[취재현장] 공개 해킹시연의 득과 실
2014-03-04 14:44
최근 금융권에서 나타나는 일련의 사건을 돌이켜보면 그럴 만도 한 것 같다. 카드사는 고객 정보 유출 사태로 한 차례 발칵 뒤집어졌다. 그 후폭풍으로 은행 및 증권사 등 고객의 민감한 금융정보를 가지고 있는 금융사들은 IT 보안에 촉각을 곤두세우고 있다. 해커들의 다음 타깃이 누가 될 진 아무도 알 수 없는 상황이기 때문이다.
얼마 전 한 보안포럼에서 한 화이트해커가 증권사 시스템트레이딩을 대상으로 해킹 시연을 펼쳤다. 해킹 시연에선 증권사의 IT 시스템 보안이 해킹 공격에 얼마나 취약한 지 적나라하게 보여줬다. 해커는 이 같은 증권사 IT 시스템의 취약한 보안 문제가 단순히 해킹 대상 증권사만의 문제가 아니라고 지적했다.
문제는 해킹 과정에서 해킹 대상 증권사의 실명이 고스란히 드러났고, 해킹 과정 역시 IT에 문외한 일반 사람들이 볼 때도 이해 할 수 있을 정도로 구체적으로 나왔다는 점이다. 블랙해커가 불순한 목적으로 시연을 지켜봤다면 증권사 HTS 해킹에 대한 '짭짤한(?)' 정보를 얻을 수도 있는 노릇이다.
공개적인 장소에서 해킹 시연을 하는 것은 득과 실이 존재한다. 하지만 그 시연이 오롯이 공익적 목적에 의한 것인지, 혹은 공익적 목적을 위해서라도 다르게 이용될 수 있을 지 따져볼 문제다.
한 보안업계 관계자는 "일부 보안업체는 공개적인 장소에서 해킹 시연을 한 후 해킹을 당한 업체에 자신의 업체에서 생산한 보안 관련 제품을 사용하도록 요구하기도 한다"고 밝혔다. 해킹 시연의 노출 수위를 어느 선까지 맞출 진 따져볼 문제다.