벤은 기술에 관한 모든 것에 애착을 보였던 똑똑하고 개성있는 친구였다. 그는 11살 때 아마추어 무선통신에 관한 테크니션, 제너럴 클래스의 자격증을 땄다. 중학교 시절에는 컴퓨터에 푹 빠졌다. 고등학교를 졸업할 무렵에는 마이크로소프트 시스템 개발 공인자격증(MCSE), 시스코 네트워크 공인자격증(CCNA) 등 컴퓨터와 네트워크 관련 자격증을 따고 장학금을 받기도 여러 차례였다.
그 뒤 벤은 고등학교 재학 중에 교내 최고정보책임자(CIO)와 마찰을 빚기도 했으나 다행히 그가 발견한 보안취약점을 IT담당 부서가 해킹 위협을 방어하는데 도움을 줘 이를 모면했다.
벤은 현재 대학교 2학년이다. 최근 그의 가장 큰 고민은 컴퓨터 과학을 전공해야할 지, 전자공학을 전공해야할 지에 대한 것이었다. 그러나 벤이 학교에 계속 남아 있을지는 미지수다. 불법으로 컴퓨터를 해킹한 사실이 적발됐기 때문이다.
15일(현지시간) 일본 지디넷 등 외신은 미국 컴퓨터 협회(ACM)가 지난달 발표한 '왜 컴퓨터 재능을 가진 사람은 컴퓨터 해커가 되는가(Why Computer Talents Become Computer Hackers)'라는 논문을 인용해 벤과 같은 인재들이 왜 악의적인 해커가 되는지에 대해 보도했다.
연구팀은 이 논문에서 범죄 행위 해커가 되기까지의 과정을 입문, 성장, 성숙의 3 단계로 나눠 분석했다.
지금까지 발표된 관련 연구는 주로 컴퓨터 해커가 성장해 가는 과정에 대한 것이었다. 해커가 어떻게 온라인, 오프라인 상에서의 커뮤니티를 맺고, 기술적 능력을 습득하는지에 대해 다뤄왔다.
그러나 이 논문은 6명의 젊고 재능있는 컴퓨터 해커를 대상으로 이들이 어떻게 해킹에 입문해 숙련된 해커가 됐는지 등에 대해 밝혔다. 왜 재능 있는 젊은이가 악의적인 해커가 돼버리는지에 대한 실마리를 제공하는 것이다.
먼저 입문단계다. 이들은 모두 어릴 때 컴퓨터에 대한 흥미를 가져왔다. 연구팀은 조사 대상자 중 1명을 제외한 전원이 어린 나이에 컴퓨터에 관심을 가졌다는 사실을 발견했다. 이들은 컴퓨터에 대해 더 알고 싶어했으며, 온라인에서 더 많은 경험을 하고 싶어했다. 조사 대상자들은 이를 위해 기존 소프트웨어를 수정하고 네트워크의 한계에 대해 극복하고 싶은 생각이 강했다는 것이다.
성장단계에서는 이들이 가진 컴퓨터에 대한 탐구욕이 해킹 기술을 습득 하는 쪽으로 옮겨간다. 충분히 좋은 학교성적을 받을 수 있었음에도 관심사가 다른 쪽을 쏠린 것이다. 우리가 알고 있는 것처럼 컴퓨터와 네트워크에 보안 취약점이 너무 많다는 점도 그 이유 중 하나. 더구나 학교에서는 이들의 해킹에 대해 묵인했다. 교내 책임자들이 해킹 사실에 대해 모르는 경우가 대부분이었고, 알았다고 해도 처벌을 받는 경우는 거의 없었다고 연구팀은 설명했다.
마지막 성숙단계는 다른 해커들과 커뮤니티를 형성하는 등 관계를 가지면서 기술을 숙련시키는 과정이다. 연구팀에 따르면 이 과정에서 조사 대상자들은 옳은 것과 그른 것에 대해 구별할 수 있고, 선을 넘는 경우는 없었다고 밝혔다. 그러나 이들은 자신들의 해킹을 통해 생계를 유지하거나 정의를 위한 일이라면 불법적인 해킹을 수행할 수도 있다는 점에 대해서는 인정했다.
관련기사
- 페이스북을 해커 맘대로...신종 멀웨어 발견2013.05.16
- 추방된 유명 은행털이 해커, 30년형 예상2013.05.16
- 17살 소녀 개발자, TV용 앱 해커톤서 우승2013.05.16
- 유명 아이폰 해커, 경쟁사 구글에 둥지 틀어2013.05.16
해커가 만들어지는 과정은 크게 3가지로 요약된다. 먼저 보안성이 낮은 상황에서 소프트웨어(SW)에 대한 취약점이 흘러 넘칠 정도로 많다는 점이다. 두번째로 이는 어리고 호기심 많은 이들에게는 정복하고 싶은 대상이라는 점이다. 세번째는 학교에서 해킹을 용인하는지 여부와 더 경험 많은 해커와의 교류에 대한 것이다.
연구팀은 이를 토대로 악의적인 해커를 만들지 않도록 하기 위해 해야 하는 일들을 소개했다. 학교 내에서 해킹을 묵인해서는 안 되고 정황을 발견했을 경우 초기에 이에 대해 관여해야 한다는 것이다. 이를테면 중학교, 고등학교에서 컴퓨터 윤리 수업을 하고, 감독 하에 (해킹 보다는) 컴퓨터 보안 유지에 대해 경쟁할 수 있게 하며, 학교 등 소속 조직을 위한 컴퓨터 보안 서비스를 만드는 일 등이 필요하다는 설명이다.