해커를 막는 고도의 보안 시스템이란 것도 역시 사람이 만든 것. 따라서 어딘가에는 '구멍'이 있을 수밖에 없다. 열 순사가 한 도둑을 막지 못한다고 하듯, 완벽한 보안이란 현재로선 없다는데 문제의 심각성이 있다.
해커 연구자나 이들을 인터뷰한 작가들이 쓴 작품을 보면 긍정적인 해커들이 적지 않게 등장한다. 영화 '네트'(The Net)에서도 여주인공인 해커를 뛰어난 실력을 가진 '컴퓨터 전문가'로 묘사하고 있다.
작가들은 이들이 컴퓨터의 대중화와 발전에 매우 큰 공헌을 했다고 주장한다. 부분적으로 이 말은 사실이다. 개인용 컴퓨터나 운영체제 등은 거의 해커들에 의해 발달돼 왔으며, 게임 소프트웨어를 비롯해 창조적 정신에 의해 고안된 새로운 기술과 기법의 상당수가 이들에 의해 탄생한 것이다.
그러나 요즘 심심치 않게 신문 사회면을 장식하는 해킹 사건을 보면 영화에서와 같은 신비감은 사라지고, 불법적인 침입과 자료 파괴 등을 일삼는 범죄자로 이해될 뿐이다. 이렇듯 '전문가'와 '범죄자'라는 양 극단의 평가를 받고 있는 해커를 우리는 어떻게 해석해야 할까.
해커란 단어는 시대에 따라 많은 변천을 겪었고, 또한 여러 부류가 있다. 오로지 컴퓨터 탐구에 노력하는 '학구형'이 있는가 하면, 프로그램의 락(lock) 등을 풀려고 노력하는 '암호형', 다른 컴퓨터에 침입하는데 노력하지만 피해를 주지 않는 '침입형'도 있다.
사실 이들의 활동은 사회적으로 크게 지탄을 받을 소지를 제공하지 않고 있다. 그러나 다른 컴퓨터에 침입해 데이터를 파괴하는 '파괴형'이나 물질적 이익을 추구하기 위해 피해를 입히는 '스파이형'의 경우는 사정이 다르다.
바이러스와 유사한 성격을 지닌 불법 프로그램 웜(worm)을 이용해 인터넷에 연결된 중대형컴퓨터 7천5백대를 하룻밤에 정지시킨 사건이나, '뻐꾸기 알'이란 소설로도 널리 알려진 '독일 스파이 사건', 인터넷을 통해 개인의 신용카드 정보를 가로채 팔아먹다 붙잡힌 '미트닉 사건' 등의 범인을 '전문가'만으로 평가할 수는 없을 것이다.
국내도 '범죄형' 늘어난다
갈수록 심각한 양상을 띠고 있는 해킹 문제는 이미 전세계적으로 사회문제화 되고 있다. 우리나라에서도 해커들에 의해 저질러진 여러 사건들이 보도된 바 있듯이 인터넷이나 PC통신 등을 무대로 많은 해커들이 활동하고 있는 것으로 보인다. 이런 불법 해커들이 해킹하는 수법은 대략 다음과 같이 분류해 살펴볼 수 있다.
■ 사회공학적 침입 수법(social engineering) : 관리자를 속이는 방법으로서, 가령 전화를 걸어 정당한 사용자가 패스워드를 잊어버렸다고 속이고 접속을 부탁하는 경우다.
■ 사용자 도용(impersonation) : 정당한 사용자의 ID를 도용하는 경우로, 예를 들어 스니퍼(sniffer, 시스템관리자 권한을 취득할 수 있는 정보 추출 기법) 등을 이용해 네트워크 접근시의 ID와 패스워드 등을 훔치는 방법 등이 있다.
■ 시스템 취약점 공격(exploits) : 시스템의 버그를 이용해 이를 보안 취약점으로 활용하는 경우.
■ 시스템 위장(transitive trust) : 목표 호스트가 신뢰하는 시스템이나 네트워크로 잠시 위장하는 수법. 이 경우 패스워드를 확인하지 않고 컴퓨터에 접근할 수 있다.
■ 데이터 주도 공격(data driven attack) : 불법프로그램을 이식하는 방법을 말한다. 여기에는 바이러스, 트로이목마, 논리폭탄, 자동해킹프로그램 등이 있다.
■ 구조적 공격(infrastructure attack) : 시스템이나 네트워크 프로토콜 등이 가진 구조적인 문제점을 공격하는 수법으로, 고난도의 기법이 동원된다.
■ 서비스 방해 공격(denial of service attack) : 시스템의 정상적인 동작을 방해하는 공격 수법. 대량의 메시지를 보내 컴퓨터의 정상업무를 방해하는 것이 여기에 해당한다.
주로 초보 내지는 중급 정도의 실력을 가진 해커들에 의해 저질러지고 있는 국내의 해킹 사건들도 최근에는 침입 기록을 지우거나 데이터를 지우고 컴퓨터의 정상적인 구동을 막는 등 범죄적 양상을 보이고 있다.
해커들이 타 기관의 컴퓨터에 침입해 불법 행위를 일삼는 일은 대개 다음 순서를 따른다. 먼저 패스워드가 없는 ID를 이용하거나 패스워드를 알아낸 ID, 혹은 컴퓨터의 취약부분을 알아내 불법 접근한다.
그다음 과정은 관리자 권한을 획득하는 것이다. 트로이목마를 이용하거나 시스템의 취약점 등을 이용해 일반 ID로 침입, 관리자의 권한을 가진 이들은 다음 단계로 스니퍼(sniffer)를 설치해 통신망을 모니터링하면서 여러 사용자의 ID와 패스워드를 알아낸다. 그리고 '뒷문 프로그램'이라 불리는 불법 프로그램을 설치해 침입이 용이하게 만든다.
해커들은 자신의 흔적을 남기지 않는 것을 원칙으로 삼고 있으며, 역추적에 대비해 목표물과 관련 없는 멀리 떨어진 기관이나 나라를 우회하는 수법을 구사한다. 따라서 만약 자신의 시스템의 로그(log : 컴퓨터의 각종 감사기록)에 근거해 어떤 컴퓨터에서 침입한 것을 알아냈다 할지라도 이를 추적한다는 것은 매우 어려운 일이다.
또한 다른 범죄와 달라 해커들에 대한 물적 증거를 확보하는 것도 쉽지 않다. 해커가 불법작업을 하고 있을 때 현장을 덮쳐 체포하는 것이 아니라면 컴퓨터 내부 자료는 이들에 의해 얼마든지 관리자가 알아채지 못하도록 변조될 가능성이 있기 때문이다.
'완벽' 해결책 없다
그렇다면 해킹을 막을 수 있는 방법은 없는가. 불행히도 현재로선 '완벽한' 해결책이 없다. 다만 해킹에 대비해 시스템 관리자들이 주의를 게을리 하지 않고 꾸준히 모니터링하며, 기술적인 대책을 세우는 것이 최선이다.
일부 기관에서는 시스템에 불법접근을 막기 위해 방화벽을 설치하기도 한다. 방화벽이란 해당 기관이 허용하는 네트워크나 시스템, 혹은 응용 프로그램을 제외하고는 외부에서의 접근을 일체 허용하지 않는 방법으로, 매우 효과가 높다. 그러나 이같은 접근 제어는 내부에서도 암호화 통신이 가능한 '안전한 통신'이 보장된 시스템만 접근을 허용하기 때문에 불편을 감수해야만 한다. 외부의 불법 시도를 막았다 하더라도 생길 수 있는 문제점이 없는 것은 아니란 말이다.
이러한 경우에 대비해 관리자는 이미 알려진 버그나 문제점을 미리 모두 제거해야 한다. 또한 시스템의 응용프로그램이나 유틸리티 등을 가장 최신 버전으로 유지하며, 시스템 내부환경의 불법변경이 없도록 무결성을 유지하는 등 관리에 만전을 기해야 한다. 즉 시스템을 항상 관찰해 해커를 발견하고 추적해야 하는 것이다.
시스템관리자는 자신이 담당하고 있는 시스템에 불법적으로 접근한 해커를 추적하기 위해 철저하게 로그를 관리해야 한다. 이를 위해서는 단순 로그뿐만 아니라 시스템 내의 모든 프로세스에 대해 로그를 만들고 관리하는 것도 한 방법이다. 로그를 담는 저장매체는 한번 저장되면 고칠 수 없는 매체를 이용하며 해커가 침입한 후 자신의 로그를 지우는 것을 막기 위해 전용 로그서버를 두는 한편, 다른 시스템에 여벌의 로그를 설치해야 한다. 그리고 일단 침입을 감지하면 해커가 눈치채지 못하게 여러 기관의 관리자들과 전화나 팩스를 통해 협조해 추적한다.
외국의 해커들은 역추적을 피해 다른 나라의 주요기관을 침입하기 위한 우회지로 우리나라를 이용하는 일이 잦다. 그만큼 우리나라 전산망 시스템이 허술하드는 것을 보여주는 반증인데, 이 경우 역시 로그 등의 자료 부족으로 국제적인 협조체제가 제대로 이루어지고 있지 않다.
해커에 대한 피해를 가장 최소화 하는 방법은 백업을 철저히 하는 것이다. 백업은 시스템의 변경유무를 점검하는데도 이용될 수 있다. 따라서 관리자는 주간, 월간 단위로 부분, 전체 백업 등으로 나누는 등의 정책을 세운 후 일회용의 쓰기 전용 매체를 이용해 실시해야 한다. 중요한 자료에 대해서는 항상 암호화해 저장하는 것도 잊어서는 안될 일이다.
인터넷을 통한 상거래가 확대 일로에 있는 요즘의 상황을 보자면 앞으로는 금전적인 이익을 노린 해킹이 갈수록 늘어날 것으로 보인다. 인터넷에 연동된 금융기관이나 시스템에 침투해 개인의 프라이버시 정보와 온라인 거래 내용을 가로채는 일은 해커 고수라면 능히 해낼 수 있는 일이기 때문이다.
물론 해킹기법을 익히고 이를 개발할 수 있는 상상력의 산물로서 해킹이 기승을 부린다면, 어떻게 하면 이를 잘 막을 수 있을까라는 방어 및 보호 기법들 역시 갈수록 고도화될 것이다. 이를 위해 정보통신부 산하 기구로 조만간 발족할 정보보호센터와 한국전산원, 시스템공학센터의 CERT 팀 등이 상호 협조하에 적절한 보호대책과 기술을 개발해낼 것으로 기대된다.
마지막으로 충고 한마디. 이 글을 읽은 독자 중 혹 해커가 되고 싶은 친구가 있다면 범죄형의 해커가 될 생각은 추호도 하지 않기를 바란다. 이젠 범죄적인 해커를 반기는 곳은 세상 어디에도 없고, 아무도 해커를 영웅으로 여기지 않는다. 지금은 우리 나라를 침입하는 해외의 범죄 해커를 막기 위해 실력을 닦을 때다.
