지난 수십 년간 해커와 이들이 개발해 사용하는 악성코드의 수가 급증했다. 컴퓨터가 흰색의 큰 상자였던 시절, 해커들은 이제 막 걸음마를 배우는 단계였다. 그리고 이들이 하는 일은 ‘유치한 장난’에 불과했다. 예를 들면, 컴퓨터 화면에 ‘양키 두들’이나 ‘대마초 합법화’ 같은 문구 또는 그림을 표시하는 정도였다. 그러나 컴퓨터가 발전해 ‘경제’가 되면서, 해커들도 순진한 ‘너드’에서 파렴치한 범죄자 집단의 일원으로 발전했다.
이제 컴퓨터는 더 이상 ‘진기한 장난감’이 아니다. 그리고 해커들도 이런 진기한 장난감에 관심을 보여, 이를 가지고 노는 유치한 어린아이가 아니다. 지금은 어린아이 같은 해커들이 에너지 음료와 패스트푸드를 옆에 두고 밤새 장난삼아 컴퓨터를 가지고 놀던 시절이 아니다. 지금의 해커는 숙련된 전문가며, 해킹은 직업이다. 많은 보수를 받고, HR팀의 지원을 받는다. 휴가도 챙긴다.
해커란 어떤 직업일까? 해커의 ‘고용 프로필’은 다른 직업처럼 아주 다양하다. 그러나 크게 다음 10가지 부류로 분류할 수 있다.
‘총 대신 랜섬웨어로’ 은행 턴다
과거 총을 들고, 은행과 여행객, 상인, 기타 손쉬운 표적이 되는 사람들로부터 돈을 강탈하던 노상강도와 은행강도 같은 해커들이다. 현대의 금융 해커들은 총 대신 랜섬웨어, 가짜 청구서, 데이팅 스캠, 가짜 수표, 가짜 에스크로 서비스, 디도스 공격, 기타 다양한 스캠과 해킹 도구를 이용해 개인과 기업, 은행, 주식 계좌에서 돈을 훔친다. 인류의 역사만큼 오래된 ‘탐욕’이 이들의 동기 부여 요소다.
국가와 정부를 위하여!
현재 대부분 선진국과 정부들은 수천, 또는 수만에 달하는 해커를 고용해 활용하고 있다. 이들은 어떤 일을 할까? 다른 국가의 군사, 산업 네트워크에 몰래 침입해 자산의 위치를 파악하고, 악성 백도어를 심는다. 해당 국가와 ‘적대 행위’ 발생 시, 사이버전쟁을 위한 무기를 준비하는 것이다. 이란의 우라늄 농축 시설을 파괴한 스턱스넷(Stuxnet)을 대표적인 사례로 꼽을 수 있다. 또한 북한은 2014년 체제 선전을 부정적으로 묘사한 영화 제작 및 개봉에 대한 보복으로 소니 픽처스를 해킹했는데, 이 또한 국가 주도의 해킹이다. 그러나 이는 잘 알려진 일부 사례에 불과하다.
국가 주도의 해킹은 끊이지 않고 있으며, 앞으로도 계속 그럴 것이다. 대부분은 드러나지 않고 조용히 일어난다. 공격 국가가 해커의 해킹을 막거나, 해커를 처벌하는 일은 없을 것이다. 국가의 목적과 목표를 위해 자신들이 해야 할 일을 하는 ‘병사’들이기 때문이다.
산업 스파이
개인의 영리 추구, 또는 자신을 채용한 조직의 목적을 달성하기 위해 온종일 사무실에서 기업의 지적 재산을 훔치는 일을 하는 해커도 많다. 비밀 특허, 미래 사업 계획, 재무 데이터, 연락처, 의료 데이터, 법적 분쟁(소송)과 관련한 기록을 훔치는 산업 스파이 활동이 아주 많다. 경쟁사에게 해킹당한 조직보다 우위를 점할 수 있도록 만들어 줄 만한 정보를 제공할 수 있다면, 무엇이든 훔친다. 간혹 불법 정보 구매를 제안받은 경쟁자가 피해 기업이나 당국에 이를 알려주면서 산업 스파이 행위가 드러나는 경우도 있다.
악의적인 의도를 가진 게이머
10대들의 게임 중독은 공부에 방해가 되는 정도라고 생각할지 모르겠다. 그러나 게임을 정말 중요하게 생각하는 사람은 수백 만에 달한다. 이런 사람들 덕분에 수십억 달러 규모의 시장이 만들어졌다. 게이머들은 최첨단 고성능 하드웨어 구입에 수백, 수천 달러를 지출한다. 매년 게임을 즐기기 위해 지출하는 돈이 수백, 수천 달러에 달한다. 이런 점들을 고려했을 때, 게임 산업에서만 활동하는 ‘전문’ 해커가 존재한다는 사실은 놀랄 일이 아니다. 이들은 경쟁자의 크레딧 캐시를 훔치고, ‘서비스 거부 공격’을 감행하며, 심지어 자신을 화나게 만든 다른 게이머가 체포당하도록 경찰 SWAT팀을 보낸다. 실제 2017년 12월에 세계 최초로 게이머가 다른 게이머가 체포당하도록 보낸 SWAT팀 때문에 게이머가 사망하는 사건이 발생했다.
리소스 뱀파이어
컴퓨터가 대중화된 이래 해커들은 다른 사람의 컴퓨팅 리소스를 악용하거나 활용해왔다. 초기에는 해커들이 비디오 같은 대용량 파일 저장 등에 다른 사람의 하드 드라이브를 사용했었다. ‘외계 문명의 존재를 믿는 사람들(SETI)’은 외계 생명체를 찾는 데 이용하기 위해 CPU 성능을 빼내는 스크린 세이버를 설치하는 방법을 사용했었다.
그러나 현대의 해커들은 암호화폐를 채굴하기 위해 다른 사람의 컴퓨터 리소스를 훔친다. 암호화폐 채굴자는 브라우저 방문자를 직접 표적으로 삼거나, 이들이 방문하는 웹 사이트를 감염시키는 방법으로 악성코드를 확산시킨다. 암호화폐 채굴에 동원할 컴퓨터 및 리소스(전기와 냉각 등)를 훔치는 악성코드다. 채굴자는 리소스 사용에 대해 대가를 지불하지 않지만, 암호화폐 채굴에 따른 이익을 챙기기 때문에 ‘도둑질’이다. 암호화폐 채굴 악성코드는 가장 빠른 속도로 증가하고 있는 악성코드 중 하나다. 불법으로 회사 컴퓨터를 이용해 채굴하다가 해고당한 사람도 많다.
핵티비스트
정치적 주장이나 사회적 변화 유도 목적에서 해킹하는 사람들이 ‘핵티비스트’다. 특정 회사를 망신줄 수 있는 정보를 훔치거나, 영업과 운영을 방해하는 문제를 초래하거나, 표적으로 삼은 회사에 금전적인 피해를 초래하거나 핵티비스트의 ‘대의’에 관심을 유도하는 파괴 행위를 자행한다. 가장 유명한 핵티비스트 집단 중 하나가 어나니머스(Anonymous)다.
긍정적으로 평가하는 핵티비스트 공격도 있다. 여러 아동 포르노 사이트와 사이트 회원들의 이름을 노출 시킨 ‘다크넷(Darknet)’이라는 해킹 ‘작전’을 예로 들 수 있다. 의도가 좋고, 핵티비스트 활동을 제외하면 법을 잘 지키는 사람들이 많다. 그러나 핵티비스트 목적을 추구하는 해킹 범죄를 저지른 결과로 체포가 된다. 핵티비스트의 의도가 좋더라도, 그 의도와 동기가 훨씬 더 불순한 다른 해커들과 동일한 범죄로 처벌을 받을 수 있다. 누군가를 궁지에 몰거나, 무언가를 파괴하면 처벌을 받는다. 해킹하면 어떻게 될까? 감옥에 갈 확률이 아주 높다.
봇넷 마스터
수많은 악성코드 코더가 봇을 만든다. 그리고 가능한 많은 컴퓨터를 감염시키도록 이 봇을 세상으로 내보낸다. 거대한 봇넷 군단을 만들어 나쁜 짓을 하는 데 목적이 있다. 이 봇넷은 피해자의 컴퓨터를 주인의 지시와 명령을 기다리는 ‘졸개’로 만들어 버린다. 통상 C&C(Command-and-Control) 서버를 통해 명령이 전달된다. 봇넷을 만든 사람이 직접 봇넷을 사용하는 경우도 있지만, 대가를 지불하는 사람에게 봇넷을 대여하는 사례가 훨씬 더 많다.
최근 미라이(Mirai) 봇으로 구성된 봇넷이 라우터와 카메라, 기타 IoT 장치를 공격하는 사례가 아주 많다. 이 미라이 봇넷은 역대 가장 규모가 큰 디도스 공격에 동원됐었다. 당시 표적은 DNS 공급자인 Dyn이었다. 무려 1.2TBpsof의 악성 트래픽을 생성해 공격했었다. 미라이 봇은 패칭이 적용되지 않은 기기, 기본 로그인 크레덴셜을 변경하지 않은 기기를 찾는다. IoT가 손쉬운 표적이 되는 사례가 많다. 일부 전문가는 전세계 컴퓨터 중 1/5이 봇넷 군단 소속이라고 주장한다.
애드웨어 스패머
지금은 회사들이 스팸 악성코드 프로그램에 감염된 정도의 피해를 보거나, 사용자들이 무언가를 판매하려는 목적의 애드웨어 프로그램에 하이재킹당하는 정도의 피해를 본다면 다행으로 생각해야 하는 시대이다. 애드웨어는 사용자가 의도하지 않았던 사이트를 방문하도록 브라우저를 감염시킨다. ‘Cat’을 검색했는데, 애드웨어 프로그램 때문에 ‘Camping Gear’ 관련 사이트를 방문하게 되는 것을 예로 들 수 있다.
합법적인 회사 중에도 온라인 마케팅에 스팸과 애드웨어가 사용되고 있음을 발견하고 놀라는 사례가 많다. 방법은 설명하지 않은 채 높은 응답률을 보장하는 ‘온라인 미디어 전문가’를 채용했을 때 이런 일이 많이 일어난다. 싱귤러(Cingular), 트래블로시티(Travelocity), 프라이스라인(Priceline) 등, 의도적으로 애드웨어를 사용해 법정 합의금을 지불해야 했던 회사들도 있다. 스팸과 애드웨어를 큰 위협으로 간주하지 않는 사람들이 많다. 그러나 아주 중대한 시스템 취약점이나 결함에 대한 ‘신호’가 될 수도 있다. 패칭되지 않은 소프트웨어, 소셜 엔지니어링, 기타 백도어 트로이 목마, 랜섬웨어 등이 이용하는 것과 동일한 기법을 매개체로 침입하기 때문이다.
스포츠 해커
현재 대부분 해커는 금전적인 이득을 추구하거나 악의적인 의도를 가진 ‘고용주’에게 채용돼, 또는 정치적인 의도와 목적에서 해킹한다. 그러나 전혀 다른 부류의 해커가 있다. ‘스릴’을 즐기기 위해 해킹을 하는 해커들이다. 이들은 자기자신에게, 또는 온라인 공동체에 자신의 능력을 입증하기 위해 해킹한다.
그러나 과거처럼 그 수가 많지는 않다. 해킹이라는 불법 행위로 기소를 당할 확률이 높아졌기 때문이다. 현대의 스포츠 해커들은 하드웨어 해킹에 관심을 두는 경우가 많다. 라즈베리 파이 키트 같은 칩과 서킷, 점프 와이어로 구성된 범용 하드웨어 해킹 키트가 등장하면서, 하드웨어 해킹에 대한 관심이 커지고 있다. 심지어 아이들을 대상으로 한 하드웨어 해킹 웹 사이트도 있다.
우연한 계기로 해킹하는 사람들
마지막으로 ‘악당’이 아닌, 우연한 계기로 해킹하게 되는 해커들이 있다. 기술적인 전문성과 역량을 갖추고 있지만, 고의로 해킹할 의도는 없는 사람들이다. 그런데 어느 날 우연히 코딩 오류가 명백한 웹사이트를 발견한다. 그리고 이런 ‘퍼즐’에 끌려, 장난삼아 해킹을 시작한다. 이후 실제 쉽게 해킹이 된다는 사실을 발견하고 본인도 깜짝 놀란다. 역사적으로 이런 식으로 해킹하게 된 사람들이 많다. 쉽게 추측할 수 있는 숫자를 URL에 사용한 웹사이트를 해킹해 고객을 파악하는 해킹 사례를 예로 들 수 있다.
이런 해커 중에는 자신이 발견한 문제를 해당 회사에 알리지 않고 있다가 곤경에 처하는 사람들이 있다. 단순히 퍼즐을 푸는 것으로 생각하고, 이를 시작한 후에야 불법적인 행위를 하고 있다는 사실을 깨닫는다. 많은 보안 전문가들은 이런 무고한 해커들이 해당 회사에 문제와 해킹 사실을 알린다면, 이들을 처벌해서는 안 된다고 생각한다. dl-ciokorea@foundryco.com
