해커문화로 본 사이버 안전의 위협 요인

가 +
가 -

2000년 2월 어느날이었다. 야후닷컴, 아마존닷컴, 이베이닷컴 등 막 태동하며 시장 규모를 키워가던 굴직굴직한 e커머스 기업들의 웹사이트가 연달아 마비되는 사태가 발생했다. 길게는 수시간 웹사이트는 먹통이 됐고 이로 인한 경제적 손실도 막대했다. 뉴욕증권거래소는 당황했고, 주가도 폭락했다. 이때 활용된 네트워크 공격 기법은 서비스거부 공격 즉, DoS(Denial-Of-Service attacks)다. 요즘 철마다 등장하는 DDoS 공격의 원형이다. 여러 기록에 따르면 DoS 기법에 의한 최초 공격 사례로 알려지고 있다.

DDoS는 악의적인 해킹 기법으로 알려져 있지만 시작은 호기심과 자기표현이라는 소소한 목적에서 발아됐다. ‘마피아보이’라는 가명을 쓰던 15세 캐나다 고등학생 마이클 칼스가 다른 해킹그룹을 겁주기 위해 장난스럽게 행해지며 시작됐다. 요즘처럼 막대한 현금을 탈취하기 위한 목적도, 네트워크로 연결된 세상을 ‘전복’(?)하기 위한 음험한 의도도 없었다.

이 사건은 전화위복이 됐다. 클린턴 정부는 이 사건을 계기로 보안의 중요성을 인식하게 됐고 사이버 보안 관련 법률도 제정했다. 15세 고등학생은 지금 어엿한 보안 전문가로 성장해 이렇게 회고한다. “그 사건은 많은 이슈를 제기했다. 보안이 개선된 계기였고 큰 관심을 불러일으킨 사건이었다. 컴퓨터와 인터넷에 내재된 결함과 문제점이 드러난 사건이기도 했다.” 15세 청년 해커의 호기심은 사이버 보안에 대한 인식 전체를 송두리째 바꾸는 발판을 놓았다.

해킹의 역사와 저항·반독점 의식

옥스퍼드 사전에 따르면 핵(Hack)이라는 용어는 비정규적인 방식으로 거칠게 뭔가를 자른다는 뜻이다. 사전편찬가이자 미국방언학회 회장인 제스 쉐이드로어는 핵, 해커라는 단어의 의미에 대해 “기술적인 문제를 다른 방식으로 다루는 것, 매뉴얼을 따르지 않고 더 독창적인 방식으로 다룬다는 의미로 쓰였다”고 했다. 처음부터 해킹은 ‘왼손잡이’ 접근법이면서 저항적이고 혁신적 방법론을 지칭하는 용어였다고 할 수 있다.

다소 거칠고 투박한 동사가 기계와 인연을 맺게 된 건 1955년 MIT에서다. ‘테크모델철도클럽’(TMRC)미팅에서 “에클(Mr.Eccles)씨는 퓨즈가 끊기는 것을 피하기 위해 전원을 차단하는 전기시스템을 만지거나 해킹하는 사람을 요청했다”는 발언이 있었고, 이것이 해킹의 시작을 알린 첫 번째 기록으로 남아있다. MIT에서 잉태된 해킹은 1960년대를 거치며 히피, 반전, 저항과 결합했다. 그리고 공동체 문화로 진화했다. 주축은 여전히 MIT였다. 연구자들은 MIT 인공지능연구소에 설치된 IBM 컴퓨터에 접근하기 위해 비밀번호를 파괴하거나 시스템 침입을 위한 다양한 기술적 시도를 하며 해킹문화를 만들어나갔다. 그 과정에서 새로운 프로그램과 기법이 출현했는데, 이러한 전반적인 행위를 ‘해킹’이라 불렀다.

tx1

[그림1] MIT에 설치된 세계 최초의 트렌지스터 컴퓨터 TX-0. MIT 테크모델철도클럽 해커들이 해킹 대상이 됐다.(사진 출처 : https://videogamehistorian.wordpress.com/tag/mit/)


해킹 정신은 MIT 사례에서 보듯 컴퓨터에 대한 관료적 접근의 통제, 독점적 사용에 대한 거부에서 비롯됐다. 해커 윤리에 “컴퓨터에 대한 접근은 완전히 자유를 보장받아야 한다”는 내용이 포함된 것도 실은 이 때문이다(Revy, 2010/2013, 56쪽). MIT 인공지능연구소의 해커공동체는 리차드 스톨만이라는 위대한 후계자를 낳았고, GNU 1 역사를 창조했다. 스톨만이 설립한 자유소프트웨어재단(FSF)은 MIT 해커공동체에 뿌리를 두고 있다. 리누스 토발즈는 GNU/리눅스로 상업용 소프트웨어를 밀어냈고, 깃허브(github)라는 오픈소스 창고를 기초했다. MIT에서 움튼 해킹문화는 동부를 넘어 미국 서부 실리콘밸리로도 퍼져갔다. 1970년대 홈블루클럽이라는 해킹 커뮤니티가 결성됐고, 여기서 내로라하는 하드웨어 해킹의 결과물들이 탄생했다. 특히 개인용 컴퓨터 ‘알테어8800’의 등장은 홈블루클럽(Homebrew Club)의 확장을 촉발시킨 기폭제였다. 애플이라는 시대의 아이콘이 탄생한 데엔 홈블루클럽의 천재 해커였던 스티브 워즈니악의 절대적 공헌이 있었다(Revy, 2010/2013, 327쪽).

해커, 변종의 탄생과 소프트웨어 상업화

apple1

[그림2] 홈블루클럽 해커였던 스티브 워즈니악이 개발한 애플1. 1976년 홈블루클럽 모임에서 처음으로 소개됐다.(사진 출처 : http://www.computerhistory.org/revolution/personal-computers/17/312)

해커라는 용어가 범죄와 오버랩 시기는 대략 1980년대다. 1976년 발간된 ‘컴퓨터 범죄’(Crime by Computer)라는 책에 트로이안 목마, 시한폭탄, 시스템 해커 등의 용어가 등장하며 해커의 역기능이 소개되기는 했지만 해킹과 범죄를 동일시하는 사회적 인식이 착근되는 국면은 아니었다. 해킹이 범죄 행위로 인식되게 된 이면에는 반독점, 자유를 갈망하는 해커집단의 도전적 저항행위가 국가기구에 의해 정치적 탄압의 대상이 된 사건이 자리를 잡고 있다. 여기에 재산권 강화라는 신자유주의적 흐름과 맞물려 소프트웨어를 독점화한 상품으로 묶어두려는 시도들이 반복된 것도 영향을 미쳤다.

1985년 리차드 스톨만의 GNU 선언문 발표는 해커들이 저항성을 표현하는 분기점이 됐다. 이후 다양한 기법으로 국가의 네트워크 통제와 독점 소프트웨어에 대한 공격을 감행했다. 반면 국가는 해커들의 시위를 싸잡아 범죄로 낙인했다. 미국 정부는 1990년 5월 선데블 작전(Operation Sun Devil)이라는 명목으로 해커 소탕 작전을 전개했는데 이 사건은 해커에 대한 사회적 인식을 부정적으로 묘사하는데 결정적인 계기가 됐다(조동원. 2009, 23쪽).

컴퓨터와 소프트웨어가 상품화하고 네트워크가 국가 통제의 그림자 안에 놓이게 되면서, 그리고 해커들에 대한 공권력의 정치적 개입이 일상화하면서 변종 해커들이 서서히 고개를 내밀기 시작했다. 통상 이들을 가리켜 검은모자 해커(Black Hat Hacker) 2라고 부른다. 독점이 해커들의 탈선을 부추겼고 검은모자 해커의 범죄적 행위에 구실을 제공했다. 독점화한 소프트웨어의 취약점을 공격해 사용자들을 불안으로 내몰았다. 호기심에서 시작된 분산거부공격(DDoS)은 공격자들의 가장 흔한 수단으로 자리를 잡았다. 또한 개인정보를 탈취하면 어마어마한 현금으로 교환할 수 있다는 유혹에 넘어가 무자비한 사이버 공격을 일삼기도 한다. 자유를 위한 수단이 범죄를 위한 무기로 돌변한 순간이다. 거부 공격을 처음으로 고안했던 15세 고등학생 칼스가 “지금은 (해커들은) 돈을 노린다”라고 말한 것도 이 때문이다.

독점은 해커들의 요릿감이랄 수 있는 소프트웨어의 집중화와 획일성도 낳았다. 자유롭길 원하는 소프트웨어와 하드웨어를 저작권과 특허로 통제함으로써 해커들의 분노를 샀다. 전세계 OS와 브라우저 시장을 독점한 마이크로소프트가 해커들의 표적이 된 이유다. 유독 한국이 해커들이 공격 대상이 될 수밖에 없는 것도 따지고 보면 MS 소프트웨어의 독점화와 획일성 탓이다. 전세계 어디에서도 찾아보기 힘든 인터넷 익스플로어 독점 체제 그리고 취약한 보안성에도 십수년간 공식 인증체계로 자리잡았던 액티브X 시스템은 좀비PC 양산을 불러올 정도로 해커들의 요리감이 됐다.

사이버 안전을 위협하는 주체는 정부와 기업

빅데이터 시대엔 사이버 공격의 주체와 방식이 기존과는 다른 양태로 나타나고 있다. 검은모자 해커에 의한 개인정보 유출이나 프라이버시 침해보다 기업과 정부에 의한 통제와 감시가 안전에 더 큰 위협 요소로 작용한다. 특히 정부와 변종 해커집단이 결탁해 개인정보에 무단으로 침입하는 사례는 더욱 빈번해지고 있다. 이탈리아 해킹팀이 국정원을 비롯해 전세계 정보기관과 다각적으로 협력한 사례가 이를 방증한다. 이를 방어하기 위해 페이스북과 구글은 국가 지원 해킹 범죄에 대해 경보를 발령하는 프로젝트를 가동하고 있다. 이들 기업들마저도 “정부의 공격은 더 교묘하고 위험한 경향이 있다”고 토로할 정도다.

최근 미국 FBI의 요구 사항은 눈여겨볼 대목이 적지 않다. FBI는 사이버 테러리즘을 근절하기 위한 방안으로 기업들의 “암호화 수준을 낮춰야 한다”고 주장하고 있다. 심지어 백도어 설치를 의무화할 것을 요구하기도 한다. 사이버 공간에서 활동하는 테러리스트를 솎아내기 위한 명분이지만 결과적으론 개인에 대한 무분별한 도감청을 허용해달라는 요구다. 백도어 설치가 현실화할 경우 변종 해커들의 침투를 유발할 것은 자명한 일이다.

국가나 정부에 의한 감시보다 기업에 의한 통제가 더 심각할 수도 있다는 지적도 나온다(윤성오, 2013). 이는 기업들의 합법적 개인정보 수집과 일상의 데이터화(Datafication)와 밀접한 관련이 있다. 데이터화는 소셜미디어의 부산물이면서 동시에 세계를 데이터로 전환하는 양화(量化)의 과정이다(Mayer-Schönberger, V., & Cukier, K. 2013). 이 맥락에서 보면 데이터화는 새로운 형태로 가치를 재구성하는 과정이요, 자본 축적이라는 기업의 욕망 그 자체라고도 할 수 있다. 그리고 ‘좋아요’, ‘공유‘, ’댓글‘을 데이터화함으로써 잉여를 쌓아가는 알고리즘은 욕망의 공장인 셈이다.

네트워크에 연결된 개인들의 일상 데이터를 수집하는 것은 더 이상 악의적 해커들의 손을 거치지 않아도 된다. 사용자들이 자발적으로 내놓는 상품이 됐기 때문이다(조동원, 2013). 기업들은 개인들이 뿌려놓은 데이터를 싸그리 쓸어담기만 하면 된다. 개인의 정치적 성향이나 종교, 취향이나 습관, 감정까지 물불을 가릴 이유가 없다. 기계학습(Machine Learning) 전문가들은 ‘허술한 알고리즘+빅데이터’가 ‘고도의 알고리즘+스몰데이터’보다 더 뛰어난 역량을 발휘한다고 고백한다. 더 많은 데이터가 더 높은 기계적 인지를 창출해낼 수 있고 그것이 곧 돈으로 연결돼서다.

강력해진 머신 파워와 프로세싱 기술의 발전은 개인이 흘려놓은 방대한 데이터더미를 수집해 알고리즘의 블랙박스 속으로 밀어넣는다. 그리곤 수익이라는 이름으로 가치를 교환한다. 여기에 IoT로 파생된 센서 데이터까지 더해진다면 금상첨화다. 이럴 경우 기업들은 국가기구를 능가하는 강력한 데이터 독점체로 거듭날 수 있게 된다. 데이터의 독점화 경향은 정보의 자유를 갈망하는 흰모자 해커들이 가장 경계하는 대목이다. 결과적으로 끊임없이 반복되는 정보 독점의 악순환으로 인해 사이버 안전은 여러 해킹 주체들로 인해 지속적으로 위협받을 수밖에 없는 처지다.

역감시와 해킹문화

howitworks_authorization

[그림3] 전자프론티어재단(EFF) 등의 지원으로 개발된 ‘Let’s Encrypt’의 작동 방식.(이미지 출처 : https://letsencrypt.org/howitworks/technology/)

해커정신을 관통하는 철학적 슬로건은 “정보의 자유와 권력의 해체”다. 개인들의 정보를 독점하려는 기업들, 그리고 시민의 일상을 판옵티콘형 네트워크 감시 체제에 묶어두려는 국가는 사이버공간의 위협 요인이다. 게다가 해커 윤리를 내팽개친 검은모자 해커들은 영리를 목적으로 무분별하게 국가, 기업과 손잡고 있어 위험의 수위는 점차 높아지고 있다.

더 읽어보세요!

사이버 안전과 보호는 이제 개인의 몫으로 ‘유턴’하고 있다. 정부도 기업도 사이버 세계의 안전을 지켜주는 보루가 되긴 어렵다. 세계적인 해커 대회 ‘데프콘’을 설립한 제프 모스는 사이버 안전에 대한 현실적 대안으로 개인들의 역량에 주목했다. 그는 “개인들은 오픈소스프로젝트인 리눅스나 프리 버클리소프트웨어 디스트리뷰션(BSD) 등에 참여해 IT생태계를 발전시킬 수 있다”며 “좋아하는 분야의 거버넌스 포럼에 참여하는 것도 자유다. ICANN, IETF와 같은 포럼은 이미 널리 알려진 거버넌스 포럼”이라고 했다. 검은모자 해커들의 창궐을 막을 수 있는 안전판은 개별 흰모자 해커들의 윤리적 해킹과 개인들 간 연대에 있다는 것이다.

자발적 개인들은 악의적 공격에 대한 취약성에 경종을 울릴 수 있을 뿐 아니라 감시와 통제를 지원하는 국가 기구를 역감시(counter-serveilliance)하는 시스템도 제작해내고 있다. 전자프론티어재단(EFF)이 최근 공개한 감시대항 소프트웨어 ‘자! 암호화하자‘(Let’s Encrypt)도 개인 해커들과 해커공동체의 합작품이다. 전자프론티어재단 자체가 선데블 작전에 저항하면서 구성된 해커들의 지원 기구라는 사실도 상기할 필요가 있다.

조만간 더 많은 사물들이 고유한 데이터를 발산하며 네트워크의 공간 속으로 진입하게 된다. 그 공간에는 인간의 생체 정보도 함께 녹아들 것이다. 데이터를 녹이는 가상 용광로는 당연히 클라우드일 것이고 전세계 몇 개 영리 기업만이 독과점할 것이라는 사실은 자명하다. 몇 개의 기업으로 집중화한 클라우드 시스템은 또다른 경쟁 기업, 국가, 나아가 해커들의 표적이 될 것이고 저마다의 명분으로 데이터 용광로의 출입문에 균열을 내려 것이다. 또다시 유출되고 탈취되는 건 개인정보일 수밖에 없고, 정보의 생산자이자 소유자인 개인은 넋놓고 바라봐야만 하는 상황이 반복될 것이다. 개인들과 윤리적 해커공동체의 연대는 그래서 더 필연적일지도 모른다.

참고 문헌

  • Revy, S. (2010). Hackers: Heroes of the Computer Revolution. 박재호·이해영 옮김. (2013). 해커스: 세상을 바꾼 컴퓨터 천재들. 한빛미디어.
  • 윤상오. (2013). 빅데이터의 두 얼굴: 기대와 위험. 빅데이터와 정보위험사회, 59-92. 커뮤니케이션북스.
  • 조동원. (2009). 해킹의 문화정치에서 해킹문화운동으로. 문화/과학, 1-29.
  • 조동원. (2013). 빅데이터 시대 정보 유출과 해킹 문화. 빅데이터와 정보위험사회, 248-276. 커뮤니케이션북스.
  • Mayer-Schönberger, V., & Cukier, K. (2013). Big data: A revolution that will transform how we live, work, and think. Houghton Mifflin Harcourt.

이 기사는 미래창조과학부와 KISDI가 ICT인문사회 혁신기반 구축 사업의 일환으로 발간하는 ‘ICT인문사회융합동향’ 2015년 4호에 게시된 글입니다. 원고의 저자는 이성규 블로터랩장입니다. 원제는 ‘해커문화의 역사와 사이버 안전의 미래’입니다. <블로터>는 KISDI와 콘텐츠 제휴를 맺고 동시 게재하고 있습니다.