최근 해외 IT보안업계의 최대 이슈는 ‘룰즈 시큐리티(Lulz Security, 일명 룰즈섹)’이다.
이들은 최근 미국 PBS방송, FBI, CIA, 소니 등을 연속적으로 해킹하며 현재 가장 인기(?)있는 해킹 집단으로 떠오르고 있다.
룰즈섹은 최근 1000번째 트윗을 기념하며 발표한 보도자료에서 “대부분의 해커들은 자신들의 해킹사실을 밝히지 않는다”며 “여러분의 계정은 결코 안전하지 않다”고 주장, 자신들의 목적과 방향에 대해 밝혔다.
이들의 해킹 목표는 대부분 자유로운 인터넷 이용에 비판적인 곳이다. 이들은 자신들의 홈페이지와 트위터에 공격 목표를 사전 예고 후 해킹을 통해 얻어낸 개인정보나 보안취약점등을 인터넷을 통해 공개하고 있다.

이들에 대해 트위터등의 인터넷 여론은 응원으로 가득하다. 그러나 주류언론 및 기업, 기관들은 "룰즈섹이 벌인 소니 웹사이트 해킹 복구에만 몇 년이 걸린다", "기업 피해도 있지만 사생활 피해가 더 큰 문제"라고 주장하며 자신들의 보안문제를 떠넘기는 모습을 보였다.
그러나 이런 시각차이에도 불구하고 룰즈섹이 정부기관과 기업들에 해킹을 성공한 이후 전세계적으로 IT보안에 대한 관심이 집중되고 관련 분야가 활성화 되는 등의 순기능도 존재한다는 점에는 많은 사람들이 동의하고 있다.
솔루션을 통해 해결하던 기존 방식을 넘어서 ‘지속적 관리와 점검’을 중심으로 하는 개념으로 점차 발전하고 있다는 것이다.

◇반정부, 반 세계화의 새로운 트랜드. ‘핵티비즘’

그러나 여기에는 과거와는 다른 문화적 측면이 존재한다고 보는 시각도 있다.
룰즈섹과 더불어 최근 인터넷에서는 어노니머스(Anonymous, 익명)이라는 이름의 거대 해킹집단이 떠오르고 있다. 한 전문가는 “어노니머스는 실체가 있는 집단이 아닌 룰즈섹과 같은 해커집단의 사이버 공유체 같은 것이다”며 “이들은 각기 다른 집단 혹은 개인으로 구성되어 있다가 최근 위키리크스 사태와 같은 일에 어노니머스라는 이름으로 모여 공동 해킹작업에 나선다”고 밝혔다.

과거의 해커들은 주로 ‘금융 범죄’에 연류 되거나 해킹사실을 알리겠다고 협박해 기업으로부터 돈을 뜯어내는 등의 범죄자의 이미지에 불과했다. 반면 룰즈섹이나 어노니머스는 ‘핵티비스트(Hactivist)'라고 불리며 일종의 반정부, 반세계화에 앞장서고 있다는 것이다.
핵티비스트(Hactivist)라는 말은 해킹(Hacking)과 행동주의자(Activist)의 합성어로 멕시코 반정부 단체인 사파티스타가 지난 98년부터 멕시코 정부 웹사이트를 해킹하고 컴퓨터 서버에 과부하를 거는 운동을 전개한 것에서 처음 시작된 용어다.

그러나 최근에 와서는 개인 신용정보를 훔치는 방식을 이용, 웹사이트를 손상시키거나 운영 서버에 과부하를 주는 수준을 능가해 정부기관, 거대기업에 침투, 기밀정보를 빼내 이를 공개하는 등의 점점 그 행동 범위를 넓혀가고 있다.
룰즈섹이나 어노니머스와 같은 해커집단의 공격은 금전적인 이득을 위해서가 아닌 자신들의 사회·정치적 의사 표출을 위해 해킹을 이용한다는 점에서 핵티비즘(Hactivism)으로 볼 수 있다는 분석이다. 이미 지난해 맥아피 등 글로벌 보안업체들은 지난해 등장한 어노니머스 같은 핵티비즘이 지속적으로 확산될 것으로 예측했다.

해커들의 타깃 공격이 올 들어 소니, 록히드마틴, 시티그룹 등 글로벌 기업을 비롯해 미국, 말레이시아, IMF 등 정부·기관에 이르기까지 이어지고 있어 이런 핵티비즘 공격에 대응책을 시급히 마련해야 한다는 것이 보안업계의 지적이다.
그러나 이들의 주장은 대체적으로 ‘정보의 독점’을 반대하고 미국 중심의 신자유주의에 비판적 입장 표현을 위해 해킹을 하고 있어 인터넷상에는 이들을 지지하는 세력이 상당하다.
국내 보안업계 관계자는 “아직까지 우리나라에서 핵티비즘 성향의 해커집단 사례는 보고되지 않았다”고 밝혔다. 그러나 “국내에서도 정부의 정보 통제와 인터넷 여론 탄압에 대한 반대의견이 상당한 만큼 룰즈섹과 같은 단체가 언제 등장해도 이상하지 않다”고 주장했다.

이에 대해 정부는 개인정보보호법등의 법률 시행을 통해 각 공공기관·기업의 보안을 강화하여 막겠다는 방침이다. 그러나 과연 법으로 해킹과 개인정보 유출을 막을 수 있는지는 의문이다.

◇2달만에 DB암호화, 정말 가능?

올 9월 30일부터 전면 시행되는 개인정보보호법의 ‘개인정보 암호화’ 조항의 현실성에 의문이 제기되고 있다.
행정안전부는 지난 3월 공공기관등에서 개인정보 보호를 목적으로 하는 개인정보보호법을 제정했다. 그러나 그에 대한 세부사항이 아직도 정해지지 않아 관계기관, 특히 금융권에서 그 실행여부에 불안감을 내보이고 있다.

특히 제24조 3항에 따르면 ‘고유식별정보(주민등록번호 등)의 암호화’를 의무적으로 시행토록 정하였으나 정작 그 세부내용(암호화방식 등)에 대해서는 아직도 정해진바가 없어 문제가 되고 있다.
이에 행정안전부는 이달 2일 ‘개인정보 보호법시행령ㆍ시행규칙 제정안 공청회’를 열어 각계의 의견을 수렴하긴 했지만 이것도 너무 늦었다는 것이 업계의 공통된 지적이다.
행정안전부 관계자는 “해당 조항은 세부적인 사항에 대한 상세한 가이드라인이 필요한만큼 전문가들이 모여 준비하고 있다”고 밝히며 “하지만 내용이 워낙 방대하고 전문적인 부분이 필요한 만큼 시간이 걸릴것으로 판단된다”고 말했다.

이어 “하지만 금융당국의 입장을 고려해 늦어도 7월 말까지는 가이드라인을 완성할 예정이다”며 “특히나 증권사들이 민감하게 받아들이는 사항이므로 7월 중순경 금융투자협회와 함께 세부적인 내용을 설명하는 자리를 가질 예정이다”고 밝혔다.
한 증권사 관계자는 “현재 금융위나 금감원으로부터 어떤 지시사항도 받지 못해 대응팀을 구성해놓고도 아무것도 못하고 있다.”며 “빨리 어떻게 하라 이야기를 해줘야 준비하고 시행할텐데 남은 기간안에 과연 가능할지 의문이다”고 답답한 심경을 토로했다.

그러나 보안업계 관계자에 따르면 “7월말경 가이드라인이 완성된다 해도 남은 2달의 기간동안 DB를 암호화하는건 불가능한 이야기다”며 “기관 규모에 따라 다르나 은행이나 증권사는 전체 DB암호화에 최소 2-3년은 걸릴것으로 판단된다”고 주장했다.
한 금융업계 관계자는 “개인정보보호법은 7년이나 국회에 계류되던 법안이다”며 “최근 발생한 금융권 해킹사태 때문에 여론을 의식해 세부사항에 대한 논의 없이 서둘러 처리한 것 같다”는 의견을 밝혔다.

[ⓒ 토요경제. 무단전재-재배포 금지]