해킹 사회
찰스 아서 지음 | 미래의창
해킹 사회
찰스 아서 지음
미래의창 / 2019년 4월 / 351쪽 / 17,000원
소리 없는 전쟁의 서막
해킹은 우리가 세상을 바라보는 관점에 도전장을 내민다. 우리가 생각하는 것만큼 인터넷 환경은 안전하지 않으며, 피해가 발생하면 복구에 시간이 얼마나 걸릴지는 아무도 모른다. 특히 평범한 사람들이나 일반 기업의 입장에서 해킹은 충격적이고 예상치 못한 일이다. 게다가 이런 해킹 피해는 주로 우리에게 소중한 것에 집중된다. 반면 해커들에게 해킹은 다양한 난이도의 기술과 결단력이 필요한 일종의 게임이다. 그중에서도 최고 기량과 수준을 자랑하는 이들은 국가를 위해 해킹하기도 한다.
해커들의 위협이 수십 년간 이어지면서 그들의 공격 방법과 경로는 계속 바뀌었지만, 이들에 대한 우리의 지식은 거의 바뀌지 않았다. 현실적으로는 우리가 유용하다고 생각하는 그 어떤 소프트웨어도 완벽히 보안이 유지되지는 않는다. 그것이 PC든, 휴대폰이든, 아니면 간단한 기기이든 간에 프로그램이 깔려 있는 컴퓨터 장치라면 모두 위험하다. 칩에 내장되어 있는 마이크로아키텍처(CPU의 동작 방식을 구현하는 설계도와 같으며 컴퓨터 시스템이라고도 함) 기능 때문이다. 반도체 칩의 내장 방식, 모든 하드웨어를 조절하고 운영하는 펌웨어, 펌웨어보다 상위에서 소프트웨어를 담당하는 운영체제, 그리고 운영체제에서 실행되는 모든 애플리케이션까지 예외는 없다. 버그는 어디에나 존재할 수 있다.
해킹의 범위는 굉장히 넓다. 신용카드에서 돈 훔쳐 내기, 정계 인사의 이메일에 접근하기, 사람들의 통제가 미치기 힘든 기기 감염시키기, 대중에 알려지지 않은 치명적인 파괴 행위까지 아주 다양하다. 해킹의 대상과 효과가 광범위한 것처럼 해커들의 의도도 마치 욕망의 스펙트럼처럼 매우 다양하다. 가장 낮은 수준의 해커들(대개 나이가 어림)은 시스템에 침입해서 그 안을 살펴보는 즐거움을 추구한다. 이는 곧 경쟁이 되어, 나중에는 그야말로 자존심 싸움으로 번진다. 하지만 이것이 단지 키보드 전쟁처럼 보일지라도 엄청나게 강력한 시스템을 만들어 사용한다면 그 무기는 치명적이다. 이런 싸움은 PC 수천 대와 인터넷 연결 장치들의 집합체인 봇넷(botnet)으로 발전할 수 있다. 누군가 한번 시도한 다음에는 그 기술을 더 발전시켜 큰돈을 벌고자 하는 유혹이 걷잡을 수 없이 커지기도 한다.
해킹의 불법성을 더욱 강화한 것이 바로 비트코인이다. 비트코인은 익명에 가까운 금전 거래를 가능하게 했기 때문이다. 순전히 디지털로 존재하고 인터넷으로 전송할 수도 있으며 실제 통화로 교환할 수도 있다. 추적되지 않는다는 점에서 비트코인은 해커들에게 날개를 달아준 것이나 다름없었다.
금전적 이득을 목적으로 하지 않는 해킹 집단도 분명 존재한다. 정부의 지원을 받는 국가 주도 해킹 집단이 있다는 루머와 함께 최근에서야 그들의 활동이 드러나기 시작했다. 2010년 구글 중국 법인이 해킹 당했을 때, 구글 사장단은 그 배후에 중국 정부가 있다고 주장하며 당국을 비난했다. 이란 핵무기 프로그램이 삐걱거렸을 때는, 미국과 이스라엘이 연합해 스턱스넷(Stuxnet)이라는 컴퓨터 바이러스를 만들었던 것으로 밝혀졌다. 이 바이러스로 우라늄 원심분리기를 제어하는 컴퓨터를 감염시켜서 스스로를 파괴하도록 만든 것이다. 공개적으로 적국의 컴퓨터에 침입해 혼란을 일으키는 것은 이제 일종의 새로운 국가 무기가 되었다. 이것은 ‘냉전’도 ‘열전’도 아닌 바로 ‘사이버 전쟁’이다. 개인, 단체, 그리고 국가들이 또 다른 개인과 회사, 다른 정부들과 열띤 전쟁을 벌이는 중이다.
미국의 운명을 바꾼 해킹 - 힐러리 대선 캠프 이메일 피싱
2015년, 힐러리 클린턴 전 국무장관은 자신의 두 번째 대권 도전을 공식 선언하며 빌 클린턴 행정부 시절부터 인연이 깊었던 존 포데스타를 캠프의 선임 참모로 영입한다. 2016년 초, 민주당 내부 경선에 한창 힘쓰고 있을 즈음 존 포데스타의 계정으로 한 통의 이메일이 도착한다. 비밀번호가 유출되었으니 바로 변경하라는 내용이었다. 힐러리 캠프는 이 메일이 진실이라고 판단하고 곧장 메일이 시키는 대로 했지만, 이는 누군가의 교묘한 피싱이었다.
이윽고 포데스타의 이메일을 통해 오갔던 힐러리 캠프의 기밀 사항이 일반에 광범위하게 유출되었다. 힐러리 캠프와 연관된 단체와 사람들 역시 피싱의 표적이 되었다. 힐러리 캠프는 선거 기간 내내 상대 후보인 트럼프는 물론, 유출된 수많은 정보와 싸워야 했고 이 때문에 끊임없이 구설에 올랐다. 해킹의 배후로는 러시아가 지목됐지만, 정확히 밝혀진 사실은 없었다. 결국 힐러리는 압승할 것이라고 기대됐던 트럼프와의 대결에서 패배했고, 한동안 해킹의 후폭풍을 감당할 수밖에 없었다.
어나니머스에 당한 보안 회사 - HB개리 공격
2011년 2월 6일 일요일 저녁이었다. 애론 바는 자신이 일하는 HB개리 페더럴이라는 회사의 이메일 서버에 접속하려고 하고 있었다. 이 회사는 주로 미국 정부와 일하는 사이버 보안 업체였다. 바는 다음 주에 한 콘퍼런스에서 큰 발표를 하기로 되어 있었고 그 자료를 수정 중이었다. 발표 주제는 ‘소셜 미디어 및 관련 네트워크가 유발한 기관들의 사이버 보안 위협’이었다. 그는 누군가 인터넷상에서 익명으로 활동하고자 해도 트위터ㆍ페이스북ㆍ링크드인의 여러 포스팅을 모두 엮어보면, 그 사람이 누군지 곧 알 수 있다는 내용을 전할 예정이었다. 그는 인터뷰에서 미국의 군 관계자 및 원자력 발전소 관계자의 신원도 알아낼 수 있었다며, 심지어 멀웨어 링크가 첨부된 이메일을 보낼 수도 있었다고 말했다. 이 링크는 클릭하기만 하면 PC에 악성 프로그램을 설치하게끔 설정된 피싱 이메일이었다.
그는 같은 방법으로 해킹 집단인 어나니머스의 핵심 인물도 알아낼 수 있었다고 말했다. 어나니머스는 다양한 사이트에 침입하여 각종 영상을 유포하고 2010년 12월에는 페이팔과 비자 사이트까지 마비시켰던 해킹 집단이다. 페이팔과 비자에 대한 공격은 위키리크스에 대한 후원이 중단된 데에 대한 보복이었다. 그날 저녁 바는 자신의 회사인 HB개리의 이메일 서버에 접속할 수가 없었다.
2003년 당시 사이버 보안은 기업들 사이에서 크게 주목받고 있었다. 이런 배경에서 당시 이미 유명한 사이버 보안 전문가였던 그렉 호그룬드가 보안 업체를 설립했고 그 회사가 바로 HB개리였다. 사업이 성장함에 따라 호그룬드는 수익성이 높은 정부 계약을 따내는 데만 집중했는데, 사업성은 확실했지만 현실적으로 회사 구조와는 잘 맞지 않는 상황이었다. 그래서 2009년 12월 HB개리 페더럴이라는 회사를 별도로 설립했다. 자본금이 25만 달러였는데, 이 중 3만 5,000달러는 새롭게 임원으로 영입된 애론 바가 보탰고, 8만 7,500달러는 호그룬드의 부인이, 6만 500달러는 HB개리의 자금이었다. 나머지는 소액 주주 2명이 각각 3만 달러씩 보탰다.
벌집을 들추지 말라: 어나니머스는 약간 벌집 같은 면이 있었다. 두 가지 의미에서였는데, 하나는 외부 사건에 대해 벌들이 그렇듯 내부 의사 결정 과정을 거쳐 유기적으로 접근하는 방식 때문이었고, 다른 하나는 벌떼가 화가 났을 때처럼 극단적으로 공격적 성향을 띠기 때문이었다. 여러 명의 해커가 공격을 시도할 경우에 그 대상이 크게 다친다는 점도 닮았다. 한편 2009년 조지프 멘은 《파이낸셜 타임스》에 입사해서 사이버 보안 및 프라이버시 등에 대한 기사를 쓰고 있었다. 그즈음 PC와 웹사이트의 허점을 이용해 떼돈을 버는 상업적 해커들이 부상하던 참이었는데, 그는 그들과 그 문화에 관심이 많았다. 어느 날 HB개리 홍보실에서 멘에게 이메일 한 통이 도착했다. 어나니머스 핵심 인물들의 실명을 알아냈고, 그에 대해 콘퍼런스에서 발표할 예정인 애론 바와 이야기를 나누겠냐는 내용이었다. 멘은 바와 인터뷰했고, 그 이야기는 지면과 온라인에 실렸다.
그 기사는 “위키리크스에 적대적인 기업들을 공격한 사이버 활동가에 대한 국제적 조사가 시작되어 위키리크스의 선임 구성원들이 체포될 것으로 보인다”는 문장으로 시작한다. 기사는 바가 어나니머스의 지배구조 및 원로 멤버의 근거지 등을 알아냈다고 언급했다. 또한 바가 소셜 미디어와 이를 통한 네트워킹이 지닌 보안 위험의 위급함을 타 기관에 알리기 위한 목적으로 이 조사를 진행했다는 것도 언급한다. 바의 목적은 미국이나 영국 정부를 위해 어나니머스 멤버들을 색출하려는 것이 아니었다. 그는 이 일이 가능하다는 것을 보여주고, 기업 및 정부 관계자들에게 자기 정보를 너무 많이 공개하는 것은 위험한 일이라는 것을 알려주고 싶었을 뿐이었다.
바는 사람들의 습성을 이해시키기 위해 발표 자료에서 가짜 페이스북 계정과 이를 운영하는 서버를 몇 개 만들어 주장을 뒷받침하려 했다. 막 준비를 마치려는 참이었다. 초반에 서버는 제대로 동작하지 않았다. 처음에는 그저 시스템이 작동하지 않는 것 같았다. 하지만 이윽고 IRC와 트위터 등에 메시지가 오기 시작했다. 트위터는 해커들에게 매우 큰 단서였다. 그의 계정은 해킹 당했고 해커들은 이를 통해 존재를 드러냈다. 이제 그의 계정은 더 이상 자신의 소유가 아니었다. 누군가 HB개리 페더럴 회사 시스템에도 침입했고 서버를 털어갔다. 이메일, 발표 자료 등을 모두 가져간 것이다. 누가 배후였는지는 금방 드러났다. 예상대로 어나니머스였다.
악당들의 등장: 해커는 HB개리 패더럴의 직원만 접속할 수 있는 사이트의 아이디와 비밀번호가 담긴 데이터베이스를 입수하는 데 성공했다. 비밀번호는 암호화되어 있었지만 암호화 방식이 MD5였기 때문에 뚫기가 어렵지는 않았다. MD5란 암호화 해싱(Hashing, 하나의 문자열을 더 짧은 길이의 값이나 키로 변환하는 것) 시스템으로, 입력값은 이진법 비트로 표현되고, 출력값은 128비트로 표현된다. 어나니머스 해커는 암호화된 비밀번호 데이터베이스를 손에 쥐고 해시값의 암호화를 풀어주는 서비스를 제공하는 해시킬러라는 사이트에 접속했다. 해시킬러 사이트에 해시값을 입력한 지 몇 초도 지나지 않아 바로 비밀번호 3개가 풀렸다. 해시값의 90% 정도가 해독되었고, 바의 암호도 풀렸다.
암호는 ‘kibafo33’이었다. 바의 크나큰 실수도 드러난다. 그 암호를 이메일, 트위터, 링크드인에 똑같이 사용했던 것이다. 이제 해커는 HB개리 패더럴 전체 도메인에도 접근할 수 있게 됐다. 만약에 바가 구글의 2단계 인증 시스템을 사용했으면 그에게 닥칠 참사를 막을 수 있었겠지만, 그는 2단계 인증을 사용하지 않았다. 해커는 HB개리 페더럴뿐만 아니라 HB개리의 이메일 시스템에도 어렵지 않게 침입했다. 해커는 모든 이메일과 파일을 살핀 후 쓸 만한 단어나 문구, 문서 등을 복사해갔고, 어나니머스는 HB개리 페더럴의 내부 문서를 포함한 모든 문건을 공개하기 시작했다.
재앙의 문이 열리다: 일요일 밤 어나니머스 멤버들은 #opHB개리(작전명 HB개리)라는 이름의 IRC 채팅방에 해킹 성과를 이야기하기 위해 모였다. 그들이 올린 이야기는 기사로 보도되기 시작했다. 맨 처음 글을 올린 사람은 바렛 브라운이라는 기자로, 브라운은 《데일리코스》에 동부 시각 밤 8시 29분, ‘어논(Anon, 어나니머스의 약어)이 HB개리 페더럴을 점령(pwns)하다. 보도자료 첨부’라는 제목으로 기사를 올렸다. 기사 그대로였다. “어논은 인터넷 보안 업체의 웹사이트를 장악하는 데 성공했다. 6만 개의 사내 이메일 계정을 해킹하고 백업 파일을 지워버렸다. 바의 트위터 계정도 해킹했으며, 회사 설립자 웹사이트인 rootkit.com도 마비시켜 버렸다”고 브라운은 전했다. 해커들은 바가 예전에 작성한 것으로 보이는 어나니머스 멤버들의 이름과 활동 지역에 관한 문건도 가져갔다.
한편 해커들의 공격을 받은 HB개리 페더럴의 메인 홈페이지는 무수한 글자로 가득한 화면으로 바뀌어 있었다. 그 가운데 드문드문 이런 문장이 보였다. “당신은 어나니머스의 손을 묶어놓으려 했지만 실패했다. 이제 어나니머스가 당신의 뺨을 칠 것이며, 우리가 가진 모든 것을 쏟아 반격할 것이다.” 이윽고 어나니머스는 바의 비밀번호를 사용해서 바의 아이클라우드에도 접속한 후, 거기 있던 정보도 지워 버렸다. 이 해킹으로 인해 바, 호그룬드 그리고 리비 호그룬드는 정말로 위기에 빠졌다.
위기에 대처하는 방법: HB개리 페더럴은 비상 대응 계획을 수립해 놓고 있지 않았다. 바는 회사가 1년도 안 된 신생 기업이고 직원이 5명밖에 없었기 때문이라고 변명했다. 대부분의 스타트업이 첫해부터 비상 대응 계획을 수립하지는 않는다는 점도 강조했다. 나중에 하는 일이라는 것이다. 하지만 이미 그의 트위터 계정은 해커들의 손에 넘어가 있었고 링크드인 계정도 해킹되어 있었다.
후유증: HB개리는 해킹으로 인해 수습해야 할 일이 산더미 같았다. 해킹 그 자체뿐만 아니라 해킹으로 인해 HB개리가 하고 있던 업무가 유출됨에 따라 예정되어 있던 발표회도, 보안 행사도 취소했다. 이 사건으로 데이터가 유출된 것도 문제였지만 HB개리 직원들은 영업 부스에서 갖은 욕설과 폭력에 시달렸다고 한다. 바는 해킹이 있고 3주 뒤인 2011년 3월 1일, HB개리 페더럴의 CEO 자리에서 물러났다. 그는 자신이 퇴임하면 회사에 대한 언론의 공격이 좀 줄어들기를 바란다고 했다.
반면 해킹 후 1년간 HB개리는 예상과 달리 유례없는 성장을 보였다. 2012년 2월에는 IT 서비스 회사인 맨테크 인터내셔널이 HB개리를 인수했다. 회사로서는 좋은 일이었다. 호그룬드는 10억 달러 규모의 자산을 가진 회사가 든든하게 뒤를 받쳐주게 됐다며 반겼다. 하지만 HB개리 페더럴은 인수 대상에서 제외되어 있었다. HB개리 페더럴 시스템에 침입한 해커는 다른 범죄 혐의로 체포되어 징역형을 선고받았고 지금은 한 보안회사에서 침입 관련 테스트 업무를 하며 기업들의 시스템이 얼마나 침입에 취약한지를 살펴보는 일을 한다. 하는 일은 같지만 이제는 정당한 방법으로 돈을 벌고 있는 셈이다.
① 해커들은 피해망상적이고 편집증 성향이 있는 경우가 많다. 만약 해커들의 신원에 관한 사항을 알고 이를 공개하고자 한다면 그 정보가 확실해야만 하고, 그 전에 당신의 기기가 보안에 취약한 점은 없는지 철저히 점검해야 한다. ② 비밀번호를 동일하게 설정하면 안 된다. ③ 이메일 및 기타 시스템에서는 2단계 인증을 사용해야 한다. 도중에 가로챌 수 있는 문자메시지 기반의 인증보다는 애플리케이션이나 별도의 키(Key) 시스템을 이용한 인증을 해야 한다.
④ 시스템을 운영하는 직원들의 성향을 잘 파악해야 한다. 누군가 관리자인 척 전화를 해 비밀번호를 알아내려고 할 때 담당 직원이 얼마나 쉽게 비밀번호를 알려줄 것인지를 항상 경계해야 한다. ⑤ 당신의 이메일이 해킹 당할 가능성이 있으며, 그럴 경우 이메일의 모든 내용이 널리 퍼져나간다는 것을 기억하자. ⑥ 해커들이 항상 악의가 있는 것은 아니지만 복수심에 불타오르고 있는 것만은 분명하다.
극장의 불이 꺼지다 - 소니 와이퍼 해킹
2014년 11월 말, ‘Hacked by #GOP’라는 경고문과 함께 전 세계 소니픽처스 네트워크가 일순간에 다운된다. 소니가 사건의 심각성을 인지하지 못하고 어영부영하는 사이, 해커들은 브래드 피트 주연의 영화 〈퓨리〉를 비롯한 미개봉작은 물론 임직원의 신상 정보와 출연 배우에 대한 인종차별적 발언이 오간 이메일 내용까지 대중에 공개했다. 소니 직원들은 자존심에 큰 상처를 입었고 한동안 모든 업무를 수작업으로 처리해야 했다. 당시 소니는 북한의 김정은을 코믹하게 풍자한 영화 〈디 인터뷰〉의 개봉을 앞두고 있었다. 해킹이 누구의 소행인지는 아직도 정확히 밝혀지지 않았지만, 여러 조사 기관에서는 북한을 배후로 지목했다. 물론 북한은 부인했다. 이 사건으로 〈디 인터뷰〉는 결국 배급이 중단되었다. 회장이었던 에이미 파스칼 역시 자리에서 물러났다. 소니는 정보가 유출된 직원들에게 1,500만 달러를 보상했고, 비공식적인 비용까지 더해 총 5,600만 달러가량의 손해를 보게 되었다.