얼마 전엔 알고 지내는 동생에게서 연락을 받았다. 지금 자기네 동아리 서버 컴퓨터가 해킹 당한 것 같다고, 와서 좀 봐줄 수 있냐고. 알고보니 그 동아리에서 문제를 일으켜 제명 당한 아이가 동아리 컴퓨터를 해킹, 자료를 모두 지워버린 것이었다. 다행히 간단한 툴을 이용해 파일들을 되살릴 수 있었지만, 이젠 앙심을 품고 해킹을 하는 것이 이렇게 일상적인 일이 되어버렸나 싶어서 조금 놀랐었다.
맞다. 예전엔 컴퓨터 바이러스의 제작자 이름을 바꾸는 것이 전부였다면, 이젠 기분 나쁘다는 이유로 남의 컴퓨터를 해킹하는 것이 가능한 시대다. 그만큼 우리는 일상적으로 컴퓨터를 사용하고 있고, 네트워크에 연결되어 있고, 그 시스템이 상처 받았을 경우 감당해야 할 리스크가 커져 버린 시대에 살고 있다. 어느덧 해킹은 보통 사람들에게도 신기한 세상의 이야기가 아니라 일상적인 위협으로 변해버렸다.
정보가 힘이 되어버린 시대. 이 문장에 태클을 걸 수 있는 사람은 없을 것이다. 하지만 알고 있을까. 말은 같지만 의미는 달라졌다. 예전에는 누가 무엇을 알고 있는 가가 중요했다. 정보의 내용이 힘이고 권력이었다. 하지만 몇 년 전 일어난 위키리크스 사건에서도 알 수 있듯이, 비밀이 폭로되어도 세상이 변하지는 않는다. 중요한 것은 정보가 다뤄지는 과정이고, 그 정보를 다룰 줄 아는 능력이다. 정보의 내용이 아니라 정보를 다루는 시스템이 세상을 결정한다.
그들은 왜 그것을 만들었는가
유감스럽게도 시스템은 보수적이다. 대부분의 시스템은 자기 자신을 유지하는 것을 자신의 목적으로 삼는다. 하지만 시스템이 언제나 옳은 것은 아니다. 그리고 자신에게 내재된 보수성으로 인해 때론 혁신과 진보를 가로막는 장애물로 작용하기도 한다. 초기 해커들은 그런 시스템에 도전하는 사람들이었다.
너무나 비싸서 경비원까지 고용하며 관리하던 컴퓨터를 사용해 보겠다고 열쇠를 복사하던 사람들, 전화망을 해킹해서 몰래 통화를 하던 사람들이 바로 초기 해커였다. 위험을 무릅쓰고 해킹하면서 사용했던 지식과 경험은 자신들만의 커뮤니티를 통해 공유하며 발전시켜 나갔다. 호기심, 기득권에 도전한다는 두근거림, 자기 과시 그리고 그렇게 해서 받게 되는 커뮤니티의 인정과 명예. 언제나 해커들을 움직이는 것은 바로 그것들이었다.
뭔가 남자스러운 욕망이라고? 맞다. 남자들이다. 바이러스 제작자 가운데 여성은 극히 드문 편이다. 실제로 90년대에 검거된 바이러스 제작자들은 대부분 15살에서 22살 사이의 남자였다. 때문에 이들이 오랫동안 활동하는 경우는 많지 않았다. 여자친구가 생기거나 졸업을 하게 되면 바이러스 제작을 그만두거나, 보안 업체등에 취직하는 경우가 대부분이었다. 당연히 기술적 수준 역시 그리 높지 않았다.
그러다 1995년 윈도우95의 등장, 2002년~2003년 인터넷의 광범위한 보급과 더불어 이런 흐름에 변화가 생기기 시작한다. 네트워크를 통해 스스로 감염되는 ‘웜(Worm)’이나 좀비PC를 만드는 트로이 목마(Trojan)’형식의 프로그램들이 등장하고, 컴퓨터 바이러스와 이들을 다 합쳐서 부르는 악성코드(멀웨어, Malware)라는 이름도 만들어졌다. 이렇게 악성코드가 다양해진 이유는 단 하나다. 예전 바이러스는 단순히 개개인의 컴퓨터 데이터를 파괴하는 것에서 끝났다면, 이젠 사람들에게서 돈을 뜯어낼 가능성이 생겼기 때문이다.
욕망에서 이익으로
21세기의 악성 코드는 20세기의 컴퓨터 바이러스와 많이 다르다. 여기에 애드웨어 같은 사용자 괴롭힘 프로그램들의 숫자 역시 기하급수적으로 증가하는 추세다. 이유는 단순하다. 해킹과 악성코드 제작을 쉽게 가능하게 해주는 도구들이 발표됐기 때문이다. 2001년에 등장한 WBSWG 웡 킷이 바이러스를 제작하는데 도움을 줬다면, 2006년 등장한 엠팩과 웹어택커는 공격용 악성코드를 쉽게 활용할 수 있게 만들었다.
이후 제왕으로 불리는 제우스 킷이 등장했고, 2009년부터 수십종의 툴 킷이 쏟아져 나오기 시작한다. 툴 킷과 약간의 지식만 있으면 누구라도 해킹을 할 수 있는 시대가 도래한 것이다. 농담이 아니다. 당신도 원한다면, 조금만 고생한다면 웹사이트에서 해킹툴을 사거나, 다운받거나, 해킹을 의뢰할 수가 있다. 그 종류는 이미 수만 가지에 달한다.
이제 악성코드는 ‘누가’ 제작하는 가가 문제가 아니라 ‘어떻게’ 사용하는 가로 질문이 옮겨가기 시작한다. 실제로 2010년엔 다국적 범죄집단이 미국에서 온라인 뱅킹을 통해 7000만 달러의 돈을 훔친 사건이 발생했고, 영국에서도 100만달러에 달하는 돈이 빼돌린 사건이 발생했다. 실제로 이익을 얻을 수 있으니 악성코드에 대한 수요가 생겼고, 그 때문에 전문적으로 악성코드 툴 킷을 만들어 파는 사람들의 숫자도 늘어갔다. 심지어 악성코드 툴킷에도 불법복제 방지장치가 도입되어 있을 정도다.
인터넷 사건 사고가 발생하면서 생긴 공포를 이용해 수익을 올리는 사람들도 있다. 가짜 바이러스 백신 프로그램을 제작하는 업체들이다. 이 글을 읽는 사람들 중에도 가짜 백신을 진단받고 치료하고 싶으면 결제하라는 창이 뜨는 것을 본 적이 있을 것이다. 그 밖에 인터넷 첫 화면을 포르노, 도박 사이트나 자신들의 홈페이지로 바꾸는 것은 수시로 당해 봤을테고. 최근에는 포털 사이트의 아이디를 해킹당해 자기도 모르게 자기 아이디로 광고성 글을 카페나 게시판에 도배한 경험도 몇명에겐 있을 것 같다.
…그리고 짐작했겠지만, 산업 스파이나 정부의 정보 기관, 군에서도 이런 기술을 활용해 정보를 획득하고는 한다. 한국에선 아예 패킷 감청을 통해 인터넷으로 전송되는 데이터를 통채로 가로채 분석하는 대담한 수법이 합법이기 때문에 굳이 사용하지 않을 지도 모르지만.
핵티비스트 시대의 도래
총을 누가 만들줄 아느냐가 아니라 총을 어떻게 써야 하는 시대로 변하니, 그에 따라 사람들의 행동 역시 변하게 된다. 최근 드러나는 새로운 경향은 핵티비즘의 전면적인 등장이다. 해커와 액티비즘이 결합된 이 말은, 해킹이나 악성코드를 이용한 공격을 정치/사회적 의사 표시의 수단으로 사용하는 흐름을 일컫는 말이다. 어느새 우리에게 익숙한 이름이 된 ‘어나니머스(Anoymous)’나 룰즈섹(LulzSec), 중국홍객연맹(中國紅客聯盟)이 바로 그들이다. 한국에서도 예전 정부 시절에 청와대 홈페이지를 해킹한 사례가 있다. 거기에 국가간의 드러나지 않는 해킹 전쟁까지 포함하면, 전 세계 인터넷 트래픽의 상당수는 이런 소모적인 정쟁에 사용되고 있을 것이 분명하다.
액션 드라마로 시작해 범죄 드라마로 변하더니 정치 드라마가 되어버린 것이 지금의 악성코드 세계다. 이 드라마의 주인공들은 해커에서 범죄자로, 이번엔 혁명가들로 계속 교체되어가고 있다. 그리고 유감스럽지만, 이런 흐름을 막을 수 있는 방법은 없다. 아무리 보안 기술이 뛰어나다고 해도 어딘가에는 분명히 헛점이 생긴다. 네트워크는 너무 잘 연결되어 있고, 이제 관리해야할 컴퓨터의 숫자는 한 두대가 아니다. 거기에 스마트폰은 준비할 겨를도 없이 너무 빨리 보급되어 버렸다. 거기에 공격방법은 이제 빠른 속도로 진화하고 있다.
그런 치열한 흐름속에서, 우리는 ‘어떤 것이 벌어졌는지’는 인지해도 ‘누가, 왜’ 그랬는 지는 알기 어려울 정도로 사건들은 계속 터져나오고 있다. 생각해보라. 지난 2009년부터 줄지어 이어진 해킹 사건에서 ‘모두 북한이 그랬다’라는 이야기를 제외하고 ‘유출된 정보는 어떻게 사용됐는지’를 들어본 기억이 있는가? 지금도 잃어버린(내 통제권을 벗어난) 내 정보가 인터넷 어딘가에서 수만개가 떠돌아다니고 있을 것이다.
…보이지 않는 혼돈과 아노미, 그것이 우리가 처해 있는 분명한 현실이다.
* 아레나 옴므 코리아 2013년 8월호에 기고한 글입니다.