본문 바로가기

주간동아 로고

  • Magazine dongA
통합검색 전체메뉴열기

COVER STORY | 神이 된 해커 줄줄~ 새는 내 비밀 06

사회공학적 해킹 ‘뉴테러리즘’을 아시나요?

컴퓨터 도용에서 ‘디도스’까지 해킹 60년…진화와 반역의 역사

사회공학적 해킹 ‘뉴테러리즘’을 아시나요?

오늘날 ‘해킹’이라 하면 통신망을 이용해 남의 컴퓨터에 침입, 정보를 훔치거나 컴퓨터를 망가뜨리는 나쁜 행위라 정의하지만, 그 유래는 젊은이의 순수한 열정이었다. 1950년대 말 미국 MIT의 모형 기차 제작 동아리에서 활동하던 학생들이 학교 소유의 컴퓨터를 몰래 이용했던 게 시작. 말이 컴퓨터지 거대한 계산기 수준이었지만 학생들에겐 새로운 세상이 열린 것이나 다름없었다. 이들은 ‘컴퓨터 작업에서 느끼는 즐거움’을 ‘해크(hack)’란 은어로 표현했다. 원래는 ‘전기 기차와 트랙, 스위치 등을 빠르게 조작하다’라는 뜻으로 사용하던 단어다. 이어 ‘컴퓨터를 사랑하고, 컴퓨터 프로그램을 잘 만드는 사람’을 ‘해커’라고 칭했다.

MIT에서 탄생한 이들 최초의 해커는 전산실에 가둬진 컴퓨터를 밖으로 끌어내고 싶어 했다. 컴퓨터와 프로그램, 그리고 거기에 담긴 정보를 모든 사람이 공유해야 한다는 신념이 생겼고, 그것을 실천하고자 노력했다. 저작권에 묶인 소프트웨어의 사용과 배포를 모든 사람에게 허용해야 한다고 주장하는 자유소프트웨어 진영의 대가 리처드 스톨먼은 1세대 해커의 마지막 생존자로 불린다. 1970년에 하버드대학에 입학했으나 이듬해 MIT로 옮겨 해커 문화를 접한 그는, 70년대 말 각종 시스템에 암호가 장착돼 일반인의 접근을 통제하기 시작하자 암호 없애기 운동을 벌였다. 이어 완전공개 운영체제(OS)를 개발하는 GNU 프로젝트를 시작했다. 지금까지도 누구나 사용할 수 있는 자유소프트웨어 개발을 지원하고 있다.

美 군사정보 빼내 마약과 바꿔치기

사회공학적 해킹 ‘뉴테러리즘’을 아시나요?

최초의 PC 애플 컴퓨터를 만든 스티브 워즈니악도 한때 괴짜 해커로 명성을 날렸다. 미국 역사상 최고의 컴퓨터 범죄자로 불리는 케빈 미트닉은 후일 보안컨설팅 회사 사장이 됐다.

MIT를 근거로 한 초기 해커들의 ‘컴퓨터 및 정보 공유’ 신념이 결과적으로 컴퓨터 대중화를 앞당겼는지 모른다. 스티브 잡스와 함께 최초의 애플 컴퓨터를 개발한 스티브 워즈니악과 마이크로소프트사(MS)의 빌 게이츠도 젊은 시절 해커였으니 말이다.

‘괴짜’로 불리는 워즈니악은 1970년대에 유행한 전화 조작(phone phreaking)에도 일가견이 있었다. 프리킹(phreaking)은 장거리 전화를 공짜로 쓰거나 전화요금을 다른 사람에게 전가하는 행위다. 개인용 컴퓨터(PC)가 보급되기 전에 행해진, 나쁜 해킹의 원시적 형태라고 볼 수 있다. 1971년 베트남전 참전 중이던 공군 기술자 존 드레이퍼는 시리얼에 딸린 장난감 호루라기를 불면 전화회사가 장거리 통신 때 사용하는 주파수와 동일한 주파수의 소리가 나오는 걸 발견하고, 그 원리를 이용해 장거리 무료 통화를 시도한 게 시초로 알려졌다. 드레이퍼는 이후 전화기를 개조한 혐의로 여러 번 체포됐지만 ‘블루박스의 비밀’로 불리는 그의 수법이 잡지에 공개되는 바람에 미국 내 전화망 침입이 급증하기도 했다. 당시 대학생이던 워즈니악은 드레이퍼의 수법을 응용해 바티칸의 로마교황청에 장난 전화를 걸고, 직접 블루박스를 만들어 파는 대담함을 보였다.



컴퓨터가 흔치 않던 시절 컴퓨터 작업 자체의 즐거움을 의미했던 해킹은 1980년대 PC가 대중화하면서 점차 부정적인 의미로 변질됐다. 몰래 다른 사람의 컴퓨터에 침입해 정보를 빼내 이익을 취하거나 컴퓨터를 망가뜨리는 일이 잦아지면서부터다. 컴퓨터 전문가들은 이런 파괴 행위를 일삼는 사람들을 ‘크래커(cracker)’라고 불러 긍정적인 의미의 해커와 구분하기도 한다. 하지만 해커가 긍정, 부정의 의미를 동시에 담아 사용되는 게 일반적이다.

1980년대 대표적인 해킹 사례로 ‘뻐꾸기 알(The Cuckoo’s Egg)’ 사건과 ‘모리스 웜(Morris Worm)’이 있다.

1986년 8월, 천문학자 클리포드 스톨은 자신이 일하는 캘리포니아 로렌스 버클리 연구소 사이트에서 침입 흔적을 발견했다. 이후 10개월간 추적한 결과 마르쿠스 헤스 등 구 서독의 젊은 해커들이 미국의 주요 군사시설과 대학, 연구소 등에 침입해 군사기밀을 빼내고 있음을 확인했다. 미 수사기관에 붙잡힌 해커들은 해킹한 정보를 구 소련의 KGB(국가보안위원회)에 넘기는 대가로 돈과 마약을 받아온 것으로 드러났다.

‘뻐꾸기 알’은 스톨이 이 사건을 바탕으로 쓴 논픽션의 제목이다. 이 책에서 저자는 고도의 보안이 필요한 미국의 주요 기관들이 비교적 쉽게 뚫린 건 시스템 관리자들이 웬만해선 암호를 변경하지 않기 때문이라고 지적했다. 심지어 ‘guest’ 자격으로 별도의 암호를 입력하지 않고도 로그인할 수 있는 군사시설도 있었다고 폭로했다.

1988년엔 미국 전역의 컴퓨터 6000여 대가 정체 모를 바이러스에 감염돼 정부와 대학의 시스템이 마비되는 일이 벌어졌다. 당시 코넬대 대학원생이던 스물두 살 로버트 모리스의 소행이었다. 1986년 제정된 미국의 ‘컴퓨터 사기와 남용에 관한 법률’로 기소된 첫 사건이다. 남에게 피해를 줄 목적이 아닌, 단순히 인터넷의 규모를 확인하고 싶은 호기심에서 일을 벌였던 모리스는 인터넷 웜을 최초로 퍼뜨린 인물로 해킹 역사에 남았다. 모리스는 현재 MIT 부교수로 재직 중이다.

“사람 마음 해킹이 가장 쉽다”

사회공학적 해킹 ‘뉴테러리즘’을 아시나요?

1946년 인류 최초로 만들어진 컴퓨터 ‘에니악’. 최초의 해킹은 전산실에 가둬진 컴퓨터를 밖으로 끌어내려던 MIT 학생들에 의해 이뤄졌다.

1980년대 말 미국 라디오방송국의 전화선을 해킹해 악명을 떨친 케빈 폴슨도 빼놓을 수 없다. 당시 102번째로 전화를 거는 청취자에게 포르셰 자동차를 상품으로 주는 행사가 열렸는데, 폴슨이 방송국의 전화선을 장악하고 있다가 102번째로 걸려오는 다른 전화를 차단하고 자신이 통화에 성공해 경품을 타냈다. 이후 폴슨이 연방수사 기록을 해킹하자 미 수사당국이 본격적으로 추적에 들어갔다. TV의 미제 사건 공개 추적 프로그램에서도 폴슨을 다뤘는데, 당시 시청자들로부터 제보를 받는 모든 전화가 불통됐다고 한다. 1991년에 붙잡힌 폴슨은 5년간 감옥에서 지내고 나와 저널리스트로 변신했다.

‘미국 역사상 최고의 컴퓨터 범죄자’로 불리는 케빈 미트닉이 움직이기 시작한 것도 1980년대다. 이미 미성년자 시절부터 대학 전산망에 침입했던 그는 보호관찰 기간 중이던 90년대 초 노키아, 후지쓰, 모토로라 등 주요 통신회사의 컴퓨터 시스템을 해킹했다. 특히 NetCom사가 보관하고 있던 갑부들의 신용카드 번호를 감쪽같이 빼내 다른 시스템으로 옮겨놓아 미 수사당국을 바짝 긴장시켰다. FBI조차 손을 쓰지 못할 정도로 신출귀몰하던 그의 꼬리가 잡힌 건 일본인 보안전문가 시모무라 스토무의 기지 덕분이었다. 샌디에이고 슈퍼컴퓨터센터에서 일하던 시모무라 역시 미트닉에게서 파일을 도난당한 적이 있었다.

1995년에 붙잡힌 미트닉은 14건의 컴퓨터 사기를 포함해 총 145년형에 처해질 만큼 많은 범죄를 저질렀지만 플리바겐(plea-bargain·유죄를 인정하는 대신 협상을 통해 형량을 경감하거나 조정하는 제도)을 통해 5년간 복역했다. 출소 후 ‘속임수의 예술(The Art of Deception)’ ‘침입의 기술(The Art of Intrusion)’ 두 권의 책을 썼다. 지금은 미트닉 시큐리티 컨설팅이란 보안컨설팅 회사를 운영 중인데, 최근 이 회사가 두 차례나 해킹을 당하는 수모를 겪었다. 미트닉이 시모무라와 FBI의 추적 끝에 체포되는 과정은 ‘테이크다운’이란 영화로도 만들어졌다.

해킹의 역사에서 미트닉에 주목해야 할 이유는 또 있다. 미트닉은 자신이 과거에 저지른 일들이 해킹이 아니라 ‘사회공학(social engineering)’이었다고 주장한다는 점이다. 미트닉은 컴퓨터 기술을 이용하기보다 전화통화로 상대방이 자신을 믿도록 만들어 아이디와 패스워드 등 중요한 개인정보를 빼내기가 훨씬 수월했다고 말한다. 실제로 그가 저지른 해킹의 상당수가 전화통화로 시작됐으며, 전화 몇 통화로 모토로라의 최신 휴대전화 핵심 소스코드를 알아내기도 했다. 이렇듯 시스템이 아닌 사람의 취약점을 공략해 원하는 정보를 빼내는 공격 기법을 ‘사회공학적 해킹’이라고 부른다. 보안기술이 발달하면서 시스템의 보안성이 강화되는 반면, 사람의 마음은 여전히 쉽게 속아 넘어가는 것이다.

e메일, 인터넷 메신저, 모바일 기기의 사용이 일상화하면서 사회공학적 해킹 기법이 무한대로 확대되는 실정이다. 2000년 5월 5000만대 이상의 PC를 감염시키고, 미 국방부와 CIA, 영국 의회의 메일 서버까지 다운되게 만든 ‘I Love You’ 바이러스는 사회공학적 해킹의 대표적인 사례다. 지난해엔 ‘마이클 잭슨 사망 동영상’을 위장한 악성코드가 유포된 적도 있다.

한동안 메신저로 친구를 가장해 현금을 가로채는 일이 빈발하더니 최근엔 취업난이 가중되는 현실을 악용해 취업 준비생을 두 번 울리는 해커들까지 등장했다. 한국인터넷진흥원에 따르면 지난 2월8일 ‘Thank you from Google!’이라는 제목으로 구글에 입사 지원을 해줘서 고맙다는 메시지와 함께 첨부된 서류를 점검하라는 내용의 메일이 발송됐다. 알고 보니 첨부파일을 실행시키면 악성코드에 감염되도록 만든, 구글과는 전혀 관련 없는 악성 메일이었다. 한국인터넷진흥원 김희정 원장은 “인터넷 이용자들에게 의심스러운 메일은 읽어보지 말도록 권고하고 있지만, 사회공학적 기법을 활용한 악성코드 메일은 읽어보지 않을 수 없게 만드는 경우가 많아 예방에 어려움이 있다”고 말한다.

인터넷에 유명인에 관한 정보가 범람하고 소셜네트워킹 사이트가 붐을 일으키자 이를 통해 수집한 개인 정보를 활용해 특정 인물에 맞춤 공격을 하는 웨일링(Whaling)도 증가하고 있다. 지난 미국 대선에서 공화당의 부통령 후보로 지명됐던 세라 페일린의 e메일이 최근 해킹을 당했는데, 평범한 대학생이 저지른 웨일링이었다.

대부분의 e메일 서비스는 이용자가 비밀번호를 잊어버릴 경우에 대비해 ‘비밀번호 힌트’ 항목을 만들어둔다. 전문적인 해킹 기술이 없었던 이 대학생은 위키피디아와 구글 등을 통해 수집한 페일린의 정보를 바탕으로 비밀번호 힌트의 답을 유추했고, 끝내 그의 e메일을 해킹하는 데 성공했다. 전문가들은 웨일링 공격이 성공하면 기업이나 단체에 대한 핵심 정보가 대량으로 유출될 수 있다고 지적한다.

누구나 마음먹으면 해킹 가능한 시대

21세기 들어 해킹의 수법은 더욱 악랄해진 반면 20세기처럼 희대의 해커들을 나열하긴 어렵다. 누구나 마음만 먹으면 해킹할 수 있는 시대이기 때문이다. 다양한 해킹 정보와 해킹 도구가 웹에 공개되고 있다. ‘Cult of the Dead Cow’란 해커그룹은 10여 년 전, 일반인도 쉽게 해킹할 수 있는 프로그램 ‘백오리피스(Back Orifice)’를 내놓았다. 이후 서울의 한 대학에 다니던 학생이 백오리피스로 해킹한 우리별 3호에 관한 정보를 자유게시판에 올려 충격을 주기도 했다.

누구나 할 수 있다고 해서 해킹의 위험도가 낮아진 것은 아니다. 지난해 청와대와 국방부, 미 백악관 홈페이지 등을 동시다발적으로 교란한 디도스(DDos·분산서비스거부) 대란만 봐도 심각성을 알 수 있다. 특정 컴퓨터에 침투해 자료를 삭제하거나 훔쳐가는 수준이 아니라 동시다발적 공격으로 목표 서버를 마비시키는 것. ‘총성 없는 전쟁’이 따로 없다. 공격을 받은 시스템이 치명타를 입는 것은 물론, 수많은 컴퓨터 시스템이 사용자도 모르는 사이 해킹의 숙주로 이용될 수 있다는 데 문제의 심각성이 있다. 그래서 일부에서는 이 같은 사이버 공격을 ‘뉴테러리즘’으로 규정한다.

사건 발생 건수로만 보면 금전적인 이득을 취하기 위한 해킹이 절대적이지만, 정치적 목적을 지닌 공공기관 사이트 해킹으로 인한 피해가 더 클 수 있다. 개인정보보호법 등 정보보호 관련 법규가 재정비되고 보안컨설팅 시장도 성장하고 있지만 정부기관 및 일반인의 보안 인식은 과거와 별반 다르지 않다는 게 전문가들의 지적이다.



주간동아 2010.03.09 726호 (p38~40)

  • 구미화 동아일보 신동아 객원기자 mhkoo@donga.com
다른호 더보기 목록 닫기
1213

제 1213호

2019.11.08

매장 차별화와 플랫폼 서비스로 ‘한국의 아마존’을 시험하는 편의점

목차보기구독신청이번 호 구입하기

지면보기 서비스는 유료 서비스입니다.