세운상가 키드였던 어린 시절, 한 친구가 컴퓨터 바이러스를 만들었다고 자랑한 적이 있었다. 살펴보니 자신이 바이러스를 만든 것이 아니라, 바이러스에 들어 있는 제작자의 이름을 자기 이름으로 바꾼 것이 전부였다. 하지만 그 녀석은 의기양양했고, 당시 인기를 끌던 최신 컴퓨터 게임 디스켓에 그것을 담아 컴퓨터 가게에 넘겼다. 뭐 저런 쓸데없는 일을 하나 싶었는데, 몇 년 후 바이러스에 걸린 선배의 컴퓨터를 치료해주다가 그 녀석의 이름을 발견하고 황당해 웃었던 기억이 있다.
얼마 전엔 알고 지내는 동생에게서 연락을 받았다. 자기네 동아리 서버 컴퓨터가 해킹당한 것 같다고, 와서 좀 봐줄 수 있냐고. 알고 보니 그 동아리에서 문제를 일으켜 제명당한 아이가 동아리 컴퓨터를 해킹, 자료를 모두 지워버린 것이었다. 다행히 간단한 툴을 이용해 파일들을 되살릴 수 있었지만, 이젠 앙심을 품고 해킹하는 것이 일상적인 일이 되어버렸나 싶어서 조금 놀랐다.
맞다. 예전엔 컴퓨터 바이러스의 제작자 이름을 바꾸는 것이 전부였다면, 이젠 앙심을 품었단 이유로 동아리의 컴퓨터를 해킹하는 것이 가능한 시대다. 그만큼 우리는 일상적으로 컴퓨터를 사용하고 있고, 네트워크에 연결되어 있고, 그 시스템이 상처받았을 경우 감당해야 할 리스크가 커진 시대에 살고 있다.
어느덧 해킹은 보통 사람에게도 신기한 세상의 이야기가 아니라 일상적인 위협으로 변해버렸다. 정보가 힘이 되어버린 시대.
이 문장에 태클을 걸 수 있는 사람은 없을 것이다. 하지만 말은 같지만 의미는 달라졌다. 예전에는 누가 무엇을 알고 있는가가 중요했다. 정보의 내용이 힘이고 권력이었다. 하지만 몇 년 전 일어난 위키리크스 사건에서도 알 수 있듯이, 비밀이 폭로되어도 세상이 변하지는 않는다. 중요한 것은 정보를 다루는 과정이고, 그 정보를 다룰 줄 아는 능력이다. 정보의 내용이 아니라 정보를 다루는 시스템이 세상을 결정한다.
유감스럽게도 시스템은 보수적이다. 대부분 시스템은 자기 자신을 유지하는 것을 목적으로 삼는다. 하지만 시스템이 언제나 옳은 것은 아니다. 그리고 자신에게 내재된 보수성으로 때론 혁신과 진보를 가로막는 장애물로 작용하기도 한다.
초기 해커들은 그런 시스템에 도전하는 사람들이었다. 너무나 비싸서 경비원까지 고용하며 관리하던 컴퓨터를 사용해보겠다고 열쇠를 복사하던 사람들, 전화망을 해킹해서 몰래 통화를 하던 사람들이 바로 초기 해커였다. 위험을 무릅쓰고 해킹하면서 사용했던 지식과 경험은 자신들만의 커뮤니티를 통해 공유하며 발전시켜 나갔다. 호기심, 기득권에 도전한다는 두근거림, 자기 과시 그리고 그렇게 해서 획득하는 커뮤니티의 인정과 명예. 해커들을 움직이는 것은 바로 그것들이었다.
뭔가 남성스러운 욕망이라고? 맞다. 남자들이다. 바이러스 제작자 가운데 여성은 극히 드문 편이다. 실제로 1990년대에 검거된 바이러스 제작자들은 대부분 15세에서 22세 사이의 남자였다. 때문에 이들이 오랫동안 활동하는 경우는 많지 않았다. 대부분 여자친구가 생기거나 취직하게 되면 바이러스 제작을 그만두거나, 보안 업체 등에 취직했다. 당연히 기술 수준 역시 그리 높지 않았다.
그러다 1995년 윈도95의 등장, 2002~2003년 인터넷의 광범위한 보급과 더불어 이런 흐름에 변화가 생기기 시작했다. 네트워크를 통해 감염되는 ‘웜(Worm)’이나 좀비 PC를 만드는 ‘트로이 목마(Trojan)’ 형식의 프로그램들이 등장하고, 컴퓨터 바이러스와 이들을 다 합쳐서 부르는 ‘악성코드(멀웨어, Malware)’라는 이름도 만들어졌다. 이렇게 악성코드가 다양해진 이유는 단 하나다.
예전 바이러스는 단순히 개개인의 컴퓨터 데이터를 파괴하는 것에서 끝났다면, 이젠 사람들에게서 돈을 뜯어낼 가능성이 생겼기 때문이다.
21세기 악성코드는 20세기의 컴퓨터 바이러스와 많이 다르다. 여기에 애드웨어 같은 사용자 괴롭힘 프로그램들의 숫자 역시 기하급수적으로 증가하는 추세다. 이유는 단순하다. 해킹과 악성코드를 쉽게 제작할 수 있는 도구들이 발표됐기 때문이다.
2001년에 등장한 WBSWG 웡 키트가 바이러스를 제작하는 데 도움을 줬다면, 2006년 등장한 엠팩과 웹어택커는 공격용 악성코드를 쉽게 활용할 수 있게 만들었다. 이후 제왕으로 불리는 제우스 키트가 등장했고, 2009년부터 수십 종의 툴 키트가 쏟아져 나오기 시작한다. 툴 키트와 약간의 지식만 있으면 누구나 해킹할 수 있는 시대가 온 것이다.
농담이 아니다. 당신도 원한다면, 조금만 고생한다면 웹사이트에서 해킹 툴을 사거나, 다운로드하거나, 해킹을 의뢰할 수 있다.
그 종류는 이미 수만 가지에 달한다. 이제 악성코드는 ‘누가’ 제작하는가가 문제가 아니라 ‘어떻게’ 사용하는가로 질문이 옮겨가기 시작했다. 실제로 2010년엔 다국적 범죄 집단이 미국에서 온라인 뱅킹을 통해 7천만 달러의 돈을 훔친 사건이 발생했고, 영국에서도 1백만 달러에 달하는 돈을 빼돌린 사건이 발생했다. 실제로 이익을 얻을 수 있으니 악성코드에 대한 수요가 생겼고, 그 때문에 전문적으로 악성코드 툴 키트를 만들어 파는 사람들의 숫자도 늘어갔다. 심지어 악성코드 툴 키트에도 불법 복제 방지장치가 도입되어 있을 정도다.
인터넷 사건 사고가 발생하면서 생긴 공포를 이용해 수익을 올리는 사람들도 있다. 가짜 바이러스 백신 프로그램을 제작하는 업체들이다. 이 글을 읽는 사람들 중에도 가짜 백신을 진단받고 치료하고 싶으면 결제하라는 창이 뜨는 것을 본 적이 있을 것이다. 그 밖에 인터넷 첫 화면이 포르노, 도박 사이트나 그들의 홈페이지로 바뀌는 것은 수시로 당해봤을 테고. 최근에는 포털 사이트의 아이디를 해킹당해 자기 아이디로 광고성 글을 카페나 게시판에 도배한 경험도 몇 명에겐 있을 것이다. 그리고 짐작했겠지만, 산업 스파이나 정부의 정보기관, 군에서도 이런 기술을 활용해 정보를 획득하고 있다. 한국에선 아예 패킷 감청을 통해 인터넷으로 전송되는 데이터를 통째로 가로채 분석하는 대담한 수법이 합법이기 때문에 굳이 사용하지 않을지도 모르지만.
총을 누가 만들 줄 아느냐가 아니라 총을 어떻게 써야 하는가 하는 시대로 변하니, 사람들의 행동 역시 변하게 된다. 최근 드러나는 새로운 경향은 핵티비즘의 전면적인 등장이다. 해커와 액티비즘이 결합된 이 말은, 해킹이나 악성코드를 이용한 공격을 정치 및 사회적 의사 표시의 수단으로 사용하는 흐름을 일컫는다. 어느새 우리에게 익숙한 이름이 된 ‘어나니머스’나 룰즈섹, 중국홍객연맹이 바로 그들이다.
한국에서도 예전 정부 시절에 청와대 홈페이지를 해킹당한 사례가 있다. 거기에 국가 간의 드러나지 않는 해킹 전쟁까지 포함하면, 전 세계 인터넷 트래픽의 상당수는 이런 소모적인 전쟁에 이용되고 있을 것이 분명하다. 액션 드라마로 시작해 범죄 드라마로 변하더니 정치 드라마가 되어버린 것이 지금의 악성코드 세계다. 이 드라마의 주인공들은 해커에서 범죄자로, 이번엔 혁명가들로 계속 교체되어가고 있다. 그리고 유감스럽지만, 이런 흐름을 막을 수 있는 방법은 없다. 아무리 보안 기술이 뛰어나다고 해도 어딘가에는 분명히 허점이 생긴다. 네트워크는 너무 잘 연결되어 있고, 이제 관리해야 할 컴퓨터의 숫자는 한두 대가 아니다. 거기에 스마트폰은 준비할 겨를도 없이 너무 빨리 보급되어버렸다. 이제 공격 방법은 빠른 속도로 진화하고 있다.
그런 치열한 흐름 속에서, ‘어떤 것이 벌어졌는지’는 인지해도 ‘누가, 왜’ 그랬는지는 알기 어려울 정도로 사건들은 계속 터져 나오고 있다. 생각해보라. 지난 2009년부터 줄지어 이어진 해킹 사건에서 ‘모두 북한이 그랬다’라는 이야기를 제외하고 ‘유출된 정보는 어떻게 사용됐는지’ 들어본 기억이 있는가? 지금도 잃어버린(내 통제권을 벗어난) 내 정보가 인터넷 어딘가에서 수만 개 떠돌아다니고 있을 것이다. 보이지 않는 혼돈과 아노미, 그것이 우리가 처해 있는 분명한 현실이다.
EDITOR: 조진혁
ILUSTRATION: 염길정
<아레나옴므플러스>의 모든 기사의 사진과 텍스트는 상업적인 용도로 일부 혹은 전체를 무단 전재할 수 없습니다. 링크를 걸거나 SNS 퍼가기 버튼으로 공유해주세요.
KEYWORD
