서울특별시 미디어재단 TBS

TV FM 95.1 eFM 101.3 뉴스 교통정보

로그인 · 회원가입 · ABOUT TBS

전체메뉴 시작

뉴스

교통정보

정치

김승주 "심재철 주장 맞아도, 일종의 해킹에 성공한 것"

지혜롬 tbs3@naver.com 2018-09-28 20:35

자유한국당 심재철 의원 <사진=연합뉴스>

내용 인용시 tbs <색다른 시선, 김종배입니다>와의 인터뷰 내용임을 밝혀주시기 바랍니다.

● 방송 : 2018. 9. 28. (금) 18:18~20:00 (FM 95.1)
● 진행 : 김종배 시사평론가
● 대담 : 김승주 고려대 정보보호대학원 교수

김승주 "심재철 주장 맞아도, 일종의 해킹에 성공한 것"

- 시스템 오류 이용해서 권한 없는 행동을 하는 것이 해킹
- 정보통신망법, '안정적 운영 방해'하면 위법으로 규정
- 대문 열렸다고 들어가서 도둑질하면? "죄 맞다"
- 해커들, "대문 잘 잠겼나 확인하려고 흔들어봐도 위법"이라고 비유
- 시스템 오류 발견 시, 취약점 신고해서 고치게 해야
- 검수 단계서 오류 발견 못한 기재부에도 문제 있어

▶ 김종배 : 자유한국당 심재철 의원의 미인가 정보 유출을 둘러싼 논란과 공방, 지금부터 자세히 짚어보겠습니다. 체크포인트는 크게 두 가지인 것 같습니다. 하나는 심재철 의원실에서 이 정보를 입수하는 경위가 적정했는가, 입수 경위의 적정성 문제가 되겠고요. 또 한 가지는 그렇게 입수한 정보를 공개하는 것이 또 적절한 것인가, 이 문제가 있을 것 같습니다. 이 두 체크포인트에 대한 각각의 전문가의 진단과 분석 들어보는 시간 마련했습니다. 먼저 입수 경위의 적정성에 대해서 같이 이야기 나눠주실 분인데요. 고려대 정보보호대학원의 김승주 교수 전화 연결합니다. 여보세요?

▷ 김승주 : 네.

▶ 김종배 : 안녕하세요, 교수님.

▷ 김승주 : 네. 안녕하십니까?

▶ 김종배 : 지금 양쪽의 주장이 완전히 갈리는데요. 심재철 의원 쪽은 컴퓨터에 백스페이스키를 눌러서 관련 자료를 그냥 보게 됐다, 아주 단순한 것이었다, 이렇게 지금 주장을 하고 있고, 반면에 기획재정부 쪽에서는 5단계 이상의 복잡한 과정을 거쳐야만 해당 자료에 접근할 수 있는 것 아니냐? 의도적으로 사실상 해킹한 것 아니냐? 이런 주장을 하고 있지 않습니까? 어떤 게 맞는 거라고 보세요, 교수님은?

▷ 김승주 : 일단은 많은 분들이 해킹, 이러면 그게 무슨 굉장히 고난이도 기술인줄 알고 계세요. 그러다 보니까 이게 의견이 갈리는 것 같고요. 일단 해킹이라고 하는 건 뭐냐면 우리가 어떤 프로그램이나 어떤 시스템을 만들 때 보면 이제 설계를 한 다음에 그걸 소프트웨어 같은 걸 구현을 하지 않습니까?

▶ 김종배 : 그렇죠.

▷ 김승주 : 그런데 설계를 당초에 아예 잘못했다거나 아니면 프로그램으로 구현하는 데 있어서 그게 실수가 들어가서 오류가 발생할 수가 있습니다.

▶ 김종배 : 그렇죠. 오류 있을 수 있죠.

▷ 김승주 : 네. 그러면 해킹이라는 건 뭐냐면 이런 오류를 이용해서 그 시스템에 허가받지 않은 자료들을 획득하거나 정보를 획득하는 걸 보통 우리가 해킹이라고 그러거든요. 자, 그런데 왜 지금 양측의 의견이 나눠지고 있냐 하면, 그걸 이제 예를 들어서 말씀을 드리면 우리가 인터넷뱅킹을 한다고 한 번 생각을 해보시자고요. 그럼 인터넷뱅킹을 처음에 하려면 아이디하고 비밀번호를 치든가, 공인인증서를 통해서 로그인한다든가 해야 되지 않습니까?

▶ 김종배 : 그럼요.

▷ 김승주 : 그래서 인터넷뱅킹에 아이디하고 패스워드를 쳐서 로그인을 했어요. 그다음에 내가 계좌조화도 하고, 계좌이체를 하려고 그러는데, 일반적으로 계좌이체를 하려고 그러면 받는 사람 계좌번호도 치고, 금액도 쳐야 되잖아요. 그런데 그 단계에서 금액을 안 치고, 내가 고의든 아니면 우연치 않게든 백스페이스키를 두 번 쳐본 거예요. 그랬더니 갑자기 그 시스템에서 화면이 바뀌면서 모든 사람의 계좌정보가 다 화면에 막 뜨는 거예요.

▶ 김종배 : 헉, 네.

▷ 김승주 : 그렇죠? 그러면 지금 심재철 의원 쪽은 뭐라고 그러냐면 내가 백스페이스키를 두 번 연속으로 넣어서 모든 정보가 다 뜨긴 했지만, 내가 맨 처음에 나에게 부여된 합당한 아이디하고 비밀번호를 쳐서 로그인한 건데, 왜 해킹이냐라고 얘기하고 있는 거거든요. 그리고 저쪽 기재부 측에서는 아이디, 패스워드를 처음에 쳐서 로그인했다 하더라도 보통이라면 메뉴 바(menu bar), 메뉴를 통해서 접속을 하거나,

▶ 김종배 : 그렇죠.

▷ 김승주 : 아니면 계좌번호 치는 란에는 계좌번호만 쳐야 되고, 금액을 치는 란에는 금액만 쳐야 되는데, 거기에 그 합당한 걸 안 치고, 백스페이스를 누른 것 아니냐? 그래서 다른 사람 정보도 가져간 것 아니냐? 그래서 해킹이다, 이렇게 얘기를 하고 있는 거거든요.

▶ 김종배 : 그러면 조금 전에 교수님께서 해킹이라고 하는 용어에 대해서 정의를 내려주셨잖아요. 그게 고의든 우연적인 것이든 간에, 그다음에 그 오류 때문에 우연적으로 그것이 연결이 됐다하더라도 그것도 해킹에 해당이 된다고 말씀하셨으면 심재철 의원 쪽에서 주장한 대로 백스페이스 눌렀더니 이게 나오더라. 그래서 우리는 내려 받은 것이다 하더라도, 그게 사실이라 하더라도 그건 해킹에 해당이 된다, 이런 말씀이시잖아요?

▷ 김승주 : 그렇죠. 왜냐하면 보통 어떤 메뉴판에 있는 것 외에 다른 이것저것을 입력해서 가장 중요한 것은 자기한테 허가되지 않은 다른 자료까지도 봤잖아요. 그러니까 일종의 해킹에 성공했다라고 봐야죠.

▶ 김종배 : 그런데 이제 우리가 보통 해킹하면 나 지금부터 작정하고 저기 털어야지, 이렇게 고의성, 그다음에 계획성, 이런 것들 우리가 먼저 뇌리 속에 떠오르지 않습니까?

▷ 김승주 : 그렇죠. 그런데 보통 일반적으로 해커들은 어떻게 하냐면 예를 들어 우리가 포털사이트 들어가면 검색창에다 검색어를 이렇게 치지 않습니까? 그런데 단순한 일반적인 검색어를 치는 게 아니고, 이것저것 그냥 아무거나 막 넣어보는 거예요. 그러다가 아주 우연치 않게 이렇게 했더니 이게 막 안으로 들어갈 수 있네? 이런 식으로 보통 해킹들이 많이 이루어지거든요. 그래서 심재철 의원이 하신 건 해킹에 성공한 거예요, 그냥.

▶ 김종배 : 그렇게 규정해도 된다는 말씀이십니까?

▷ 김승주 : 네. 그게 반드시 뭐 목적성을 갖고 한다거나 반드시 고난이도의 기술을 이용해서만 해킹이 가능한 건 아닙니다.

▶ 김종배 : 그러면 교수님의 말씀을 받아갖고 제가 질문을 다시 드리면 이게 해킹에 안 되기 위해서는 우연이든 고의든 백스페이스 눌러서 보니까 자료가 주루룩 나왔어요. 그럼 거기서 덮고, 내려 받는 게 아니라 다시 나와야만이 해킹이 아닌데, 내려 받았으니까 그건 해킹이다, 이런 말씀이신 거잖아요?

▷ 김승주 : 그러니까 지금 여기서 문제는 뭐냐면, 해킹이라는 것 자체가 시스템의 오류를 이용해서 자기한테 허가받지 않은 행동들을 할 수 있게끔 하는 걸 해킹이라고 그러거든요. 그런데 분명한 건 백스페이스키를 눌러서 열람할 수 있었단 말이죠. 그렇죠? 그래서 일종의 그건 해킹에 성공했다라고 봐야 되는 것이고요. 그럼 이것이 과연 법에 저촉되는 행위냐, 아니냐? 라고 봤을 때

▶ 김종배 : 그렇죠.

▷ 김승주 : 우리나라에는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’이라고 하는 게 있습니다. 그러면 여기에 보시면 48조가 어떤 해킹과 관련한 행위를 언급하고 있는 거예요. 이 48조 3항을 보면 누구든지 ‘정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 장애를 일으키게 해서는 안 된다’, 이렇게 되어 있거든요.

▶ 김종배 : 그러면 프로그램의 오류를 이용하는 것 자체가 안정적 운영을 방해하는 행위로 본다, 이렇게 해석을 해야 되는 겁니까?

▷ 김승주 : 그렇죠. 중요한 건 ‘안정적 운영을 방해할 목적으로’라는 게 있잖아요.

▶ 김종배 : 그렇죠. 목적성이죠.

▷ 김승주 : 사실은 굉장히 광범위한 정의거든요. 예를 들어서 기재부가 이렇게 백스페이스를 두 개 넣어서 와서 다른 사람들의 자료를 무단으로 막 가져가서 열람하거나 그걸 외부에 노출시키는 행위를 안정적 운영을 방해하려고 하는 거라고 판단을 내리면, 이 정보통신망법의 48조 3항에 저촉이 되는 거란 말이죠. 그래서 그럴 경우에는 이게 자체가 어떤 법에 저촉되어서 관련한 어떤 징역형 또는 벌금을 물릴 수가 있고요.

▶ 김종배 : 알겠습니다. 그러면 지금 정치권에서 나오는 비유적인 어떤 반박이 이거잖아요. 그럼 그 집 대문이 열렸다고 들어가서 도둑질하면 그건 죄가 안 된다는 얘기냐? 그럼 이 얘기가 맞다, 이 말씀이네요, 교수님 말씀은?

▷ 김승주 : 실제로 저는 학교에서 많은 해커들하고 같이 일을 하니까 지금 이 48조 3항이 얼마나 위력적이냐 하면요, 대다수 해커들이 인터넷 사이트들의 취약점들을 알아보기 위해서 이것저것 시도를 해보거든요. 그랬을 때 대다수의 사이트들은 이 48조 3항을 가지고 고소를 하겠다, 이런 식으로 많이 얘기를 해요.

▶ 김종배 : 그렇군요.

▷ 김승주 : 그래서 저희들은 그걸 뭐라고 비유하냐면 길에 지나가다가 대문이 하나 있는 거예요. 저 대문이 잘 잠겼을까 해서 이렇게 흔들어봤어요. 그 흔드는 행위 자체를 위법이라고 판단들을 하거든요, 이 48조 3항 때문에.

▶ 김종배 : 하나만 더 기술적인, 그러니까 백스페이스 누르면 이렇게 나올 수도 있는 거예요, 기술적으로?

▷ 김승주 : 잘못 만들었을 때, 그러니까 사실은 저는 제가 보기에는 이 정보통신망법에 비춰봤을 때 사실은 일반 해커들이 하는 대로 한다면, 이게 취약점이 있네라고 해서 그걸 그냥 신고해서 고치게 해야 되는 게 올바른 거거든요.

▶ 김종배 : 그렇죠.

▷ 김승주 : 그런데 지금은 자료를 내려 받아서 공개했다는 것 자체가 문제의 소지가 있을 수 있고요. 그것 외에도 사실은 정부에서 쓰는 프로그램이라면 검수단계에서 이런 것들은 다 체크를 해야 되는데,

▶ 김종배 : 그렇죠.

▷ 김승주 : 이게 검수단계에서 걸러지질 않았거든요. 그래서 해당 기재부 쪽에서도 문제가 있었던 것 같고요.

▶ 김종배 : 알겠습니다. 말씀 잘 들었습니다, 교수님. 고맙습니다.

▷ 김승주 : 감사합니다.

▶ 김종배 : 지금까지 고려대 정보보호대학원 김승주 교수와 함께 했고요.

더 많은 기사 보기

정치 추천 기사

인기 기사