3줄 요약
1. 1997년 12월 9일, 구글이 있기 전 인터넷을 호령했던 야후를 농락하다
2. 당시 메이저 포털 야후에 갑자기 경고 메시지가 뜨며 “미트닉을 석방하라”
3. 케빈 미트닉의 해킹 행위 옹호론 대변...지금은 보안 전문가로 기억되는 그

[보안뉴스 문가용 기자] 영화사에 오랜 시간 이름을 남긴 명작 <타이타닉>이 개봉된 12월 9일 미국 현지 시간 기준 오후 7시, 90년대 인터넷으로 접속해 들어가는 모든 사람이 매번 거쳐갔다고 해도 과언이 아닌 당대의 메이저 포털 야후에 갑자기 경고 메시지가 뜨기 시작했다. “미트닉을 석방하라”는 게 이 메시지의 주된 내용이었다. 하지만 그게 전부는 아니었다. 보다 섬뜩한 내용들이 덧붙었다.


[이미지 = gettyimagesbank]

내용인즉슨 대략 이랬다. “우리는 지난 한 달 동안 야후를 공략했다. 최근 한 달 내에 야후를 한 번이라도 방문했는가? 그렇다면 당신의 컴퓨터에는 논리 폭탄(혹은 웜)이 설치되었다. 시스템 깊숙한 곳에 심겨졌기 때문에 찾을 수 없을 것이다. 미트닉을 석방하지 않는다면 우리는 이 폭탄을 터트릴 것이고, 그러면 크리스마스를 맞아 인터넷 전체가 파괴되는 일이 일어날 것이다.”

해커는 2인조로, 팬츠(Pantz)와 하기스(Hagis)라는 이름을 쓰고 있었는데, 그 둘을 합하면 하기스 팬티가 아니라 ‘미트닉 해방 전선(Mitnik Liberation Front)’이라는 비장한 이름이 됐다. 하지만 야후 측은 링크스(Lynx)처럼 프레임을 지원하지 않는 오래된 브라우저(당시 기준으로도)로 야후 사이트에 접속해 들어갔을 때에만 약 15분 정도 경고 메시지가 노출되는 게 전부였다고 당시 밝혔다. 메시지는 대단했지만, 표출 방법은 그렇지 않았다는 뜻.

그리고 바로 다음 날인 화요일, 야후는 심드렁하게 “그런 논리 폭탄은 아무 데도 없다”고 발표했다. 그와 비슷한 바이러스조차도 발견할 수 없었다고 설명했다. 그러면서 이 사건은 ‘해킹 사건(hack)’이 아니라 ‘장난 협박 사건(hoax)’으로 귀결됐다. 사건 자체로만 보면 사소하다고 할 수 있을 만한, 그런 일이었다. 그럼에도 꽤나 많은 화제가 됐고, 30년 가까운 시간이 지난 지금에도 이따금씩 거론되곤 한다. 왜? 2인조가 그러한 일을 벌인 이유 때문이다. 즉, 미트닉 때문이다.

케빈 미트닉(Kevin Mitnick)은 어쩌면 가장 널리 알려진 해커로, 야후 해킹 사건(혹은 장난 협박 사건)이 일어나기 2년 전인 95년 2월 경찰에 체포됐다. 93년부터 그에게는 컴퓨터 사기 범죄자라는 낙인이 찍혔고, 그는 2년 간 도주 생활을 하다가 결국 붙잡힌 것이었다. 야후 사건이 발생한 때에도 미트닉은 감옥에 갇혀 있었다. 하기스 팬티 2인조는 그런 미트닉을 옹호하기 위해 사건을 벌인 것이었다. 그들은 “미트닉은 지적 탐구심을 발휘한 것 뿐이고, 해커 윤리를 어기지 않았다”고 주장하기도 했다.

미트닉은 12세 때부터 컴퓨터 네트워크와 전화 통신망을 훼집어놓기 시작했다. LA 공공 교통 시스템을 ‘역공학’ 함으로써 버스를 무료로 탑승한 것이 그가 일으킨 첫 번째 해킹 사건이었다. 당시(1975년) 그는 12세였다. 그가 버스를 얼마나 많이 탔는지, 어떠한 혜택을 어느 규모로 가져갔는지는 알려져 있지 않다. 하지만 그리 크지 않았을 것이라는 게 중론이다. 그러더니 16세가 되던 1979년에는 DEC라는 기업의 네트워크로 침투해 소프트웨어를 복제하기까지 했다. 이 때문에 1988년 그는 유죄 판결을 받아 1년을 복역했다. 복역 후에도 그의 해킹 취미는 끝나지 않았다.

그리고 90년대에 와서는 더 향상된 해킹 기술을 선보이며 선마이크로시스템즈(Sun Microsystems)와 모토로라(Motorola)와 같은 굵직한 기업들의 네트워크 안으로도 침투하기 시작했다. 그런 사건들이 쌓이고 쌓여 결국 미트닉은 수배자가 됐고, 95년 그의 은닉처를 발견한 FBI가 그를 체포하는 데 성공했다. 당시 현장에는 복제된 무선 전화기와 복제 코드, 다량의 위조 신분증이 발견됐다고 한다. 오랜 재판 끝에 그는 결국 99년 5년 형을 선고받았다. 하지만 이미 95년 체포된 때부터 갇혀 있었기 때문에 2000년에 석방된다.

여기까지만 보면 빼도 박도 못하는 해킹 범죄자인데 왜 옹호자가 생겨 야후를 협박하기도 하고, 아직까지도 미트닉에 대한 여론은 온정적인 것일까? 옹호론자들 중 그가 완전히 결백하며, 함정에 빠져 누명을 쓰고 감옥에 갔다고 생각하는 사람은 없다. 그가 한 여러 가지 행동들 중 범죄에 해당하는 게 있다는 걸 인정한다. 다만 ‘해킹 범죄’가 당시 사법 기관과 재판부로서는 미지의 영역에 가까웠고, 따라서 공포심이나 과한 우려심이 발휘돼 미트닉이 과중한 벌을 받았다는 게 그들의 주장이다. 게다가 미트닉이 해킹을 통해 수익 활동을 하려는 흔적도 없었다. 그는 그저 자신이 어디까지 침투해 들어갈 수 있는지를 탐구하려던 것뿐이었다고 옹호론자들은 주장하고 있다.

윤리적 해킹 혹은 보안 연구로서의 모의 해킹은 어느 선까지 허용해야 하는 것일까? 어디서부터가 범죄에 해당하는 해킹이고, 어디서부터가 연구에 해당하는 해킹일까? 그 선을 어떻게 지정해야 할까? 이는 아직까지 해결되지 않는 논제다. 올해 독일에서 보안 전문가들을 보호하기 위해 법적 안전망을 마련하고 있는데, 아직까지는 명쾌한 답이 제시되지는 않고 있다. 해킹 행위의 실제 의도가 무엇이었으며, 실제 피해가 얼마나 어떻게 발생했는지를 더 중요하게 놓고 판단하겠다는 게 현재까지 나온 법안의 골자라고 할 수 있다. 이전에는 행위 자체만을 놓고 해킹이냐 아니냐를 판단했었다.

한편 2000년에 석방된 미트닉은 그때부터 보안 전문가로서 활동하기 시작했다. 해킹 범죄와 방어법에 대한 강연도 하고 책도 썼다. 보안 컨설팅도 다수 진행했다. 그러면서 2023년 사망하기까지 단 한 번도 사이버 범죄에 연루된 적이 없었다. 90년대 이후에 미트닉이라는 이름을 접한 사람이라면 그를 보안 전문가로 기억하는 편이다. 미트닉의 사망 원인은 췌장암, 향년 59세였다. 야후를 협박한 2인조에 대해서는 추가로 알려진 게 없다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>