[보안 역사, 그날] 1997년 12월 9일, 야후를 해킹한 2인조

https://www.boannews.com/media/view.asp?idx=135216

[보안 역사, 그날] 1997년 12월 9일, 야후를 해킹한 2인조

케빈 미트닉(Kevin Mitnick)은 어쩌면 가장 널리 알려진 해커로, 야후 해킹 사건(혹은 장난 협박 사건)이 일어나기 2년 전인 95년 2월 경찰에 체포됐다. 93년부터 그에게는 컴퓨터 사기 범죄자라는 낙인이 찍혔고, 그는 2년 간 도주 생활을 하다가 결국 붙잡힌 것이었다. 야후 사건이 발생한 때에도 미트닉은 감옥에 갇혀 있었다. 하기스 팬티 2인조는 그런 미트닉을 옹호하기 위해 사건을 벌인 것이었다. 그들은 “미트닉은 지적 탐구심을 발휘한 것 뿐이고, 해커 윤리를 어기지 않았다”고 주장하기도 했다.

그리고 90년대에 와서는 더 향상된 해킹 기술을 선보이며 선마이크로시스템즈(Sun Microsystems)와 모토로라(Motorola)와 같은 굵직한 기업들의 네트워크 안으로도 침투하기 시작했다. 그런 사건들이 쌓이고 쌓여 결국 미트닉은 수배자가 됐고, 95년 그의 은닉처를 발견한 FBI가 그를 체포하는 데 성공했다. 당시 현장에는 복제된 무선 전화기와 복제 코드, 다량의 위조 신분증이 발견됐다고 한다. 오랜 재판 끝에 그는 결국 99년 5년 형을 선고받았다. 하지만 이미 95년 체포된 때부터 갇혀 있었기 때문에 2000년에 석방된다.

여기까지만 보면 빼도 박도 못하는 해킹 범죄자인데 왜 옹호자가 생겨 야후를 협박하기도 하고, 아직까지도 미트닉에 대한 여론은 온정적인 것일까? 옹호론자들 중 그가 완전히 결백하며, 함정에 빠져 누명을 쓰고 감옥에 갔다고 생각하는 사람은 없다. 그가 한 여러 가지 행동들 중 범죄에 해당하는 게 있다는 걸 인정한다. 다만 ‘해킹 범죄’가 당시 사법 기관과 재판부로서는 미지의 영역에 가까웠고, 따라서 공포심이나 과한 우려심이 발휘돼 미트닉이 과중한 벌을 받았다는 게 그들의 주장이다. 게다가 미트닉이 해킹을 통해 수익 활동을 하려는 흔적도 없었다. 그는 그저 자신이 어디까지 침투해 들어갈 수 있는지를 탐구하려던 것뿐이었다고 옹호론자들은 주장하고 있다.

한편 2000년에 석방된 미트닉은 그때부터 보안 전문가로서 활동하기 시작했다. 해킹 범죄와 방어법에 대한 강연도 하고 책도 썼다. 보안 컨설팅도 다수 진행했다. 그러면서 2023년 사망하기까지 단 한 번도 사이버 범죄에 연루된 적이 없었다. 90년대 이후에 미트닉이라는 이름을 접한 사람이라면 그를 보안 전문가로 기억하는 편이다. 미트닉의 사망 원인은 췌장암, 향년 59세였다. 야후를 협박한 2인조에 대해서는 추가로 알려진 게 없다.

 

윤리적 해킹 혹은 보안 연구로서의 모의 해킹은 어느 선까지 허용해야 하는 것일까? 어디서부터가 범죄에 해당하는 해킹이고, 어디서부터가 연구에 해당하는 해킹일까? 그 선을 어떻게 지정해야 할까? 이는 아직까지 해결되지 않는 논제다. 올해 독일에서 보안 전문가들을 보호하기 위해 법적 안전망을 마련하고 있는데, 아직까지는 명쾌한 답이 제시되지는 않고 있다. 해킹 행위의 실제 의도가 무엇이었으며, 실제 피해가 얼마나 어떻게 발생했는지를 더 중요하게 놓고 판단하겠다는 게 현재까지 나온 법안의 골자라고 할 수 있다. 이전에는 행위 자체만을 놓고 해킹이냐 아니냐를 판단했었다.

 

90년대는 사실 해킹, 보안은 완전 미지의 영역이라, 법도 제정이 안되어있으니, 참 복잡했었다싶다

케빈미트닉이 감옥에 갔을 당시가 20대 초반으로 보이는데, 이미 16살때 한번 1년 징역했지만 다시 해킹에 손댄고

더 큰 규모로 건든거 자체가 호기심 폭발, 도파민 폭발이었던 것 같기도하고...하지만, 2000년 이후 석방된 후

사망전까지, 사이버 범죄에 연루되지않았다면, 감옥에 계시는 동안, 해킹과 범, 호기심 사이에서 많은 고민을 하셨을거라 생각을 하셨던 것 같다. 그래서, 이걸 보안 전문가로 활동하셨던 것 같고

 

참 어려운 영역이다, 선의 영역과, 공격과 방어의 공존은 어디까지?