지난 6월 7일~8일간 예선전을 치뤄 7월 1일 본선이 진행되는 과정에서 돌연 대회가 취소된 제10회 해킹방어대회. 취소 이유가 문제 유출 의혹이었다는 점에서 적지 않은 충격을 주었다. 대회 운영을 총괄한 한국인터넷진흥원 측은 본선 하루 전 문제유출 정황에 대한 제보를 받고 바로 경찰에 조사를 의뢰했고 본선 대회 시작 4시간 만에 대회를 취소했다.
 
이번 사건을 의뢰받고 조사한 수서경찰서 사이버수사팀 수사팀장은 데일리시큐와 전화통화에서 “문제출제팀 1명과 문제유출을 제의한 한 명을 조사해 오늘 발표하게 됐다”며 “조사결과, 문제출제팀 김군과 손씨는 예선전 하루 전 만나 문제유출을 공모했다. 손씨가 먼저 대회에서 1등을 해보자고 제안했고 김군이 이를 받아들여 문제를 알려주게 됐다”고 설명했다.
 
이들은 김군은 예선전 당일 손씨에게 실시간 메신저로 풀이 방법을 알려주고 본선 문제도 알려줬다는 것이 경찰 조사 결과 밝혀졌다.
 
수사팀장은 “KISA 제보를 통해 이들의 메신저 대화 내용을 증거로 확보했다. 대화 내용에 모든 공모 사실이 그대로 드러났다”며 “대회 서버를 해킹한 것도 드러났는데 대회 서버에 접속로그가 나와 손씨를 추궁한 결과 무단접속에 대해 실토했다. 손씨는 순위에 들지 못할 경우 본선에 나갈 수 없기 때문에 만약을 대비해 대회 순위를 조작하려 했다. 하지만 결국 예선 순위에 들게 돼 순위조작은 하지 않았다”고 전했다.
 
또 “아직 나이도 어리고 전과가 없는 관계로 불구속으로 검찰에 송치했다. 검찰에서 다시 조사할 것이다. 검찰에서 약식기소하면 벌금형 정도가 예상된다”며 “좀더 엄격하게 문제출제팀을 선정할 필요가 있고 대회 취지가 정보보안 전문가를 양성하는 것인 만큼 윤리적 마인드가 우선돼야 할 것이다. 좋은 취지에서 열리는 대회가 불미스러운 일로 퇴색되지 않길 바란다”고 말했다.
 
한편 이번 대회 운영을 총책임진 KISA 관계자와도 전화취재를 했다. KISA 관계자는 “문제 유출에 대한 제보를 하루 전에 입수했다. 그때가 주말이라 경찰에 수사의뢰를 했고 본선이 월요일이라 제보만 믿고 대회를 취소할 수는 없어 대회를 시작했는데 경찰에서 조사를 착수했다는 연락을 받고 바로 대회를 취소하고 연기하게 됐다”고 당시 상황을 설명했다.
 
그는 또 “오늘 경찰 조사가 대부분 정확하다. 다만 손씨가 대회 서버를 해킹했다는 것은 어떻게 봐야할지 애매하다. 무단접속이란 표현이 맞을 것이다. 문제출제 용역을 담당한 업체는 해킹대회 문제출제 경험이 다수 있는 조직이다. 그래서 문제출제시 사용한 서버는 예전부터 사용했던 서버였고 서버의 취약점을 잘 알고 있는 손씨가 무단접속한 것”이라고 말했다.
 
문제출제팀에 대한 손해배상은 어떻게 이루어질까. KISA측 관계자는 “문제출제 용역을 준거라 피해보상을 청구할 예정이다. 본선대회 개최할 때 문제용역팀에 지불한 비용과 대회장 대관료 등이 추가 포함될 것”이라고 밝혔다.
 
또한 이번 사태에 대한 심경으로 “당황스럽다. KISA 해킹방어대회가 10회째를 맞이했는데 그 동안 이런 일은 없었다. 이런 일이 발생하지 않도록 노력했지만 안타깝다. 현재 문제유출 재발을 방지하기 위해 대책도 세웠다”며 “수능문제 출제처럼 출제위원을 가둬놓고 할 수는 없지만 문제출제시 KISA 관리자가 상주해 철저히 관리하고 출제도 특정장소에서 하도록 하는 등 대책마련을 해 둔 상태”라고 덧붙였다.
 
그는 또 “이번 사건으로 선의의 화이트해커들이 피해를 보지 않았으면 좋겠다. 데프콘은 상금이 없어도 명예 때문에 세계적인 해커들이 대회를 참여한다. 우리나라 해킹대회들도 궁극적으로는 그렇게 변해야 한다”며 “해킹방어대회가 해킹능력 보다는 보안전문가가 되기 위한 기초를 다질 수 있는 방향으로 가야 한다. 이번 건으로 대회 자체의 취지가 부정적으로 비춰지지 않길 바란다”고 당부했다.
 
본선대회는 10월중 다시 열릴 예정이다. 그는 “10월에 학생들 중간고사도 있고 해서 여러상황을 고려해 10월 중 대회를 다시 열 계획이다. 본선만 다시 치러진다. 당연히 이번에 공모한 자는 탈락될 것이고 차점자가 본선에 올라가 대회가 진행될 예정이며 대회 방식은 그대로 진행되고 보안조치가 더욱 강화될 것”이라고 밝혔다.
 
이번 사건에 대해 국내 유명 해커는 “해킹대회에 대해서는 긍정적이다. 하지만 윤리의식의 결여로 이렇게 좋은 행사가 망가뜨려진 것에 대해 안타까운 마음이다”라며 “이번 일로 대회 자체에 부정적 영향이 미치지 않길 바란다. 운영진이 윤리적 마인드와 프로의식을 더 가졌으면 좋겠다”고 안타까워했다.
 
데일리시큐는 본선 취소 당일 ‘해킹방어대회 중단 사태…해킹대회 본질 퇴색돼!’라는 제하의 기사를 통해 해킹대회를 돈벌이 수단과 스팩쌓기의 일환으로 생각하는 것이 문제다. 해커들의 축제가 되어야 할 해킹대회의 본질이 퇴색돼 가고 있다고 지적한 바 있다. 이번 사건이 선량한 대다수의 화이트해커들에게 피해가 가질 않길 바란다. 또한 이를 계기로 더욱 해킹대회가 긍정적으로 발전할 수 있길 바라는 심정이다.
-관련기사: dailysecu.com/news_view.php?article_id=4664

데일리시큐 길민권 기자 mkgil@dailysecu.com