본문 바로가기

디지털 세상/보안

전직 ‘어노니머스’ 소속 해커와의 생생 인터뷰

보안 기술로 내부 시스템과 네트워크를 철저하게 지키는 사람이 있는 반면, 이를 수시로 공격하는 사람도 있습
니다. 우리는 이들을 흔히 해커라고 부르는데요. 해커 중에 악의적인 성향의 블랙 해커와 그렇지 않은 화이트 해커가 있다는 사실, 혹 알고 계시나요?

네트워크와 DB를 공격해 본 해커가 네트워크 엔지니어가 된다면 어떨까요? 기업 보안 정책 수립시 과거 해킹   경험을 바탕으로 보다 실질적인 대응 방안을 마련할 수 있을 것입니다. 

그런 취지에서 시스코의 보안 블로그 필자로 활동하는 제이슨 래키(Jason Lackey)가 전직 해커와의 인터뷰를 한번 진행해 보았습니다. 위키리크스 및  보안업체 HBGary와 연루되면서 유명해진 해커 커뮤니티 
‘어노니머스(Anonymous)’ 소속으로 한때 활동했던 한 전직 해커가 전하는 이야기에 한번 귀 기울여 보십시오!

원문은 Life After Anonymous – Interview with a Former Hacker에서 확인할 수 있습니다.


해커 커뮤니티로 유명한  ‘어노니머스(Anonymous)’라고 들어 보셨나요?

어노니머스는 폭로 전문 사이트 위키리크스(WikiLeaks)에 대한 서비스를 중단한 마스터카드와 비자카드에 앙심을 품고 이들 업체를 공격한 바 있었는데요. 지난해 12월 이 사실이 알려지면서 유명세를 타기 시작했습니다. 이후 최근들어서는 오는 11월 소셜 네트워크 서비스인 페이스북(Facebook) 공격에 나서겠다고 밝혀 더욱 큰 관심을 받고 있는데요.  

이런 과정 속에서 노니머스 소속의 한 해커가 탈퇴를 선언해 세간의 이목은 더욱 어노니머스에 집중이 됐습니다. 이유인 즉, SparkyBlaze라고 알려진 그 문제의 주인공이 사람들의 개인 데이터를 온라인에 공개하며, 마치 엄청난 영웅이라도 된 것처럼 행동하는 어노니머스에 질렸다”고 탈퇴 이유를 밝혔기 때문이었습니다.

이런 와중에 @CiscoSecurity라는 트위터 계정을 관리하고 있는 필자는 트위터를 통해 @SparkyBlaze와의 접촉을 시도해 보았습니다. 그 문제의 주인공이 노니머스를 탈퇴한 뒷이야기도 듣고 싶었고 겉으로는 드러나지 않는 어노니머스의 또 다른 이면도 파악해 보고 싶은 마음에서요. 더불어 지하세계인 해커 커뮤니티를 보다 잘 이해하는 작업이 매우 의미있는 일처럼 생각이 됐기 때문입니다. 이 밖에도 개인적인 호기심이 발동을 했습니다. 또 기회가 된다면  불법행위해커의 침입을 막는데 도움이 될 만한 구체적인 조언도 구해보고 싶었습니다. 

메일을 통해 전해 들은 그와의 인터뷰. 함께 한번 살펴보시겠습니까? ;-)


Jason Lackey(필자, 이하 JL): 간략하게 당신 소개를 부탁한다. 
SparkyBlaze: 음… 난 맨체스터 출신이다. 힘든 학창 시절을 보내는 과정 속에서 선생님들로부터는 항상 같은 평가를 받았다. "중요한 일들에 대해 인지는 하고 있으나 매사에 심드렁하다"고 말이다. 그 당시 그 평가는 정확했다. 난 당시 그 어떤 것에도 흥미가 없었으니까...어린 시절 난 정말 끔찍할 정도로 지루해했다. 컴퓨터를 만나기 전까지는 정말 그랬다. 하지만 매사에 심드렁했던 난 컴퓨터를 만나면서부터 매우 열정적으로 변했다. 특히,
데프콘이나 다른 해커들과 대화를 나눌 수 있는 해커 컨퍼런스 같은 것을 무지 좋아했다. 또 서버를 관리하는
일을 사랑했다. 나는 
화이트 해커이다. 20대에 미국으로 건너와 컴퓨팅과 윤리적 해킹에 대해 공부했다. 난 사실 미국인들이 나와 어노니머스를 모르기를 원했다. 늘 바랬듯이 미국에 계속 살 계획이기에 더욱 그렇다.

JL: 컴퓨터와 보안 세계에는 어떻게 입문하게 되었는가?
SparkyBlaze: 주변에 늘 컴퓨터가 있었기 때문에 컴퓨터를 자연스럽게 접하면서 자랐다. 난 물리적인 경비나
보안을 좋아한다. 단지 보안이라는 나의 관심사를 컴퓨터에 적용했던 것일 뿐이다. 그런 후 방화벽, IT서비스거부공격과 같은 것들을 배우기 시작했다.

JL: 어노니머스와는 어떻게 인연을 맺게 됐나?
SparkyBlaze: 음... 어노니머스 소속인 다수의 사람들과 다르지 않다. 난 해킹을 사랑하고 표현의 자유을 믿는다. 그러던 중 우연히 어노니머스 웹페이지를 보게 됐고 흥미를 갖기 시작해 어느새 어노니머스 멤버들과 인터넷
릴레이 채팅(IRC)을 통해 가까워지기 시작했다.

JL: 해커의 핵티비즘(hacktivism)에 대한 당신의 견해는?
SparkyBlaze: 핵티비즘은 흥미로운 주제다. 해킹을 사랑하고 표현의 자유와 검열 반대 운동에 대한 신념을
갖고 있다. 그래서 해킹과 이런 신념을 조합하는 일은 내게 매우 쉬워 보였다. 정부를 공격하고 힐난하는 일은
크게 문제가 된다고 생각하지 않는다. 파일을 모아 위키리크스와 같은 것에 제공하는 것이 정부에게는 뼈아픈
일일 테지만 나에게는 크게 문제될 것이 없는 일이었다. 그러나 일반 사용자의 아이디와 패스워드를 함부로 빼내거나 도용하고, 이들의 개인 정보를 공개하는 것은 분명 옳지 않은 행위라고 생각한다.

JL: 해커가 아닌 다른 사람들과 이 세상이 해커를 바라보는 시각에 대해 어떻게 생각하가?
SparkyBlaze: 다른 사람들은 해커 또는 컴퓨터를 잘 아는 사람들을 못마땅해한다. 해커들을 위험한 적으로 
여기고 컴퓨터를 잘 다루는 사람들은 "그들만의 지하실에서 빠져 나와야 한다"고 생각할 것이다. 그러나 많은
사람들은 해킹이 정확히 무엇인지 모른다. 그들은 어디서나 같은 패스워드를 사용하고 안티바이러스나 방화벽
같은 것은 사용하지 않으니까 말이다. 그들에게 해킹은 불법으로 IE7과 함께 윈도우 프로그램을 설치하는 정도가
아닐까 싶다. 참 중요한 사안인데도 불구하고 그들은 컴퓨터와 보안의 중요성을 전혀 이해하지 못하고 있다.

JL: 컴퓨터 보안 산업의 현황에 대한 당신의 입장은?
SparkyBlaze: 정보 보안은 앞서 언급했듯이 엉망진창 상태이다. 기업들은 보안에 돈과 시간을 투자하기
싫어한다. 이를 대수롭지 않은 문제로 생각하기 때문이다. 데이터를 암호화하지 않는 동시에 데이터를 안전하게
관리하는 데 필요한 적정 수준의 소프트웨어나 하드웨어, 인력을 확보하지 않는 경우가 허다하다. 직원들에게 모르는 사람이 보낸 메일의 첨부 파일을 함부로 열지 말라는 기본적인 교육조차 시키지 않는 경우도 허다하다. 문제는 사용하는 SW나 HW에 있는 게 아니다. SW나 HW를 사용하는 사람들의 인식도 문제이다. 이런 기업들에게 왜 훌륭한 정보보안 정책이 필요한지 반드시 알려줘야 할 것이다.

JL: 당신이 보기에 최근 가장 큰 위협이 되는 보안 요소는?
SparkyBlaze: 내 생각에는 시스템이 아닌 사람의 취약점을 공략하여 원하는 정보를 얻는 공격기법인
사회공학적 해킹(Social Engineering Hacking)이 최대 쟁점이 될 것 같다. 우리는 버퍼오버플로우, 멀웨어,
DDoS, 코드공격 등을 막을 수 있는 SW와 HW를 보유하고 있다. 그러나 흥미로운 사실은 누구든 컴퓨터 유지보수 업체에서 장비 테스트를 하러 왔다는 거짓말만으로도 멀웨어나 DDoS를 막는 SW나 HW의 패스워드를 손쉽게 얻을 수 있다는 것이다. 결국 몇마디 거짓말만으로도 심각한 보안 위협이 가능한 셈이다. 그런데 문제는 누구나 거짓말할 수 있으며, 심지어 몇몇 사람들은 거짓말에 매우 능숙하기도 하다는 것이다.

JL: 보안 이슈 해결을 고심하는 기업들에게 주고 싶은 조언이 있다면?
SparkyBlaze: 기업들에게 줄 수 있는 조언은 다음과 같다. 

l  IT 심층보안 솔루션을 효율적으로 사용하라

l  엄격한 정보 보안 정책을 수립하라

l  외부 기업으로부터 보안에 대한 통상적인 감사를 받으라

l  IDS IPS를 사용하라

l  정보 보안과 관련해 직원들을 교육하라

l  소셜 엔지니어링에 대해 직원들을 교육하라

l  소프트웨어와 하드웨어를 최신 상태로 유지하라

l  컴퓨터 보안에 관한 뉴스 웹사이트를 주시하고 어떤 새로운 공격이 있는지 파악하라

l  시스템 운영자를 데프콘에 보내라

l  보안을 잘 이해하는 훌륭한 시스템 운영자를 고용해라

l  데이터를 암호화하라

l  스팸 필터링을 사용하라

l  어떤 정보가 외부 공공 도메인으로 내보내지고 있는지 감시하라

l  훌륭한 물리적 보안 시스템을 갖춰라. 누군가가 당신의 보안 시스템이 있는 곳에 걸어 들어온다면 보안 소프트웨어가 무슨 소용이겠는가?


JL: 보안 관련 산업에 종사하고 싶어하는 젊음이들에게 조언을 부탁한다.
SparkyBlaze: 악의적인 해킹과는 거리를 두라고 하고 싶다. 화이트 해킹은 재미도 있지만 돈을 받으면서 할 수
있는 일이다. 물론 합법적이기도 하고 말이다. 데이터베이스 해킹 또는 정보 유출에 대한 강렬한 욕구는 당신 자신의 인생을 망칠 수도 있음을 반드시 명심하라. 
예를 들어, 당신이 직장을 구하던 중 적당한 일자리가 생겼고 다른 누군가가 당신과 경쟁하고 있는 상황이라고 가정해보자. 당신과 경쟁자 모두 동일한 자격 조건을 갖추었고, 경쟁자가 당신이 하는 일을 똑같이 잘한다고 생각해봐라. 그럴 경우, 그 회사는 두 사람의 배경에 대해 조사해 볼 것이고, 경쟁자의 이력은 깨끗한데 반해 당신은 과거에 서버를 해킹한 경력이 있다면 과연 누구에게 그 자리를 맡기겠는가.