해커 vs 크래커

케빈 미트닉(Kevin David Mitnick)은 전설적인 해커다. 그의 해킹 전력은 12살로까지 거슬러 올라가지만 본격적인 해킹 활동은 고등학교 재학 시절부터다. 16세의 어린 나이에 USC(남가주대) 컴퓨터에 침입했다가 잡혀서 소년원도 다녀왔다. 그 후로 그는 본격적인 해킹활동을 시작했다. 콜로라도에 위치한 북미 공군 방어 시스템을 해킹했고 벨사를 해킹해 각종 매뉴얼과 소프트웨어들을 훔치기도 했다. 25세 때 DEC사의 핵심 소프트웨어인 VMS 소스코드를 해킹했다가 경찰에 덜미를 잡혀 산타크루즈 법정에서 재판을 받고 1년간 수감됐다.

케빈 미트닉의 해킹 활동의 절정은 출소 직후인 26세부터 다시금 FBI에 체포되던 32세에 집중된다. 자신을 재판했던 담당판사의 기록을 변경하고 산타크루즈 법정 전산시스템에서 자신의 범죄 기록들을 삭제해버렸다. 29세 때는 모토로라, 썬, 노벨, 퀄컴, 노키아, 후지쯔사의 시스템을 해킹했다. 모토로라의 경우 휴대폰 제어 프로그램을 훔쳤고 NetCom사가 보관하고 했던 백만장자들의 신용카드 번호 정보를 빼내 샌프란시스코 소재 ISP업체인 The Well사의 서버로 이동시키기도 했다. NetCom사의 서버는 그의 해킹 베이스캠프이었다.

케빈 미트닉은 해커들의 세계적 영웅이다. 그가 1995년 2월 15일 32세에 FBI에 체포돼 5년간 수감생활을 하는 동안 그의 석방을 요구하는 ‘Free Kevin 운동’이 해킹 그룹들과 해커들 사이에서 일어났다는 점이 이를 반증해준다. 해킹 그룹 HFG(Hacking For Girls)는 1998년 9월 뉴욕 타임즈 사이트를 해킹한 후 그를 석방하라는 글을 올렸다. 해킹 그룹 2600은 야후, 미국 아동재단 사이트를 해킹해 역시 그의 석방을 요구했다. 이외에도 수많은 해커들이 ‘Free Kevin’이란 문구가 새겨진 노란 스티커를 자신의 사이트에 올렸다.

전설적 해커를 해킹한다는 것은 성장하는 해커들의 꿈이다. 그런 면에서 케빈 미트닉과 관련된 사이트나 그가 직접 운영하는 사이트는 새로운 해커들의 꾸준한 해킹 대상이었다. 2006년 8월에는 케빈 미트닉의 공식 사이트인 MitnickSecurity.com, KevinMitnick .com가 해킹을 당했다. 첫 화면에 그를 조롱하는 문구(“ZMOG! THE MIT NICK GOTZ OWNED!!”)가 담겼고 일부 욕설과 미트닉에 대한 이미지 변조가 있었다.

케빈 미트닉은 자신의 웹사이트를 서비스 해주는 웹 호스팅 업체가 해킹을 당한 것이라고 해명했지만 기분이 썩 좋지는 않다고 고백했다.

해커로서의 그의 유명세를 등에 업고 더불어 유명해진 인물 중에 샌디에고 슈퍼컴퓨터 센터에 근무하던 일본인 쯔토무 시모무라 (Tsutomu Shimomura)가 있다. 시모무라는 케빈 미트닉의 해킹 생활에 종지부를 찍게 만드는데 결정적인 역할을 한 사람이다. 자신의 컴퓨터에서 자료 분실이 생기고 IP 스푸핑 공격을 받는 등 해킹 피해를 당하던 시모무라는 자신의 동료와 함께 휴대폰 추적장치를 동원해 자신의 자동응답기에 녹음하던 케빈 미트닉의 위치를 파악해 FBI가 그를 검거하는데 일조했다. 그 후 시모무라는 존 마르코와 함께 케빈 미트닉을 잡는 2년 동안의 이야기를 다룬 ‘TakeDown’이라는 책을 썼고 2000년 이 책은 영화로도 제작됐다.

케빈 미트닉은 해커에서 크래커로의 전환기적 인물이다. 역사적으로 볼 때 MIT대에서 시작된 해커 그룹은 IT 기술 발전을 이끌어온 긍정적인 존재로 평가됐다. 그러나 정보가 재산과 권력의 중요한 기반이 되고 보니 해커의 초대받지 않은 행동은 상대방에게 큰 피해를 초래한다. 이때부터 해커가 아닌 크래커(파괴자) 혹은 범죄자라는 명칭이 붙기 시작했다. 이런 면에서 케빈 미트닉은 해커가 크래커로 전락되는 시대적 전환기에 매스컴의 주목을 받은 인물이다.

많은 해커들은 여전히 그를 영웅으로 떠받들고 있을지언정, 그는 크래커이며 범죄자라는 것이 FBI와 담당 판사의 주장이다. 1995년 그가 FBI에 체포된 후 기소된 내용을 보면 총 35개 기업을 해킹해 기업 손해 추산액으로 3억 달러가 제시됐으며 총 25건의 위법 행위로 145년 징역형을 저지른 것으로 기소됐다. 법정에서는 7년 형으로 언도를 받았고 2000년 1월 보호관찰과 인터넷 사용금지를 조건으로 출소됐으며 2003년 1월 보호관찰이 말소됐다.

케빈 미트닉이 해커의 영웅이냐 대표적인 크래커냐 하는 논란에 종지부를 찍게 만드는 데는 FBI와 검찰, 법원의 역할이 결정적이었다. 1세대 해커 때부터 중요하게 취급해온 ‘해커 윤리 강령’이 아무리 존재한다고 해도 해커의 궁극적 행위가 실정법을 위반하게 되면 결국 ‘크래커’로 전락된다. 이와 유사한 전환기 사건이 국내 해킹 역사 가운데도 있다. 1996년에 있었던 KAIST 해킹 동아리들의 포항공대 해킹 사건이 바로 그것이다.

KAIST와 포항공대의 해킹 동아리 간에 주고받는 해킹 전쟁은 이미 이전부터 진행되고 있었다. 이러한 상호 해킹 행위가 상대방을 자극해 궁극적으로 실력 있는 IT 전문가를 양성하고 IT 시스템의 보안 수준을 높이는데 도움을 준다는 긍정적 인식도 바닥에 깔려 있었다. 그러나 이것은 과거 해커 시대의 아름다운 옛날이야기이다. 시대적 상황은 해커를 크래커로 전환하도록 만들었다.

KAIST 동아리 쿠스(KUS)와 스팍스(SPARCS) 회원인 학부생들은 얼마 전 자신들이 해킹당한 것을 포항공대 해킹 동아리의 행위로 단정하고 이를 보복하기 위해 포항공대 워크스테이션들을 해킹했다.

그러나 그 중에 물리학 연구과제 결과물이 담긴 워크스테이션을 포함, 총 7대의 워크스테이션들이 동작하지 않음으로써 막대한 피해가 발생했고 결국 서울지방 검찰청은 수사를 착수했다. 해킹 행위에 대한 묵인된 관행이 공권력에 의해 중지되고 해커가 크래커로 전락하는 상황이 국내에서 처음으로 발생한 셈이다. 2명은 구속 기소되고 2명은 불구속 기소되는 것으로 수사는 마무리 됐다. 당시 수사를 지휘한 한봉조 검사는 “더 이상 해커는 사회의 영웅이 아니다”라는 말로 해커의 크래커로의 전락을 공식 선언했다.

현재는 보안 컨설팅 회사 CEO를 맡고 있는 케빈 미트닉이 조만간 자선전적인 영화를 만들겠다고 선언했다. 영화의 가제목은 ‘Catch me if you can(잡을 수 있다면 날 잡아봐)’이라고 한다. 스티븐 스필버그 감독의 2002년 동명 영화 제목을 패러디하고 있다.

과연 이 영화가 해커를 영웅으로 이름답게 부각시킬지, 아니면 희대의 범죄자로서 크래커의 실상을 보여줄까?

아무래도 자서적 영화라는 측면에서 후자는 기대하기 힘들 듯하다.

<글 : 김명주 서울여자대학교 정보보호학과 교수 (mjkim@swu.ac.kr)>

[월간 정보보호21c 통권 제115호(info@boannews.com)]

보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
	민간인증서부터 융복합인증까지, 인증의 시대 열린다
	랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
	데이터 프라이버시가 기업들의 목을 죈다
	재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
	영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
	의료·제약 분야, 코로나19 다음은 해커
	스마트공장 구축은 OT/ICS 보안 정립부터
	드론, 융합보안 산업의 핵심 아이템이 되다
	몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
	CCTV 시스템온칩 대란, 중소기업 생존까지 위협