영웅이자 범인인 마커스 헛친스, 나름의 해피엔딩

워너크라이 사태 해결했던 영웅, 두 달 만에 공항에서 체포됐던 사연
과거에 대한 뉘우침 진심으로 받아들여진 듯...1년 가석방으로 종결

[보안뉴스 문가용 기자] 2017년 5월 전 세계를 놀라게 했던 워너크라이(WannaCry) 랜섬웨어를 막으면서 사이버 보안 업계의 영웅으로 등극했던 마커스 헛친스(Marcus Hutchins)지만, 멀웨어를 개발했던 과거의 행적까지 ‘세탁’할 수는 없었다.

[이미지 = iclickart]

사실 FBI는 워너크라이 사태가 있기 전부터 헛친스를 수사해오고 있었고, 영웅으로 칭송받고서 2개월이 채 지나지 않아 체포하는 데 성공했다. 그가 멀웨어를 만들고 인터넷 뱅킹용 비밀번호를 훔쳤던 과거의 범행 때문이었다.

체포된 헛친스는 지는 금요일 밀워키의 연방 법원에서 열린 재판에 참석했다. 헛친스는 이미 자신의 잘못을 인정한 상태며, “어렸을 때 했던 경솔한 짓을 뉘우친다”는 입장이다. 재판관들은 그의 이러한 입장을 알고 있으며, 워너크라이 사태 때 ‘킬 스위치’를 발동시켜 피해를 막은 점 또한 참작하고 있다고 한다.

헛친스는 더 이상 멀웨어 공격을 하지 않고 있으며, 오히려 보안 전문가로서 멀웨어 공격을 막는 법을 연구하고 있다. 체포된 이후 재판 때문에 영국으로 돌아갈 수 없어 캘리포니아에서 활동했다고 한다.

재판관들은 “수년 동안 은행을 털어오던 자가, 갑자기 자신의 행위가 잘못되었음을 깨닫고 은행 강도로부터 은행을 보호하는 방법을 개발한다고 했을 때 우리는 그의 공적을 치하하겠지만, 과거의 했던 잘못된 일들 역시 책임을 지도록 해야 한다”고 말했다.

그의 과거는 10개 혐의로 정리되어 있는데, 두 개의 멀웨어를 개발한 일과 FBI에 위증한 것이 포함되어 있다. 두 개의 멀웨어는 유파스 킷(UPAS Kit)과 크로노스(Kronos)다. 2012년부터 2015년까지 이 두 가지 멀웨어를 개발해 퍼트렸다. 캘리포니아의 어떤 인물에게 악성 소프트웨어를 개인적으로 전달한 적도 있다.

헛친스는 크로노스와 유파스 캇의 최신 버전을 만들어 배포했다는 두 가지 혐의에 대해서는 유죄를 인정했다. “보안 업계에서 경력을 시작하기 전에 만든 멀웨어 두 가지와 관련된 혐의는 인정합니다. 제가 그런 행동을 했다는 걸 후회하고 있으며 책임감을 느끼고 있습니다. 지금의 전 제가 가지고 있던 기술을 생산적인 목적을 위해 사용하고 있습니다.” 나머지 여덟 개의 혐의는 무죄를 주장했고 재판관도 이 여덟 가지 항목을 기각시켰다.

재판관은 크로노스에 대해 “전 세계 수많은 컴퓨터를 감염시켰으며, 은행과 관련된 정보를 훔치는 데 사용됐다”고 설명했다. 하지만 감염 규모를 정확한 숫자로 공개하지는 않았다. 또한 멀웨어 배포로 인해 헛친스가 거둔 수익 역시 제대로 밝혀지지 않고 있다. 하지만 FBI가 2014년 11월 가로채는 데 성공했던 온라인 채팅 메시지에 의하면 헛친스가 다섯 개를 팔아 8천 달러의 수익을 거둔 것으로 보인다.

재판이 시작되기 전 각종 언론들은 그가 최대 10년형까지 받을 수 있다고 봤다. 하지만 헛친스는 1년의 가석방 형을 받았다. 아무도 상상하지 못했던 결론이다. 헛친스는 트위터를 통해 “저를 이해해주고 유연한 판결을 내리신 재판관님들께 감사하며, 여러분들께서 지난 몇 년 동안 보내주신 편지와 서신들에 많은 힘을 받아왔음을 다시 한 번 감사하게 알려드린다”고 밝혔다.

3줄 요약
1. 워너크라이의 킬 스위치 개발해 영웅에 등극한 마커스 헛친스.
2. 하지만 그의 과거는 멀웨어 개발 및 배포자. FBI의 추적을 수년 간 받아왔던 몸.
3. 최종 재판이 지난 주말 열렸고, 그는 1년의 가석방 형을 받음.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)