애슐리 매디슨과 핵티비즘

2015.08.28 09:00다독다독, 다시보기/이슈연재



NYT, CNN, 애틀랜타저널(AJC)에 따르면, 임팩트팀 해커들은 지난달 말 애슐리 매디슨을 해킹해 이 사이트 회원 3789만 명의 개인정보를 빼냈다고 주장하면서 운영사에 불륜 사이트를 폐쇄할 것을 요구했습니다. 하지만, 애슐리 매디슨이 폐쇄를 거부하자 18일과 20일 두 차례에 걸쳐 회원 정보 명단을 공개했습니다. 공개된 개인 정보에는 미국 정부기관 등 공직자가 사용하는 이메일 계정으로 추정되는 회원 계정이 1만 5000여개 포함돼 있어 미국 사회에서 큰 이슈가 되었습니다. 회원 가운데는 연방 검사보 2명, 대통령실 정보기술 관리자, 법무부 국장·수사관·변호사, 국토안보부 소속 해커와 대테러 대응팀원 등도 있었습니다. 이 사이트 회원 3,700만명 중 한국인도 19만명이나 되는 것으로 알려져 있습니다. 이 때문에 미국뿐만 아니라 국내에서도 점차 관심이 늘어나고 있습니다.


이번 사건은 전형적인 핵티비즘(HACKTIVISM)입니다. 핵티비즘(HACKTIVISM)은 해킹(HACKING)과 행동주의(ACTIVISM)의 합성어로, 개인적 이득이나 목적이 아니라 정치, 사회적 목적으로 해킹을 해 자신들의 주장을 알리거나 압박을 가하는 행위입니다. 과거에는 물리적인 폭력을 통해서 자신들의 주장을 관철 시키려고 했다면, 이제는 인터넷의 영향력이 커짐에 따라 물리적 폭력을 수반하는 폭력보다는 해킹을 통한 폭력이 공격하는 입장에서는 더 안전 할 뿐만 아니라, 효과도 더 크기 때문입니다.

 

해킹에 의한 피해는 우리의 생각보다 더 크다


해킹으로 발생할 수 있는 피해는 정보 파괴와 정보 유출 등의 피해를 넘어 이를 통해 오프라인에서도 일어날 수 있는 간접적인 피해까지도 모두 포함되기에 일반인들이 생각하는 것보다 매우 광범위 할 수 밖에 없습니다. 직접적으로는 소비자들의 소송으로 연결되어 천문학적인 배상금으로 인해 생존을 위협 받을 수 있고, 간접적으로는 기업 이미지 하락으로 수 년간 수많은 돈을 들여서 쌓아 올린 브랜드 가치에 큰 영향을 받아 매출 하락을 피하기 어려운 경우도 있습니다. 또한, 해킹 당한 정보가 경쟁사로 흘러갈 경우 단순히 내가 유출됨으로써 받은 손해뿐만 아니라 경쟁사의 경쟁력이 강화되어 내가 얻어야 할 것을 얻지 못한 손해까지 모두 피해로 볼 수 있습니다.


 어나니머스의 표식. "머리없는 사람"은 단체에 리더가 없다는 것과 단체의 익명성을 상징한다. / 출처_위키피디아


핵티비즘은 자신들의 정치적, 사회적 목적을 달성하기 위한 행위이기 때문에 비록 해킹이 불법이라고 하지만 자신들의 정치적 슬로건을 내걸고 공식적인 활동을 하는 조직이 많습니다. 대표적으로는 '어나니머스',‘룰르섹’,”핵티비스모’,'프리넷' 등이 있으며, 주로 익명을 통한 자유로운 정보의 교환을 주장하고 있습니다. 1998년 9월 인도네시아의 동티모르 탄압에 반대하는 해커들이 인도네시아 정부 사이트를 해킹했으며, 2000년에는 중국 해커들이 대만 정부 사이트를 공격했습니다. 이번 애슐리 매디슨 사건과 유사하게 개인 정보를 공개한 사례도 있습니다. 세계화에 반대하는 해커 그룹은 2002년 1월에 다보스 포럼에 참석한 인사 1,400여명의 신용카드 정보를 해킹후 사이트에 게시한 일이 있었습니다. 2011년 1월에는 위키리크스를 지지하는 ‘Anonymous’ 그룹이 줄리안 어샌지 체포에 항의, 아일랜드 제 2 야당인 피네게일(Fine Gael)당의 웹사이트를 해킹해 2천여 명의 개인정보를 탈취하고 피네게일 웹사이트 첫페이지를 삭제 후 정당의 검열을 비판하는 메시지를 남기기도 하였습니다.


이제 해킹은 누구나 할 수 있는 시대가 되었다


핵티비즘이 늘어나는 기술적 이유는 해킹이 과거에 비해 크게 쉬워졌기 때문입니다. 이미 인터넷에서는 특별한 전문 지식이 없어도 공격을 할 수 있는 프로그램들을 사고 파는 경우가 늘어 나고 있습니다. 국내도 예외가 아닙니다. 2012년 12월 방송통신위원회 발표에 따르면 국내에서만도 월에 해킹 대행이 30건 정도, 해킹 도구 판매 역시도 30건 정도씩 발생하고 있다고 합니다. 실제로 특별한 전문지식이 없는 일반인들의 해킹이 늘어 나고 있습니다. 2011년 3월에 고3 수험생이 입시 정책에 반대하며 EBS를 디도스(DDOS) 공격 했으며, 2012년 3월에는 10대가 통합진보당 홈페이지를 해킹하기도 했습니다. 과거 인터넷에서 해킹을 하기 위해서는 컴퓨터에 대한 많은 지식이 필요했습니다. 공격에 대한 프로그램을 직접 개발해야 했지만 이는 쉬운 일이 아니었습니다. 하지만, 이제는 누구든 크라임웨어(CRIMEWARE)를 구입해 해킹을 할 수 있습니다. 크라임웨어는 해킹 프로그램처럼 범죄에 사용할 수 있는 소프트웨어를 뜻합니다. 프로그램이나 해킹에 대한 전문지식이 전혀 없어도 자신이 공격하고 싶은 IP 나 도메인만 입력 후 해당 사이트를 다양한 방법으로 공격 할 수 프로그램이 비밀리에 거래 되고 있습니다.      


 

국가도 핵티비즘에 나서고 있다


핵티비즘이 그 동안 일부 급진단체의 전유물이었지만, 이제는 국가 차원에서 이루어지고 있습니다. 스턱스넷(Stuxnet)은 네트워크를 떠돌아 다니는 바이러스로 국가 핵심 시설을 노려서 유명해졌습니다. 지멘스는 유럽 최대의 엔지니어링 회사로 원자력 발전소 같은 국가 기관에 소프트웨어를 납품하고 있습니다. 지멘스를 사용하는 원자력 발전소의 소프트웨어와 장비를 감염시켜 해커가 장비를 제어 할 수 있게 해주는 코드를 심을 수 있게 설계되었습니다. 이런 식으로 설계한 스턱스넷은 2010년 이란의 우라늄 농축 시설이 있는 것으로 추정되는 곳의 시스템을 공격했습니다. UN 안보리 결의안에 따라 사용 금지된 지멘스 제품을 이란이 비밀리에 사용하고 있다는 것을 노린 것입니다. 이란은 원심 분리기 천여 대가 마비되었고 부셰르 원자력발전소와 나탄즈 핵시설의 원심분리기 가동이 중단되어 수 개월간 핵무기 개발이 지연되었습니다. 세계적인 컴퓨터 보안 회사인 '카스퍼스키 랩'은 이 정도의 정교한 공격은 국가의 지원을 통해서만 가능 할 것이라고 주장했고 많은 보안 전문가들이 이에 동의했습니다. 이란과 적대적인 관계에 있는 미국 혹은 이스라엘이 배후에 있을 것이라고 많은 전문가들이 추측했습니다.

 

스턱스넷을 제외한 대부분의 핵티비즘은 그들의 정당성 여부와 별개로 엄연히 타인에게 피해를 주고 법적으로도 어긋하는 행동이기 때문에 언론을 통해 비춰지는 모습이 긍정적이기 힘들며 그렇기에 대중에 공감을 얻기가 힘듭니다. 하지만, 국가별, 인종별, 정치적 차이가 갈수록 커지는 현실에서 불만을 가진쪽 입장에서는 최소한의 비용으로 최대 효과를 얻을 수 있기 때문에  앞으로도 꾸준히 증가 할 것으로 보입니다.