본문 바로가기
<정보 및 지식>/◈ 컴퓨터 & IT

[Expert Column] 다시 생각해보는 악성코드와 윤리

by 파스칼바이런 2015. 8. 11.

[Expert Column] 다시 생각해보는 악성코드와 윤리

AhnLab / 2015-08-03

 

 

 

 

2015년 6월 12일 북한 IP로 접속하는 악성코드가 발견되어 언론에 크게 기사화되었다. 하지만 확인 결과 악성코드 분석을 위해 교육용으로 작성된 악성코드가 악성코드 검사 서비스에 업로드 되어 발생한 오해였다. 예전에도 교육 과정의 일부로 실제 악성코드를 만들었던 사례는 있었다. 2002년 한일 월드컵 즈음에 모 대학교에서 악성코드를 제작해 백신 회사에서 이를 진단하게 하는 강의 과제를 낸 적이 있었다. 이에 백신 업체로 엄청난 수의 한국산 악성코드가 접수되었고, 이후 해당 대학 과제임을 확인하고 과제 중단을 요청한 바 있다.

 

악성코드 제작과 관련해 다양한 윤리가 존재한다. 우선 백신 업체는 원칙적으로 연구 목적으로도 악성코드 제작을 금지하고 있다. 백신 프로그램과 업체에게 중요한 것은 신뢰로, 백신 업체에서 악성코드를 제작하는 것은 고객과의 신뢰를 어기는 것으로 여겨 엄격히 금지하고 있다. 그리고 악성코드를 제작한 경험이 있는 사람은 채용하지 않는다.

 

그러나 악성코드 문제가 심각해짐에 따라 과거 악성코드에 크게 관심이 없던 해커나 보안 관련 일을 하는 사람들도 악성코드에 관심을 갖기 시작했고 이와 함께 윤리적 시각도 변하게 되었다. 연구나 교육 목적으로 악성코드를 제작하는 것은 괜찮다는 것이다. 일부에서는 악성코드를 직접 제작해 원리를 파악하면 쉽게 이해되고 더 잘 막을 수 있다고 생각한다. 보안 업체에 입사하기 위해 악성코드를 제작해봤다는 학생의 언론 인터뷰도 있었다. 사실 전통적인 백신 업체를 제외한 다른 보안 솔루션 업체에서는 악성코드 제작을 심각하게 생각하지 않는 경향이 있다. 지금도 일부 보안 업체 홈페이지에는 악성코드 제작 연구 항목이 있거나 내부 교육 내용 중에 악성코드 제작이 포함되어 있다. 우리나라에서는 악성코드 '배포'가 불법이지만 몇몇 국가의 경우 악성코드 '제작'만으로도 처벌을 받을 수 있다.

 

심지어 이탈리아 해킹팀 같이 악성코드를 제작하고 판매해 돈을 버는 업체도 등장하고 있다. 개인적으로 이런 업체를 보안 업체로 볼 수 있는가 하는 의문이 든다. 물론 이런 업체들도 나름의 윤리 기준을 가지고 있겠지만 기존 보안 업체들보다 훨씬 느슨할 수 밖에 없다.

 

연구용, 교육용 악성코드 제작은 윤리적인 부분이라 무엇이 옳고 틀리다고 말하기 어렵다. 시대가 변하면서 가장 보수적인 백신 업체들의 악성코드에 대한 윤리도 조금씩 변하고 있다. 요즘은 연구 목적의 악성코드 테스트는 일부 용인되고 있다. 과거에는 악성코드 중 바이러스가 대부분이었는데 요즘은 취약점 공격 코드나 트로이목마가 주를 이루다 보니 연구용으로 취약점을 공격하는 형태는 어느 정도 용인되고 있다. 하지만 여전히 자기 전파 기능을 가진 바이러스나 웜에 대해서는 엄격한 편이다. 자기 전파 기능이 있는 악성코드는 제어하기도 힘들고 자칫하면 돌이킬 수 없는 사태가 발생할 수 있기 때문이다.

 

시대가 변해 악성코드 제작과 관련된 윤리도 조금씩 변화하고 있다. 하지만, 여전히 악성코드는 적절하게 관리하지 않으면 위험하기 때문에 관련 지식이 있는 사람들이 다뤄야 한다. 영화를 보면 과학 기술에 집착해 윤리관을 잃고 실험을 해 파국으로 향하는 내용을 종종 볼 수 있다. 악성코드를 통해서도 그런 문제가 발생할 수 있기 때문에 관련 업체나 직원들은 윤리에 대해 다시 생각해볼 때이다.