“사이버 보안 기관을 직접 뚫어보세요.”
한국인터넷진흥원(KISA)이 자체 해킹 대회인 ‘핵 더 키사(Hack the KISA)’를 이르면 오는 10월 개최한다.
이동근 인터넷진흥원 침해사고분석단장은 2일 “사이버 보안 체계 강화에 도움을 주는 ‘화이트 해커’의 활동을 늘리고 기업 보안 수준을 높이는 마중물이 되도록 핵 더 키사를 준비하고 있다”고 밝혔다. 대회는 접수부터 본선까지 한 달 동안 진행될 예정이다.
핵 더 키사는 미국 국방부가 담당 웹 사이트 5곳을 대상으로 화이트 해커가 취약점을 발견하도록 하는 대회인 ‘핵 더 펜타곤(Hack the Pentagon)’의 사례를 참고한 것이다.
인터넷진흥원이 직접 자사의 홈페이지와 전산망을 ‘공격 대상’으로 정하고 해킹 대회를 여는 것은 화이트 해커를 양성하기 위함이지만 이와 함께 기존 기업의 홈페이지(웹 서비스)를 화이트 해커가 침입할 경우 불법 행위로 처벌받을 수 있어서다.
현행 정보통신망법 제48조에 따르면 ‘누구든지 정당한 접근 권한 없이 정보통신망에 침입해서는 안 된다’고 규정돼 있다. 이를 어기면 5년 이하의 징역 또는 벌금을 물리도록 했다. 최근에도 화이트 해커가 군 당국의 웹 사이트의 취약점을 자발적으로 파악해 제보했으나 법령을 위반한 것 아니냐는 논란이 일기도 했다. 이에 대통령 직속 4차산업혁명위원회 내부에서도 논의가 이뤄졌지만 뾰족한 결론은 도출되지 못한 상황이다. 이에 따라 인터넷진흥원도 핵 더 키사를 진행하는 과정에서 사전에 참가 신청을 마친 화이트 해커가 내부 홈페이지에 접근할 수 있도록 법적 조처를 하기로 했다.
이에 따라 KISA는 정부와 기업의 사이버 보안 취약점을 발견해 도움을 주는 이른바 ‘화이트해커’의 활발한 활동을 위해 현행 법령을 정비할 필요가 있다는 입장이다.
이 단장은 “아무리 선의의 목적을 가진 해커라도 운영 중인 홈페이지 등 웹 서비스 대상으로 보안 취약점 발굴 활동을 하는 것 자체가 현행법에 따라 불법으로 규정될 수 있어서 해결방안이 필요하다”고 강조했다. /지민구기자 mingu@sedaily.com