![[오늘의 운세] 5월 30일](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202405/30/9866f29c-fc4e-4fd9-ad4a-3d0a95d53514.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
온라인 보안업체 시큐리티 포커스(Security Focus.com)의 침입 탐지 전문가 라이언 러셀은 컴퓨터 화면에 펼쳐진 낯익은 문자들을 즉시 알아봤다. 어셈블리 언어 가운데 몇몇 윈도 명령어가 섞여 있는 것이 영락없는 코드레드 웜바이러스였다. 그러나 그는 바이러스를 삭제하면서 이것이 지난 7월 중순 전세계 30만대의 컴퓨터에 침입해 한바탕 소동을 빚었던 코드레드 웜바이러스와는 몇줄이 다르다는 것을 깨달았다.
문제는 그가 이미 삭제해버린 뒤라는 점이었다. 그러나 몇분 후 같은 바이러스가 그의 컴퓨터를 다시 공격해왔고 이번에 러셀은 그것을 포착하는 데 성공했다. 그리고 24시간 내내 다른 두 동료와 함께 이 ‘코드레드2’를 분석한 후 퇴치 치료제를 개발해 자사 사이트의 메일 리스트에 수록된 주소들로 정보를 발송했다.
중요한 것은 러셀이 웜바이러스의 코드를 해독할 수 있었다는 것이 아니라 그것을 고스란히 복사할 수 있었다는 점이다. 코드레드2는 공격 이틀 후 감염된 컴퓨터를 재부팅시켜 자신의 흔적을 말끔히 지워버린다. 그러나 그동안 바이러스는 이미 다른 컴퓨터들로 퍼진 뒤다.
또 컴퓨터 침입자들(일명 ‘검은 모자’)은 그 시스템에 후일 다시 침입할 수 있도록 구멍 두개를 뚫어놓는다. 러셀이 웜바이러스를 잡을 수 있었던 비결은 ‘허니팟’ 컴퓨터로 해커들을 유인했기 때문이다. 허니팟이란 일반 컴퓨터처럼 보이지만 실은 해커들의 공격을 유도한 다음 그들의 모든 행동을 기록하는 컴퓨터를 말한다.
허니팟 전략은 새로운 것이 아니다. 그러나 요즘 이 허니팟들이 일반 컴퓨터 네트워크처럼 설계된 허니넷으로 연결돼 컴퓨터 보안업체들의 주요 도구로 활용된다. 1999년 선 마이크로시스템스社에 근무하는 베테랑 컴퓨터 보안 전문가 랜스 스피츠너가 “검은 모자의 무기와 전술 및 동기를 밝혀내기 위해” 창설한 허니넷 프로젝트가 대표적 사례다. 미군 전차부대 장교 출신인 그는 ‘컴퓨터 전문가’가 되기 위해 전역한 후 해커의 습성에 대해 알려진 것이 거의 없다는 사실에 놀랐다. 그는 “군대에서는 적의 전술을 연구한다”고 운을 뗐다. “그들이 어떻게 싸우는지, 왜 싸우는지를 분석하는 것이다. 정보수집을 전담하는 조직이 따로 마련돼 있다.”
그러나 해커들이 네트워크의 취약성에 대한 정보를 자주 교환하는데 반해 컴퓨터 전문가들은 이해관계와 법적 제재 때문에 정보를 공유하지 않는다. 어느 은행이나 병원 시스템 관리자가 자기네 시스템이 해킹당했다고 선전하고 다닐 것인가? 한 기업의 컴퓨터들이 보안망이 허술한 탓에 다른 기업을 공격하는 기지로 사용됐다면 전자는 후자에 대해 법적 책임을 져야 할 것인가? 게다가 희생자들은 사태 파악은 물론 소동을 수습하고 시스템을 정상 복구하느라 다른 데는 신경쓸 겨를이 없다.
스피츠너는 “악당들에 대한 정보수집의 필요성을 절감했다”고 말했다. “그러나 내가 나서서 그들을 해킹할 수도 없는 노릇이고 그렇다고 그들을 찾아내 이야기를 나눌 수도 없어서 묘안을 생각해냈다. 일반 컴퓨터로 위장한 허니팟으로 해커들을 유인한 다음 그들의 행각을 관찰하는 것이다.” 그는 그 구상을 실천에 옮겼다. 집에 있는 컴퓨터에 간단히 리눅스 체제를 깔고 인터넷에 연결했다. 15분도 안돼 이 컴퓨터는 스캔되고 정밀 분석되고 해킹당했다. 바로 그 컴퓨터가 이제 30명의 컴퓨터 보안 전문가와 심리학자 한명으로 구성된 비영리단체 허니넷 프로젝트로 발전했다.
허니넷 프로젝트는 모든 종류의 해킹을 기록·분석하며 그 결과를 홈페이지(project.honeynet.org)에 게시하는 한편 네트워크 관리자들에게 유익한 정보교환의 장을 제공한다. 보안관리 및 네트워크 보안협회의 기술담당 간부 스티븐 노스컷은 “특정한 해킹 행위 일체를 볼 수 있게 해준 허니넷은 컴퓨터 보안에 이정표를 세웠다”고 평가했다.
스탠퍼드大의 사회심리학자 맥스 킬거는 또 “이 단체는 해커의 의식구조를 이해하려고 노력한다”고 말했다. 예컨대 검은 모자 사회에서 해커의 지위는 얼마나 많은 시스템을 ‘정복’했는지가 주요 기준이 된다. 한편 킬거는 검은 모자들이 언제나 장난이나 범죄를 좋아하는 것이 아니라 때로는 보안문제가 있는 친구를 돕거나 악의적 침입자들을 추적하는 등 역할을 바꿀 때도 있음을 인식하는 게 중요하다고 말했다.
허니넷 프로젝트의 한가지 목표는 공격을 사전에 인지해 침입 예방에 일조하는 침입 탐지 시스템을 개발하는 것이다. “컴퓨터 해킹에 대한 사전분석과 조기경보에 수백만달러가 들어갔다”고 해병 정보장교 출신으로 현재 시스코 시스템스社에서 보안 전문가로 일하는 제프 스터츠먼은 말했다. 그가 허니넷 프로젝트와 함께 개발한 간단한 모델은 예비시험에서 흔한 형태의 공격을 예측하는 데 성공했다. 이 모델은 해커들이 공격 개시 전 취약한 호스트를 찾아 네트워크를 스캔하고 개별 컴퓨터를 정밀 분석하는 등 일련의 탐색행동을 벌인다는 점에 착안했다.
스터츠먼은 “그들의 공격에는 일련의 경로가 있다”고 말했다. “웹 서핑, 네트워크 스캔, 개별 호스트 정밀 분석, 침입 기도, 침입, 그리고 점차 높은 단계의 보안벽 뚫어가기의 순서다.” 스터츠먼은 허니넷의 침입 예고장치가 공격 3일 전 시스템 관리자에게 경고해줄 수는 있지만 그 자리에서 탐색·침입·해킹을 일사천리로 해내는 고단수 해커들의 공격은 예측할 재간이 없다고 말했다.
허니팟의 등장으로 다른 의문들이 제기된다. 예컨대 허니팟은 해커의 행동을 기록함으로써 해커의 사생활권을 침해하는가? 스피츠너는 “법무부는 우리의 행동이 문제 없을 것으로 본다고 말하지만 전에 이 문제를 조사해본 사람은 없다”고 말했다. 허니넷의 방법은 함정수사에 해당하는 것일까.
스피츠너에 따르면 허니넷 프로젝트는 해커들을 유인하기 위해 특별한 술책을 쓰지 않으며 정보를 연구 목적으로 활용할 뿐 형사처벌에 이용하지 않는다. 그는 당국에 신고할 의무감을 느끼는 경우도 있음을 인정하지만 형사처벌이 자료수집의 목표가 아님을 분명히 했다. 그리고 그 정보들이 유효한 증거가 될 수 있다고 생각하지도 않는다.
최근 허니넷 프로젝트는 지난 2년 동안의 활동을 기록한 ‘네 적을 알라’(Know Your Enemy)를 출간하고 새 허니넷 조직에 착수했다. 새 허니팟들은 무작정 탐색당하기를 기다리는 정체불명의 호스트로 남아 있지 않고 전자상거래 사이트와 대학 컴퓨터, 병원 등 진짜 타깃을 그대로 모방한다. 이것은 사냥감을 찾아 인터넷을 어슬렁거리는 해커들이나 고삐풀린 신종 웜바이러스들과는 달리 구체적 정보를 찾고 있는 컴퓨터 약탈자들을 불러들일 것이다. 이들이야말로 보안업계가 특히 관심을 갖고 지켜봐야 할 요주의 인물들이다. 검은 모자들 중에서도 가장 검은 작자들이다.
