누가 우리의 미래를 훔치는가

누가 우리의 미래를 훔치는가

마크 굿맨 지음

북라이프 / 2016년 7월 / 695쪽 / 24,000원





폭풍전야

서로 연결되고 의존적인 그리고 위태로운: 《와이어드》의 기자 맷 호넌은 촘촘하게 연결된 도시에서 살며 누구보다 첨단기술에 정통했다. 그런데 어느 날 호넌의 많은 사진과 이메일, 그보다 더 많은 무언가가 해커의 손에 넘어가고 말았다. 그는 단지 키보드를 몇 번 두드리는 것만으로 자신의 디지털 세상이 한순간에 사라질 것이라고는 상상도 하지 못했다. 호넌은 모든 것이 무너져버린 그날 오후의 일을 생생히 기억했다. 거실에서 어린 딸과 놀고 있을 때 갑자기 아이폰의 전원이 꺼졌다. 그는 단순히 배터리가 다 닳았나 보다 하고 생각했다. 곧바로 아이폰을 충전기에 연결한 뒤 전원을 켰다.

그런데 여느 때처럼 시작 화면과 함께 앱이 뜨는 대신 거대한 흰색 애플 로고가 등장하더니 폰을 새로 설정하라는 환영 메시지가 여러 가지 언어로 나타났다. 매일 저녁 아이폰을 백업해둔 호넌은 별다른 걱정을 하지 않았다. 아이클라우드(iCloud)에 로그인해서 데이터를 복원하면 그만 아닌가. 한데 그가 애플 계정에 로그인하자 절대 틀릴 리 없는 비밀번호가 잘못됐다는 메시지가 떴다.

세계적으로 유명한 IT 잡지에서 일하는 명석한 기자 호넌은 자신이 아는 또 다른 방법을 떠올렸다. 아이폰을 맥북에 연결해 하드 드라이브를 통해 데이터를 복원하는 것이었다. 하지만 다음 순간 호넌은 심장이 맞는 듯했다. 컴퓨터를 부팅했을 때 그를 맞이한 것은 지메일(Gmail) 비밀번호가 잘못됐다는 애플 일정관리 프로그램의 메시지였다. 곧이어 노트북의 화려한 화면이 잿빛으로 변하더니 죽은 듯 동작을 멈추었다. 모니터에서는 네 자리 비밀번호를 입력하라는 메시지와 함께 프롬프트만 깜빡일 뿐이었다. 호넌은 자신의 컴퓨터에 한 번도 비밀번호를 설정한 적이 없었다.

그제야 그는 아이클라우드 계정이 해킹 당했다는 결론을 내리고 자신이 사용하는 모든 전자기기의 위치를 찾아주는 애플의 ‘내 폰 찾기’ 기능을 실행했다. 그러자 그 기기들이 차례로 공격을 받았다. 해커는 ‘원격 삭제’ 기능을 실행해 호넌이 평생 모아둔 모든 데이터를 흔적도 없이 날렸다. 아이폰에서 시작한 공격은 아이패드로 넘어가더니 곧바로 가장 중요한 맥북으로 이동했다. 딸아이가 태어난 첫해 동안 찍어둔 사진을 포함해 모든 데이터가 순식간에 사라졌다. 이어 호넌의 구글 계정이 사라졌다. 8년 동안 신중하게 관리해온 지메일 메시지가 눈 깜짝할 사이에 없어진 것이다. 마지막으로 그 해커는 최종 목표인 호넌의 트위터 계정 @Mat로 시선을 돌렸다. 그는 계정을 가로채서 수천 명의 팔로어에게 인종주의와 동성애 혐오에 관한 메시지를 보냈다.

온라인 폭격이 끝난 뒤 호넌은 탐사 기자로서의 역량을 발휘해 사건을 하나씩 짜 맞추기 시작했다. 우선 아이클라우드 계정을 살리기 위해 애플의 기술지원 팀에 전화했다. 그리고 90분이 넘는 통화 끝에 ‘그’가 자신의 비밀번호를 변경하기 위해 30분 전에 이미 전화했다는 사실을 알아냈다. 변경에 필요한 정보는 청구서 발송지와 신용카드 번호 마지막 네 자리가 전부였다. 호넌의 주소는 개인용 웹사이트를 만들면서 입력한 후이즈(WHOIS)의 인터넷 도메인 기록으로 확인했을 것이다. 그게 아니더라도 White Pages.com이나 스포키오(Spokeo) 같은 수많은 온라인 사이트에서 쉽게 구할 수 있다. 다음으로 신용카드 번호 마지막 네 자리를 확인하기 위해 해커는 호넌이 아마존에 계정이 있다고 생각했으리라. 이 추측은 맞아떨어졌다. 아마존 사이트에서 호넌의 이름과 이메일, 주소까지 확보한 해커는 아마존에 연락해 고객 서비스 센터 직원을 속이고 네 자리 번호를 알아냈다. 이 사건에서는 피해를 입지 않았지만 그 해커는 동일한 정보로 호넌의 은행과 증권 계좌에도 쉽게 접근할 수 있었다. 그 공격이 자신의 소행임을 밝힌 10대 해커(해킹 집단에서 포비아라는 이름으로 활동하던)는 사람들이 매일 사용하는 인터넷 서비스의 심각한 보안 취약성을 폭로하기 위해 범행을 저질렀다고 주장했다.

호넌의 이야기가 2012년 《와이어드》 12월호의 머리기사로 실렸을 때 대중은 많은 관심을 보였다. 하지만 잠시뿐이었다. 어떻게 하면 일상적인 기술을 더 안전하게 사용할 수 있을지에 대해 논의를 했지만 다른 많은 인터넷 논쟁과 마찬가지로 금방 시들해지고 말았다. 호넌의 사건 이후 달라진 것은 거의 없었다. 그때와 마찬가지로 우리는 여전히 호넌처럼 위태로운 상황에서 살고 있다. 해킹에 취약한 스마트폰과 클라우드 기반의 앱에 대한 의존도는 오히려 그때보다 더 높아졌다.

[바이러스의 숙주가 되다 / 폭발적으로 늘어나는 악성코드] 사이버 위협의 양상은 지난 25년 동안 크게 변화해왔다. 개인용 컴퓨터가 등장한 초창기에 해커들은 단순히 재미나 웃음을 추구하는 수준에 머물렀다. 이제 해커들은 ‘재미’가 아니라 돈, 정보, 권력을 원한다. 21세기 초 해커들이 아이디를 훔치거나 다양한 기술을 기반으로 만든 악성 소프트웨어로 돈을 벌 수 있음을 깨달으면서 신종 바이러스가 엄청나게 등장하기 시작했고, 현재 그 규모는 놀라운 수준으로 성장했다.

[보안이라는 이름의 환상] 사람들에게 컴퓨터 바이러스에 어떻게 대처할 것이냐고 물으면 대개는 시만텍(Symantec)이나 맥아피, 트렌드 마이크로(Trend Micro) 같은 기업이 출시한 백신 프로그램을 쓰겠다고 대답한다. 이는 고등교육을 받은 대중에게 들을 수 있는 자연스러운 대답이다. 하지만 그러한 툴이 힘을 발휘하던 예전과 달리 유용성은 급속히 떨어지고 있으며 그 진실은 통계 자료가 분명하게 보여준다. 오늘날 우리 삶에서 일어나는 다양한 형태의 기술 위협에 효과적으로 대응하기 힘든 이유 중 하나는 소위 ‘제로데이 공격(zero day attack)’의 횟수가 증가했기 때문이다.

제로데이 공격이란 개발자와 보안 전문가가 대처할 만한 시간적 여유가 없는 상태에서 아직 알려지지 않은 컴퓨터 프로그램의 새로운 취약성을 집중적으로 공략하는 방법이다. 백신 소프트웨어 기업은 이러한 취약성을 적극 찾으려 하기보다 일반적으로 잘 알려진 측면에만 주목한다. 이 방식은 보니와 클라이드가 은행을 털고 난 뒤 두 사람의 수배 전단을 붙이는 것과 다름없다. 하지만 이들과 인상착의가 비슷한 커플이 나타나지 않는 한 은행원들은 경계하지 않을 것이고 결국 또 다른 은행털이범에게 당할 확률이 높다. 제로데이 공격은 점차 사람들이 일상적으로 사용하는 다양한 형태의 기술 제품을 목표로 삼고 있다. 마이크로소프트의 윈도에서 링크시스(Linksys)의 라우터, 널리 쓰이는 어도비(Adobe)의 PDF 리더와 플래시플레이어 등 다양한 프로그램에까지 악영향을 미치고 있다.

한편 오늘날 해커들은 시스템 속으로 요란하게 침투할수록 사람들이 그 문제에 더욱 신속하게 대처한다는 사실을 알고 있다. 그래서 이제는 컴퓨터 속에 잠복 세포조직을 심어놓듯 은밀하고 비밀스럽게 작업을 한다. 정보 기술과 보안에 막대한 예산을 퍼붓는 대기업은 당연히 해킹에 보다 효과적으로 대처할 수 있지 않을까? 꼭 그렇지도 않다. 주요 기업이나 NGO 그리고 전 세계 정부를 대상으로 한 수만 건의 성공적인 해킹 사건을 보면 기업의 막대한 투자에도 정보 보안 차원에서 기업이 개인보다 더 나은 상황은 아니다. 아무튼 사이버 위험에 따른 일반적인 비용은 계속해서 증가하고 있다. 미국 유통 업체 T. J. 맥스와 마셜스 그리고 유럽 시장 전역에서 비즈니스를 하는 T. K. 맥스의 모기업 TJX에 대한 2007년의 사이버공격을 보자. 이 사례에서 해커들은 고객 4,500만 명의 신용카드 정보를 훔쳤는데, 이는 당시 최대의 유통 업체 해킹 사건이었다. 그러나 이후 재판 과정에서 희생자의 실제 규모가 9,400만 명에 달하는 것으로 밝혀졌다. TJX는 비자카드, 마스터카드 고객과 2억 5,600만 달러에 합의를 봤지만 많은 분석가가 실제 손실 규모를 10억 달러 정도로 추정했다.

포네몬 인스티튜트에서 정보 유출비용 연구와 관련해 믿을 만한 자료를 내놓았는데, 이들은 사이버 보안 유출을 평가하는 과정에서 직접적인 정보 유출 범위를 넘어 전체 손실을 분석하는 작업이 필요하다고 지적한다. 예를 들어 TJX처럼 공격을 당한 기업은 정보 유출 사고에 대응해 문제를 수사하고 범인을 밝혀내며 컴퓨터 네트워크를 복원하는 작업에 엄청난 비용을 들여야 한다. 여기에다 소비자가 보안이 불안전한 해당 기업의 서비스를 기피하면서 매출은 크게 떨어진다. 그뿐 아니라 신용카드를 교체 발급받은(최근 자료에 따르면 카드 한 장당 5.1달러가 든다) 고객을 대상으로 추가적인 범죄를 막기 위한 소비자 신용 감독 서비스 및 사이버 보험료 인상에 따른 비용이 추가된다. 한마디로 손실 규모가 급격히 증가한다. 그렇기 때문에 대부분의 기업은 어떻게 해서든 해킹 사실을 숨기려 든다.

또 다른 막대한 비용은 사이버 공격에 따른 희생 기업의 주가 폭락이다. 예를 들어 글로벌 페이먼츠는 뉴욕 증권거래소가 주식 거래를 중단하기까지 단 하루 만에 주가가 9퍼센트나 급락하는 상황을 지켜봐야 했다. 이 경우 재무적 타격에 더해 고객, 주주, 규제기관들의 집단 소송이 계속 이어진다.



범죄의 미래

범죄 주식회사: ‘이노베이티브 마케팅’은 소프트웨어 제품을 개발하는 작은 신생 기업이다. 이 회사를 설립한 두 명의 기업가인 인도 태생의 샤일레 쉬쿠마르 ‘샘’ 자인과 스웨덴 국적의 비욘 선딘이 선택한 소프트웨어 제품군은 탁월했다. 2006년 전 세계가 사이버 위협에 주목하자 두 사람은 백신 및 컴퓨터 보안 소프트웨어 개발에 모든 에너지를 집중했다. 얼마 지나지 않아 동 회사가 개발한 맬웨어 디스트럭터, 시스템 디펜더, 윈도스 안티스파이웨어 등의 제품은 매년 뚜렷한 성장세를 보였다. 당시 수백, 수천, 수백만 건의 주문이 키예프 본사로 몰려들었다. 자인과 선딘은 소프트웨어 개발, 품질 보증, 재무, 과금, 마케팅, 인사, 운송, 소프트웨어 맞춤화, 연구개발, 생산, 아웃소싱, 기술지원 업무 부서를 잇달아 신설하면서 회사가 성장하는 모습을 흐뭇하게 지켜봤다.

신생 기업 성장에 필수적인 훌륭한 인재를 확보하기 위해 이노베이티브 마케팅은 여러 구직 관련 웹사이트에 직원 모집 공고를 올렸으며 스카우트 기업에 의뢰해 프로젝트 매니저, UNIX 관리자, 검색 엔진 최적화 전문가, 연구원, 지원 기술자, 비즈니스 개발 협력업체를 구했다. 또한 폭발적인 성장세를 따라잡고자 최고의 영업사원에게 보상을 제공했다. 여기에다 직원들의 스트레스를 덜어주고자 단체 해외여행 기회를 제공하고 사기 진작과 협력 강화를 위해 암벽 타기, 로프 훈련, 서바이벌 게임 등 다양한 조직 훈련에 참여하게 했다. 이처럼 이노베이티브 마케팅은 모든 측면에서 근무하기 좋은 환경을 가진 수익성이 매우 높은 기업이지만, 아쉽게도 소비자의 관점에서는 문제가 있었다.

시나리오는 이렇게 진행된다. 사용자가 키보드 앞에 앉아 페이스북을 둘러보고, 이메일 답장을 보내고, 마지막 분기 보고서를 검토하는데 갑자기 화면 중앙에 경고문을 담은 커다란 붉은색 팝업창이 다음과 같이 뜬다. ‘심각한 바이러스 감염’ 동시에 컴퓨터 스피커에서 경고음이 울려 퍼지면 사용자는 시스템에 중대한 문제가 발생했다고 생각한다. 곧바로 시스템 디펜더 로고가 뜨면서 사용자의 하드 드라이브 속 파일을 점검하는 것처럼 보이는 거대한 돋보기 그림이 뜬다. 길고 복잡한 이름의 시스템 파일이 빠른 속도로 지나가고 모니터 맨 아래에는 감지된 악성코드의 총 합계가 계속 늘어난다. 결국 시스템 디펜더는 23개의 바이러스, 7개의 웜, 18개의 스파이웨어가 컴퓨터에 있다는 설명과 함께 다음과 같이 섬뜩한 경고문을 보여준다. ‘여러분의 컴퓨터는 시스템 오류 및 영구적인 데이터 손실의 위험 상태에 있습니다. 문제를 해결하려면 여기를 클릭하세요.’

스피커에서 계속 경고음이 울려 퍼지면 사용자는 대부분 같은 반응을 보인다. 화면 속에서 반짝이는 ‘문제 해결’ 버튼을 클릭하는 것이다. 그러면 알려진 모든 컴퓨터 문제를 해결할 수 있다고 하는 49달러짜리 소프트웨어 프로그램, 이노베이티브 마케팅의 시스템 디펜더 구매 페이지로 연결된다. ‘문제 해결’을 무시하고 모니터의 다른 곳을 클릭하면 듣기 싫은 경고 소리만 빼고 모든 컴퓨터 기능이 중단된다. Esc키는 먹통이고 사용자는 붉은 스크린에 갇힌 채 컴퓨터 통제권을 모두 잃어버린다.

이 소프트웨어 제품의 정체는 무엇인가? 소위 크라임웨어라는 이 제품은 소프트웨어 산업 내에 등장한 새로운 제품군으로 일종의 범죄 소프트웨어다. 스케어웨어(scareware), 랜섬웨어(ransomware) 혹은 가짜 백신(rogue antivirus)이라 불리는 크라임웨어는 바이러스 감염에 대한 사람들의 공포심을 이용해먹는 악성 프로그램이다. 우리는 모두 백신 경고에 주의하고 문제가 드러나면 보안 소프트웨어를 실행하도록 훈련받았다. 따라서 스크린에 시스템 디펜더의 긴급 팝업 메시지창이 뜨면 보편적으로 ‘문제 해결’ 버튼을 누른다. 그러나 한 가지 문제가 있다. 사용자의 모니터에 뜬 경고 메시지는 단지 정교한 소프트웨어 장난에 불과하다는 점이다. 즉, ‘우리가 믿는 스크린’이 우리를 배신한 경우다.

이노베이티브 마케팅의 고객 컴퓨터는 사실 바이러스에 감염되지 않았다. 다만 그들의 브라우저와 운영 시스템이 해킹당했을 뿐이다. 사용자의 컴퓨터를 스캔한 결과라고 보여주는 생생한 그래픽 이미지는 디즈니 애니메이션과 다를 바 없는 시각적인 속임수에 불과하다. 컴퓨터 스캔 작업은 전혀 이루어지지 않았고 ‘발견한’ 바이러스나 검출한 트로이 목마 프로그램은 소프트웨어가 만들어낸 상상의 산물이다. 다만 사용자의 스크린상에서만 진짜처럼 보이는 것에 지나지 않는다. 일단 사용자가 속아서 돈을 지불하고 시스템 디펜더를 다운로드하면 그 소프트웨어는 한 가지 주요 임무를 수행한다. 원래의 백신 프로그램을 삭제해, 감염된 하드 드라이브에 악성코드와 백도어, 키 자동 등록기를 설치하는 것이다. 더 심각한 문제는 그 악성 소프트웨어를 구매하기 위해 넘겨준 신용카드 정보가 지하 시장에서 최고의 입찰자에게 팔려 나간다는 사실이다. 콜센터와 화려한 사무실, 직원들에 대한 훌륭한 대우와 상관없이 이노베이티브 마케팅은 현대의 조직범죄가 거둔 놀라운 성공 사례에 지나지 않는다.

이 악덕 기업은 내부 팀, 협력사 조직, 유령 자회사를 통해 널리 퍼뜨린 악성코드를 심은 광고로 정상적인 웹사이트에 위장 폭탄을 설치해 크라임웨어를 위한 거대한 시장을 만들어냈다. 결국 수십 개국의 수많은 소비자가 당국에 신고하면서 이 범죄 기업의 정체가 드러났다. 수사 결과는 그야말로 충격적이었다. 이노베이티브 마케팅은 크라임웨어를 구매한 전 세계 고객에게 발행한 모든 영수증 사본을 사무실에 보관했는데, 2009년 한 해만 해도 450만 건의 주문을 처리했고 평균 판매 가격은 35달러였다. 즉, 이노베이티브 마케팅의 2009년도 매출은 1억 8,000만 달러에 달했고, 이는 2011년 트위터가 기록한 1억 600만 달러를 가볍게 넘어서는 규모다. 드러난 바에 따르면 이노베이티브 마케팅 설립자들이 우크라이나에 회사를 세운 이유는 인건비가 저렴해서가 아니라 정부의 요구 사항이 까다롭지 않고 경찰을 쉽게 매수할 수 있기 때문이었다. 이노베이티브 마케팅을 설립한 자인과 선딘은 기소당한 상태로, FBI와 인터폴이 수배 중이다. 두 사람은 체포되기 전에 안전한 천국으로 도망쳤고 그들의 행방은 여전히 오리무중이다. 전 세계적으로 매달 3,500만 대의 컴퓨터가 이 같은 악성 안티바이러스 프로그램에 감염되는데, 이로 인해 매년 4억 달러가 글로벌 사이버 범죄 신디케이트의 손으로 흘러드는 것으로 보인다. 이제 범죄 주식회사의 시대가 열린 것이다.

모든 것이 해킹 가능할 때: [네트워크를 해킹하는 전기 주전자] 좀 더 특이한 유형의 해커들은 사물인터넷의 핵심 부분인 마이크로칩, 전자제품, 컨트롤러, 메모리, 회로, 부품, 트랜지스터, 센서 등 컴퓨터 시스템을 구성하는 물리적인 요소를 공략한다. 이들 해커는 TV, 오디오, 휴대 전화, 자동차, 항공 전자기기, 히터 및 에어컨 시스템, 네트워크 라우터, 경보 시스템, CCTVs, SCADA 산업 통제 시스템, 스마트 홈 관리 시스템, 로보틱스, 프로그래밍 가능한 논리 컨트롤러 등 수많은 전자 제품에 들어있는 컴퓨터 명령들의 집합인 펌웨어(firmware)를 공격한다. 이에 대해 대다수 ‘스마트’ 기기는 아무런 대응도 하지 못하고, 스스로 펌웨어를 업그레이드하기 위한 어떠한 기능도 갖추고 있지 않다.