그 메일은 열지 마세요(찰스 아서 지음)

그 메일은 열지 마세요 찰스 아서 지음 미래의창 / 2020년 5월 / 351쪽 / 17,000원

▣ 저자 찰스 아서

 

프리랜서 저널리스트. 약 30년간 과학기술 분야만 파고든 최고의 전문가다. 2005년부터 2014년까지 영국 《가디언》의 과학기술 에디터로 활동했다. 2012년에 출간한 『디지털 워』에 이어, 이번에는 소니 해킹 사건ㆍ어나니머스ㆍ힐러리 대선 캠프 이메일 피싱 등 사이버 세계의 굵직한 해킹 사건과 거기 연루된 해커들을 취재했다. 《가디언》에 합류하기 전에는 《인디펜던트》에서 9년 동안 역시 같은 분야 저널리스트로 일하며 구글과 애플, 페이스북, 트위터 등의 부상과 인공지능의 미래 같은 주제를 다뤘다. 2016년부터 2017년까지는 케임브리지대학 과학기술 및 민주주의 프로젝트의 방문연구원을 지냈다. 그의 아내는 영화〈미 비포 유〉의 원작자로 유명한 영국의 로맨스 소설가 조조 모예스다. 찰스 아서는 『해킹 사회』에서 수십 년간 쌓아온 방대한 인맥과 IT 지식을 적극 활용해, 세상을 그야말로 발칵 뒤집어 놓았던 전설적인 해킹 사건의 전모를 박진감 있게 풀어냈다.

 

▣ 역자 유현재, 김지연

 

유현재 - 경북대 경영학부 졸업 후 카이스트에서 IT와 경영으로 석사 학위를 받았다. 현재 한국거래소에서 자본시장 IT 시스템을 수출하는 업무 및 프로젝트 관리를 담당하고 있다. 글로벌 IT 사업단 및 파생상품시장본부에서 근무한 경험도 있다. 지은 책으로 『핀테크 인사이트』(공저), 『4차 산업혁명시대 IT 트렌드 따라잡기』(공저), 『융합의 시대』(공저) 등이 있으며, 옮긴 책으로는 『비트코인 현상, 블록체인 2.0』(공역), 『트루스머신』(공역)이 있다.

김지연 - 고려대 경영학부 졸업 후 경북대 법학전문대학원에 진학해 변호사로서 첫걸음을 내디뎠다. 한국거래소 입사 후 국제부 및 KOSPI 시장 글로벌 마케팅 업무를 거쳐 현재 유가시장본부 채권시장부에 근무하고 있다. 지은 책으로 『핀테크 인사이트』(공저) 등이 있으며, 옮긴 책으로는 『비트코인 현상, 블록체인 2.0』(공역),『트루스머신』(공역)이 있다.

 

▣ Short Summary

 

컴퓨터와 인터넷이 발달한 것과 함께 해킹도 발달해, 요즘 해킹은 개인과 기업, 정부, 국가 대 국가의 모든 영역에서 무차별하게 진행중이며, 그래서 해킹 사건이 거의 매일 뉴스를 장식한다. 연예인의 스마트폰이 뚫리고, 평범한 개인들도 신상 털림의 봉변을 당하고, 주요 기관들의 데이터도 납치된다. 그렇다면 해킹은 왜 일어나는 걸까? 왜 해킹을 하려고 할까? 해커들은 누구인가?

이 책은 힐러리 클린턴의 대선 캠프 메일 피싱부터 소니픽처스 토크토크 TJX 같은 거대 기업 해킹, 그리고 랜섬웨어와 사물인터넷 봇넷까지 최근 발생한 일련의 해킹 사건을 유형별로 소개하고, 각 사건마다 얻을 수 있는 시사점을 정리하여, 어떤 조치를 취해야 하는지 알려준다. 저자는 인터넷과 컴퓨터가 존재하는 한 해킹은 필연적이며, 다만 해킹 시도가 통하지 않도록 그리고 설령 해킹이 성공하더라도 피해는 최소화되도록 하는 우리의 노력이 절실하다고 역설한다. 아울러 완벽한 보안은 없다면서, 피해를 최소화하는 방법을 빨리 익히는 것이 최선이라고 말한다. 그리고 데이터 유출에 대한 사람들의 걱정 어린 시선도 기후 변화를 바라보는 시각과 유사하기 때문에, 모든 사람이 개인적 차원의 노력을 기울이고 그런 실천을 지속한다면, 그것이 모여 조금 더 안전한 세상을 만들어 나가는 밑거름이 될 수 있다고 말한다.

 

▣ 차례

 

Chapter 1 이것은 ‘사이버 전쟁’이다

Chapter 2 그 메일은 열지 마세요 - 힐러리 대선 캠프 이메일 피싱

누군가 당신의 비밀번호를 알고 있습니다 / 피싱인가, 도용인가 / 범인의 등장

10월의 서프라이즈 / 카운트다운

Chapter 3 어나니머스에 당한 보안 회사 - HB개리 공격

벌집을 들추지 말라 / 우연한 발견 / 악당들의 등장 / 재앙의 문이 열리다

위기에 대처하는 방법 / 후유증

Chapter 4 극장의 불이 꺼지다 - 소니 와이퍼 해킹

이메일이 도착했습니다 / 모든 것이 공개되다 / 그들만의 왕국

배후는 북한? / 수입 추락 / 정산의 시간

Chapter 5 쇼핑몰에서 생긴 일 - TJX 와이파이 해킹

의심스러운 보안 / 업그레이드 중단 / 용의자의 세계 / 컴퓨터와 맞서다

마이애미 한탕 / 실마리를 찾다 / 전문가의 한계

Chapter 6 사이버 인질극의 시작 - 랜섬웨어

에일리언을 닮은 랜섬웨어 / 암호화폐의 발견 / 은밀한 공간 / 늘어가는 함정과 불안

발 빠른 대응 / 울고 싶어라 / 고치고 교육하라 / 진화한 전쟁 무기

Chapter 7 아웃소싱된 개인정보 - 토크토크 고객 정보 유출

불황과 시너지 / 아웃소싱, 그리고 방심 / 16세 해커 / 단지 4%라는 결론

위험을 과소평가하다 / 징벌과 보상

Chapter 8 미래에서 온 공격자, 미라이 - 사물인터넷 봇넷

블로거 크랩스 / 미라이의 역사 / 작은 기기가 모여 거대한 봇넷으로

이 기기의 비밀번호는 ‘Password’입니다 / 봇넷의 주인 / 몬스터의 창궐

지목과 부인 / 어두운 미래 / 이상 기후

Chapter 9 해킹의 현재와 미래

버그를 이용하는 사람들 / 변화의 틈에 도사린 위험 / 나도 모르게 작동하는 기계

시스템의 한계와 예측 불가능성 / 아직까진 그렇게 ‘스마트’ 하지 않아서 / 스스로 보호하고 살아남기

 

▣ 내용요약

 

이것은 ‘사이버 전쟁’이다

 

내가 모르는 사이 누군가 내 이메일이나 SNS 계정, 웹사이트를 해킹했다는 사실을 알게 되면 공포, 격분, 좌절감, 분노 같은 감정에 휩싸이게 된다. 비밀번호로 내 계정을 잘 통제하고 있다고 생각했지만, 사실은 그게 아니었기 때문이다. 우리가 생각하는 것만큼 인터넷 환경은 안전하지 않으며, 피해가 발생하면 복구에 시간이 얼마나 걸릴지는 아무도 모른다. 특히 평범한 사람들이나 일반 기업의 입장에서 해킹은 굉장히 충격적이고 예상치 못한 일이다. 게다가 이런 해킹 피해는 주로 우리에게 소중한 것에 집중된다. 반면, 해커들에게 해킹은 다양한 난이도의 기술과 결단력이 필요한 일종의 ‘게임’이다.

해커들의 위협이 수십 년간 이어지면서 그들의 공격 방법과 경로는 계속 바뀌었지만, 이들에 대한 우리의 지식은 거의 바뀌지 않았다. 현실적으로는 우리가 유용하다고 생각하는 그 어떤 소프트웨어도 완벽히 보안이 유지되지는 않는다. 그것이 PC든, 휴대폰이든, 아니면 간단한 기기이든 간에 프로그램이 깔려 있는 컴퓨터 장치라면 모두 위험하다. 칩에 내장되어 있는 마이크로아키텍처(CPU의 동작 방식을 구현하는 설계도와 같으며 컴퓨터 시스템이라고도 함) 기능 때문이다. 반도체 칩의 내장 방식, 모든 하드웨어를 조절하고 운영하는 펌웨어, 펌웨어보다 상위에서 소프트웨어를 담당하는 운영체제, 그리고 운영체제에서 실행되는 모든 애플리케이션까지 예외는 없다. 버그는 어디에나 존재할 수 있다.

우리는 이 책에서 해킹 때문에 기업과 개인이 입은 피해, 그리고 해커들의 독창성과 투지에 대해 살펴볼 것이다. 해킹의 범위는 넓다. 신용카드에서 돈 훔쳐 내기, 정계 인사의 이메일에 접근하기, 사람들의 통제가 미치기 힘든 기기 감염시키기, 대중에 알려지지 않은 치명적인 파괴 행위까지 아주 다양하다. 해킹의 대상과 효과가 광범위한 것처럼 해커들의 의도도 마치 욕망의 스펙트럼처럼 매우 다양하다.

가장 낮은 수준의 해커들(대개 나이가 어림)은 시스템에 침입해서 그 안을 살펴보는 즐거움을 추구한다. 이는 곧 경쟁이 되어, 나중에는 그야말로 자존심 싸움으로 번진다. 하지만 이것이 단지 키보드 전쟁처럼 보일지라도 엄청나게 강력한 시스템을 만들어 사용한다면 그 무기는 치명적이다. 이런 싸움은 PC 수천 대와 인터넷 연결 장치들의 집합체인 봇넷(botnet)으로 발전할 수 있다. 누군가 한번 시도한 다음에는 그 기술을 더 발전시켜 큰돈을 벌고자 하는 유혹이 걷잡을 수 없이 커지기도 한다.

해킹의 불법성을 더욱 강화한 것이 바로 비트코인이다. 비트코인은 익명에 가까운 금전 거래를 가능하게 했기 때문이다. 순전히 디지털로 존재하고 인터넷으로 전송할 수도 있으며 실제 통화로 교환할 수도 있다. 추적되지 않는다는 점에서 비트코인은 해커들에게 날개를 달아준 것이나 다름없었다.

금전적 이득을 목적으로 하지 않는 해킹 집단도 분명 존재한다. 정부의 지원을 받는 국가 주도 해킹 집단이 있다는 루머와 함께 최근에서야 그들의 활동이 드러나기 시작했다. 2010년 구글 중국 법인이 해킹 당했을 때, 구글 사장단은 그 배후에 중국 정부가 있다고 주장하며 당국을 비난했다. 그리고 또 이란 핵무기 프로그램이 삐걱거렸을 때는, 미국과 이스라엘이 연합해 스턱스넷(Stuxnet)이라는 컴퓨터 바이러스를 만들었던 것으로 밝혀졌는데, 이 바이러스로 우라늄 원심분리기를 제어하는 컴퓨터를 감염시켜서 스스로를 파괴하도록 만든 것이다. 공개적으로 적국의 컴퓨터에 침입해 혼란을 일으키는 것은 이제 일종의 새로운 국가 무기가 되었다. 이것은 ‘냉전’도 ‘열전’도 아닌 바로 ‘사이버 전쟁’이다. 개인, 단체, 그리고 국가들이 또 다른 개인과 회사, 다른 정부들과 열띤 전쟁을 벌이는 중이다.

 

미국의 운명을 바꾼 해킹 - 힐러리 대선 캠프 이메일 피싱

 

2015년, 힐러리 클린턴 전 국무장관은 자신의 두 번째 대권 도전을 공식 선언하며 빌 클린턴 행정부 시절부터 인연이 깊었던 존 포데스타를 캠프의 선임 참모로 영입한다. 2016년 초, 민주당 내부 경선에 한창 힘쓰고 있을 즈음 존 포데스타의 계정으로 한 통의 이메일이 도착한다. 비밀번호가 유출되었으니 바로 변경하라는 내용이었다. 힐러리 캠프는 이 메일이 진실이라고 판단하고 곧장 메일이 시키는 대로 했지만, 이는 누군가의 교묘한 피싱이었다.

이윽고 포데스타의 이메일을 통해 오갔던 힐러리 캠프의 기밀 사항이 일반에 광범위하게 유출되었다. 힐러리 캠프와 연관된 단체와 사람들 역시 피싱의 표적이 되었다. 힐러리 캠프는 선거 기간 내내 상대 후보인 트럼프는 물론, 유출된 수많은 정보와 싸워야 했고 이 때문에 끊임없이 구설에 올랐다. 해킹의 배후로는 러시아가 지목됐지만, 정확히 밝혀진 사실은 없었다. 결국 힐러리는 압승할 것이라고 기대됐던 트럼프와의 대결에서 패배했고, 한동안 해킹의 후폭풍을 감당할 수밖에 없었다.

 

[힐러리 대선 캠프 이메일 피싱의 시사점] ① 피싱이 어떻게 이루어지는지를 사전에 파악하고 있어야 한다. 해킹 당했을 경우 이를 알려 주는 경고 메시지도 유념해서 보아야 한다. ② 대중들의 관심을 받는 사람이라면 개인 계정이든 업무 계정이든 간에, 모든 곳에 반드시 2단계 인증을 설정해야 한다. ③ 휴대폰 문자 메시지 인증 시스템을 믿어서는 안 된다. 복제된 심카드나 전화번호를 이용해 누군가 당신의 메시지를 가로챌 수도 있기 때문이다. ④ 이메일 계정에 비밀번호를 적어 놓아서는 안 된다. ⑤ 당신이 유명해지기 시작한다면 언젠가는 내 이메일이 해킹 당하거나 그런 위협에 처할 수도 있다는 걸 인지하고 있어야 한다. ⑥ 만약 해킹 사건이 발생한다면, 어떤 부분이 가장 큰 타격을 입을 것인지 항상 염두에 둬야 한다. 고객, 미디어, 공급업체 등의 타격에 대비하는 전략을 세워놓아야 한다.

 

어나니머스에 당한 보안 회사 - HB개리 공격

 

2003년 사이버 보안이 크게 주목받았다. 그런 배경에서 당시 유명한 사이버 보안 전문가였던 그렉 호그룬드가 보안 업체를 설립했는데, 바로 HB개리였다. 사업이 성장함에 따라 호그룬드는 수익성이 높은 정부 계약을 따내는 데만 집중했는데, 사업성은 확실했지만 현실적으로 회사 구조와는 잘 맞지 않았다. 그래서 2009년 12월 HB개리 페더럴이라는 회사를 별도로 설립했다. 자본금이 25만 달러였는데, 이 중 3만 5,000달러는 새롭게 임원으로 영입된 애론 바가 보탰고, 8만 7,500달러는 호그룬드의 부인이, 6만 500달러는 HB개리의 자금이었다. 나머지는 소액 주주 2명이 각각 3만 달러씩 보탰다.

이후 2011년 2월 6일 일요일 저녁, 애론 바는 자신이 일하는 HB개리 페더럴의 이메일 서버에 접속하려고 하고 있었다. 그는 다음 주에 한 콘퍼런스에서 발표를 하기로 되어 있었고 그 자료를 수정 중이었는데, 발표 주제는 ‘소셜 미디어 및 관련 네트워크가 유발한 기관들의 사이버 보안 위협’이었다. 그는 누군가 인터넷상에서 익명으로 활동하고자 해도 트위터ㆍ페이스북ㆍ링크드인의 여러 포스팅을 모두 엮어보면, 그 사람이 누군지 곧 알 수 있다는 내용을 전할 예정이었다. 참고로 그는 사전 인터뷰에서 같은 방법으로 해킹 집단인 어나니머스의 핵심 인물도 알아낼 수 있었다고 말했다. 그날 저녁, 애론 바는 유독 자신의 회사인 HB개리의 이메일 서버에 접속할 수가 없었다.

 

벌집을 들추지 말라

 

어나니머스는 다양한 사이트에 침입하여 각종 영상을 유포하고 2010년 12월에는 페이팔과 비자 사이트까지 마비시켰던 해킹 집단이다. 페이팔과 비자에 대한 공격은 위키리크스에 대한 후원이 중단된 데에 대한 보복이었다. 참고로 어나니머스는 약간 벌집 같은 면이 있었다. 두 가지 의미에서였는데, 하나는 외부 사건에 대해 벌들이 그렇듯 내부 의사 결정 과정을 거쳐 유기적으로 접근하는 방식 때문이었고, 다른 하나는 벌떼가 화가 났을 때처럼 극단적으로 공격적 성향을 띠기 때문이었다. 여러 명의 해커가 공격을 시도할 경우에 그 대상이 크게 다친다는 점도 닮았다.

한편 2009년 조지프 멘은 『파이낸셜 타임스』에 입사해서 사이버 보안 및 프라이버시 등에 대한 기사를 쓰고 있었다. 그즈음 PC와 웹사이트의 허점을 이용해 떼돈을 버는 상업적 해커들이 부상하던 참이었는데, 그는 그들과 그 문화에 관심이 많았다. 어느 날 HB개리 홍보실에서 멘에게 이메일이 도착했다. 어나니머스 핵심 인물들의 실명을 알아냈고, 그에 대해 콘퍼런스에서 발표할 예정인 바와 이야기를 나누겠냐는 내용이었다. 멘은 바로 바와 인터뷰했고, 그 이야기는 지면과 온라인에 실렸다.

그 기사는 “위키리크스에 적대적인 기업들을 공격한 사이버 활동가에 대한 국제적 조사가 시작되어 위키리크스의 선임 구성원들이 체포될 것으로 보인다”는 문장으로 시작한다. 그리고 기사는 바가 어나니머스의 지배구조 및 원로 멤버의 근거지 등을 알아냈다고 언급했다. 또한 바가 소셜 미디어와 이를 통한 네트워킹이 지닌 보안 위험의 위급함을 타 기관에 알리기 위한 목적으로 이 조사를 진행했다는 것도 언급한다. 바의 목적은 미국이나 영국 정부를 위해 어나니머스 멤버들을 색출하려는 것이 아니었다. 그는 이 일이 가능하다는 것을 보여주고, 기업 및 정부 관계자들에게 자기 정보를 너무 많이 공개하는 것은 위험한 일이라는 것을 알려주고 싶었을 뿐이었다.

바는 사람들의 습성을 이해시키기 위해 발표 자료에서 가짜 페이스북 계정과 이를 운영하는 서버를 몇 개 만들어 주장을 뒷받침하려 했다. 그날 저녁은 준비를 마치려는 참이었다. 초반에 서버는 제대로 동작하지 않았다. 처음에는 그저 시스템이 작동하지 않는 것 같았다. 하지만 이윽고 IRC와 트위터 등에 메시지가 오기 시작했다. 트위터는 해커들에게 매우 큰 단서였다. 그의 계정은 해킹 당했고 해커들은 이를 통해 존재를 드러냈다. 이제 그의 계정은 더 이상 자신의 소유가 아니었다. 누군가 HB개리 페더럴 회사 시스템에도 침입했고 서버를 털어갔다. 이메일, 발표 자료 등을 모두 가져간 것이다. 누가 배후였는지는 금방 드러났다. 예상대로 어나니머스였다.

 

악당들의 등장

 

해커는 HB개리 패더럴의 직원만 접속할 수 있는 사이트의 아이디와 비밀번호가 담긴 데이터베이스를 입수하는 데 성공했다. 비밀번호는 암호화되어 있었지만 암호화 방식이 MD5였기 때문에 뚫기가 어렵지는 않았다. MD5란 암호화 해싱(Hashing, 하나의 문자열을 더 짧은 길이의 값이나 키로 변환하는 것) 시스템으로, 입력값은 이진법 비트로 표현되고, 출력값은 128비트로 표현된다. 어나니머스 해커는 암호화된 비밀번호 데이터베이스를 손에 쥐고 해시값의 암호화를 풀어주는 서비스를 제공하는 해시킬러라는 사이트에 접속했다. 해시킬러 사이트에 해시값을 입력한 지 몇 초도 지나지 않아 바로 비밀번호 3개가 풀렸다. 해시값의 90% 정도가 해독되었고, 바의 암호도 풀렸다. 암호는 ‘kibafo33’이었다.

바의 크나큰 실수도 드러난다. 그 암호를 이메일, 트위터, 링크드인에 똑같이 사용했던 것이다. 이제 해커는 HB개리 패더럴 전체 도메인에도 접근할 수 있게 됐다. 만약에 바가 구글의 2단계 인증 시스템을 사용했으면 그에게 닥칠 참사를 막을 수 있었겠지만, 그는 2단계 인증을 사용하지 않았다. 해커는 HB개리 페더럴뿐만 아니라 HB개리의 이메일 시스템에도 어렵지 않게 침입했다. 해커는 모든 이메일과 파일을 살핀 후 쓸 만한 단어나 문구, 문서 등을 복사해갔고, 어나니머스는 HB개리 페더럴의 내부 문서를 포함한 모든 문건을 공개하기 시작했다.

 

재앙의 문이 열리다

 

어느 일요일 어나니머스 멤버들은 #opHB개리(작전명 HB개리)라는 이름의 IRC 채팅방에 해킹 성과를 이야기하기 위해 모였는데, 그들이 올린 이야기는 기사로 보도되기 시작했다. 맨 처음 글을 올린 사람은 바렛 브라운이라는 기자인데, 그는 『데일리코스』에 ‘어논(Anon, 어나니머스의 약어)이 HB개리 페더럴을 점령하다. 보도자료 첨부’라는 제목으로 다음과 같은 내용을 전했다. ‘어논은 인터넷 보안 업체의 웹사이트를 장악하는 데 성공했다. 6만 개의 사내 이메일 계정을 해킹하고 백업 파일을 지워버렸다. 바의 트위터 계정도 해킹했으며, 회사 설립자 웹사이트인 rootkit.com도 마비시켜 버렸다.’

해커들은 바가 예전에 작성한 것으로 보이는 어나니머스 멤버들의 이름과 활동 지역에 관한 문건도 가져갔다. 한편 해커들의 공격을 받은 HB개리 페더럴의 메인 홈페이지는 무수한 글자로 가득한 화면으로 바뀌어 있었다. 그 가운데 드문드문 이런 문장이 보였다. “당신은 어나니머스의 손을 묶어놓으려 했지만 실패했다. 이제 어나니머스가 당신의 뺨을 칠 것이며, 우리가 가진 모든 것을 쏟아 반격할 것이다.” 이윽고 어나니머스는 바의 비밀번호를 사용해서 바의 아이클라우드에도 접속한 후, 거기 있던 정보도 지워 버렸다. 이 해킹으로 인해 바, 호그룬드, 그리고 리비 호그룬드는 위기에 빠졌다.

 

위기에 대처하는 방법 / 후유증

 

HB개리 페더럴은 비상 대응 계획을 수립해 놓고 있지 않았다. 바는 회사가 1년도 안 된 신생 기업이고 직원이 5명밖에 없었기 때문이라고 변명했다. 대부분의 스타트업이 첫해부터 비상 대응 계획을 수립하지는 않는다는 점도 강조했다. 하지만 이미 그의 트위터 계정은 해커들의 손에 넘어가 있었고 링크드인 계정도 해킹되어 있었다. HB개리는 해킹으로 인해 수습해야 할 일이 산더미 같았다. 해킹 그 자체뿐만 아니라 해킹으로 인해 HB개리가 하고 있던 업무가 유출됨에 따라 예정되어 있던 발표회도 보안 행사도 취소했다. 이 사건으로 데이터가 유출된 것도 문제였지만 HB개리 직원들은 영업 부스에서 갖은 욕설과 폭력에 시달렸다고 한다. 바는 해킹이 있고 3주 뒤에, HB개리 페더럴의 CEO 자리에서 물러났다. 그는 자신이 퇴임하면 회사에 대한 언론의 공격이 좀 줄어들기를 바란다고 했다.

반면 해킹 후 1년간 HB개리는 예상과 달리 유례없는 성장을 보였다. 2012년 2월에는 IT 서비스 회사인 맨테크 인터내셔널이 HB개리를 인수했다. 회사로서는 좋은 일이었다. 호그룬드는 10억 달러 규모의 자산을 가진 회사가 든든하게 뒤를 받쳐주게 됐다며 반겼다. 하지만 HB개리 페더럴은 인수 대상에서 제외되어 있었다. HB개리 페더럴 시스템에 침입한 해커는 다른 범죄 혐의로 체포되어 징역형을 선고받았고 지금은 한 보안회사에서 침입 관련 테스트 업무를 하며 기업들의 시스템이 얼마나 침입에 취약한지를 살펴보는 일을 한다. 하는 일은 같지만 이제는 정당한 방법으로 돈을 벌고 있는 셈이다.

 

[HB개리 공격 사건의 시사점] ① 해커들은 피해망상적이고 편집증 성향이 있는 경우가 많다. 만약 해커들의 신원에 관한 사항을 알고 이를 공개하고자 한다면 그 정보가 확실해야만 하고, 그 전에 당신의 기기가 보안에 취약한 점은 없는지 철저히 점검해야 한다. ② 비밀번호를 동일하게 설정하면 안 된다. ③ 이메일 및 기타 시스템에서는 2단계 인증을 사용해야 한다. 도중에 가로챌 수 있는 문자메시지 기반의 인증보다는 애플리케이션이나 별도의 키 시스템을 이용한 인증을 해야 한다. ④ 시스템을 운영하는 직원들의 성향을 잘 파악해야 한다. 누군가 관리자인 척 전화를 해 비밀번호를 알아내려고 할 때 담당 직원이 얼마나 쉽게 비밀번호를 알려줄 것인지를 항상 경계해야 한다. ⑤ 당신의 이메일이 해킹 당할 가능성이 있으며, 그럴 경우 이메일의 모든 내용이 널리 퍼져나간다는 것을 기억하자.

 

극장의 불이 꺼지다 - 소니 와이퍼 해킹

 

2014년 11월 말, ‘Hacked by #GOP’라는 경고문과 함께 전 세계 소니픽처스 네트워크가 일순간에 다운된다. 소니가 사건의 심각성을 인지하지 못하고 어영부영하는 사이, 해커들은 브래드 피트 주연의 영화〈퓨리〉를 비롯한 미개봉작은 물론, 임직원의 신상 정보와 출연 배우에 대한 인종차별적 발언이 오간 이메일 내용까지 대중에 공개했다. 소니 직원들은 자존심에 큰 상처를 입었고 한동안 모든 업무를 수작업으로 처리해야 했다. 당시 소니는 북한의 김정은을 코믹하게 풍자한 영화 〈디 인터뷰〉의 개봉을 앞두고 있었다. 해킹이 누구의 소행인지는 아직도 정확히 밝혀지지 않았지만, 여러 조사 기관에서는 북한을 배후로 지목했다. 물론 북한은 부인했다. 이 사건으로 〈디 인터뷰〉는 결국 배급이 중단되었다. 회장이었던 에이미 파스칼 역시 자리에서 물러났다. 소니는 정보가 유출된 직원들에게 1,500만 달러를 보상했고, 비공식적인 비용까지 더해 총 5,600만 달러가량의 손해를 보게 되었다.

 

쇼핑몰에서 생긴 일 - TJX 와이파이 해킹

 

2007년 1월, 미국의 대형 의류 체인 TJX는 알 수 없는 컴퓨터 시스템 공격으로 고객 정보가 유출되었다고 발표한다. TJX 이용 고객의 결제 카드 데이터를 포함한 최소 약 9,400만 건의 개인정보가 도난당했다. 여기에는 사회보장번호와 운전면허번호 등 매우 민감한 정보까지 들어 있었다. TJX의 자회사인 마샬스 매장의 와이파이 네트워크 보안이 취약했던 것이다. TJX는 피해 사실을 뒤늦게 알아차리고 조치했으나, 결국 약 400억 원 이상을 고객에게 보상해야 했다.

물론 정보가 유출된 고객이 입었을 것으로 추산되는 직ㆍ간접적인 피해는 이보다 훨씬 더 컸다. 주동자 앨버트 곤살레스는 일찍부터 컴퓨터에 관심이 많아 14살에 나사를 해킹하기도 했다. 그는 보안 컨설턴트로 일하며 뒤로는 은밀히 해킹을 저질렀다. 첫 체포 이후 그는 당국이 다른 해커들을 검거할 수 있도록 도왔다. 하지만 결국 다시 범죄의 늪에 빠졌고, 2009년 TJX 해킹 혐의로 징역 20년 형을 선고받아 복역 중이다.

 

사이버 인질극의 시작 – 랜섬웨어

 

1989년, 아직 모든 컴퓨터가 MS-DOS 운영체제를 사용하던 시절, 조지프 포프는 기존과 다른 ‘창의적인’ 해킹 아이디어를 떠올린다. 바로 정보를 인질로 삼아 돈을 요구하는 것이었다. 포프는 에이즈 예방 정보로 위장한 플로피디스크에 멀웨어를 담았고, 이를 실행시킨 컴퓨터의 데이터를 담보로 돈을 요구했다. 바로 최초의 ‘랜섬웨어’였다.

그로부터 6년 후, 암호학자 모티 융과 그의 제자는 학회에 ‘바이러스 암호학’이라는 개념을 발표했다. 데이터를 지키기 위한 암호화 방식을 역으로 이용함으로써 강력한 공격 도구가 되는 내용이었는데, 이 기술을 조금 보완하고 거기에 추적이 되지 않는 암호화폐를 지불수단으로 적용하면서 랜섬웨어는 날개를 달았다. 해커들은 결함이 있는 프로그램을 찾아 적극적으로 멀웨어를 퍼뜨리고 비트코인을 요구했다. 랜섬웨어 중 가장 익명이 높았던 것은 하루도 되지 않는 시간 동안 전 세계 컴퓨터 23만 대를 감염시켰던 ‘워너크라이’였다. 아무튼 랜섬웨어는 지금도 수없이 많은 변종이 등장하는 새로운 무기가 되었다.

 

아웃소싱된 개인정보 - 토크토크 고객 정보 유출

 

인터넷이 널리 보급되기 시작할 무렵, 영국 인터넷 서비스 공급 업체들의 각축전은 치열했다. 그중 토크토크는 규모가 더 작았던 티스칼리를 합병하며 시장 점유율을 높인다. 합병과 함께 토크토크는 자사 콜센터 업무를 와이프로라는 인도 회사에 아웃소싱하기 시작했다. 비용을 줄이려는 조치였지만, 사실상 고객의 개인 정보를 타사와 공유한 것이나 마찬가지였다.

당시 인도 콜센터를 통한 사기 행각은 심각한 수준이었고, 그 피해자도 수만 명에 달했다. 사기꾼들은 토크토크 고객의 주요 신상 정보와 계약 정보를 모두 알고 있었고, 이를 근거로 신뢰를 얻은 후 돈을 갈취했다. 토크토크가 고객 유치를 위해 제공하던 도메인 사이트 역시 16세 해커에게 해킹을 당해 수많은 고객 정보가 유출되었다. 하지만 정작 토크토크가 고객에게 배상한 금액은 터무니없는 수준이었고, 이 사건으로 통신사를 이탈한 고객 역시 예상보다 적어서, 결국 피해를 본 것은 이용자들뿐이었다.

 

미래에서 온 공격자, 미라이 - 사물인터넷 봇넷

 

2016년 9월, 그간 볼 수 없었던 강력한 디도스 공격이 발생한다. 엄청난 규모의 트래픽 공격이 집중되어 피해 사이트와 서버는 마비되었는데, 이 유례없는 디도스 공격은 이제까지 ‘컴퓨터’로 인지되지 않았던 사물인터넷 기기들의 소행이었다. 누군가 거대한 봇넷을 활용해 이 기기들을 조종한 것이다. 미라이(Mirai) 봇넷이었다. 참고로 사물인터넷 기기 역시 소프트웨어와 운영체제로 동작하기 때문에 필연적으로 결함이 있을 수밖에 없다. 하지만 생산 업체의 비용 문제로 보안은 경시되기 일쑤였고, 그 피해는 고스란히 사물인터넷 기기 이용자들이 감당해야 했다. 24시간 인터넷에 연결되어 있으면서도 그다지 큰 동력이 필요하지 않은 사물인터넷 기기는 디도스 공격 무기로 아주 적합했다.

이후 봇넷들은 서로 먹고 먹히며 싸움을 이어나갔고, 미라이의 조종자, 일명 ‘안나 센파이’는 수사망이 좁혀오자 미라이의 모든 코드를 공개하고 자취를 감췄다. 지금도 이런 노트북, 프린터, 가정용 웹캠 등 우리 삶의 일부분이 된 기기를 이용한 공격은 계속 이루어지고 있다.

 

해킹의 현재와 미래

 

2017년 9월 7일, 미국에서 가장 큰 신용평가 회사 중 하나인 에퀴팩스(Equifax)가 해킹 당했다. 약 1억 4,300만 명의 개인정보가 유출된 것으로 추정되는 대형 사고였다. 며칠 후, 에퀴팩스는 이번 사건이 자신들이 사용하는 아파치 스트러츠(Apache Struts)라는 소프트웨어 프레임워크의 인터페이스 하나를 업데이트하지 않아서 발생하게 되었다고 발표했다. 뭔가 미심쩍었다. 왜냐하면 3월 6일, 미국 컴퓨터 비상 대응반 서트는 스트러츠에 심각한 결함이 있다고 이미 발표했기 때문이다.

그때 에퀴팩스 IT팀에는 회사의 소프트웨어 정책에 따라 48시간 이내에 이 버그를 패치하라는 지시가 내려졌다. 하지만 2017년 10월, 당시 최고경영자였던 리처드 스미스가 개인정보 유출 사건과 관련해 의회 질의에 답한 바와 같이, 에퀴팩스는 패치를 하지 않았다. 리처드는 회사에 사이버 보안 관련 전문가가 225명이나 있기는 했지만, 해킹에 당한 것은 담당 직원 한 명의 실수 때문이었다고 설명했다. 참고로 서트에서 스트러츠의 결함을 경고했을 당시 시스템 검사를 했었는데 이상을 발견하지 못했고, 일주일 후 다시 한 검사에서도 결과는 마찬가지였다고 했다. 하지만 해커들은 시스템의 취약점을 간파했다.

대중은 분노했지만, 그 분노는 시스템을 뚫고 잠입한 해커들이 아니라 에퀴팩스의 임원진들을 향했다. 시스템 침입 정황이 포착되고 사흘 뒤부터 임원진 3명이 180만 달러에 달하는 주식을 팔아 치운 것으로 밝혀졌기 때문이다. 물론 에퀴팩스는 주식 매각 당시 이 사건에 대해 임원진은 모르고 있었다고 변명했다. 그리고 정치인들도 이 사건에 목소리를 높였다. 특히 이 사건에 대한 언론의 태도는 지붕 보수를 하지 않으면 비가 새는 것처럼, 시스템 업데이트를 하지 않으면 필연적으로 해킹에 당할 수밖에 없다는 식이었다. 해킹의 배후는 돈이나 권력을 목적으로 하는 전문 해커들이었음에도 사람들은 오히려 이들에게는 별로 분노하지 않았다. 벼락이 친 배경에는 보통 폭풍우가 있는 것처럼 말이다. 해커들은 늘 하는 일을 했을 뿐이고, 방어에 실패한 것은 에퀴팩스의 잘못이라고 본 것이다.

사용자 권리에 적극적으로 목소리를 내 온 노스캐롤라이나대학 조교수 제이넵 투페키는 『뉴욕 타임스』기고문에 다음과 같이 자신의 좌절감을 표현했다. “대부분의 소프트웨어 장애나 데이터 유출은 예방할 수 있습니다. 해킹 피해가 발생하는 이유는 제품의 안정성이나 보안 문제를 무시했거나 또는 여기에 제대로 투자하지 않았기 때문입니다.” 제이넵의 말이 바로 이 책을 통해 전하고 싶은 메시지다. 시스템의 결함은 해커가 이를 이용하기 수 년 혹은 수십 년 전에 이미 발견됐거나 미리 알려진 경우가 많다. 즉, 결함이 발견되었음에도 불구하고 투자를 게을리 하거나 그저 운 좋게 지나가기만 바라는 태도가 큰 문제를 일으키는 것이다. 그 운이 다해 버리면 사고가 난다.

이 사건의 시사점은 하나 더 있다. 소비자들은 해킹을 당해도 피해 보상을 청구할 길이 거의 없다는 점이다. 영국의 토크토크 해킹 역시 그랬다. 이 회사는 6만 8,000명이 넘는 고객에게 고객 서비스를 제대로 제공하지 않았다는 이유로 500만 파운드가 넘는 벌금을 냈는데, 이에 반해 고객 서비스 포털을 잘못 구축해서 약 2만 1,000명의 개인정보가 유출 및 악용되었다는 명목으로는 약 10만 파운드의 벌금만 물었고, 15만 명의 개인정보가 새어 나갔을 때도 벌금은 약 40만 파운드 정도였다. 이런 상황을 사람들이 과연 어떻게 생각할지 궁금하다. 차라리 개인정보를 적을 일이 있으면 의도적으로 틀리게 적는 편이 낫다고 생각할 것이다. 중요한 문서가 우리 집이 아니라 다른 집으로 가는 한이 있더라도, 남은 인생 동안 사기나 신분 도용에 내 개인정보가 악용되는 것보단 나을 테니 말이다.

만약 시간을 되돌릴 수 있고 당시의 기술과 사용자들이 변하지 않았다면 에퀴팩스와 토크토크 등이 겪은 데이터 유출이나 랜섬웨어 사태 등을 모두 대비할 수 있을 것이다. 또 어도비 플래시 플레이어의 취약점을 없애고, SQL 주입 공격의 통로가 되는 구멍을 메우고, 30년 된 코드를 모두 고쳐서 큐봇이나 봇넷 등의 문제가 발생하지 않게 할 수 있을지도 모른다.

하지만 문제는 우리 사회가 점점 더 복잡해지고 있다는 것이다. 미라이 소스코드 공개는 봇넷을 만드는 방법이 더 멀리 퍼져 나간다는 의미다. 반면 봇넷으로 이용될 수 있는 사물인터넷 기기 시장의 비즈니스 모델은 전혀 변하지 않았다. 소프트웨어나 펌웨어에 문제가 있는 제품을 만드는 것이 애초에 해킹하기 어려운 제품을 만드는 것보다 훨씬 더 수익성이 높기 때문에 기업들은 보안보다 거기에 치중하고 있는 것이다.

 

스스로 보호하고 살아남기

 

그렇다면 이렇게 매일 폭풍우가 몰아치듯이 해커들이 몰려오는 시대에 어떻게 하면 이를 잘 극복하고 대비할 수 있을까? 과거에 해킹 경험이 있다는 이들과 보안 전문가들에게 물었더니 일관된 대답이 돌아왔다. 해킹은 막으려 해도 막을 수 없다는 것이다. 다시 말하면 해킹 당하는 건 어쩔 수 없고 받아들여야 한다고 했다. 대신 그들이 말하는 정답은 누군가가 해킹을 시도하고 시스템에 침입한다면, 우리는 그 시스템에서 무슨 일이 일어나는지를 잘 살펴봐야 한다는 것이다. 해킹 사건이 발생했을 때 우리 시스템이 그 공격에서 얼마나 안전한지, 해커의 침입 허용 범위를 제어할 수 있는지, 해커들이 네트워크 안에서 어디로 이동하고 있는지를 모니터링할 수 있어야 한다. 또, 해킹이 일어났을 때 실제 사용자를 제외하고 해커들의 접근만 골라서 막을 수 있는지도 살펴보라는 뜻이다.

한편 기업들이 지난 5년간 사이버 보안에 대한 인식을 제고한 데에는 3가지 주목할 만한 점이 있었다. 첫 번째는 랜섬웨어의 급격한 증가세다. 이로 인해 해킹에 대한 일반적인 개념이 바뀔 정도였다. 원래 해킹이란 누군가가 나의 데이터를 가져가 버리는 것이었는데, 이제는 내가 나의 데이터에 접근할 수 없게 되는 게 더 문제가 되는 상황이다. 이는 기업 측면에서는 영업을 지속할 수 있을지에 대한 위협이 된다. 이를 악용해서 돈을 뜯어내는 해커들이 많다. 특히, 비트코인을 통해 돈을 주고받으면 자금 추적이 불가능하기 때문에 사례금을 비트코인으로 요구하는 경우가 많아졌다.

두 번째는 임베디드 시스템 사용의 증가다. 사물인터넷 시대가 온 것이다. 해커들과 보안 전문가들 모두 사물인터넷이 가져올 위협을 우려하고 있다. 임베디드 시스템은 우리 삶에 빠르고 깊숙하게 파고들고 있지만, 이를 뒷받침해 줄 만한 보안 시스템은 아직 마련되지 않았다. 그리고 하나의 기기를 유지 관리하기란 쉽지만, 여러 기기가 연결된 시스템을 안전하게 유지하는 것은 훨씬 더 어렵다.

세 번째는 북한과 이란처럼 국가가 마치 조용한 악당처럼 이 세계의 주요 플레이어로 부상하고 있는 경우가 많아진다는 점이다. 즉, 이제 기업들이 특정 국가로부터 실질적인 위협을 받을 수도 있다는 이야기다. 무역과 문화를 포함한 모든 것이 정치적인 문제가 되어버렸다. 이제 그런 갈등이 있을 때마다 인터넷상에서 해킹 같은 무기로 일종의 대리전이 펼쳐질 수 있는 상황이 올 수 있다.

 

지금까지 우리는 해킹의 어두운 측면만 살펴보았다. 희망적인 이야기는 없을까? 안타깝게도 아직 그런 면은 보이지 않는다. 모든 시스템을 완전무결하게 만들 방법은 없다. 해커들도 앞으로 끊임없이 새로운 형태의 공격을 시도할 것이다. 자동차 제조업체에 대입해보자. 지금이야 충돌 테스트나 보행자 안전 등의 기준이 있어 업체들이 이를 준수하려고 노력하지만, 불과 몇 십 년 전까지만 하더라도 그런 기준이 아예 없었다. 그래서 당시 만들어진 차들은 사고가 나면 지금보다 더 많은 인명피해가 났다. 마찬가지로 아직 상대적으로 미성숙한 분야인 소프트웨어 산업도 처음부터 안전하게 만들기를 다그치기보다 사고에 안전하게 대처할 것을 먼저 종용하는 편이 더 합리적일 것이다.

현대 사회에서 데이터 유출은 오존층의 구멍에 비유할 수 있다. 우리 모두의 노력이 모여야 해결이 가능하기 때문이다. 데이터 유출에 대한 사람들의 걱정 어린 시선도 기후 변화를 바라보는 시각과 유사하다. 모든 사람이 작지만 개인적 차원의 노력을 기울이고 그런 실천을 지속한다면, 작은 노력과 주의가 모여 조금 더 안전한 세상을 만들어 나가는 밑거름이 될 수 있을 것이다.