[특집-정보기관 활동] 20. 해커 학위과정을 개설한 영국과 우려... 쿠팡 사태는 형식적인 IT보안의 한계 드러내
IT보안보다 인원·시설·문서보안 등 근본적 해결책 찾아야... 사이버범죄 방지하려면 해킹과 해커에 대한 연구 확대해야
2026-01-01 오전 10:43:24
2025년 12월31일 마지막 날까지 쿠팡 해킹 사태 관련 국회 청문회가 열렸다. 쿠팡은 정보 유출에 대한 책임을 지고 사임한 대표이사 대신에 새로 임명된 미국인 임시대표가 청문회에 참석했다.
미국인 대표는 한국어가 불가능해 통역을 대동했으며 국회의원의 질문에 신통한 해결책을 내놓지 못했다. 국회의원들은 쿠팡의 실질적 책임자인 김범석 쿠팡Inc 의장의 출석을 요구했으나 이행되지 않았다.
국회는 김범석 의장, 해롤드 로저스 쿠팡 임시대표 등 전·현직 임직원 7명을 국회증언감정법 위반 혐의로 고발할 방침이다. 이와는 별도로 국정조사를 진행할 계획이라 쿠팡 사태의 향후 추이를 예측하기 어려워졌다.
◇ 쿠팡 사태는 형식적인 IT보안의 한계 드러내... IT보안보다 인원·시설·문서보안 등 근본적 해결책 찾아야
2000년대 이후 정보화 사회가 급격하게 진전되며 각종 컴퓨터 관련 범죄가 증가했다. 컴퓨터 바이러스(computer virus) 유포, 디도스(DDoS) 공격, 해킹(hacking) 등으로 피해를 입는 개인·기업·국가기관이 늘어났다.
특히 기업이나 국가기관이 관리하던 각종 개인정보가 내·외부인의 데이터베이스(Database) 해킹으로 유출되면서 보이스피싱(voice phishing)으로 이어지며 피해는 천문학적인 규모로 커졌다.
과거에 해킹은 전형적인 화이트칼라(white collar) 범죄로 고학력 전문가만이 관여할 수 있는 영역이었다. 하지만 현재는 일반인 누구나 온라인 사이트를 틍해 해킹 툴(tool)을 확보할 수 있다.
우리 속담에 '열 명이 한 명의 도둑을 못막는다'는 말이 있을 정도로 보안이 아무리 철저해도 도둑을 완벽하게 막기란 불가능에 가깝다.
특히 보이지 않으며 예측히기 어려운 온라인 공격자를 막아야 하는 사이버 보안은 보안 전문가조차도 접근하기 어려운 미개척 분야로 남아 있다.
보안 침해자는 외부인보다 내부인이 훨씬 많다는 점도 보안담당자의 고민거리다. 쿠팡의 해킹 사태도 전직 직원이 퇴사하면서 고객정보를 유출한 것으로 드러났다.
쿠팡의 정보를 유출한 전직 직원은 중국인으로 쿠팡이 전산시스템의 관리를 중국업체에 아웃소싱해 채용한 것이다. 국내 정보통신기술(ICT) 개발자에 비해 저렴한 것도 외국인 채용에 영향을 미쳤다.
하지만 국내인이라고 보안의식이 뛰어나고 중국인이라고 정보를 유출할 가능성이 높은 것은 아니다. 쿠팡 내부의 보안정책이나 관리가 부실했기 때문에 발생한 사건이다.
필자는 30년 이상 정보와 보안 영역에서 전문성을 쌓아왔다. 2000년대 중반부터는 '산업보안학(박문각, 2012)'을 출간해 산업스파이 방지, 정보시스템 보안 등에 관한 책을 쓰고 강연을 진행했다.
많은 기업을 방문하고 업계 관련자들과 다양한 교류를 가졌다. 당시에는 컴퓨터 백신(vaccine)이나 방화벽(firewall), 침입탐지침입방지시스템(IDS·IPS)와 같은 솔루션을 기반으로 한 정보기술(IT) 보안이 대세였다.
하지만 직원의 개인 신원과 행동을 관리하는 인원보안, 시설의 입출입과정을 통제하는 시설보안, 중요한 서류와 파일을 관리하는 문서보안 등에 대한 기본적인 보안은 등한시했다.
이러한 기조는 20여 년이 지난 현재에도 비슷하게 이어지고 있다. 2025년 터진 쿠팡 해킹 사건 뿐 아니라 SK텔레콤(SKT)과 KT의 개인정보 유출 사고도 IT보안에 대한 편중이 불러온 인재라는 점이 밝혀졌다.
국회에서 보안 사고가 터진 기업의 경영진을 불러다 호통을 치고 정부가 과징금을 부과한다고 해킹사고가 줄어들 가능성은 매우 낮다. 보안의 본질을 파악하고 대책을 수립해 실천하지 않으면 유사 사고는 무한 반복될 것으로 판단된다.
2000년대 이후 수 많은 보안사고가 터졌고 헤아릴 수 없을 정도로 많은 재발방지책을 내놓았지만 공염불에 그쳤던 이유다. 입으로만 떠들어도 자연스럽게 해결된다면 무슨 걱정을 하겠는가.
▲ 국가정보기관의 이해 - 활동영역과 개혁과제 표지 by 민진규 [출처=엠아이앤뉴스]
◇ 2006년 6월 22일 작성한 칼럼 소개... 사이버범죄 방지하려면 해킹과 해커에 대한 연구 확대해야
정보화가 진전될수록 각종 역기능도 증가하는 추세다. 건전한 사이버 세상의 위협 요소로 등장한 것 중의 하나가 해커(hacker)다.
경찰청 등 유관기관의 자료에 따르면 해커는 해마다 늘어나는 추세이고 전문 해커보다는 재미로 모방범죄를 하는 초범이 대부분이다.
각종 해킹 기술과 활용하는 툴(Tool), 즉 프로그램을 공유하는 사이트가 우후죽순(雨後竹筍)처럼 생기고 있다. 해킹 사건이 일어나면 해커가 언론의 집중조명을 받아 유명 인사가 되기도 한다.
해킹 기술로 좋은 직장을 얻고 돈도 많이 벌게 되는 경우가 있다 보니 범죄인보다 스타(star)로 인식되는 경우도 많다. 일부 전문가는 해커와 크래커(cracker)를 구분해야 한다고 주장한다. 이들의 주장은 다음과 같다.
해커는 컴퓨터 운영구조에 심취한 매니아로 컴퓨터 시스템의 약점을 공격해 보완하도록 하는 긍정적인 역할을 수행한다. 반면에 크래커는 컴퓨터에 관한 자신의 능력을 범죄에 이용하는 사람이다.
일반적으로 이 둘을 구분하지 않고 해커라는 말로 통용된다. 언론 보도에 따르면 영국 스코틀랜드 지역에 위치한 에버테이대(Abertay University)가 ‘윤리적 해킹과 그에 대한 대응책’이라는 과정을 개설했다.
해킹 학위 코스를 개설한 이유는 정보기술(IT) 보안전문가에 대한 업계요구가 증대하고 컴퓨터 관리자도 해커가 무엇을 할 수 있는지 알아야 해커를 방지할 수 있기 때문이다.
주요 교육내용은 컴퓨터를 공격하는 방법(공격 기술)과 그것을 막는 방법(방어 기술)이다. 영국에서뿐만 아니라 전 세계적으로도 해킹에 대한 전문적인 학위를 수여하는 첫 번째 대학이다.
일부에서는 최신 해킹 기술을 습득한 학생이 보안전문가가 아니라 해커가 될 가능성이 높다고 우려한다. 해킹을 잘하면 좋은 학점을 받고 학위도 받는 세상이 된 것이다.
이런 종류의 기술을 배우는 학생에게 가장 중요한 것은 윤리의식이다. 왜 이런 기술을 배우며 어떻게 사용해야 하는지 등에 관한 가이드라인과 준칙을 먼저 배워야 한다.
그렇지 않으면 지능적인 절도와 범죄의 방법을 가르쳐 줘 뛰어난 범죄인을 양성하는 합법적인 학교에 지나지 않게 될 수도 있다.
국내에도 순수한 동기에서 출발한 각종 해킹 동아리 출신이 범죄행위에 연루돼 수사받는 경우도 많다. 해킹에 대해 일반인이나 컴퓨터 업계에서 보는 시선이 고운 것은 아니다.
필자는 지난 주말 어느 보안 관련 세미나에 참석했다. 우리가 범죄를 수사하고 방지하려면 범죄 수법, 범죄심리학, 범죄 수사학 등 각종 지식을 보유하고 있어야 하듯이 사이버범죄를 잘 방지하려면 해킹과 해커를 잘 알아야 한다는 것이 주장의 요지다.
순수한 해커를 양성하고 해커 관련 대학 동아리를 지원해 줘야 한다. 2000년대 초반에 정부 기관에서 순수한 열정으로 컴퓨터 해킹이나 범죄를 연구하던 청년들을 범죄인으로 취급했다.
청운의 꿈을 펼치고자 열정적으로 노력하던 이들의 희망의 싹을 전부 자른 셈이다. 이들 대부분은 양지가 아닌 음지, 즉 지하로 들어가서 일하거나 아니면 꿈을 포기했다.
이런 조치의 결과로 요즘 사이버범죄가 발생하면 해결하기 위한 전문가를 구하기도 어려워졌다. 정부의 건전한 해커 관련 정책이 얼마나 중요한지 말해주는 상황이 아닌가 싶다.
- 계속 -
미국인 대표는 한국어가 불가능해 통역을 대동했으며 국회의원의 질문에 신통한 해결책을 내놓지 못했다. 국회의원들은 쿠팡의 실질적 책임자인 김범석 쿠팡Inc 의장의 출석을 요구했으나 이행되지 않았다.
국회는 김범석 의장, 해롤드 로저스 쿠팡 임시대표 등 전·현직 임직원 7명을 국회증언감정법 위반 혐의로 고발할 방침이다. 이와는 별도로 국정조사를 진행할 계획이라 쿠팡 사태의 향후 추이를 예측하기 어려워졌다.
◇ 쿠팡 사태는 형식적인 IT보안의 한계 드러내... IT보안보다 인원·시설·문서보안 등 근본적 해결책 찾아야
2000년대 이후 정보화 사회가 급격하게 진전되며 각종 컴퓨터 관련 범죄가 증가했다. 컴퓨터 바이러스(computer virus) 유포, 디도스(DDoS) 공격, 해킹(hacking) 등으로 피해를 입는 개인·기업·국가기관이 늘어났다.
특히 기업이나 국가기관이 관리하던 각종 개인정보가 내·외부인의 데이터베이스(Database) 해킹으로 유출되면서 보이스피싱(voice phishing)으로 이어지며 피해는 천문학적인 규모로 커졌다.
과거에 해킹은 전형적인 화이트칼라(white collar) 범죄로 고학력 전문가만이 관여할 수 있는 영역이었다. 하지만 현재는 일반인 누구나 온라인 사이트를 틍해 해킹 툴(tool)을 확보할 수 있다.
우리 속담에 '열 명이 한 명의 도둑을 못막는다'는 말이 있을 정도로 보안이 아무리 철저해도 도둑을 완벽하게 막기란 불가능에 가깝다.
특히 보이지 않으며 예측히기 어려운 온라인 공격자를 막아야 하는 사이버 보안은 보안 전문가조차도 접근하기 어려운 미개척 분야로 남아 있다.
보안 침해자는 외부인보다 내부인이 훨씬 많다는 점도 보안담당자의 고민거리다. 쿠팡의 해킹 사태도 전직 직원이 퇴사하면서 고객정보를 유출한 것으로 드러났다.
쿠팡의 정보를 유출한 전직 직원은 중국인으로 쿠팡이 전산시스템의 관리를 중국업체에 아웃소싱해 채용한 것이다. 국내 정보통신기술(ICT) 개발자에 비해 저렴한 것도 외국인 채용에 영향을 미쳤다.
하지만 국내인이라고 보안의식이 뛰어나고 중국인이라고 정보를 유출할 가능성이 높은 것은 아니다. 쿠팡 내부의 보안정책이나 관리가 부실했기 때문에 발생한 사건이다.
필자는 30년 이상 정보와 보안 영역에서 전문성을 쌓아왔다. 2000년대 중반부터는 '산업보안학(박문각, 2012)'을 출간해 산업스파이 방지, 정보시스템 보안 등에 관한 책을 쓰고 강연을 진행했다.
많은 기업을 방문하고 업계 관련자들과 다양한 교류를 가졌다. 당시에는 컴퓨터 백신(vaccine)이나 방화벽(firewall), 침입탐지침입방지시스템(IDS·IPS)와 같은 솔루션을 기반으로 한 정보기술(IT) 보안이 대세였다.
하지만 직원의 개인 신원과 행동을 관리하는 인원보안, 시설의 입출입과정을 통제하는 시설보안, 중요한 서류와 파일을 관리하는 문서보안 등에 대한 기본적인 보안은 등한시했다.
이러한 기조는 20여 년이 지난 현재에도 비슷하게 이어지고 있다. 2025년 터진 쿠팡 해킹 사건 뿐 아니라 SK텔레콤(SKT)과 KT의 개인정보 유출 사고도 IT보안에 대한 편중이 불러온 인재라는 점이 밝혀졌다.
국회에서 보안 사고가 터진 기업의 경영진을 불러다 호통을 치고 정부가 과징금을 부과한다고 해킹사고가 줄어들 가능성은 매우 낮다. 보안의 본질을 파악하고 대책을 수립해 실천하지 않으면 유사 사고는 무한 반복될 것으로 판단된다.
2000년대 이후 수 많은 보안사고가 터졌고 헤아릴 수 없을 정도로 많은 재발방지책을 내놓았지만 공염불에 그쳤던 이유다. 입으로만 떠들어도 자연스럽게 해결된다면 무슨 걱정을 하겠는가.
▲ 국가정보기관의 이해 - 활동영역과 개혁과제 표지 by 민진규 [출처=엠아이앤뉴스]
◇ 2006년 6월 22일 작성한 칼럼 소개... 사이버범죄 방지하려면 해킹과 해커에 대한 연구 확대해야
정보화가 진전될수록 각종 역기능도 증가하는 추세다. 건전한 사이버 세상의 위협 요소로 등장한 것 중의 하나가 해커(hacker)다.
경찰청 등 유관기관의 자료에 따르면 해커는 해마다 늘어나는 추세이고 전문 해커보다는 재미로 모방범죄를 하는 초범이 대부분이다.
각종 해킹 기술과 활용하는 툴(Tool), 즉 프로그램을 공유하는 사이트가 우후죽순(雨後竹筍)처럼 생기고 있다. 해킹 사건이 일어나면 해커가 언론의 집중조명을 받아 유명 인사가 되기도 한다.
해킹 기술로 좋은 직장을 얻고 돈도 많이 벌게 되는 경우가 있다 보니 범죄인보다 스타(star)로 인식되는 경우도 많다. 일부 전문가는 해커와 크래커(cracker)를 구분해야 한다고 주장한다. 이들의 주장은 다음과 같다.
해커는 컴퓨터 운영구조에 심취한 매니아로 컴퓨터 시스템의 약점을 공격해 보완하도록 하는 긍정적인 역할을 수행한다. 반면에 크래커는 컴퓨터에 관한 자신의 능력을 범죄에 이용하는 사람이다.
일반적으로 이 둘을 구분하지 않고 해커라는 말로 통용된다. 언론 보도에 따르면 영국 스코틀랜드 지역에 위치한 에버테이대(Abertay University)가 ‘윤리적 해킹과 그에 대한 대응책’이라는 과정을 개설했다.
해킹 학위 코스를 개설한 이유는 정보기술(IT) 보안전문가에 대한 업계요구가 증대하고 컴퓨터 관리자도 해커가 무엇을 할 수 있는지 알아야 해커를 방지할 수 있기 때문이다.
주요 교육내용은 컴퓨터를 공격하는 방법(공격 기술)과 그것을 막는 방법(방어 기술)이다. 영국에서뿐만 아니라 전 세계적으로도 해킹에 대한 전문적인 학위를 수여하는 첫 번째 대학이다.
일부에서는 최신 해킹 기술을 습득한 학생이 보안전문가가 아니라 해커가 될 가능성이 높다고 우려한다. 해킹을 잘하면 좋은 학점을 받고 학위도 받는 세상이 된 것이다.
이런 종류의 기술을 배우는 학생에게 가장 중요한 것은 윤리의식이다. 왜 이런 기술을 배우며 어떻게 사용해야 하는지 등에 관한 가이드라인과 준칙을 먼저 배워야 한다.
그렇지 않으면 지능적인 절도와 범죄의 방법을 가르쳐 줘 뛰어난 범죄인을 양성하는 합법적인 학교에 지나지 않게 될 수도 있다.
국내에도 순수한 동기에서 출발한 각종 해킹 동아리 출신이 범죄행위에 연루돼 수사받는 경우도 많다. 해킹에 대해 일반인이나 컴퓨터 업계에서 보는 시선이 고운 것은 아니다.
필자는 지난 주말 어느 보안 관련 세미나에 참석했다. 우리가 범죄를 수사하고 방지하려면 범죄 수법, 범죄심리학, 범죄 수사학 등 각종 지식을 보유하고 있어야 하듯이 사이버범죄를 잘 방지하려면 해킹과 해커를 잘 알아야 한다는 것이 주장의 요지다.
순수한 해커를 양성하고 해커 관련 대학 동아리를 지원해 줘야 한다. 2000년대 초반에 정부 기관에서 순수한 열정으로 컴퓨터 해킹이나 범죄를 연구하던 청년들을 범죄인으로 취급했다.
청운의 꿈을 펼치고자 열정적으로 노력하던 이들의 희망의 싹을 전부 자른 셈이다. 이들 대부분은 양지가 아닌 음지, 즉 지하로 들어가서 일하거나 아니면 꿈을 포기했다.
이런 조치의 결과로 요즘 사이버범죄가 발생하면 해결하기 위한 전문가를 구하기도 어려워졌다. 정부의 건전한 해커 관련 정책이 얼마나 중요한지 말해주는 상황이 아닌가 싶다.
- 계속 -
저작권자 © 엠아이앤뉴스, 무단전재 및 재배포 금지
