<핵티비스트=hacktivist>
WHO AM I?
‘나는 누구일까(WHO AM I)?’WHO AM I?
한국수력원자력을 해킹한 해커들은 원전의 기밀문서를 유출하면서 이 같은 문구를 새겨넣었다. 정부는 아직까지 이들이 누구인지 밝혀내지 못하고 있다. 소니픽처스와 소니 게임 사이트를 해킹한 해커들도 마찬가지다. 스스로 밝힌 이름과 일부 공격 방식 외엔 알려진 게 없다. 버락 오바마 미국 대통령이 배후로 북한을 지목했지만 전문가들은 오히려 러시안 해커일 가능성에 무게를 두고 있다. 이들이 국가, 기업의 기밀을 빼내고 정부를 조롱하는 일이 반복되고 있지만 전산 추적만으로 이들의 실체를 밝히는 것은 거의 불가능에 가깝다는 게 전문가들의 얘기다.
세계 최대 네트워크 장비 회사인 시스코에 따르면 세계 인구의 20억명은 인터넷에 연결돼 있다. 저개발 국가들을 제외하곤 이미 개인, 가정, 공장, 자동차, 국가 주요 시설까지 인터넷 세상에선 하나라는 의미다. 누구나 해킹의 대상이 될 수 있다는 점에서 해킹에 대한 두려움은 점점 더 커지고 있다. 월스트리트저널은 “올해는 인터넷 연결성에 엄청난 비용이 따른다는 것이 분명해진 한 해였다”며 “더 많은 데이터가 인터넷에 연결된 기기에 의해 만들어지고 저장, 전송되면서 해커들에게 더 많은 기회가 오고 있다”고 지적했다.
핵티비스트로 진화하는 해커들
소니 플레이스테이션, 마이크로소프트 엑스박스 이용자와 아마존 회원 등 1만3000여명의 개인정보가 27일 인터넷에 공개됐다. 여기에는 아이디와 비밀번호는 물론 신용카드 번호와 보안코드까지 포함돼 있다. 정보를 공개한 해커들은 자신들이 국제 해커조직 ‘어나니머스(Anonymous·익명)’의 연계세력이라며 “재미를 위해 했다”고 주장했다. 그러나 전문가들은 기존 소니픽처스에 대한 해킹 수사에 혼란을 일으키려는 의도가 있는 것으로 보고 있다.
20세기 후반 컴퓨터의 등장과 함께한 초창기 해커들은 컴퓨터와 네트워크 등을 탐구하고 해킹 행위 자체를 즐겼다. 그들의 목적은 스스로의 능력을 개발하는 것이었다.
이 같은 흐름은 2000년대 들어 변하기 시작했다. 해커들이 집단화, 조직화된 것이다. 가장 큰 원인은 보안프로그램이 발전하면서 개인의 힘으론 해킹이 힘들어진 것이다. 임종인 고려대 정보보호대학원장은 “기업, 정부들이 사이버안보를 강조하게 되면서 단순히 천재성만으론 해킹을 하는 것이 어려워졌다”며 “지능형 지속공격(APT)과 같은 장기간의 준비가 없으면 해킹이 불가능한 대상이 많아졌다”고 말했다.
조직화된 해커들은 돈을 목적으로 하는 그룹과 정치적 목적을 달성하려는 그룹으로 나뉘었다. 최근 가장 이슈가 되는 것은 후자로, 해커와 활동가(activist)를 합성해 핵티비스트(hacktivist)라 부른다. 이들은 인터넷을 통한 컴퓨터 해킹을 투쟁 수단으로 사용하는 새로운 형태의 행동주의자들이다. 이들의 등장으로 자신의 정치·사회적 신념을 알리기 위해 해킹을 도구로 삼는 움직임을 뜻하는 ‘핵티비즘’이라는 신조어까지 생겼다.
정부와 사이버전쟁도 불사
최근 세계적으로 가장 주목받은 핵티비즘 해커 집단은 어나니머스다. 2000년대 초반 미국 커뮤니티 사이트 4챈(4chan)에서 시작된 것으로 알려진 어나니머스는 2010년 말 미국 정부 외교 기밀문서를 폭로한 위키리크스를 지지하는 선언을 발표했다. 위키리크스에 대한 기부금 결제를 막은 마스타카드, 비자, 페이팔 사이트에 디도스 공격도 감행했다. 2011년 아랍 민주화 운동이 일어나자 어나니머스는 아랍 시위대에 대한 지지를 선언하고 튀니지, 이집트 등 독재국가 정부 사이트를 공격해 마비시켰다. 미국 시사주간지 타임은 그해 어나니머스를 세계에서 가장 중요한 100인의 하나로 선정했다.
지난해 한국을 떠들썩하게 했던 북한 웹사이트 ‘우리민족끼리’ 회원 정보 공개 사건 역시 어나니머스의 소행이다. 룰즈섹은 어나니머스에서 파생된 해커 집단이다. 룰즈섹은 웃음을 뜻하는 온라인 용어 ‘LOL(laughing out loud)’과 ‘보안’을 뜻하는 ‘시큐리티(security)’의 합성어다. 보안을 비웃는다는 의미다. 이들은 때로는 핵티비스트의 모습을 보이기도 하지만 재미와 명성을 얻기 위해 해킹을 활용한다. 미국 폭스TV의 스타 발굴 방송인 X팩터 웹사이트를 해킹하면서 이름을 날리기 시작했고 이후 소니와 닌텐도 등 일본 게임업체와 미국 연방수사국(FBI), 중앙정보국(CIA) 등에 대한 공격을 성공시켰다.
최근 영화 ‘인터뷰’ 개봉을 앞두고 소니픽처스를 해킹했다고 주장한 ‘평화의 수호자(GoP·Guardians of Peace)’와 소니 계열사 및 마이크로소프트 온라인 게임·영화·음악 콘텐츠 서비스에 대한 해킹을 감행한 ‘리저드 스쿼드(Lizard Squad)’는 떠오르는 핵티비스트들이다.
해커 양성에 열올리는 세계 정부
각국 정부는 해커를 막기 위해 보안을 강화하는 한편 해커를 경쟁적으로 양성하고 있다. 소니와 한수원 해킹에 대해 북한이 배후로 지목받고 있는 것도 북한이 전략사이버사령부를 창설하는 등 6000여명의 해커를 보유하고 있기 때문이다. 북한뿐만이 아니다. 미국 정부는 2009년 사이버보안사령부를 창설해 6000여명의 해커 전력을 확보한 것으로 알려졌다. 중국 역시 국방부 산하에 해커부대 ‘61398’을 운영하고 있다. 미 법무부가 지난 5월 이 부대 소속 군인 5명을 산업스파이 및 기업 비밀 절취 등의 혐의로 기소하면서 양국이 대립하기도 했다.
우크라이나 사태를 두고 서방 국가와 갈등 관계를 유지하고 있는 러시아 역시 자국의 이익을 위해 해킹을 적극적으로 활용하고 있다. 올초 친(親)러시아 해커집단 ‘사이버검독수리’는 우크라이나 국가안보방위위원회에 디도스 공격을 가했다. 북대서양조약기구(나토)는 러시아의 해킹 공격에 대응하기 위해 지난달 670명이 참여한 사상 최대 규모의 사이버 전쟁 대응 훈련을 시행했다.
강영연/김순신 한국경제신문 기자 yykang@hankyung.com