문제 출제 '용역' 맡겼는데 관리 소홀
촉망 받던 해커, 또 다시 블랙해커로 전락




3월 20일 각 언론사와 금융 기관 전산망 동시 마비

3월 25일 날씨닷컴 홈페이지 통한 악성코드 유포로 개인 PC 수백대 감염

3월 26일 지방자치단체 통합전산센터, 기재부 홈페이지, 대북 인터넷 매체 마비

6월 25일 청와대, 국무조정실 홈페이지, 언론사 및 정부기관, 정당 해킹

7월 1일 영남일보, 경남일보, 정보넷 등 해킹


올 한해 굵직하게 보도된 해킹 사건들이다. 

해킹을 마음 먹은 해커들이
보안이 약한 곳을 찾아내 공격해 이뤄낸 결과다.


해킹방어대회가 중단된 7월 1일은 
6.25 청와대 홈페이지 해킹 사건 이후 
오래지 않아 몇 개 사이트에 대한 해킹이 발생해
또 다시 한 번 언론을 뜨겁게 달궜던 날이다.

오전에는 홈페이지 해킹으로 인해 떠들석 했다면
오후에는 해킹방어대회가 중단돼 떠들석 했다. 

당시 홈페이지 문제 유출에 대한 의혹이 제기됐지만
정확한 원인 파악이 되지 않아 우야무야 마무리 됐다. 

그리고 약 2달이 지난 8월 29일,
서울 수서경찰서는 
"해킹방어대회는 내부자 문제 유출로 인해 중단 됐다"는
조사 결과를 발표했고
한국인터넷진흥원(KISA)는 사과문을 게재했다.

이번 해킹방어대회 중단은 [보안]이 약했다는
여타의 해킹 사건과 본질은 크게 다르지 않았다.


해킹방어대회, 내부서 문제유출 했다지만...

문제유출을 자행한 김 군은 
어린 시절부터 보안 분야에서 뛰어난 실력을 보여온 실력자였다. 

각종 해킹방어대회에서 우승뿐 아니라 
국제 대회 문제 출제자로 참여하기도 했다. 

하지만 장난 삼아 공공기관 홈페이지를 해킹하다 경찰에 잡혀 
반성 후 화이트해커의 길을 걸었다.

이후 김 군은 한 해킹보안 그룹에서 손 씨를 만나게 됐다.

김 군이 다니는 회사가 이번 해킹방어대회 문제 출제 업체로 선정됐고
손 씨는 “대회에서 우승하고 싶다”며 유혹의 손길을 뻗었다.

미래창조과학부와 한국인터넷진흥원 주최
해킹방어대회 1등에게는 1,000만원의 상금과 
참가자 378개 팀 901명을 제쳤다는 영예가 주어진다. 

김 군은 손 씨의 요구를 거절하지 못했고 
예선 중간 실시간 원격으로 문제를 유출했다. 

결말은 그들이 원하는 대로 이뤄지지 않았다. 

해킹방어대회 진행 도중 
익명의 누군가가 이들의 범행을 한국인터넷진흥원에 제보했고 
대회는 무산됐다. 

해킹 방어대회 보안은 누가 책임지고 있었을까?


관리 소홀이 부른, [보안] 뚫린 해킹방어대회 

지난 29일 서울 수서경찰서는 김 군과 손 씨의
위계에 의한 업무 방해 혐의로 불구속 입건했다고 밝혔다.

김 군은 깊게 뉘우치는 모습을 보였지만 
출제자 신분으로 국가 공인대회 결과를 조작해
처벌을 면하기는 어려울 것이라고 한다.

주최측은 해커를 대상으로 진행하는 보안 대회임에도 불구하고,
마음만 먹으면 쉽게 해킹할 수 있다는 사실을 간과한 채
보안에 안일했다. 

한국인터넷진흥원 관계자는 
"신뢰를 바탕으로 외부 용역업체에게 문제 출제를 맡겼지만
그에 대한 관리를 제대로 하지 못했다. 
향후에는 감시체제를 도입해 진행할 계획이다"고 말했다. 

해킹을 당할 때도 마찬가지다.

"괜찮겠지"라고 생각하는 순간 해킹 당할 수 있다. 

보안이 약한 곳을 파고 드는 것이 해킹이다. 
열심히 보안 책을 마련했어도
뚥고 뚫어버리는 것이 해킹이다. 

해커들이 마음먹고 달려들어
보안 방화벽을 뚫어버린다면, 
내부에서 마음먹고 문제유출에 가담한다면
어쩔 수 없을 수도 있다.

하지만 조금만 더 신경쓰고 조금만 더 철저했다면
해킹도, 문제 유출도 막을 수 있을 것으로 보인다.