그들은 해킹으로 말한다

2012.04.22

 

어느새 큰 이슈로 떠오른 핵티비즘

지난 2월 세계 최대 보안 콘퍼런스인 ‘RSA Conference 2012’가 미국 샌프란시스코 모스콘 센터에서 많은 사람들의 관심 속에 치러졌습니다. Microsoft, Symantec, EMC RSA, Intel 등 350여 개의 주요 글로벌 IT 업체들이 참가한 가운데, 기조 연설 및 행사 전반에 걸쳐 다뤄진 가장 큰 화두는 핵티비즘(Hacktivism), 클라우드(Cloud), 빅데이터(Big Data)로 요약됩니다. 클라우드와 빅데이터는 이미 IT 환경 속에서 생활하는 개개인의 일상 깊숙이 들어와있는 개념이지만, 핵티비즘이라는 주제는 상대적으로 아직 대중들에게 생소할 수 있습니다.

그렇다면 핵티비즘이란 무엇인가?

기존의 악의적인 해킹 행위들은 대부분 경제적인 실리를 취하는 것이 목적이었습니다. 타인의 개인정보를 빼내어 불법 거래하거나, 온라인 게임 계정을 탈취하여 사이버 머니를 얻는 등, 기본적으로 금전적인 이득을 취하기 위한 수단으로 사용되던 것이 해킹이었습니다.

그러나 근래에 들어서 해킹 행위를 정치∙이념적 목적으로 사용하는 경우가 적지 않게 나타나고 있습니다. 이에 해킹(Hacking)과, 정치적 행동주의란 뜻의 액티비즘(Activism)을 합친 핵티비즘(Hacktivism)이란 단어가 만들어졌습니다.

핵티비즘에 의한 피해가 심각한가?

다시 처음에 했던 RSA Conference 2012 이야기로 돌아가보겠습니다. 미연방수사국(FBI)의 로버트 뮬러 국장은 콘퍼런스 셋째 날 기조 연설에서 다음과 같이 핵티비즘의 심각성에 대해 주장했습니다. 뮬러 국장은 “사이버 공격은 국가에게 있어 가장 강력한 테러가 될 것이다”, “사이버 공격은 이제 ‘만약’의 문제가 아니라, ‘얼마나 자주’에 대한 문제다”라고 강조하며 이제는 더 이상 해커들에게 데이터, 돈, 아이디어, 혁신을 빼앗기지 않도록 방법을 찾아야 할 시기가 왔다고 말했습니다. 또한 이제는 국가 기관과 기업, 나아가 각 기업 간에도 서로 협력해서 정보를 공유하고 대책을 마련하지 않는 한 핵티비즘에서 비롯되는 각종 피해를 막기 어려운 상황에 왔다고 강조했습니다.

 

[그림 1] RSA Conference 2012에서 기조 연설 중인 로버트 뮬러 FBI 국장 - 사진 출처 FBI(http://www.fbi.gov)

 

위키리크스(www.wikileaks.org)의 줄리안 어산지가 스웨덴에서 기소된 것에 대한 핵티비즘 활동으로 유명세를 탄 해킹 그룹 어나니머스(Anonymous)는 근래에도 여전히 그 세력을 확장해 가면서 핵티비즘 활동을 계속하고 있습니다. 최근 어나니머스는 인터넷을 과도하게 규제하거나 검열을 통해 인권과 표현의 자유를 보장하지 않는다는 이유로 중국, 영국, 튀니지 정부 사이트를 공격했습니다. 튀니지 총리를 포함한 집권 여당 관계자 2천여 명의 E-mail을 해킹하는 한편 영국 정부 총리실, 내무부, 법무부 웹 사이트에 DDoS 공격을 가했습니다. 또한 중국 정부 사이트들에 대한 공격으로 일부 사이트를 다운시키기도 했습니다.

특히 어나니머스는 중국 정부에 대한 공격 경고를 계속하고 있는데, 이는 최근 중국 정부에서 사회 안정이라는 명목으로 강도 높은 인터넷 검열 시스템을 도입하여 트위터, 페이스북, 유튜브 등의 웹 사이트 접속을 전면 차단하는 한편, 1천여 명의 네티즌을 체포하고 20만 건의 메시지를 삭제하는 등 규제를 강화하고 있기 때문입니다.

한 가지 주목할 만한 점은 어나니머스가 핵티비즘 활동에 SNS를 활용한다는 것입니다. 지금도 트위터, 페이스북, 구글 플러스를 통해 수많은 사람들에게 자신들의 활동과 계획, 주장을 알리고 있습니다. SNS 이용 내역을 통해 정부 기관에 추적을 당할 수 있음에도 불구하고 흔적을 지워가며 사람들에게 그들의 목소리를 내고 있는 모습을 보면, 이들의 활동이 단순한 실력 과시나 금전적인 목적이 아닌 이념과 사상적인 것에 기반한다는 것을 알 수 있습니다.

 

[Anonymous의 트위터 페이지]

 

핵티비즘, 과연 나와 상관 있는 걸까?

이렇듯 파급력이 상당한 핵티비즘 관련 이슈들이 과연 개인 사용자들에게 미치는 영향은 어떠할까요? 보통 국가 기관이나 특정 기업을 목표로 하는 핵티비즘의 특성상 개인 사용자에게 직접적인 피해를 입힌 경우는 아직까지 볼 수 없었습니다. 그러나 핵티비즘의 공격 형태나 수법이 점차 강력해지는 것을 봤을 때 분명 개인 사용자들에게까지 그 영향력을 미칠 것으로 예상됩니다.

먼저, 특정 기업이 핵티비즘에 의한 공격 대상이 됐을 때, 이 기업에서 서비스하던 정보들이 유출되면서 사용자들의 개인정보가 함께 유출될 수 있다. 또 DDoS 공격의 준비 과정 중 수많은 개인 사용자들의 PC가 좀비 PC로 감염되는 것 등을 예상해 볼 수 있습니다.

이를 막기 위해서는 사용자 스스로 보안 의식을 갖고 적극적으로 개인정보를 관리하는 것이 중요합니다. 또한 사용하는 PC의 OS 보안 업데이트 및 사용하는 프로그램들에 대한 보안 패치를 잊지 않고 적용해야 DDoS 공격에 사용되는 악성코드에 의한 침입 및 피해를 막을 수 있습니다. <Ahn>

* 더 자세한 내용은 안랩홈페이지를 참고하세요.