거대 SW 기업도 두 손 든 해킹 기법의 전말

지금까지 전세계 많은 기업들이 해킹의 희생자가 됐지만 지난 주의 MS 공격은 피해의 규모가 사상 최대로 컸던 것 같다.

해킹 공격으로 기업들은 1996년부터 약 5억 달러를 손해본 것으로 예상돼왔다. 하지만 일부 전문가들에 따르면 MS에 대한 공격은 피해 규모로 볼 때 사상 최대일 것이라고 한다.

뿐만 아니라 소프트웨어 거대 기업에 대한 대담한 공격은 새롭고도 중요한 기업 보안 문제를 야기하고 있다.

이번 해킹은 주요 하이테크 기업의 제품 보호 능력에 대해 내/외적으로 의문을 제기하면서 보편적으로 사용되는 소비자 소프트웨어의 핵심을 공격하고 있다.

또한 MS측이 주장하듯이 이 회사가 산업 스파이 활동의 제물이 된 것이라면, 일류 테크 기업에 대한 이 같은 종류의 공격으로서는 최초, 최대의 공격이 된 셈이다.

철없는 10대 두 명이 못된 장난을 친 것에 불과하다 할지라도, 이번 사건은 전세계 모든 소프트웨어 기업과 사용자들에게 경종을 울린 것이라 할 수 있다.

누구도 안전을 장담할 수 없다

맥아피(McAfee Corp.)사 애버트 연구소의 선임이사인 빈스 걸로토는 ''MS같은 대기업이나, 가족이 경영하는 소규모 점포나, 취약하기는 마찬가지라는 사실이 드러난 사건''이라고 논평했다. MS는 이 회사 고객 속에 포함돼있지 않다.

블룸버그 뉴스(Bloomberg News)와 CD 유니버스(CD Universe)는 최근 몇 개월 사이 고 단수 사이버 금품 강요 사건으로 피해를 입었다.

스위스의 유니온 뱅크(Union Bank)는 MS 사건과 비슷한 공격으로 곤란을 겪었는데, 당시 해커들은 소비자가 누르는 키를 염탐함으로써 패스워드를 모을 수 있는 프로그램을 만들었다.

셀 수 없을 정도로 많은 다른 사건들, 특히 금융 산업과 관련된 사건들은 보도조차 되지 않은 상태로 지나갔다.

MS를 침입했던 해커들은 소위 사람들이 공격을 방어할 수 있도록 만든다는 보안 소프트웨어의 취약성을 좀더 명백히 드러내면서, 최소한 지난 3개월 동안 횡행했던, 상대적으로 잘 알려진 트로이 목마를 이용했던 것 같다.

해킹으로 톡톡히 대가 치르다

지난 28일 MS는 침입자들이 자사의 시스템을 뚫고 들어와 익명의 미래 제품 소스 코드를 탐색했다는 사실을 시인했다. 침입자들은 아직 잡히지 않았지만 MS측은 범죄자들을 색출하기 위해 FBI에 도움을 요청했다고 밝혔다.

해킹으로 인한 손실액 규모와 그 범위는 아직 파악되지 않은 상태지만 보안 전문가들은 이번 공격이 사상 최대의 인터넷 해킹에 속한다고 밝혔다.

보안 침입으로 인한 평균 피해액은 지난해의 두 배 이상이 되고 있다.

컴퓨터 보안 연구소(Computer Security Institute) 연구 및 FBI 추정자료에 따르면, 1999년에 273개 기업들이 2억 6600만 달러를 손해봤다고 보고했는데, 이는 그 이전 3년 동안의 연평균 1억 2000만 달러의 손실액과 비교되는 수치다.

악명 높은 해커인 케빈 미트닉이 썬 마이크로시스템즈를 비롯한 기업들로부터 소스 코드를 훔친 혐의를 인정했을 때, 썬은 8000달러 상당의 손해를 봤다고 집계했다. 미트닉 변호인들은 이 액수가 부풀려진 것이라고 주장했지만 말이다.

위험에 빠지는 것은 소비자들

MS 공격의 특이한 점은 해커들이 돈이나 고객 패스워드를 빼 가는 대신, 내부 직원인 듯 가장해 MS 제품의 비밀 청사진을 엿봤다는 점에 있다.

보안기업인 비질란트닷컴(Vigilante.com Inc.)의 보안담당 이사 나렌다 맹갈램은, 이번 공격이 소프트웨어에 맨 처음 침투할 때 사용되는 트로이 목마의 요소와 웜의 요소를 결합하고, 은밀한 수단과 데이터 추출을 이용함으로써 자신이 목격했던 것 중에서 가장 완벽한 것이었다고 주장했다.

뿐만 아니라 맹갈램은 이번 해킹이 웹사이트 손상 이상의 피해를 줄 것이라고 주장했다. 만약 해커들이 소스 코드의 상당 부분을 목격했다면, 모조품을 만들어 앞으로 수 년 동안 부당한 거래를 할 가능성이 있기 때문이다.

그는 "본질적으로 대부분의 해킹은 악명을 떨치고 신문지상에서 명성을 얻기 위한 목적으로 이뤄졌다. 하지만 이번 경우는 소비자들에게 영향을 주고 있다"고 지적했다.

아직 속단하지 말자

MS는 방만한 보안으로 인해 수년동안 공격 대상이 돼왔다. 그 이유는 주로 이 기업이 자사 제품에 상호 의존적인 기능들을 너무 많이 추가하고 있기 때문이다. 즉, 해커들은 연쇄 작용을 일으켜 못된 하이테크 범행을 만들 수 있다는 얘기다.

예를 들어 멜리사와 러브 버그 바이러스는 MS 아웃룩 e-메일 프로그램 사용자들에게 가장 큰 피해를 입혔다. 로터스 노츠나 다른 소프트웨어와 달리 이 소프트웨어는 악의적 코드가 복제돼 스스로 다른 사용자들에게 보내지도록 허용하기 때문이다.

하지만 최소한 좀더 자세한 사항이 밝혀지기 전까지는 이 공격을 대수롭지 않게 여기는 사람들도 있다.

보안기업인 가던트(Guardent Inc.)사의 경영이사인 G. 마크 하디는 "MS가 그렇게 부주의한 기업은 아니다. 이번 사건은 우리가 생각하는 것만큼 대단한 것이 아닌 것으로 판명될 것"이라고 주장했다.

MS 기업 이미지 손상 정도, 상상보다 클 것
하디는 MS보다 언론의 주목을 훨씬 덜 받는 기업들에게 이와 비슷한 침입 사건이 항상 일어나고 있다고 지적했다.

일례로, 중학교 3학년짜리 자기 아들의 급우들은 하디를 설득해 서브세븐(Subseven)이라 불리는 이와 유사한 트로이 목마를 띄워보라고 했다.

서브세븐은 컴퓨터 화면을 다른 색깔로 변화시키고 스피커 음향을 조절할 수 있도록 해주는 것. 하디는 MS에 대한 공격이 이 같은 수법에 악의성을 더한 것일 가능성이 있다고 지적했다.

해커들은 화면을 파랗게 변화시키라는 명령 대신 패스워드를 띄우라고 명령하기만 하면 되는 것이다.

이번 공격은 한 직원이 자신의 랩탑에 있는 바이러스 백신 보호 장치를 끔으로써 발생했을 수도 있다는 것이 하디의 주장이다. 그는 "루스 박사가 말한 것처럼, 보호 장치를 반드시 사용해야 한다"고 덧붙였다.

한편 가트너그룹의 한 애널리스트는 이번 사건으로 MS의 기업 이미지에 가장 큰 손상을 입었다고 지적했다.

가트너 조사담당 부사장인 닐 맥도날드는 "최대의 손해는 PR, 그리고 사건에 대한 사람들의 인식이다. 최대의 손해는 MS가 취약하다는 믿음이다. MS가 과연 이런 최대의 손해를 입게 될지는 아직 미지수"라고 말했다. @