UPDATED. 2024-03-29 17:18 (금)
[IT] 고양이에게 생선을 맡긴 꼴
[IT] 고양이에게 생선을 맡긴 꼴
  • 김윤지
  • 승인 2001.01.03 00:00
  • 댓글 0
이 기사를 공유합니다

일부 보안업체,딴 마음 먹고 자사 관리 업체 해킹...정통부,강력 제재키로
해커와 보안전문가의 차이는 무엇일까? 이번 겨울 보안업계는 이 질문에 대답하지 않고는 찬바람을 피할 수 없을 것 같다.
최근 한 보안전문업체 연구원들이 자사가 관리하는 기업 80여개 사이트를 해킹한 사실이 밝혀졌기 때문이다.
팀장 주도 아래 해킹이 이루어지고, 나중에 다시 침입하기 위해 백도어까지 만들었다는 사실이 드러나면서 이번 사건은 관련 업계는 물론 일반인들에게도 큰 충격을 던져주었다.
백신회사가 바이러스를 유포한다든가 보안회사가 해킹을 해 사업을 따낸다는 소문들이 이어지던 가운데 일어난 사건이라 그 여파는 쉽게 사그라들지 않을 태세다.

사건이 터지자 보안업계는 서둘러 진화작업에 나섰다.
한국정보보호산업협회에서는 관련 업계 임원과 정보통신부 관계자 10여명이 모여 긴급이사회를 열었다.
회의 결과 정통부는 불법해킹하는 업체에 대해서는 각종 지원을 중단하고 2001년 7월부터 시행되는 정보통신기반보호법의 정보보호전문업체 지정 대상에서 제외하는 등 제재를 하겠다고 밝혔다.
보안업계는 사업자 윤리강령을 제정해 회원사들에게 의견을 받아 실천운동을 펼쳐나갈 것이라고 발표했다.
그러나 윤리강령을 만드는 수준으로 이번 사건을 덮을 수 있을지 의문이다.
보안은 기업의 정보를 다루기 때문에 엄격한 직업윤리와 그에 걸맞는 자격을 갖춰야 한다.
그러나 보안업계는 그동안 이런 부분에 너무 소홀했다.
정보보호기술 www.infosec.co.kr 이성권 사장은 “공인회계사만 해도 징계위원회가 있어 문제가 생겼을 때 자체 징계를 하는 등 스스로 윤리의식을 강제하는 제도가 있으나 보안 분야에선 이런 것이 전무한 상황”이라면서 “외국의 경우 해커 관련 보안회사와는 거래를 하지 않는다는 인식이 폭넓게 퍼져 있어 업체 스스로 윤리의식을 강화하는 데 힘을 쏟는다”고 말했다.
이런 측면에서 요즘 주목받는 정보시스템 보안전문가 자격증(CISSP: Certified Information System Security Professiona)의 의미는 한번 짚어볼 만하다.
CISSP는 보안에 관한 전반적인 시스템 기술과 정책에 관한 지식을 두루 갖추고 있음을 공인하는 국제자격증이다.
CISSP가 특히 다른 자격증과 구분되는 것은 CISSP 자격시험을 볼 때 직업윤리강령에 서명하고 준수할 것을 요구하는 점이다.
직업윤리강령을 위반하는 CISSP는 징계위원회에 회부된다.
보안전문가라는 자격 안에 이미 수준높은 윤리의식을 포함하고 있는 것이다.
현재 우리나라에 CISSP는 2명밖에 없는데, 올해부터 국내에서 시험을 볼 수 있게 되어 많은 보안전문가들이 CISSP 취득을 준비하고 있다.
그러나 윤리문제라는 것이 어느 한가지 제도만으로 해결할 수 있는 것이 아니다.
요즘 미국에서는 ‘한번 해커는 영원한 해커인가’라는 문제를 두고 계속 논쟁이 벌어지고 있다.
우리나라에서도 언더그라운드 해커들이 보안업체에서 많은 활약을 하며 정보보호산업 발전에 기여하고 있는 터라 어느 한가지 틀로 재단하는 것은 힘들다는 의견이 적지 않다.
이번 사건을 계기로 정부의 규제가 강화될 경우 부작용이 더 커질 수 있다는 우려도 새길 만하다.
해커와 보안전문가의 차이는 무엇일까? 악의적 의도가 있었는가에 따라 해커와 크래커를 구분해야 한다는 이야기는 이미 있었다.
여기서 한 발자국 더 나아가 단지 시스템에 대한 지식이 높은 사람이 해커라면, 보안전문가는 기업의 정보를 보호하기 위해 기업의 조직까지 바꾸어갈 수 있는 사람이라고 한다.
기업 체질까지 바꾸는 수준이 되려면 직업윤리는 선택이 아니라 필수다.

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.