어깨에 매달린 번쩍이는 견장은 긴장감을 증폭시킨다.
더욱이 한국의 치안을 관할한다는 경찰청 건물의 전경들은 좀더 절도있는 행동을 요구받게 마련이다.
일반 방문객에겐 그런 풍경들이 낯설고 부담스럽다.
하지만 막상 경찰청 건물 13층에 위치한 ‘사이버테러대응센터’ 안으로 들어가면 전혀 다른 분위기가 다가온다.
옅노란 색상의 벽과 바닥, 에어컨 바람에 살짝살짝 흔들거리는 하늘색 버티컬은 세련된 맛이 있다.
LCD(액정표시장치) 모니터, 책꽂이에 줄지어 있는 프로그래밍과 컴퓨터시스템 관련 책들은 여느 프로그램 개발 벤처 기업과 다를 게 없다.
그래서인지 직원들도 대응센터를 ‘경찰청 벤처’라고 부른다.
사이버테러대응센터는 97년 직원 8명으로 출발한 컴퓨터범죄수사대가 ‘원조’격이다.
조직이 커지면서 99년 ‘사이버범죄수사대’로 명패를 바꾸고 직원도 25명으로 늘었다.
올해 7월 외부 전문 인력을 공채로 뽑아 다시 직원이 100여명으로 불었다.
이때부터 ‘사이버테러대응센터’라는 다소 묵직한 이름을 달게 됐다.
사이버 범죄로 생기는 피해 규모가 갈수록 커지고 있기 때문이다.
97년 이후 100건 안팎 사이버 범죄 다뤄 대응센터는 97년 출범 이후 사이버 증권계좌 해킹(올해 7월), 까마귀 바이러스 유포한 고등학교 1학년 학생 검거(99년 3월) 등 100건 안팎의 굵직굵직한 사이버 범죄를 해결했다.
97년 창단 멤버였던 양근원(38) 수사팀장이 보여주는 신문기사 스크랩만으로도 책 한권은 족히 될 만큼 ‘전과’가 혁혁하다.
대응센터는 현재 바이러스 유포와 해킹 사건만 전담한다.
처음엔 인터넷 사기나 도박, 명예훼손도 ‘신종 범죄’ 축에 끼여 대응센터에서 수사를 했지만 지금은 워낙 보편화돼 일선 경찰서로 넘겨준다.
장기간의 수사와 기법이 필요한 사건에 전념하겠다는 뜻이란다.
대응센터 형사들은 컴퓨터와 씨름하는 게 본업이다.
그래서인지 큰 덩치에 부리부리한 눈매가 연상되는 일선 경찰서 형사들과는 첫인상이 다르다.
‘연약한’ 체격, 차분한 말투와 ‘형사’라는 호칭은 어울리지 않아 보인다.
둘로 나뉜 사무실에서 60여명의 직원들이 하고 있는 모양새도 제각각이다.
헤드폰을 머리에 끼고 음악을 들으며 인터넷 서핑을 하는 사람이 있는가 하면, 영어로 된 프로그램 책에 밑줄을 그어가며 공부에 열중하는 사람도 있다.
로그 파일을 분석하며 머리를 쥐어짜는 사람도 쉽게 볼 수 있다.
97년 컴퓨터범죄수사대의 창단 멤버였던 김경수(36) 경장은 ‘경찰청 벤처’에서 바이러스와 해킹 수사 전문가로 손꼽힌다.
인하대 회계학과를 졸업하고 경찰에 입문한 뒤 처음 받은 보직이 서울경찰청 전산실이었다.
그게 인연이 돼 프로그래밍에 흥미를 갖다 보니 어느새 전문 프로그래머가 돼 있었다.
컴퓨터범죄수사대에 ‘스카우트’된 뒤 웬만한 사이버 범죄는 그의 분석을 거쳤을 만큼 ‘비밀 병기’로 통한다.
사이버 범죄를 다루는 만큼 모든 수사는 사이버 공간에서 이루어진다.
김 경장도 오전 8시께 출근하자마자 제일 먼저 이메일을 체크한다.
이메일은 그에게 가장 중요한 온라인 ‘망원’(경찰의 정보원을 일컫는 말)이다.
그가 비공식적으로 참여하고 있는 몇개의 프로그램 연구 동호회 회원들이 바이러스나 해킹에 관한 귀중한 정보를 밤새 날라다준다.
새로운 해킹 프로그램이 등장했다는 정보에서 외국 동향에 이르기까지 수사에 필요한 기초 정보는 여기에 다 담겨 있다.
사이버 공간에서 정보 모으고 우범지대 순찰 다음엔 우범지대를 방범 순찰한다.
해커들이 주로 모이는 으슥한 뒷골목을 ‘쓱’ 둘러보는 것이다.
뒷골목이란 하이텔, 천리안 같은 상용 통신망이 아니라 개인이나 중소업체가 서버를 한개 갖다놓고 서로 아는 사람만 접속하게 만든 사설 게시판을 말한다.
여기서 떠도는 온갖 익명성 소문과 정보를 수집한다.
다음엔 안철수연구소 같은 백신업체와 보안업체 홈페이지에 들어가 새로운 뉴스가 있는지 체크한다.
마지막으로 네티즌이 많이 찾는 엔터테인먼트 사이트의 게시판을 훑어본다.
사람들이 많이 몰리는 만큼 “어느 홈페이지가 당했어요” 같은 피해 정보가 가장 빨리 뜨기 때문이다.
오전 시간대에 20~30분씩 동료들과 간단한 세미나를 갖는 것도 건너뛸 수 없는 하루 일과다.
사건을 추적하다 벽에 부딪힌 사항이나 해외의 새로운 추적기법 따위를 머리를 맞대며 논의한다.
그런 다음에야 본격적인 업무가 시작된다.
대개는 로그 파일을 분석하거나 용의점이 있는 해커들의 활동을 ‘잠복 근무’하며 감시한다.
퇴근 시간은 대개 밤 10시를 훌쩍 넘기가 일쑤다.
야행성 해커들이 많아 귀중한 사건 단서는 ‘야간 순찰’을 하며 얻기 때문이다.
“끊임없이 연구하고 새로운 것에 도전하는 게 벤처라면 저희들도 벤처가 아닐까요. 기존 것을 답습하는 ‘관료적인’ 습성으로는 하루가 다르게 변하는 사이버 세계의 흐름을 따라잡을 수 없거든요.” 하지만 사이버 범죄의 범인을 잡는 게 그리 간단치는 않다.
일단 피해자들이 수사를 꺼린다.
수사 사실이 새어나가면 회사의 이미지가 추락하기 때문이다.
심지어 피해사실을 부인하는 회사들도 있다.
그런 점에서 ‘강간범’과 비슷하다고 직원들은 말한다.
일단 수사를 시작해도 IP(인터넷 프로토콜)를 역추적하는 것 외에는 달리 뾰족한 수사방법이 없다.
탐문수사를 통해 원한관계를 밝혀내거나 지문이나 혈흔 등 현장 물증을 쥘 수 있는 일반 범죄 수사관은 사이버 수사관에 비하면 그나마 행복한 편이다.
게다가 엄청난 양의 접속자료를 분석하려면 끈기와 번뜩이는 직감이 필요하다.
로그 파일 분석을 통해 수만명의 접속자 가운데 몇명의 용의자를 가려내야 하기 때문이다.
로그 파일을 훑어보며 해커의 침입경로를 머릿속에 그릴 줄 알아야 전문가급으로 인정받는다.
하지만 자신의 행적을 그대로 드러내는 순진한 해커들은 없다.
자신들이 침입한 로그 파일을 지워 흔적을 없애거나 신분을 숨기는 게 해커의 속성이다.
의심이 가더라도 확실한 증거를 수집하고 신원을 확인할 때까지 무작정 잠복을 하며 시스템을 감시한다.
한번 시스템을 장악한 해커들은 제집처럼 들락날락하기 때문에 단서가 잡히기를 끈질기게 기다리는 것이다.
일단 신원이 확인되면 검거는 간단하다.
지능범에 속하는 해커들은 흉기를 휘두르며 저항하지는 않는다.
이렇게 범인을 잡는 데까지 아무리 빨라야 6개월이 걸린다.
1년6개월 만에 범인을 잡은 경우도 있다.
실력만이 범인을 제압할 수 있다 수사관들은 범인을 심문하며 본격적으로 ‘실력 대결’을 펼친다.
간혹 범인들이 구사하는 용어나 신기술을 알아듣지 못하면 해커들은 범죄사실에 모로쇠로 일관한다.
사이버 세계에선 실력만이 범인을 제압할 수 있는 유일한 도구인 셈이다.
때문에 대응센터 형사들은 일주일에 두번씩 전체 토론회를 열어 정보를 교환한다.
프로그램 동호회에 개인적으로 가입하거나 보안업체들과 정기적인 세미나를 갖기도 한다.
자신들을 ‘벤처인’이라고 자부하는 것도 끊임없이 개인 경쟁력을 향상시키기 위한 이런 노력 때문이다.
행여 사이버테러대응센터의 ‘실력’을 가늠하기 위해 경찰청 홈페이지 www.npa.go.kr를 공격하는 건 허공에 대고 발길질하는 것과 매한가지다.
경찰청 홈페이지 서버는 대응센터가 아니라 행정자치부에서 관리한다.
대응센터는 별도 서버를 구축하고 있지만 위치나 주소는 ‘기밀’에 속한다.
저작권자 © 이코노미21 무단전재 및 재배포 금지
