보안 전문교육 자체에 대한 문제제기, 부작용 우려 
SW교육 문제보다 보안윤리 강화에 초점 맞춰야

[보안뉴스 원병철 기자] 정보보호 전문교육을 받은 10대들이 해킹 팀을 조직해 돈을 받고 인터넷 도박 사이트 등에 디도스 공격을 해오다 경찰에 적발됐다. 정부의 예산 지원을 받아 정보보호 전문교육을 받은 일부 몰지각한 해커들의 사이버범죄 행위로 인해 미래 보안전문가 양성에 기여하고 있는 정보보호 전문교육이 ‘불똥’을 맞게 된 셈이다. 

경기남부지방경찰청은 중·고교 친구들과 해킹 팀을 구성한 후, 인터넷 경매 사이트 등 22개 사이트를 해킹해 개인정보 1만 8,000여건을 탈취하고, 불법 도박 사이트 등에 326여회 디도스(DDoS) 공격을 한 후 약 1,500만원을 갈취한 A군(19세, 남) 등 해킹 팀 13명을 검거했다고 밝혔다. 또한 이들에게 경쟁 도박 사이트 등에 대한 디도스 공격 및 회원정보 탈취를 의뢰한 도박 사이트 운영자 B씨(26세, 남), 스포츠 도박 홍보사이트 개발자 C씨(29세, 남) 등 13명을 포함해 총 26명을 검거했다고 밝혔다. 

경찰에 따르면, A군은 2015년 9월경 자신의 중·고교 친구 등 13명으로 구성된 해킹 팀을 만들고, 취약점 스캔, DB 추출, 디도스 공격, 협박, 출금 등 역할을 분담해 해킹 홍보사이트를 개설했다. 이후 도박 사이트 운영자 B씨와 먹튀 홍보사이트 운영자 D씨(22세, 남) 등으로부터 의뢰를 받아 디도스 공격과 회원정보를 탈취했다. A군 등은 돈을 쉽게 벌어볼 생각으로 범행에 가담했고, 불법 도박 사이트에 대한 디도스 공격이라 죄의식이 덜했다고 밝혔다. 

특히, A군 등 5명은 한국정보기술연구원(KITRI)의 차세대 보안 리더 양성 프로그램(이하 BoB) 이수자로, 국내외 유명 해킹방어대회에서 수상한 전력이 있으며 모두 입건됐다고 경찰은 밝혔다. 이와 관련 일부 언론에서 이번 사건에 가담한 해커 가운데 일부가 세계 최고 권위의 해킹방어대회인 데프콘 CTF의 우승팀 일원이라 보도했지만, 본지 취재결과 이는 사실이 아닌 것으로 드러났다. 

이번 사건과 관련해 KITRI 측은 A군 등 2명이 BoB 교육을 받은 건 사실이지만, 나머지 3명은 아직 확인이 안 된 상태라고 밝혔다. 이어 A군 등 2명도 범행을 확인한 후 수료를 취소했다고 덧붙였다. 또한, KITRI 측은 이들이 BoB 교육을 받았지만, 다른 정부기관에서도 진행되는 보안교육을 추가로 받았으며, 여기서 만난 친구들과 해킹 팀을 꾸렸다고 설명했다. 특히, 이번 사건의 주범들이 BoB 출신이라는 데 초점이 맞춰져 마치 BoB에서 교육을 잘못한 것처럼 비춰지고 있다는 게 KITRI 측의 얘기다. 

이번 사건과 관련해서 사건의 불똥이 정보보호 전문교육 자체로 옮겨가는 것은 분명히 경계해야 할 것으로 보인다. 정부 예산이 들어간 정보보호 전문교육을 받은 일부 청소년들의 일탈행위는 분명히 짚고 넘어가야 하지만, 예비 보안전문가들을 육성하는 보안전문 교육 자체가 문제가 있다는 식의 주장은 보안교육 전반에 대한 불신을 초래할 수 있기 때문이다. 

이와 함께 이번 사건으로 소프트웨어(SW) 교육 못지 않게 보안윤리 교육의 중요성이 다시금 제기되고 있다. SW교육 의무화 방침이 확정됐지만 그에 따른 보안윤리 교육이 제대로 시행될지 모르는 상황에서 이를 우려하는 목소리가 커지고 있기 때문이다. 특히, 최근 해킹이 자기 실력과시에서 금품을 노린 공격으로 변질되고, 인터넷 상에서 이렇게 얻은 금품을 자랑하는 지경으로까지 이어지면서 보안윤리의 중요성이 더욱 강조되고 있다. 

출처:http://www.boannews.com/media/view.asp?idx=54105&kind=0