“디도스 공격이 뭐에요?”
컴퓨터 강의를 시작하려는데 질문이 쏟아졌다. 미국 언론에서도 떠들썩하게 보도할 정도로 2009년 7월의 해킹 사건은 대단했다.
“제가 얼마 전에 네트워크 원리 중에서 ‘TCP/IP 프로토콜’이라는 것을 설명해 드린 적이 있지요? 기억하세요? 그 취약점을 이용한 해킹중 대표적인 것이 분산서비스거부공격(DOS：Denial of Service Attack)이라는 거예요.
이 DOS 공격은 대체로 특정업체나 정부기관, 개인에 대하여 악의를 품고 다른 컴퓨터들을 동원해서 일시에 대량의 접속요구를 함으로써 대상 시스템(서버)의 리소스를 탕진시키고, 정상적인 이용자들에 대한 서비스 접속을 불가능하게 하거나 시스템의 작동을 마비시키는 방식인데, 한꺼번에 여러 곳의 컴퓨터들을 이용해 엄청난 양의 정보를 반복적으로 요구하기 때문에 대상 컴퓨터가 이를 처리하느라 다른 일도 못하고 결국 마비되는 것입니다. 즉 시스템에서 제공하는 서비스를 다른 이용자가 받을 수 없도록 네트워크 트래픽 양을 폭증시켜 서비스제공을 교란시켜 버리는 거예요.
이런 공격을 받는 네트워크나 서버 컴퓨터는 일반적으로 치명적인 손상을 입는 경우가 드물지만 복구과정에서 물질적 손실과 서비스 마비에 따른 경제적 피해가 크고, 그러한 피해를 입었다는 사실과 일시적일지라도 서비스 제공 불능의 결과를 가져왔다는 점에서 대상 웹사이트는 신뢰를 하락하게 됩니다. 인터넷 세계에서 ‘신뢰’는 대단히 중요한 자산이거든요.”

이 어려운 설명을 심각한 표정에 고개 끄덕이며 받아 적기까지 하시는 분들에게 이 기회에 사이버 테러와 컴퓨터 범죄에 대한 문제점을 설명하고 논의하는 시간을 가졌다.
이번 사건으로 인해서, 미국이라는 이민 사회에서 늦은 나이에 컴퓨터를 배우는 분들일수록 컴퓨터라는 것이 자신의 의도에 따라, 혹은 그 의도와 전혀 상관없이 위험한 도구로 전락할 수 있다는 경각심을 갖게 했다. 그동안은 컴퓨터를 잘 활용하면 생활이 편리하고(- 온라인 구매, 납부, 뱅킹), 재미있는 것(- 게임, 전화, 대화, 블로그)처럼 인식했다가 마치 이웃집에 도둑이 들어 정신이 번쩍난 것처럼 자신의 컴퓨터에 대한 보안의식을 달리하는 계기가 되었고, 이참에 보안 프로그램의 사용과 관리 필요성도 제고하는 기회로 삼았다. 

어쨌든 해킹 범죄가 또 ‘공공연하게’ 발생했다.
이를 두고서 ‘누가 범죄자냐?’하는데 초점을 맞춘 언론과 달리, 빠르게 범죄 양상을 파악하고 2차 감행 예고와 피해 방지 등의 대책을 진행한 보안업체의 활약이 비교돼 돋보였다.

해킹과 관련해서는 보통 그 범죄자(공격자, 침입자)를 판별하기가 쉽지 않다. 주로 피해 결과에 따라서 어떤 방식, 어떤 경로로 침입했는지를 파악해 이를 근거로 역추적을 시도해 보지만, 대부분의 해킹 기법은 그 방식이 다양하고 흔적이 남지 않는데다 침입자가 치고 빠져서 잠적해 버리는 경우가 많아 그 최종 공격자의 자취를 쫓는다는 것이 참으로 막막할 때가 많다.

그래서 해킹 범죄에서 용의자를 선정하기까지는 상당한 인내와 고역이 따른다. 그 중 의심 가는 사람들로 컴퓨터 범죄와 관련한 전과자거나, 정보통신관련 소프트웨어·하드웨어 보안업체들의 전산직(연구)원들, 그리고 피해업체의 전․현직 정보 관리자들을 요주의 인물로 꼽을 수 있다.
왜냐하면 보안제품을 개발하는 과정 또는 개발이 끝난 제품을 시험하면서 일정한 대상을 정해 놓고 해킹에 성공하면 정보 유출과 도용을 통해 피해 기관·기업에 보안설비의 허점을 알리고 동시에 보안제품의 사용 필요성 및 홍보 효과를 노리려다 덜미를 잡힌 사례들이 종종 있었기 때문이다. 또 보안 시설을 구축해 주는 과정에서 정보관리의 허술한 틈을 타서 관련 정보를 백업·유출할 수도 있으므로 보안관련 사람들은 불가피하게 용의선상의 주요 대상이 되기 쉽다.
 
이번 해킹 사건과 흡사했던 지난 2000년 초로 돌아가 보자.
2000년 2월 7일 시작된 야후 사이트 해킹 피해부터 같은 달 8일과 9일 등, 3일에 걸쳐 유명사이트들(ebay.com, amzon.com, cnn.com, etrade.com등)이 똑같은 수법으로 피해를 당하고, 약 2주간에 걸쳐 유사한 해킹범죄가 잇따랐다. 그 이후로도 수개월에 걸쳐 많은 사이트들이 DDOS공격에 의한 해킹을 당할 때도 쉽게 해커(들)를 찾아내지 못했다. 물론 이번처럼 여론의 질타도 컸었다(- 당시에 개인적으로 정보통신부산하 한국정보보호진흥원(KISA)에서 근무할 때여서 그와 관련한 일들에 열중했고 일련의 사건들과 분석 자료를 글로 발표한 적도 있다).

당시 개인적인 생각으로, ‘범인은 일반인이 아닌 보안관련 기업이나 특정한 그룹으로 형성된 전문적인 구성원들’일 거라고 판단했다. 전 세계 검·경 기관이 당시의 해킹범죄에 대한 방어 공조체계를 벌이고, 미국의 FBI가 적극적으로 수사에 나섰음에도 불구하고 그러한 대규모 피해의 범인을 색출하지 못한 것은 여러 가지 정황으로 보아 단지 개인에 의한 공격이 아니라 숙련된 전문가들이 교란작전을 감행한 것이고 그 틈을 이용해 개인 이용자들도 모방범죄로 나선 것이라는 생각을 했다.
물론 각기 다른 사람들이 연쇄적으로 모방범죄를 저질렀을 가능성도 있지만 대부분의 피해대상 업체들이 전 세계의 유명 사이트고 자칫 발각될 경우 단순 처벌에 그치지 않을 것이라는 예측을 범인(들)도 했을 것이며, 해킹 과정과 결과 면에서 일반인이 범행을 저지르기에는 너무나 무모하고 대규모적이었기 때문이다.
게다가 지난 1998~99년에 Y2K라는 밀레니엄 버그에 대해 국가와 보안업체들을 중심으로 지속적인 경고와 대비태세를 갖추어 2000년 1월1일 이후 산정한 피해는 전무하다시피 했다. 그만큼 준비를 철저히 했다고 할 수도 있으나 그보다는 그 기간이 보안관련 기업들이 특수를 누리기에 충분한 환경이었다는 점에 주목할 필요가 있다. 즉 밀레니엄 버그라는 재앙을 떠들썩하게 예고하고 발맞춰 보안관련 기업들은 시장을 확보해 획기적으로 전개해간다는 전략. 이 전략에 맞추어 1차적인 전술은 Y2K 특수를 타는 것이었으나 그 결과는 참담했다. 왜냐하면 2000년 1월 이후로 별다른 피해가 없었고 그에 따라 일반인들의 보안인식이 금방 사그라졌기 때문이다. 그리고 다시 그들이 경각심을 불러일으키고자, 아니면 Y2K의 특수를 이어가고자 하는 의도로 “아직 21세기가 도래하지 않았기 때문에 2001년이 되기까지는 컴퓨터에 의한 오류발생여부가 확실하게 끝난 것이 아니다. 그리고 이 오류를 이용한 해커들의 활동이 활발해질 것이기 때문에 컴퓨터에 대한 점검과 보안벽을 확고하게 구축해야 한다.”라는 주장을 펼치는 것을 면밀히 살펴보면서 결국 전략적으로 2차 전술이 전개되리라는 가능성을 짐작하였고, 설령 그렇지 않을지라도 정보통신 ․ 보안관련 기업들의 묵시적 공조체제나 숙련된 조직원들에 의해 직․간접인 해킹들이 상당하게 진행될 거라고 추정했었다.

IT의 세계에서는 1년도 긴 세월인데 하물며 10년이랴!
이번 해킹 사건이 그 당시와 너무나 흡사한 것에 놀라웠지만 결정적으로 범죄자 추정에서는 그때처럼 쉽게 단정할 수 없고, 단정해서도 안 되는 상황임을 인정하지 않을 수 없다.

요즘처럼 (암암리에 활약하는) 개인의 실력과 그룹별 조직 능력이 날로 출중해지는 상황에서 범죄자를 섣부르게 지목하는 것은 (그만큼 어렵기도 하지만) 주의할 일이다. 자칫 진짜 범죄자를 웃게 하고 일반인의 긴장을 떨어뜨릴 위험을 안고 있기 때문이다. (정보보안의 문제만큼은 아무리 긴장해도 부족할 뿐이다.} 그럼에도 불구하고 언론과 정보기관에서는 우선 해킹 범죄자부터 발표하는 대단한 안목을 보였다. 우리 안에서는 범죄자가 없으니 일단 안심하고 이제부터는 ‘그들’에 대한 적개심으로 우리도 보안대책을 세워야 한다는 거다. 범죄자로 지목된 그들이 놀라서 다시는 안 그러리라고 다짐하고 있을지, 아니면 진짜 범죄자들이 어디선가 조용한 미소를 짓고 있을지는 알 수 없으나 분명한 것은 이번 사건이 남의 일 인양 며칠 새 사람들의 인식에서 바로 사그라졌다는 점이다. 한바탕 소동에 비하면 너무도 쉽게 잊혀지는 이 세태.

보안대책은 ‘체계적이고 구체적’이어야 하는 것이지 감정적이거나 추상적이어서는 안 된다. 이런 피해가 발생할 때면 국가적인 보안 체계와 사이버 전사 육성에 목소리를 높이지만, 그 구체적인 제도나 지원책이 없고, 실질적으로 국내의 보안업체 지원 및 보안 전문가 양성, 관리와 처우 개선 등에 대해서는 전혀 실질적이지 못하다. 

향후 해킹 공격과 피해는 21세기의 사이버범죄의 주요 양상이 될 것이다. 따라서 해킹과 보안 기술, 법제도 운용의 과제를 효율적이고 구체적인 방안으로 강구해야 할 것이며, 무엇보다도 보안관련 기업들이나 기관․기구의 전산직원들을 포함해 정보보호관리(담당/책임)자들에 대한 관리와 처우 등 지원 (양성) 대책이 시급한 시기다.@