영화속 "전설의 해커(Hacker)"

컴퓨터를 이용하는 범죄자들을
보통 해커(Hacker)라고 부릅니다.
해크(Hack)라는 말은 원래 MIT에서 쓰이던 은어로
지금은 그런 뜻과는 거리가 멀게 됐지만 원래 학생들
사이에서 무슨 법칙이라도 되듯 주기적으로 만들어
내던 농담을 뜻했습니다.

그러나 오늘날 해커는
사회적으로 범죄자에 해당되지만, 선망의 눈길로
바라보는 이들도 많은데... 이 해커를 주제로한
영화에 대한 글이 있어서 올립니다.

아래의 내용은 Ebuzz에 올라온 내용으로...
보다 보기 편하게 약간의 이미지 편집이나 오타수정을 가하였습니다.

이하 원문의 내용입니다.

1992년 제작된 <테이크 다운>은 전설적인 해커 케빈 미트닉과 그를 끈질기게 추적해 마침내
검거한 샌디에이고 슈퍼컴퓨터센터의 시모무라 스토무를 주인공으로 한 영화로, 실제 해킹에
사용되는 다양한 기법을 소개해 화제를 모으기도 했습니다.

교묘한 수법으로 상대편의 암호를 알아내는 케빈.

전화 교환기를 해킹하는 것도 해커라면 반드시 익혀두어야 할 기술이다.

케빈 미트닉은 시모무라의 셀 시뮬레이터에 속아 흔적을 남기고 만다.

영화의 줄거리는 간단합니다.
검찰의 보호 관찰을 받다가 캘리포니아텔레콤의 유선 전화 도청 서비스인 세스가 FBI에 제공된다는 사실을 알게 된 케빈 미트닉(스키트 유리크)은 우연히 국회 청문회에서 휴대폰의 전파 코드를
변환하면 휴대폰 통화도 얼마든지 도청이 가능하다고 증언하는 컴퓨터 보안 전문가 시모무라 스토무(러셀 윙)를 보며 묘한 경쟁심을 느끼고 급기야 그가 근무하는 샌디에이고 슈퍼컴퓨터센터의
서버를 해킹하기로 마음먹습니다. 

시모무라의 셀 사이트 시뮬레이터 작전

역사상 가장 유명한 해커 가운데 하나였던 케빈 미트닉.

언론이 케빈 미트닉을 해킹의 제왕으로 신격화하자
FBI는 그를 검거하는 데 혈안이 되지만 유무선 통신은 물론이고 컴퓨터 통신까지 떡 주무르듯이 하는 이 전대미문의
사이버 범죄자에게 속수무책으로 당하기만 합니다.

이 때 곤경에 빠진 FBI를 구해준 이가 바로
시모무라 스토무인데... 그는 휴대폰 기지국 직원의 도움을 받아 타인의 휴대폰 번호를 도용해 교묘하게 해킹을 감행하는 케빈의 은신처를 찾아내고 FBI가 최종 검거 작전을 시행하기 직전
‘셀 사이트 시뮬레이터’를 이용해 해독된 소스 코드를
가로챕니다.

결국 케빈은 체포됐지만
FBI가 해킹 증거를 잡지 못하는 바람에 보호 관찰법 위반과 도청 기계 소지죄로 기소되는 것으로 사건은 마무리됐습니다. 
당시 케빈이 체포되면서 시모무라에게 남겼다는 “당신의 실력은 정말 놀랍다.”는 말 한마디는
아직도 인구에 회자될 정도로 유명합니다.

IP 스푸핑과 TCP 어택
케빈 미트닉이 이 사건에 사용한 해킹 기법은 IP 스푸핑. IP 스푸핑이란 TCP 일련번호 추정 공격(TCP Sequence Number guessing attack)의 일종으로, 버클리 버전의 유닉스 리모트 명령어인 rlogin, rcp, rsh 등을 이용해 IP 주소를 속이는 것입니다. 

시모무라 스토무의 실제 모습. 두 사람은 희대의 두뇌 싸움을 벌이며 박빙의 승부를 펼쳤다.

가령 A라는 호스트와 B라는 호스트가 한 하드디스크를 공유한
상태인데 보안이 완벽해 일반적인 방법으로는 해킹이 불가능하다고 가정 한다면... 이 경우에는 A에게 자신이 B인 것처럼 위장해 A의
하드디스크를 공유하는 방법으로 해킹을 하는 것이 가장 효과적입니다.

하지만 말이 쉽지 현실적으로 IP 스푸핑 기법으로 해킹을 하는
것은 상당히 까다로운 일입니다. B가 A에 패킷을 보내는 작업이
순식간에 이루어져 해커가 IP 주소를 바꿔 A를 속이는 게 쉽지
않기 때문입니다.  

이 사건으로 케빈은 8년 동안 인터넷 접속을 제한받다가 올해 초에야 자유의 몸이 되었고 현재는 Defensive Thinking이라는 보안 컨설팅 업체를 설립해 보안 전문가로 활동하고 있습니다.
재미있는 것은 수년 전 이 세기의 해커가 운영하는 사이트가 2번이나 해킹당하는 사건이 벌어졌다는 사실입니다.

한 해커는 BugBear(도깨비)라는 ID로 침투해 ‘케빈, 자유를 되찾은 것을 환영합니다.’라는 메시지와 함께 북극곰과 새끼 곰 사진 2장을 남겼고, 다른 한 명은 자신을 보안 책임자로 고용해 달라는 메시지를 남겼다고 한다. 이 해킹 사건을 계기로 케빈 자신도 완벽한 보안이 얼마나 어려운지 절실히 깨닫지 않았을까요?

케빈 미트닉의 미 상원의회 증언 전문
존경하는 톰슨 의장님, 의원님, 그리고 위원회원 여러분. 제 이름은 케빈 미트닉입니다.
제가 오늘 이 자리에 선 것은 연방 정부가 소유 또는 운영 중인 정보 시스템의 보안성을 향상시키기 위한 여러분의 입법 노력에 대해 논의하기 위해서입니다.

저는 컴퓨터를 독학으로 공부했습니다. 사춘기 시절부터 컴퓨터 보안을 뚫고 들어가는 데 필요한 각종 기술과 전략을 익히고 컴퓨터 시스템과 정보통신 시스템이 어떻게 작동하는지 연구해 왔습니다.

그러다 1985년 로스앤젤레스의 한 기술전문대학 컴퓨터 시스템/프로그래밍 학부를 우등으로 졸업한 저는 대학으로부터 서버의 운영체제에서 작동하는 보안 애플리케이션을 디자인해 달라는 부탁을 받았습니다.

아마 해커를 고용해 수행한 최초의 프로젝트가 아니었을까 싶습니다. 대학의 관계자들은 그 프로젝트를 지켜보면서 제가 그들의 힘으로는 절대로 막을 수 없는 방법으로 서버에 침입할 수 있다는 걸 알게 되었고 결국 저에게 불법적인 접근을 막아줄 강력한 보안 대책을 세워달라고 요청했습니다.

저는 20여 년 동안 각종 기관의 정보 보안망을 뚫고 들어갔습니다. 그리고 감히 말씀드리건대, 저의 이런 불법적인 접근은 단 한 번을 제외하고는 모두 성공을 거두었습니다. 여기에는 2년 동안 사설 탐정으로 일하면서 터득한 사회공학적 기법(Social Engineering Techniques)으로 사람의 행적과 재산을 추적하는 기술도 한몫을 했습니다.

제가 세인들의 관심을 끌기 시작한 것은 1981년 전화 설비회사인 퍼시픽벨의 COSMOS 컴퓨터시스템(메인프레임 기능의 컴퓨터시스템)의 모든 정보를 입수하는 데 성공하면서부터입니다.

그로부터 10년 뒤인 1991년 출간된 <사이버펑크>의 저자는 이 소설이 제가 1988년 연방법 위반으로 체포될 때까지의 이야기를 엮은 실화라고 주장했습니다. 소설의 공동 저자 가운데 한 사람은 1994년 7월 4일자 <뉴욕타임스>에서도 이와 비슷한 얘기를 한 바 있습니다. 그 소설이 전세계적으로 유명해지면서 저는 세상에서 가장 흉악 무도한 사이버 범죄자로 낙인 찍혔습니다.

그 뒤에도 왜곡된 언론 보도는 계속됐습니다. 제가 FBI의 10대 현상수배자 리스트 가운데 첫번째 인물이라는 얼토당토않은 소문까지 나돌았습니다. 2000년 2월 10일, 제가 CNN의 <Burden of Proof>(입증의 책)에 출연했을 때에도 이런 소문의 진위를 묻는 질문이 이어졌습니다. 결국 AP연합통신의 마이클 화이트 기자가 FBI에 문의한 결과, 제가 10대 현상 수배자 리스트에 올라 있다는 것은 사실 무근임이 판명됐습니다.

저는 세계적인 대기업의 전산망에도 침투해 봤고 보안 수준이 높다고 정평이 나 있는 컴퓨터 시스템에도 침입했습니다. 또 각종 기술을 총 동원해 여러 운영체제와 통신 장비의 소스 코드를 입수하고 내부 작동 방식을 연구해 취약점을 알아내는 데도 성공했습니다.

1995년 체포된 이후 저는 보석 적부 심사도 받지 못한 채 수년 간 미결수로 구속돼 있으면서 저에게 불리한 증거가 무엇인지 들여다보지도 못했습니다. 저의 변호인단은 저에게 가해졌던 이런 일련의 조처는 미국 역사상 유례가 없는 일이라고 합니다. 마침내 1999년 저는 무선 사기와 컴퓨터 사기 혐의에 대해 유죄를 인정하고 68개월 징역형에 3년의 보호 감호를 추가로 선고받았습니다.

저의 변호인단이 조사한 바에 따르면 보호 감호 기간 중 저에게 부과된 행동 제한은 미국 연방 법원이 개인에게 부과한 가장 가혹한 제한 조처였습니다. 여기서 말하는 행동 제한은 제가 어떤 목적으로든 다음의 물품을 소지하거나 사용하지 못하도록 완벽히 금지하는 것입니다.

여기에는 휴대폰, 컴퓨터, 소프트웨어, 컴퓨터 주변장치 또는 지원 장비, 개인용 정보 저장 도구 등을 비롯해 모뎀 컴퓨터 네트워크에 접속될 수 있는 도구 일체와 컴퓨터 시스템, 컴퓨터 네트워크, 통신 네트워크 등으로 변환되거나 유사 기능을 수행할 수 있는 장치(기술), 그리고 미래에 입수할 수 있는 각종 전자적 장치(기술)까지 모두 포함됩니다.

이 밖에 컴퓨터 관련 업체나 개인을 위한 컨설턴트 활동도 전면 금지되고 스스로 또는 제3자를 통해서 컴퓨터와 컴퓨터 네트워크, 무선 통신 장비 등을 시험․평가하는 것도 제한되었습니다.

저는 모범수로서 감형된 180일을 뺀 59개월 7일을 연방교도소에서 복역하고 6주 전인 2000년 1월 21일 출감했습니다.

원문의 링크는 ☞  http://www.ebuzz.co.kr/id=0702&cat_id=010&uid=87656&page=3

행여라도 영웅심리에 휩쓸려 해킹을 생각하신다면... 다시 한번 더 생각 해보시길 바랍니다.
해피엔딩보다는 우울한결말로 끝나는 실화가 더욱 더 많다는 걸 명심하시길 바랍니다. ^^