이슈포커스>
사이버 테러의 시대 왔나?
‘해킹’, 디지털 시대의 ‘뜨거운 감자’
지난 3월 20일 오후 2시경. 대한민국의 공영방송사인 KBS의 내부 전산망이 갑자기 먹통이 됐다. 같은 시각, 문화방송과 YTN 등 방송사는 물론 신한은행과 농협, 제주은행, NH생명보험, NH손해보험 등 금융 보험사들의 전산망 역시 동시에 마비됐다. 국내 주요 언론사와 금융기관이 동시 다발로 장애가 일어난 것.
정부는 이번 사태를 북한의 사이버 테러로 보고 있지만 유력한 근거는 잡지 못했지만 북한의 소행일 가능성이 큰 것으로 보인다. 디지털 시대의 ‘뜨거운 감자’인 ‘해킹’은 예전의 개인적인 호승심 차원을 벗어나 엄청난 사회적 파장을 불러일으키는 신종 범죄로 떠오르고 있다.
최근 ‘해킹’은 사이버 테러의 수위까지 올랐다. 특히 사이버 테러는 북한에 의해 저질러지고 있다는 사실이 지속적으로 드러나고 있는데 지난 2008년부터 2012년 9월까지, 우리나라 안보의 ‘심장’격인 국회 국방위, 외통위, 정보위 소속 의원실의 컴퓨터가 138회나 해킹을 당했다는 사실을 미루어 본다면 이는 명백한 ‘테러행위’로 봐야 한다는 목소리가 설득력을 얻고 있다.
안보상 가장 위협적인 ‘해킹’은 지난 2009년의 이른 바 ‘7?7 디도스 공격’. 북한의 체신성 IP대역 PC가 전 세계 61개국 435대의 서버를 통해 우리나라의 청와대와 국회, 유수의 포털 사이트들은 물론 미국의 백악관에 이르기까지 35개 사이트를 무차별 공격한 ‘7?7 디도스 공격’은 사이버 테러로서의 ‘해킹’이 얼마나 위험수위에 다다랐는지를 극명하게 보여준 사건이었다.
이 뿐만이 아니다. 2011년 ‘3?4 디도스 공격’은 ‘7?7 디도스 공격’과 유사한 방식으로 청와대와 국회 등 40개 주요기관 사이트를 마비시켰고 2011년 4월에도 농협 전산망 해킹사태가 발생했다. 2011년 11월 고려대 대학원생들에게 발송된 악성코드 이메일, 2012년 6월 중앙일보 사이트 해킹 등 북한의 해킹에 의한 사이버 공격이 줄을 이었다.
비단 북한의 안보성 ‘해킹’만이 아니다. 개인에 의해, 혹은 해커집단에 의해 이뤄진 ‘해킹’은 근래 폭발적으로 증가했다. ‘해킹’은 IT강국의 면모를 갖고 있는 우리나라의 또 다른 이면의 얼굴을 드러내는 상징체계라고 할 구 있다.
해가 갈수록 인터넷 해킹의 수위는 높아져가고 지능화돼 간다. 이는 IT 기술의 발전과 첨단화가 이뤄지면서 해커들의 능력도 동반 상승해가기 때문이다. 2013년, 바야흐로 대한민국은 ‘해킹공화국’의 별칭을 얻을 만큼 우리 사회는 해킹의 홍수 속에 살아가고 있다.
‘해킹’, 명백한 범죄행위
회사원 황 모 씨(33)는 동료 직원인 김 모 씨(28)를 짝사랑한다. 딱히 사귀는 사람이 없는 김 씨는 그러나 황 씨의 마음을 몰라준다. 그러자 처음에는 애틋했던 황 씨의 마음이 시간이 지남에 따라 점차 집착으로 바뀌어갔다.
스마트폰의 카톡 등 사이버 상에서 김 씨를 훔쳐보기 시작한 황 씨는 그녀와 함께 사진을 찍거나 만나는 남자들의 신상이 궁금해지기 시작했고 차츰 김 씨의 모든 일상을 지켜보기 시작했다. 이른바 ‘스토커’가 된 것이다. 그러나 소심한 황 씨는 직접 김 씨를 쫓아다니는 등 적극적인 스토킹보다는 사이버 상의 스토킹에만 몰두했다.
처음에는 단순히 SNS서비스와 미니홈피, 김 씨가 가입한 인터넷 동호회에서 그의 활동을 지켜보는 것이 전부였다. 하지만 그로 인해 더욱 궁금증이 증폭한 황 씨는 김 씨의 이메일과 비밀번호를 추적해 확보했다. 인터넷 상에서 개인정보를 추적할 수 있는 방법을 알아내 시행해 본 것이다. 이른바 해킹의 가장 초급 단계인 ‘게싱(guessing)’ 단계에 들어선 것.
그런데 비밀번호를 알아내기 위해서는 그 대상자의 개인 기본정보가 반드시 필요하다. 대부분의 사람들은 생년월일이나 전화번호 등 자신이 쉽게 기억할 수 있는 번호로 비밀번호를 만들기 때문이다. 결국 짧게는 1시간 내, 길게는 하루 정도의 노력만 들이면 어느 누구의 비밀번호도 쉽게 알아낼 수 있는 것이다. 이런 행위는 현행법 상 엄연한 불법이기도 하다.
거의 대부분의 해킹은 이러한 사소한 호기심으로부터 출발한다. 이렇듯 이메일 해킹의 성공은 스스로를 고양시키며 더 높은 수준의 해킹을 유도한다. 전문적인 프로그램을 설치해 상대방의 더 깊은 사생활을 훔쳐보기도 한다. 이메일을 통해 상대방의 PC에 스파이웨어를 침투시켜 기본정보는 물론, 해킹 프로그램을 상대의 컴퓨터에 심어 놓는 것.
이러한 해킹 프로그램은 인터넷 상에서 누구나 쉽게 구할 수 있다. ‘넷버스’나 ‘스쿨버스’ 같은 해킹 프로그램이 바로 그 것. 이들 해킹 프로그램은 이메일을 매개로 전파되기 때문에 출처를 모르는 메일은 절대 열어 보면 안 된다는 게 전문가들의 조언이다.
이처럼 다른 이들의 컴퓨터 시스템이나 인터넷 사이트에 불법으로 침입해 개인적인 정보를 탈취하거나 파괴하는 이른바 ‘해킹’이 일반인들에게도 널리 퍼져있는 것이 오늘의 현실이다. 위의 황 씨의 예처럼 컴퓨터를 전공하지도 않은 이들이 해킹을 할 수 있는 시대가 됐다. 2000년대 초중반까지만 해도 해킹은 그야말로 천재적인 컴퓨터의 달인들만이 시도할 수 있는 첨단 기술로 치부됐었다. 2000년 해킹 범죄가 449건이었지만 지난 2011년에는 5만여 건으로 폭발적으로 는 것만 봐도 해킹은 이미 우리의 일상 속으로 파고들었음을 알 수 있다.
재미와 개인 차원에서 조직적 차원으로 진화
‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 제2조 7호에는 ‘해킹’을 ‘침해사고’의 일종으로 분류하면서 이를 다시 ‘컴퓨터 바이러스나 논리폭탄, 메일폭탄, 서비스 거부나 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위에 의해 발생되는 사태’로 정의한다.
해킹을 하는 주체인 해커는 일반적으로 두 종류가 있다. ‘블랙 해커’와 ‘화이트 해커’. ‘블랙 해커’는 개인적인 이익을 위해서 악의적인 해킹을 일삼는 크래커(cracker)를 의미한다. 반면 순수한 학문적 요구와 연구 등을 위해 해킹을 하는 정보 보안 전문가를 ‘화이트 해커’라고 일컫는다.
그런데 ‘블랙 해커’와 ‘화이트 해커’ 사이에 애매한 해커도 있다. 이른바 ‘그레이(Gray) 해커’. 그레이 해커는 해킹을 할 줄도 알지만 어느 정도 윤리의식도 갖춘 미묘한 해커로 이들은 공수(攻守)를 겸비했지만 어떻게 돌변할지, 어디로 튈지 모르는 그야말로 ‘럭비공’ 같은 존재다.
낮에는 보안업체에서 정보보안 전문가로 일하지만 밤에는 특정 사이트를 해킹하는 블랙 해커로 활동하는 경우를 예로 들 수 있는데 그래서 노골적인 블랙 해커보다도 더 위험한 해커로 인식돼 있다.
소소한 호기심에서 출발한 해킹은, 그 단계가 지나치면 ‘사업’의 단계로까지 번진다. 2000년대 초반까지는 해커들이 단순히 호기심이나 개인적인 원한에 의해, 또는 자신의 컴퓨터 실력을 과시하기 위해서 해킹을 일삼는 경우가 대부분이었지만 현재는 이러한 이유에 더해 금전적 이익을 위해 해킹을 시도하는 경우도 많다.
한때 사이버 상에 타인의 요구에 의해 타인의 행적을 뒤쫓는 ‘사이버 흥신소’가 유행하기도 했다. 돈을 받고 특정인들의 이메일이나 메신저의 아이디와 비밀번호를 해킹해 알려주는 전문 해커도 등장했다. 이들은 그리 크지 않는 액수를 받고 버젓이 불법을 행해 왔던 것이다.
그렇다면 불법인 줄 알면서도 이러한 일들이 버젓이 사이버 상에서 가능한 이유는 뭘까? 이는 IT기술의 속도가 급속도로 빠르지만, 이런 행위가 명확한 범죄가 될 수 있다는 근본적인 정보윤리 교육이 제대로 이뤄지지 않는 현실을 반영한다.
통신비밀보호법 제3조 ‘통신 및 대화비밀의 보호’ 항을 보면 “누구든지 이 법과 형사소송법 또는 군사법원법의 규정에 의하지 아니하고는 우편물의 검열?전기통신의 감청 또는 통신사실 확인 자료의 제공을 하거나 공개되지 아니한 타인간의 대화를 녹음 또는 청취하지 못하며 다만, 다음 각 호의 경우에는 당해 법률이 정하는 바에 의한다”고 돼 있다. 여기서 우편물은 이메일도 포함한 개념이다. 이렇듯 타인의 이메일 등 우편물을 해킹해 정보를 빼내는 행위가 명백한 범죄라는 사실을 철저히 교육해야 한다는 게 전문가들의 지적이다.
스마트폰 등 해킹의 대상 계속 늘어나
한편, 해커에도 수준별로 등급이 존재한다. 타인이 사람이 개발한 해킹 프로그램을 내려 받아 사용하는 해커인 ‘스크립트 키디’(script kiddie)는 가장 저급한 초보 수준의 해커로 분류된다. 중간급 수준의 해커는, 독자적으로 해킹 툴이나 보안 솔루션을 개발해 사용하는 ‘위저드’(wizard)다. 최고 보안이 적용된 정부기관이나 기업의 전산망을 뚫을 수 있는 최정상급 해커는 ‘구루’라고 불린다.
사회적으로 큰 파장을 일으키는 해킹사건의 해커들 대부분은 ‘구루 급’으로 분류된다는 게 전문가들의 설명이다. 국내에서 활동하고 있는 해커를 보면 ‘스크립트 키디’는 최소 1,000여 명, 위저드 급은 800여 명, 구루급은 50~100여 명으로 추산된다.
이러한 블랙 해커의 반대편에 위치해있는 화이트 해커는 보안동아리나 정보보호기관 등에서 블랙 해커들의 해킹 기술을 연구하고 방어체계를 만들며, 보안 취약성을 분석하는 등 순기능을 담당하고 있다. 이들은 실제의 웹사이트가 아니라 가상의 환경을 구축해 놓고 그 곳에서 해킹 기법을 익힌다.
하지만 우리나라는 아직도 화이트 해커에 대한 인식 부족과 보수가 열악한 상황이어서 종종 거액을 미끼로 ‘블랙 해커’로의 전향을 제의받기도 한다는 게 관계자들의 설명이다.
최근에 와서는 해커들도 분야별로 전문화하고 있는 추세다. 해킹의 분야가 워낙 넓어져 한 명의 해커가 모든 것을 담당할 수 없기 때문이다. 이에 따라 웹 분야나 파일분석 분야, 암호화 분야, 시스템 해킹 분야 등 다양한 분야별로 분화되고 있는 것이 오늘날의 현실인 것.
최근 해킹에 대한 대비가 더 요구되는 것은 급속도로 보급된 스마트폰 때문이다. 스마트폰은 PC 기능을 축소해 놓은 ‘손바닥 위의 PC’라고 할 수 있다. 때문에 스마트폰도 이미 수많은 해커들의 공격대상이 되고 있는 것.
디도스(DDoS)에 이용되거나 개인정보의 유출, 국제전화 과금 등 기본적인 보안 문제에서부터, 시스템 자체의 취약성을 이용한 모바일 대란이 앞으로 발생할 가능성이 존재한다. 일부 해커들은 스마트폰 해킹 시나리오를 이미 구축해 놓았을 수도 있고, 그것을 실행할 확률도 높은 것으로 보인다. 이에 따라 보안 문제를 시급히 마련해야 할 필요성이 크다고 전문가들은 진단한다.
IT의 발전과 컴퓨터 기술의 빠른 업그레이드는 전 지구촌을 하나의 네트워크로 묶어 보다 편리한 생활을 보장해 주었지만 반대로 개개인의 사생활 침해와 이로 인한 각종 범죄를 유발할 수 있는 여지를 주고 있기도 하다. 해킹에 의해 불법으로 유출당한 개인정보는 불법적인 스팸메일이나 이를 이용한 사기 범죄 등에 악용되는 악순환을 야기한다.
해킹을 근절하기 위한 사이버 수사대의 활동이나 검경의 노력도 예전보다 활발하지만 매우 복잡하고 교활해져가는 해킹 수법에 이에 대한 수사도 갈수록 더 많은 어려움을 겪고 있는 것이 현실이다. 이에 대한 대비와 근본적인 정보윤리교육이 절실하다.