해킹이란 무엇인가요?
컴퓨터 해킹은 시스템에 무단으로 액세스하기 위해 시스템과 네트워크의 취약점을 파악하여 악용하는 행위입니다. 모든 해킹이 악의적인 것은 아닙니다. 화이트 햇 해커는 사이버 보안 분야에서 근무하거나 취약점을 찾아서 해결하는 소프트웨어 엔지니어 또는 테스터로 일할 수 있습니다. 블랙 햇 해커는 의도가 악의적입니다. 즉, 정치 활동가와 두 유형의 해커는 넓은 회색 지대에 존재한다고 볼 수 있습니다.
기업과 소비자는 해킹 때문에 매년 수조 달러의 비용을 투자합니다. CPO Magazine에 따르면, 해킹 공격으로 인한 손실액이 2019년에 보고된 2조 달러에서 2021년에는 6조 달러까지 증가할 것으로 예상되고 있습니다. 대부분의 사이버는 모두가 누리고 있는 인터넷의 기능을 기반으로 합니다. 아마추어 해커도 온라인에서 필요한 도구를 얼마든지 무료로 쉽게 찾을 수 있습니다.
해커의 공격은 하루아침에 시작되지 않았습니다. 현재 유명해진 해커들은 수십 년에 걸쳐 심각한 취약성을 발견하고 인터넷과 모두를 위한 자유주의의 기반이 되는 전략을 밝혀냈습니다. 역대 가장 악명 높은 해커 10인을 한 번 살펴보겠습니다.
1. 케빈 미트닉(Kevin Mitnick)
케빈 미트닉은 미국의 해킹 역사에서 중요한 인물로, 10대부터 해킹을 시작했습니다. 1981년에 Pacific Bell의 컴퓨터 매뉴얼을 훔친 혐의로 기소되었습니다. 1982년에 북미방공사령부(NORAD)를 해킹한 사건은 1983년에 개봉한 영화 워게임에 영감을 제공했습니다. 1989년에는 Digital Equipment Corporation(DEC)의 네트워크를 해킹해서 소프트웨어 사본을 만들었습니다. 미트닉은 당시 최고의 컴퓨터 제조사였던 DEC를 해킹하면서 유명세를 얻었습니다. 이후 체포되어 유죄 판결을 받고 수감되었습니다. 집행유예 기간에는 Pacific Bell의 음성 메일 시스템을 해킹했습니다.
미트닉은 해킹을 할 때 액세스 권한과 데이터를 절대 악용하지 않았습니다. 가능하다는 사실만을 증명하기 위해 Pacific Bell'의 네트워크를 장악한 것입니다. Pacific Bell 사건으로 인해 체포 영장이 발부되었으나 도망다니면서 2년 넘게 숨어 지냈습니다. 여러 송금 사기와 컴퓨터 사기 혐의로 체포된 후에는 수감되어 복역했습니다.
미트닉은 화이트 햇 해커였지만, 회색 지대에 속한다고 볼 수 있습니다. Wired에 따르면, 2014년에 패치되지 않은 중요한 소프트웨어 익스플로잇을 최고가 입찰자에게 판매하는 'Mitnick's Absolute Zero Day Exploit Exchange'를 시작했습니다.
2. 어나니머스(Anonymous)
어나니머스는 2003년 익명 포럼의 4chan 게시판에서 만들어졌습니다. 어나니머스는 조직이 아니며 넓은 범위의 사회 정의 구현을 목표로 하고 있습니다. 예를 들어 2008년에는 사이먼톨로지라는 종교에 문제를 제기하고 웹사이트를 비활성화하여, 그 결과 Google 검색 순위에 부정적인 영향을 미쳤고 팩스 기기에서 검은색 이미지만 나오도록 만들었습니다. 2008년 3월에는 어나니머스의 회원들이 현재 유명해진 가이 포크스 마스크를 쓰고 전 세계 사이언톨로지 센터에서 행진했습니다. 뉴요커에 따르면, FBI와 기타 법 집행 기관에서 활발하게 활동하는 어나니머스 회원을 추적했으나 실질적인 계층 구조가 없으므로 어나니머스 전체를 파악하거나 제거하는 것이 불가능하다고 밝혀졌습니다.
3. 아드리안 라모(Adrian Lamo)
2001년에 20세였던 아드리안 라모는 Yahoo에서 보호되지 않는 콘텐츠 관리 도구로 로이터 기사를 수정하고 존 애쉬크로프트(John Ashcroft) 전 법무장관으로 가장하여 가짜 인용문을 작성했습니다. 라모는 시스템을 해킹하고 언론과 피해자에게 알렸습니다. 보안을 강화할 수 있도록 도움을 주기도 했습니다. 그러나 Wired에 따르면, 라모는 2002년에 뉴욕타임스의 인트라넷을 해킹하여 자신을 전문가 목록에 등재하고 유명 인사의 뒤를 캐고 다니면서 선을 넘었습니다. 또한, 배낭 하나만 메고 정해진 거주지 없이 거리를 돌아다녔기 때문에 '노숙자 해커'라는 별명을 얻었습니다.
4. 알베르트 콘잘레즈(Albert Gonzalez)
뉴욕데일리뉴스에 따르면 콘잘레즈는 '수프나치'라고 불리며 마이애미 고등학교에서 '컴퓨터 괴짜들의 말썽쟁이 리더'로 출발했습니다. 이후에는 범죄 상거래 사이트 Shadowcrew.com에서 활동하게면서 최고의 해커이자 중재자 중 하나가 되었습니다. 콘잘레즈는 22세에 수백만 개의 카드 계정의 데이터 도난과 이와 관련한 직불카드 사기 혐의로 뉴욕에서 체포되었습니다. 수감되지 않기 위해 비밀경호국의 정보원이 되어 수십 명의 Shadowcrew 회원을 기소하도록 도왔습니다.
그는 정보원으로 근무하면서도 범죄 활동을 이어갔습니다. 공범들과 함께 OfficeMax, Dave and Buster's, Boston Market 등의 회사에서 1억 8천만 개 이상의 결제 카드 계정을 훔쳤습니다. 뉴욕타임스는 2005년에 콘잘레스가 미국 소매업체 TJX를 공격한 사건이 최초의 연쇄적인 신용 정보 데이터 유출이라고 했습니다. 유명해진 콘잘레즈 팀은 SQL 주입을 통해 여러 기업 네트워크에 백도어를 만들어 TJX에서만 약 2억 5,600만 달러를 훔쳤습니다. 2015년 선고 당시 연방 검찰은 콘잘레즈의 범죄가 비할 데 없는 인명 피해를 낳았다고 평가했습니다.
5. 매튜 베번과 리처드 프라이스
매튜 베번과 리처드 프라이스는 1996년 그리피스 공군기지, 국방정보시스템국, 한국원자력연구소(KARI) 등 여러 군사 네트워크를 해킹한 영국의 해커 팀입니다. 베번(Kuji)과 프라이스(Datastream Cowboy)는 KARI의 연구를 미국 군사 시스템으로 유출하여 제3차 세계대전을 일으킬 뻔했다고 비난을 받았습니다. 베번은 UFO 음모론을 증명하려는 의도였다고 주장했으며, BBC에서는 개리 맥키넌(Gary McKinnon)의 사례와 유사하다고 했습니다. 베번과 프라이스는 악의적인 의도에 관계없이 군사 네트워크의 취약점을 밝혀냈습니다.
6. 진슨 제임스 안체타(Jeanson James Ancheta)
진슨 제임스 안체타는 신용카드 데이터를 위해 시스템을 해킹하거나 사회 정의를 구현하기 위해 네트워크를 파괴하는 데는 관심이 없었습니다. 안체타는 컴퓨터 시스템을 감염시켜 제어할 수 있는 소프트웨어를 기반으로 한 로봇을 궁금해했습니다. 2005년에 대규모 '봇넷'을 사용하여 40만 대 이상의 컴퓨터를 손상시켰습니다. Ars Technica에 따르면 이 기계를 광고 회사에 임대했으며 특정 시스템에 봇이나 애드웨어를 설치해 주고 대가를 받았습니다. 안체타는 징역 57개월을 선고받았습니다. 해커가 봇넷 기술 사용 혐의로 수감된 최초의 사례입니다.
7. 마이클 칼체(Michael Calce)
2000년 2월에 '마피아 소년'이라고도 알려진 15세의 마이클 칼체는 대학 컴퓨터 네트워크를 장악하는 방법을 알게 되었습니다. 결합된 리소스를 사용하여 당시 최고의 검색 엔진이었던 Yahoo를 파괴했습니다. 또한 일주일 안에 기업 서버를 장악하고 웹사이트를 다운시키는 분산 공격을 통해 Dell, eBay, CNN, Amazon을 무너뜨렸습니다. 칼체는 사이버 범죄 투자자와 인터넷 옹호자에게 가장 큰 충격을 안겨 주며 경각심을 일깨웠습니다. 10억 달러 이상의 가치로 평가받는 세계 최대 규모의 웹사이트를 그렇게 쉽게 장악할 수 있다면 온라인 데이터가 정말 안전할까요? 칼체의 해킹으로 인해 정부가 사이버 범죄 관련 법의 제정을 최우선으로 고려하게 되었다고 해도 과언이 아닙니다.
8. 케빈 폴슨(Kevin Poulsen)
1983년에 Dark Dante라는 가명을 사용하던 17세의 폴슨이 국방부의 컴퓨터 네트워크 ARPANET을 해킹했습니다. 곧 체포되었으나 정부는 당시 미성년자였던 폴슨을 기소하지 않았습니다. 대신 경고를 받고 풀려났습니다.
그러나 폴슨은 이 경고를 무시하고 계속해서 해킹했습니다. 폴슨은 1988년에 연방 컴퓨터를 해킹하여 페르디난드 마르코스(Ferdinand Marcos) 전 필리핀 대통령과 관련된 파일을 조사했습니다. 당국에서 이를 발견하자 폴슨은 숨었습니다. 폴슨은 도망다니면서 정부 파일을 해킹하고 계속해서 기밀 정보를 폭로했습니다. 폴슨의 웹사이트에 따르면 1990년에 라디오 방송국 콘테스트를 해킹하여 102번째로 전화를 걸었고 포르쉐, 휴가 상품권, 상금 20,000달러를 받았습니다.
폴슨은 곧 체포되어 3년 동안 컴퓨터 사용을 금지당했습니다. 이후에는 화이트 햇 해킹과 저널리즘으로 발을 돌려 Wired, The Daily Beast, 자신의 블로그 Threat Level에 사이버 보안과 웹 관련 사회 정치적 원인에 대한 게시글을 올렸습니다. 그리고 다른 유명 해커와 협력하여 사회 정의와 정보의 자유를 위한 여러 프로젝트를 진행했습니다. 가장 주목할 만한 점은 애덤 스와츠(Adam Swartz), 짐 돌란(Jim Dolan)과 협력하여 DeadDrop으로 시작한 오픈 소스 소프트웨어 SecureDrop을 개발했다는 사실입니다. 폴슨은 이후 언론인과 정보원 간의 안전한 통신을 지원하는 플랫폼을 Freedom of Press Foundation에 인계했습니다.
9. 조나단 제임스(Jonathan James)
조나단 제임스는 cOmrade라는 별명을 사용하여 여러 회사를 해킹했습니다. 뉴욕타임스에 따르면 제임스는 미국 국방부 컴퓨터를 해킹하는 데 관심이 있었습니다. 당시 제임스는 15세에 불과했습니다. 제임스는 PC Mag 인터뷰에서 1980년대 컴퓨터 해커 사냥을 자세히 설명하는 책 'The Cuckoo’s Egg'으로부터 영감을 받았다고 말했습니다. 해킹을 통해 정부 직원이 보낸 3천 개 이상의 메시지, 사용자 이름, 암호는 물론 기타 민감한 데이터까지 접근했습니다.
제임스는 2000년에 체포되어 6개월 가택 연금형을 선고받고 오락을 위한 컴퓨터 사용을 금지당했습니다. 하지만 보호 관찰을 위반하여 6개월 동안 복역했습니다. 제임스는 최연소의 나이로 사이버 범죄 법 위반 혐의로 유죄 판결을 받았습니다. 2007년에 TJX 백화점에서 해킹으로 인해 수많은 고객의 개인정보가 유출되었습니다. 증거가 부족했으나 당국에서는 제임스의 연루 가능성을 의심했습니다.
2008년에 제임스는 총으로 자살했습니다. 데일리 메일에 따르면 자살 전 메모에 이렇게 적혀있었습니다. "전 정의라는 시스템을 믿지 않습니다. 오늘 저의 행동과 이 글이 대중에게 더 강력한 메시지를 전달하게 될 것입니다. 이미 상황은 제 손을 벗어났고, 제가 결정권을 가진 유일한 방법은 이것뿐입니다."
10. 아스트라(ASTRA)
이 해커는 이 목록에서 유일하게 신원이 밝혀지지 않은 사람입니다.
하지만 데일리
메일에 따르면, 일부 정보는 공개되었습니다. 2008년에 당국에
체포되었을 때 58세의 그리스 수학자로 밝혀졌습니다. 보도에 따르면, 5년
동안 Dassault Group을 해킹했다고 합니다. 이 기간 동안 최첨단 무기 기술
소프트웨어와 데이터를 훔쳐 전 세계 250명에게 판매했습니다. Dassault
Group은 3억 6천만 달러의 손해를 입었습니다. 신원이 완전히 밝혀지지 않은
이유는 아무도 모르지만, 'ASTRA'는 '무기'를 뜻하는
산스크리트어입니다.
앞서 설명한 최고의 해커 중 일부는 더 나은 세상을 목표로, 나머지는 UFO
이론의 증명을 목표로 활동했습니다. 돈을 원하는 사람도 있었고, 명성을
원하는 사람도 있었습니다. 모두 인터넷과 사이버 보안의 발전에 중요한
역할을 했습니다.
