전부 해커로 보고 대응을 해야할까? 현실적으로 불가능하다. 더구나 최근에는 해킹 자동화 툴이 나오면서 IT 지식이 없는 사람도 해킹을 할 수 있게 됐다.

해킹에 대한 해법은 손자병법에 나오는 '싸우지 않고 이기는 방법'이라고 말하고 싶다. '싸우지 않고 이기는 방법'은 싸우기 전에 싸울 의지를 없애는 것이다.

해킹을 막고자 한다면 몇명의 사람을 추적하는 것보다 해킹을 하려는 의지와 이유를 사라지게 해야 한다.

그렇다면 북한 해커들이 해킹을 하는 정치적, 금전적 이유부터 정확히 분석해야 한다.

필자는 북한의 IT인재들이 해킹이 아니라 우수한 소프트웨어(SW), 서비스 등을 개발하도록 유도해야 한다고 생각한다. 그러기 위해서는 남북 간 IT 교류 협력을 확대해야 한다.

많은 북한 IT 전문가들이 국제적인 IT 행사와 학술대회, 표준화 논의에 참여한다면 자연스럽게 해킹을 하려는 의지가 줄어들 것이다.

글로벌 사이버보안 행사에도 북한 관계자들을 참여시켜서 해킹이 얼마나 큰 문제인지 인식시킬 수 있다.

교류 협력과 국제 논의에 참석을 통해 해킹으로 얻는 이익보다 정상적인 비지니스로 더 큰 이익을 볼 수 있다는 점을 알릴 수도 있다. 

국내외 전문가들의 주장처럼 북한 해커들이 그렇게 우수하다면 역발상으로 그들을 보안 전문가로 전환할 수 있도록 하는 것도 방법이다.

영화 캐치미이프유캔을 보면 위조수표 사기꾼이었던 주인공이 그 누구보다 다른 사기꾼들을 잘 잡아냈다.

남과 북 또는 남북과 미국 간에 사이버안전에 관한 협약을 체결하는 방안도 있다. 상호 간에 해킹 등 사이버공격을 하지 않겠다고 약속하고 대신 북한 IT개발자들이 일할 수 있는 기회를 제공하는 것이다.

지금처럼 해킹을 이유로 북한의 IT 전체를 나쁘게 바라보고 논의를 금기 시 한다면 악순환은 계속될 것이다. 오히려 북한 IT에 관한 정보도 더 구하기 어려워질 것이다.

앞서 말한 것처럼 필자는 해킹에 대한 해법이 결국 마음을 움직이는 것, 해킹을 할 의지를 사라지게 하는 것이라고 생각한다.

이런 관점에서도 한 번 고민해 볼 것을 제안하고 싶다. 남과 북이 사이버공간에서 만큼은 평화롭게 지낼 수 있기를 바랄 뿐이다.  

강진규 기자  maddog@nkeconomy.com

* 독자님들의 뉴스레터 신청(<-여기를 눌러 주세요)이 NK경제에 큰 힘이 됩니다. 많은 신청 부탁드립니다.

 

관련기사

저작권자 © NK경제 무단전재 및 재배포 금지