룰즈섹, 토크토크의 10대 용의자들, CWA 등 10대 해커 늘어나
10대들에게 필요한 건 천재성 발휘할 기회일지도
.jpg)
[보안뉴스 문가용] 요즘 10대 해커들이 자주 출몰하는데, 10대의 반항이야 새로운 일도 아니다. 다만 그 10대들이 요즘 들어 토크토크(TalkTalk)라든지 CIA라든지 FBI를 자꾸 건들이며 반항을 한다는 게 이전 세대와는 조금 다르다면 다르달까.
하지만 곰곰이 생각해보면 이 역시 그다지 새로운 일은 아니다. 이미 우리에겐 룰즈섹(LulzSec)이란 해킹 단체가 있었다. 미국 하원, 소니 픽처스, 뉴스 코퍼레이션, CIA를 노린 당돌한 이 10대들 때문에 국제적인 수사기관이 움직이고, 결국 2011년에 와서야 범인들이 검거되었다. 체포 당시 핵심 멤버인 라이언 클이어리(Ryan Cleary)와 제이크 데이비스(Jake Davis)는 모두 20살 이하였다.
게다가 CIA 국장인 존 브레난(John Brennan)의 AOL 계정이 해킹당한 사건도 최근에 있었다. 그 후 공격자는 뉴욕 포스트(New York Post)에 자신이 어떤 식으로 해킹에 성공했는지 공개했다. 버라이즌(Verizon)의 직원 시늉을 해 CIA 직원들을 속여 개인정보를 취득한 후, 그 개인정보를 활용해 ‘암호를 바꾸라’는 가짜 메시지를 출력시킨 것이 다였다.
해킹 후 공격자는 브레난 국장이 취급한 문서를 비롯해 여러 민감한 정보에 접근할 수 있었다고 한다. 스스로를 미국의 고등학생이라고 밝히고 있으나 현재 FBI는 모든 가능성을 열어두고 수사를 진행 중에 있다. 하지만 아직까지 아무것도 밝혀진 것은 없다.
스노든 이후, 인터넷 사용자들은 프라이버시와 정보의 통제, 정부의 감시와 관련된 소식에 민감한 태도를 취하게 되었다. 이는 특히 10대와 20대 초반의 청소년 및 청년들에게는 중요한 문제인데, 그럴 수밖에 없는 것이 이들에게 온라인의 삶은 굉장한 비중을 차지하고 있기 때문이다. 이들에게 온라인 정보 통제권이나 정부의 감시와 관련된 정책들은 관념과 추상의 현상화가 아니라 실체이며 외부 세계와의 소통 그 자체다.
정부가 뭔가를 감시하려거나 정보를 통제하려는 노력은 대부분 데이터를 보관하거나 전송하는 서비스 업체 혹은 인터넷 제공업자들의 협조를 필요로 한다. 그리고 이런 기업들은 법을 반드시 지켜야 하기 때문에라도 정부의 이런 요구를 들어줄 수밖에 없고, 사실은 프라이버시에 대한 관심이 희박하다. 즉 정부와 이들의 관계를 안다면 인터넷 제공업체나 데이터 서비스 업체에게 손가락질을 할 수는 없는 노릇. 즉 표적은 정부와 관련된, ‘위험한’ 기관들일 수밖에 없다.
게다가 툴들도 점점 쉬워지고 있고 취약점 정보도 구하기 용이하다. 취약점을 찾아내는 기술과 그것을 활용하는 기술 모두를 가지고 있지 않아도 해킹이 가능해졌다는 소리다. 메타스플로잇 프레임워크(Metasploit Framework)와 같은 침투 테스트용 툴을 해킹에 활용하는 예도 점점 늘고 있다. 이런 우려가 제기된 건 이미 2000년대 초반의 일이다.
그로부터 약 10년 후인 2010년 대형 커뮤니티인 4chan의 회원들이 로우 오빗 아이온 캐넌(Low Orbit Ion Cannon)이라는 간단한 툴을 활용해 사이언톨로지교에 대규모 디도스 공격을 감행했다. 위키리크스(Wikileaks)에 반대하는 단체도 이 공격을 받았다. 이 툴이 얼마나 간단했냐면, 그저 앱을 다운로드받고 실행하는 기능이 거의 전부였다. 이 단순한 두 개의 작용만으로 여러 기관들의 무릎을 꿇리는 데 성공했다는 것은 2000년대 초반의 고민이 전혀 해결되지 않은 채 10년이 흘렀다는 소리다. 게다가 이 고민은 현대에도 여전히 유효하다.
그러나 다른 한 편 토크토크 사건을 보라. 용의자들은 전부 10대 중후반의 어린 청소년들임에도 공격에 사용된 툴은 결코 쉽고 용이한 수준이 아니었다. 쉬워지는 툴이 문제의 핵심은 아니라는 뜻.
컴퓨터 과학이란 분야의 역사는 굉장히 어린 천재들 이야기로 가득하다. 기술자이자 사업가, 핵티비스트였던 아론 스와츠(Aaron Swartz)가 좋은 예다. 인터넷 통신 표준을 마련하는 작업에 초대되었을 때 그의 나이는 겨우 14세였다. 당시 그와 함께했던 사람으로는 대통령 후보이기도 했으며 법률 전문가로 명망이 높은 로렌스 레식(Lawrence Lessig)도 있었다. 그뿐인가. 주커버그도 어렸고, 스티븐 게이츠도 어렸고, 스티븐 잡스도 어렸다.
누구는 천재성을 발휘해 해킹을 한다. 자신의 재능을 범죄에 활용하는 것, 그것은 비단 10대만의 문제는 아니다. 또한 정보보안 분야의 문제만도 아니다. 어느 시대, 어느 범죄단에나 어른을 능가할 정도로 뛰어난 10대들은 있었다. 그런 천재성을 어디에 활용하느냐는 전적으로 개인의 문제이므로 사실 그걸 막을 방법은 현재로서는 없는 거나 다름없다. 예전의 문제들이 오늘도 해결되지 않은 채 남아있는 건 이 때문이다.
차라리 해킹 대회를 활성화하는 등, 천재성을 밝은 곳에서 떳떳하게 발휘할 기회를 주어 음지에 숨어 있는 어린 천재성에게 양지의 따듯한 햇빛과 영양을 공급하는 것은 어떨까. 결국 차세대 천재들이 활동할 수 있는 무대를, 어둔 곳을 장악한 그들보다 양지에 있는 우리가 덜 만들기 때문에 생기는 문제는 아닌지 고민이 된다. 10대 해커의 등장은, 그들의 수용을 고민하지 못한 우리의 무능력을 일부 반증하는 현상이라고 본다.
글 : 피터 가이용교시(Peter Gyongyosi)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
10대들에게 필요한 건 천재성 발휘할 기회일지도
[보안뉴스 문가용] 요즘 10대 해커들이 자주 출몰하는데, 10대의 반항이야 새로운 일도 아니다. 다만 그 10대들이 요즘 들어 토크토크(TalkTalk)라든지 CIA라든지 FBI를 자꾸 건들이며 반항을 한다는 게 이전 세대와는 조금 다르다면 다르달까.
하지만 곰곰이 생각해보면 이 역시 그다지 새로운 일은 아니다. 이미 우리에겐 룰즈섹(LulzSec)이란 해킹 단체가 있었다. 미국 하원, 소니 픽처스, 뉴스 코퍼레이션, CIA를 노린 당돌한 이 10대들 때문에 국제적인 수사기관이 움직이고, 결국 2011년에 와서야 범인들이 검거되었다. 체포 당시 핵심 멤버인 라이언 클이어리(Ryan Cleary)와 제이크 데이비스(Jake Davis)는 모두 20살 이하였다.
게다가 CIA 국장인 존 브레난(John Brennan)의 AOL 계정이 해킹당한 사건도 최근에 있었다. 그 후 공격자는 뉴욕 포스트(New York Post)에 자신이 어떤 식으로 해킹에 성공했는지 공개했다. 버라이즌(Verizon)의 직원 시늉을 해 CIA 직원들을 속여 개인정보를 취득한 후, 그 개인정보를 활용해 ‘암호를 바꾸라’는 가짜 메시지를 출력시킨 것이 다였다.
해킹 후 공격자는 브레난 국장이 취급한 문서를 비롯해 여러 민감한 정보에 접근할 수 있었다고 한다. 스스로를 미국의 고등학생이라고 밝히고 있으나 현재 FBI는 모든 가능성을 열어두고 수사를 진행 중에 있다. 하지만 아직까지 아무것도 밝혀진 것은 없다.
스노든 이후, 인터넷 사용자들은 프라이버시와 정보의 통제, 정부의 감시와 관련된 소식에 민감한 태도를 취하게 되었다. 이는 특히 10대와 20대 초반의 청소년 및 청년들에게는 중요한 문제인데, 그럴 수밖에 없는 것이 이들에게 온라인의 삶은 굉장한 비중을 차지하고 있기 때문이다. 이들에게 온라인 정보 통제권이나 정부의 감시와 관련된 정책들은 관념과 추상의 현상화가 아니라 실체이며 외부 세계와의 소통 그 자체다.
정부가 뭔가를 감시하려거나 정보를 통제하려는 노력은 대부분 데이터를 보관하거나 전송하는 서비스 업체 혹은 인터넷 제공업자들의 협조를 필요로 한다. 그리고 이런 기업들은 법을 반드시 지켜야 하기 때문에라도 정부의 이런 요구를 들어줄 수밖에 없고, 사실은 프라이버시에 대한 관심이 희박하다. 즉 정부와 이들의 관계를 안다면 인터넷 제공업체나 데이터 서비스 업체에게 손가락질을 할 수는 없는 노릇. 즉 표적은 정부와 관련된, ‘위험한’ 기관들일 수밖에 없다.
게다가 툴들도 점점 쉬워지고 있고 취약점 정보도 구하기 용이하다. 취약점을 찾아내는 기술과 그것을 활용하는 기술 모두를 가지고 있지 않아도 해킹이 가능해졌다는 소리다. 메타스플로잇 프레임워크(Metasploit Framework)와 같은 침투 테스트용 툴을 해킹에 활용하는 예도 점점 늘고 있다. 이런 우려가 제기된 건 이미 2000년대 초반의 일이다.
그로부터 약 10년 후인 2010년 대형 커뮤니티인 4chan의 회원들이 로우 오빗 아이온 캐넌(Low Orbit Ion Cannon)이라는 간단한 툴을 활용해 사이언톨로지교에 대규모 디도스 공격을 감행했다. 위키리크스(Wikileaks)에 반대하는 단체도 이 공격을 받았다. 이 툴이 얼마나 간단했냐면, 그저 앱을 다운로드받고 실행하는 기능이 거의 전부였다. 이 단순한 두 개의 작용만으로 여러 기관들의 무릎을 꿇리는 데 성공했다는 것은 2000년대 초반의 고민이 전혀 해결되지 않은 채 10년이 흘렀다는 소리다. 게다가 이 고민은 현대에도 여전히 유효하다.
그러나 다른 한 편 토크토크 사건을 보라. 용의자들은 전부 10대 중후반의 어린 청소년들임에도 공격에 사용된 툴은 결코 쉽고 용이한 수준이 아니었다. 쉬워지는 툴이 문제의 핵심은 아니라는 뜻.
컴퓨터 과학이란 분야의 역사는 굉장히 어린 천재들 이야기로 가득하다. 기술자이자 사업가, 핵티비스트였던 아론 스와츠(Aaron Swartz)가 좋은 예다. 인터넷 통신 표준을 마련하는 작업에 초대되었을 때 그의 나이는 겨우 14세였다. 당시 그와 함께했던 사람으로는 대통령 후보이기도 했으며 법률 전문가로 명망이 높은 로렌스 레식(Lawrence Lessig)도 있었다. 그뿐인가. 주커버그도 어렸고, 스티븐 게이츠도 어렸고, 스티븐 잡스도 어렸다.
누구는 천재성을 발휘해 해킹을 한다. 자신의 재능을 범죄에 활용하는 것, 그것은 비단 10대만의 문제는 아니다. 또한 정보보안 분야의 문제만도 아니다. 어느 시대, 어느 범죄단에나 어른을 능가할 정도로 뛰어난 10대들은 있었다. 그런 천재성을 어디에 활용하느냐는 전적으로 개인의 문제이므로 사실 그걸 막을 방법은 현재로서는 없는 거나 다름없다. 예전의 문제들이 오늘도 해결되지 않은 채 남아있는 건 이 때문이다.
차라리 해킹 대회를 활성화하는 등, 천재성을 밝은 곳에서 떳떳하게 발휘할 기회를 주어 음지에 숨어 있는 어린 천재성에게 양지의 따듯한 햇빛과 영양을 공급하는 것은 어떨까. 결국 차세대 천재들이 활동할 수 있는 무대를, 어둔 곳을 장악한 그들보다 양지에 있는 우리가 덜 만들기 때문에 생기는 문제는 아닌지 고민이 된다. 10대 해커의 등장은, 그들의 수용을 고민하지 못한 우리의 무능력을 일부 반증하는 현상이라고 본다.
글 : 피터 가이용교시(Peter Gyongyosi)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
