d라이브러리

하루가 멀다고 주요 국가기관과 기업들의 해킹 피해 소식이 들려오고 있다. 요즘 가장 악명을 떨치고 있는 해킹 그룹 룰즈섹의 활약상은 실로 대단하다. 소니와 미국 연방수사국(FBI), 공영방송 PBS에 이어 중앙정보국(CIA) 웹사이트까지 해킹 공격으로 뚫었단다. 룰즈섹은 CIA 웹사이트를 해킹한 직후 자신들의 트위터에 ‘탱고 다운(Tango down)’이라는 글을 올렸는데, 이는 전쟁에서 목표물을 사살했다는 의미다. 이 공격으로 CIA 홈페이지가 한 때 마비됐으나 추가 피해는 없었다. 의도적으로 FBI와 CIA의 핵심 정보는 건드리지 않은 것으로 봐서 단지 해킹 능력을 과시하고 국가 정보기관을 농락하기 위해 조직된 컴퓨터 천재들의 모임일 가능성이 크다.

룰즈섹이나 폭로 전문 사이트 위키리크스를 지지하는 해커들의 모임인 ‘어나너머스(anonymous)’처럼 단순히 자신의 실력을 자랑하는 해커들의 존재가 전혀 새로운 것은 아니다. 컴퓨터가 발명된 직후부터 해커는 시스템의 취약점접속불가을 찾아내고, 보안 전문가는 이를 복구하고 보완하며 팽팽히 맞서왔다. 하지만 근래에 일어나는 사건들은 과거의 낭만적인 모습과는 사뭇 다르다. 해킹으로 웹 사이트를 다운시켜놓고 돈을 주지 않으면 더 큰 공격을 가하겠다고 협박하거나 개인 정보를 유출하는 등 금전적인 범죄에 악용되고 있다.

최근 국내에서 일어난 금융 해킹 사고들은 이런 징후가 이미 시작됐음을 보여준다. 지난 4월에 발생한 현대캐피탈 해킹 공격은 고객 175만 명의 신용 정보가 유출되는 최악의 사태를 낳았다. 나흘 뒤에는 농협 전산망이 마비돼 한동안 고객들이 인터넷 뱅킹과 신용카드를 이용할 수 없었다. 뒤를 이어 리딩투자증권도 홈페이지 해킹 피해를 겪었다. 연달아 발생한 보안 사고는 금융권 전체를 불안으로 몰아넣고 있다.

해킹 공격은 비단 웹사이트나 통신시스템에 그치지 않는다. 영화 ‘다이하드 4’처럼 도로 위 신호체계가 마비되고 해커가 주요 산업시설을 점령하는 장면이 현실에서 재현될 가능성도 크다. 실제로 2010년 7월 이란의 부셰르원전은 ‘스턱스넷(Stuxnet)’이라는 윈도우 웜으로 1000여 대의 원심분리기가 고장이 났다. 기존 바이러스처럼 일반 PC를 대상으로 한 공격이 아니라 산업시설을 대상으로 한 공격이었다. 이에 미국은 정부 기간시설에 대한 외국의 해킹 공격을 ‘전쟁행위’로 간주하고 무력 대응하겠다고 밝혔다. 사이버 전쟁이 현실의 전쟁으로 이어질 가능성이 커지고 있다.

사회기반시설에서 스마트폰까지 한계란 없다

개인들이 느끼는 해킹 공포도 일상에 깊이 뿌리내리고 있다. 이미 개인을 대상으로 한 해킹이 성행하고 있다. 이메일과 피싱 사이트를 통해 전파되고 있는 악성코드는 개인의 정보를 유출하거나 디도스 공격을 위한 좀비 PC를 만드는 데 활용되고 있다. 온라인 게임 이용자를 대상으로 한 해킹은 너무나 흔해 신고조차 되지 않는다. 게임 이용자들의 계정으로 로그인 해서 아이템을 뺏거나 새로운 사이트에 계정을 만드는 식이다.

지난해부터는 소셜 네트워크 서비스(SNS)가 악성코드를 포함한 보안 위협들의 새로운 전파 경로로 활용되고 있다. 트위터처럼 일정한 개수의 문자만 입력해야 하는 서비스에서는 주소를 링크할 때 단축 URL을 자주 이용한다. 그런데 자료의 출처가 모두 주소에 담기지 않다보니 이용자는 이 주소가 정상인지 확인할 방법이 없다. 단축 URL의 유해성을 사전에 검사해주는 보안 단축 URL이 개발됐지만 이런 보안 단축 URL을 악용해 허위 백신을 설치하게 만드는 또 다른 악성코드가 개발되고 있다. 페이스북에서는 사용자 간의 채팅 메시지를 악용해 가짜 페이스북 웹 페이지로 접속을 유도하고 악성코드를 내려 받도록 유도하는 기법도 발견됐다. 소셜 네트워크 서비스를 제공하는 시스템 내부와 외부 환경을 악용하는 보안 위협들은 지속적으로 증가할 전망이다.

스마트폰의 사용이 급격히 증가하면서 그만큼 보안 위협에 노출될 가능성도 증가했다. 실제로 지난해부터 스마트폰에서 동작하는 악성코드가 증가했다. 현재까지 단말기 정보나 개인 정보를 유출시키는 악성코드, 유료 문자 메시지 발송 및 사용자 몰래 전화 걸기 같은 부당 과금이 발견됐다. 더군다나 스마트폰은 외장 디스크로 사용되고 있기 때문에 악성코드를 배포하는 또 하나의 채널이 될 가능성이 높다. 이처럼 새로운 장비와 서비스의 등장으로 해킹 기술과 악성코드는 더 빠르게 확산되고 있다.

과거 순수했던 해커는 어디에

10년 전에도 해킹과 해커는 존재했다. 그때도 세계를 깜짝 놀라게 하는 해킹 사건과 사고는 분명히 있었다. 하지만 확실히 지금보다 순수한 이미지가 강했다. 약간의 신비감도 있었다고 할까.

1990년대 초 국내 정보보안 동아리의 시초라 할 수 있는 KAIST의 ‘KUS’나 포스텍의 ‘PLUS’만해도 요즘처럼 각종 해킹기술로 괴롭히는 해커의 모습과는 멀었다. 이들은 유닉스(UNIX) 시스템에서 시스템프로그래밍과 네트워크 프로그래밍을 익히고 데이터베이스, 응용프로그램, 운영체계 같은 다양한 시스템 운영관리에 대해 열정적으로 공부했다.

인터넷이 처음 들어왔던 1990년대 초반만 해도 해커가 기술을 연마하는 데는 많은 장벽이 있었다. 지금처럼 UNIX 같은 다중사용자를 위한 운영체계도 많이 없었고 그런 시스템에서 네트워크 통신을 프로그래밍해볼 기회도 많지 않았다. 지금이야 데이터 전송량이 초당 수백 메가바이트가 넘는 품질 좋은 인터넷을 누구나 쓸 수 있지만, 과거에는 일부 과학고나 대학교, 연구소에서나 초고속네트워크 환경에서 유닉스 실습환경과 서버, 리눅스, 오픈솔라리스 같은 운영체계를 제한적으로 사용할 수 있었다. 이렇게 습득한 지식은 ‘보안메일링리스트’라는 이름으로 개발자에게 보내거나 시스템 및 네트워크 관리자에게 공개해 발전적인 방향으로 활용할 수 있도록 기여했다. 해킹에 악용될 수 있는 운영체계나 소프트웨어의 취약점이 무분별하게 공개될 경우 파급효과가 크다는 것을 당시 해커들은 알고 있었기 때문이다. 취약점을 발견하면 개발사와 협력해 대응방법을 찾고 조용히 해결하는 경우가 많았다.

인터넷 용어에 대한 국제표준인 RFC1392에 따르면 해커(hacker)는 ‘시스템, 특히 컴퓨터와 컴퓨터 네트워크의 내부 동작을 깊이 이해하는 것을 즐기는 사람들’로 정의한다. 이에 반해 ‘권한 없이 컴퓨터 시스템에 접근하려는 사람’은 크래커(cracker)라고 한다. 미국에서는 선과 악의 이미지를 담아, 선량한 목적으로 보안 기술 개발과 방어에 몰두하는 그룹을 화이트햇(white hat) 해커, 악의적인 목적으로 범죄를 저지르는 그룹을 블랙햇(black hat) 해커로 부른다. 때로는 블랙햇 해커로, 때로는 화이트햇 해커로 활동하는 해커는 그레이햇(gray hat) 해커로 구분하기도 한다. 이런 전통은 미국 서부 개척시대를 다룬 흑백영화에서 유래했다. 서부 영화를 보면 악당은 전통적으로 검은색 카우보이 모자를, 주인공은 흰색 카우보이 모자를 쓰고 등장한다.

요즘 해커가 크래커의 의미로 많이 쓰이는 것은 일부 해커들이 크래킹을 한 것이 한 원인이다. 보안기술을 부단히 연구해 온 화이트햇 해커의 입장에서는 억울한 면이 많다. 하지만 컴퓨터 지식이 없는 일반인의 눈에는 크래커도 같은 ‘해커’로 보이기 때문에 당연한 결과일 수 있다. 더군다나 블랙햇 해커의 활동은 언제나 많은 시선을 받는다. 마치 축구에서 수비에 집중하는 선수보다는 상대방의 방어를 뚫고 골을 넣는 스트라이커에게 시선이 더 가는 것처럼 말이다. 이런 시선들은 어제 오늘에 만들어진 것이 아니라 10여년의 긴 시간에 걸쳐 구축된 이미지다. 일련의 사건들이 알려지면서 해킹과 해커에 대해 갖는 일반인들의 이미지는 180도 달라졌다.

매력적인 범죄 수단으로 떠오르다

가장 큰 변화는 인터넷과 네트워크가 금전적인 이익을 얻을 수 있는 환경으로 변모했다는 사실이다. 웹(www)서비스가 처음 태동했던 1994년만 해도 인터넷을 통한 쇼핑이나 금융거래는 상상조차 할 수 없었다. 1995년 처음으로 피자를 인터넷으로 주문하는 서비스가 나왔을 때 사람들의 반응은 시큰둥했다. 전화 하나면 될 걸 피자 하나 시키는 데 인터넷까지 필요 있냐는 것이었다. 하지만 지금은 피자는 물론 각종 물품을 구매하는 데 인터넷을 쓴다. 즉 과거에는 해커가 범죄를 저지를 대상 자체가 적었다.

다른 범죄에 비해 해킹 범죄는 투입하는 비용과 실패했을 때 발생하는 리스크가 적다. 모든 범죄에는 범죄를 일으키는 동기가 있고, 범죄를 저지름으로써 얻을 수 있는 이득과, 범죄를 저지르기 위해 투입해야 하는 비용, 그리고 범행을 저지르다가 실패했을 때 발생하는 리스크가 있다. 예를 들어 전통적인 대형 범죄인 은행 강도는 비용과 리스크가 매우 크다. 은행을 털려면 최소한 4~5명의 공범이 필요하고, 범행 뒤에는 신속하게 달아나기 위해 차량도 준비해둬야 한다. 경우에 따라서는 사람을 제압하기 위한 불법무기도 구입해야 한다. 붙잡혔을 때의 리스크도 크다. 은행 강도는 잡히면 꽤 오랜 기간을 감옥에서 보내야 한다. 이에 비하면 해킹은 투자하는 비용과 리스크가 매우 적다. 기술만 좋으면 흔적도 없이 범행을 저지를 수도 있다.



물론 공격기술이 발전한 만큼 방어기술도 눈부시게 발전했다. 점점 더 해킹이 어려워져야 함이 옳다. 하지만 모든 시스템이 이런 튼튼한 방어기술을 활용하는 것은 아니다. 대기업 또는 군이나 국가정보기관 정도면 모를까 일반 개인이 PC와 인터넷 공유기에 수백만 원짜리 보안시스템을 구매하기는 힘들다. 보안패치 업데이트를 꾸준히 하고, 백신 프로그램을 가동하며 PC 관리자의 비밀번호를 복잡하게 만드는 등의 기본적인 조치라도 취하면 좋겠지만, 이런 간단한 노력조차 하지 않는 사용자들이 많다. 보안에 취약한 PC들이 도처에 있고, 이런 PC들이 네트워크에 연결돼 있다. 네트워크에 침입하는 것은 더더욱 쉬워졌다. 예를 들어 길을 걷다가 스마트폰으로 잠시 인터넷에 접속하려고 무선인터넷공유기를 검색했다고 치자. myLGNet, iptime, KT_WLAN 같은 이름의 무선인터넷공유기가 잡히는 것을 볼 수 있다. 만일 이런 공유기에 저절로 연결되거나 심지어 집에서 쓰는 비밀번호로도 접속이 가능하다면 당신이나 공유기의 주인이나 모두 ‘보안 불감증’에 걸렸다. 위 이름들은 무선인터넷공유기를 처음 설치할 때 이미 설정돼 있는 SSID(무선공유기에 부여한 고유한 이름)들로, 고유의 이름과 비밀번호로 바꿔야 하는데 이를 실행하지 않은 것이다. 별다른 설정 없이 처음 사 온 그대로 쓰는 공유기는 해커들에게 좋은 먹잇감이다. 이런 PC는 먼저 해킹한 뒤에 나중에 경유지로 활용하면 추적당할 리스크도 상당히 줄어든다. 운이 좋다면(?) 인터넷 뱅킹용 보안카드번호를 메모해 둔 파일을 찾거나, 하드디스크에 저장해둔 공인인증서를 빼돌릴 수도 있다. 이 PC에 키로거(key logger) 같은 프로그램을 설치해 두면, 원래 PC 주인이 입력하는 모든 키보드 값을 훔쳐올 수 있다. 사용자가 인터넷 사이트를 이용할 때 입력하는 아이디와 비밀번호, 은행계좌용 비밀번호까지 고스란히 해커에게 전해진다.

보안전문가를 꿈꾸는 이들에게

악의적인 해킹 공격을 막을 사이버 보안관이 필요하다. 실제로 해킹이 만연한 듯 보이지만 한편에서는 보안전문가를 꿈꾸는 학생들도 많다. 실제로 국내에서 현재와 미래의 유망한 직업을 조사하면 항상 컴퓨터 보안전문가가 상위를 차지한다. IT의 도움없이 할 수 있는 것은 아무것도 없기 때문에 컴퓨터 보안전문가의 전망은 밝다.

모든 공부에 적용되는 말이겠지만 보안 공부 역시 왕도는 없다. 지름길이 없다는 말이다. 특히 보안 분야는 대부분의 IT 장비나 네트워크, 애플리케이션에 해당되기 때문에 공부해야할 것도 많다. 공교육 기관을 통해 관련 학문을 공부하는 것이 가장 좋지만 만일 그런 처지에 있지 않다면 보안 관련 뉴스나 잡지를 꼼꼼히 읽으면서 궁금한 점을 풀어 가는 것도 좋은 방법이다.

그런데 절대로 잊어서는 안 되는 것은 보안전문가가 되려면 보안 윤리를 철저하게 지켜야한다는 점이다. 일반인들 중에서도 해킹에 합법과 불법의 경계가 분명하지 않다고 생각하는 사람이 의외로 많다. 보안 실습을 위해서는 어느 정도의 해킹은 불가피하다고 생각하기도 한다. 하지만 이는 대단한 착각이며 오해임을 분명하게 말해둔다.

종종 해킹 범죄를 저지른 사람을 기업에서 채용한 외국 사례가 있다면서 그런 방식으로 실력을 인정받으면 보안업체에 취업하는 데 도움이 될 거라고 믿는 경우가 있다. 절대 그렇지 않다. 범죄 경력이 있는 사람을 경찰에서 채용하지 않는 것처럼 보안업체에서는 불법 해킹 경력을 인정하지 않는다. 보안업체에서는 보안 기술자를 뽑을 때 기술뿐 아니라 보안윤리의 측면도 상세히 살펴본다. 요즘 남들이 스크립트 수준의 도구로 작성한 해킹도구나 진단도구를 만져보고 호기심에 남의 시스템에 침입하거나 공격하는 초, 중, 고 학생들이 많은데 이런 모습을 보면 매우 안타깝다. 한 순간의 잘못된 판단으로 영원히 돌아올 수 없는 강을 건너는 것이기 때문이다.

보안업계만큼 직업을 통해 사회에 기여하는 보람을 얻을 수 있는 분야도 많지 않다. 뚜렷한 윤리 의식을 가지고 미래 IT 보안을 책임지겠다는 역량 있는 학생들의 지원이 늘어나길 기대한다.

▼관련기사를 계속 보시려면?

Intro. 범죄에 빠진 해킹
Part 1. 공개! 해킹 범죄 시나리오
Part 2. 해킹 Hacking