"MS는 엄청난 피해입힌 해커 못 잡을 것"

보안 전문가들은 MS가 이 침입한 해커를 잡아 내지 못할 것이라고 입을 모으고 있다. 한 바이러스 전문가는 이번 해킹 사건은 다분히 MS측의 잘못이라고 주장했다.

보안 전문가들은 지난 27일 MS와 FBI는 소프트웨어 거대 기업 시스템을 한 달이 넘도록 자유자재로 배회했던 해커를 잡아내야 한다는 강박관념에 시달리게 될 것이라고 말했다.

법무부 사이버범죄 검사였고 현재 빈슨 앤 엘킨스(Vinson and Elkins LLP.) 협력 변호사인 매튜 야브루는 "그들은 절대로 해커를 잡지 못할 것"이라고 주장했다.

야브루는 지능적인 침입자들의 신원을 밝히는 어려움과 외국의 불법 침입자들을 기소하는 문제들을 포함해 이번 조사가 겪게 될 어려움을 열거하면서 이같이 주장했다.

MS는 지난 27일 디지털 침입은 산업 스파이 행위와 마찬가지라고 천명했다.

야브루는 MS의 말이 옳다면 침입자가 외국인일 경우 그 침입자를 색출하고 기소하는 법 집행 가능성은 거의 없는 셈이라고 지적하면서 "그의 본국이 스파이행위를 지원하고 있다면 어쩌겠느냐?"고 비꼬았다.

이런 의구심들은 월스트리트 저널 27일자 보도 직후에 불거졌다. 월스트리트 저널은 MS측은 한 침입자가 3개월 동안 MS 네트워크를 배회했다는 증거를 갖고 있다고 보도했다.

QAZ 트로이 목마의 행보

이 기사는 QAZ 트로이 목마로 알려진 컴퓨터 버그를 침입 수단으로 다루는 익명의 소식통들을 인용한 내용이다. 이런 컴퓨터 버그는 독자적으로 컴퓨터를 감염시킬 수 있는 프로그램이다.

그러나 MS측은 QAZ 버그로 자사의 네트워크가 외부인들에게 공개됐는지 여부는 아직 정확히 밝히지 않았다.

지난 7월 중순에 밝혀진 QAZ 트로이 목마는 사용자가 이 프로그램이 들어있는 e-메일 첨부 파일을 열면 컴퓨터 시스템이 감염된다.

그리고 난 후 이 트로이 목마는 시스템에 있는 노트패드 문서 편집기를 독자적인 코드로 대체하고, 감염시킬 수 있는 다른 공유 하드 드라이브를 탐색해 보도에 따르면 러시안 이라는 외부 e-메일 주소로 감염된 기기의 IP 주소를 보낸 후 반응을 기다린다.

겁 없는 해커는 이런 식의 은밀한 방법을 통해 패스워드 검색 프로그램들을 설치할 수 있고 컴퓨터 원격 조종도 가능해진다.

프라이버시 협회(Privacy Foundation) CTO이며 멜리사 바이러스 제작자 색출에 중심적 역할을 했던 리차드 스미스는 QAZ가 MS에 침입한 것은 계획된 일이 아니라고 말하면서, "그들은 우연히 MS에 들어간 것 같다.

그러다가 여기 저기 둘러보면서 재미있는 것들을 발견하기 시작했던 것"이라고 주장했다.

QAZ는 중국에서 처음 발견됐지만, 이 버그의 정식 명칭인 QAZWSX.HSQ은 영어 자판 왼쪽 끝에 있는 6개 글자에서 따온 것이다.

바이러스 백신 소프트웨어를 만드는 모든 주요 기업들은 2000년 8월초부터 그들의 스캐너에 트로이 목마를 잡아낼 수 있는 패턴을 포함시켰지만 QAZ는 여전히 그 패턴들을 뚫고 들어왔다.

오래 전부터 예상된 불행

바이러스 백신 소프트웨어에 결함이 있었음을 탓하는 사람들도 있지만 일부 사람들은 MS를 정면에서 비난했다. 독립 보안 컨설턴트이며 바이러스 전문가인 프레드 코헨은 "이번 사건은 MS가 같은 수법으로 보복을 당한 것이다.

그들은 쉽고 빠르고 효율적인 통신이 가능하도록 통로를 열어놓았는데 불행히도 원치 않는 바이러스가 쉽고 빠르며 효율적인 통신을 더욱 용이하게 만드는 데 이바지하는 셈이 됐다"고 지적했다.

코헨은 1984년 컴퓨터 바이러스에 대한 최초의 논문을 발표한 바 있다.

시만텍(Symantec)사의 바이러스 백신 연구센터 이사인 빈센트 위퍼는 내부 네트워크를 이용할 수 있는 MS 직원이나 컨설턴트, 혹은 외부 개발자가 스캐너를 작동시키지 않았을 수도 있다고 지적했다.

위퍼는 "말 그대로, 단 하나의 기기만 점령하면 된다. 그런 다음에는 정말 철저하게 관리되는 네트워크가 아닌 한 이 버그를 뿌리 뽑기 어렵다"고 설명했다.

바로 그 때문에 지난 3개월 동안 QAZ 트로이 목마가 시만텍사의 바이러스 유행 차트에서 1,2,3,4위를 계속 차지하고 있는 것이라고 한다.

다운되긴 하지만 완전히 망가지는 것은 아니다

MS의 코드 데이터베이스를 잘 알고 있는 개발자들은 침입자가 아무리 MS 시스템에 접근할 수 있었다해도, 소프트웨어가 변경됐을 가능성은 분명치 않다고 지적했다.

MS는 매우 정교한 소스코드 통제 시스템을 갖고 있다. 이 시스템을 이용하는 한 개발자에 따르면, 이 시스템으로 관리자들은 누가 코드의 어떤 부분에 무엇을 했는지를 바로 알 수 있다고 한다.

개발자들은 "누군가 하나의 패스워드에 접근하는 것은 가능하지만, 패스워드 전체 리스트를 입수하는 것은 있을 수 없는 일"이라고 입을 모았다.

그러나, MS는 이 시스템에서 관리되는 모든 코드를 점검했다고 주장했지만 또 다른 개발자는 이에 의혹을 갖고 있다고 말하면서, "MS는 이미 누가 어슬렁거리는지를 알 수가 없다.

시스템 이용자가 너무나 많고 누가 어느 시간에 어떤 코드에 접근했는지를 다시 되짚어봐야 하기 때문"이라고 그 이유를 설명했다.

이런 사실은 MS의 강력한 반대주장에도 불구하고 코드가 변경됐을 가능성을 제기하고 있다.

코헨은 MS는 이번 일로 기업 이미지가 심각한 타격을 입었지만, 곧 회복될 것이라고 말하면서 "그들의 제품에 바이러스를 허용했지만, 그들은 여전히 사업을 수행하고 있다. 그들의 비즈니스를 보호하기 위해 그들은 마땅히 해야할 일을 하고 있다. 그 목표가 수익이라면 그것은 올바른 것"이라고 지적했다. @