자신의 몸에 있는 홍채, 망막, 정맥, 얼굴, 음성, 지문까지 내가 가지고 있는 고유한 특징들이 보안 인증 수단으로 쓰이기 시작했다. 개인의 신체적, 행동적 특징으로 한 보안 수단은 기존의 비밀번호 인증 수단의 단점을 채워줄 뿐만 아니라 높은 편의성을 제공한다. 이 때문에 생체인증의 활용성은 날로 커지고 있으며, 생체와 관련된 디지털 연구가 활발하게 이루어지고 있다. 특히나 최근에는 DNA와 관련된 연구가 활발하게 이루어지는데 올해 3월 실제로 DNA에 데이터를 저장하는 데 성공했다는 연구가 나왔다. 이러한 연구 성과는 수많은 정보가 난무하는 정보화 시대에서 하나의 새로운 데이터 저장 메커니즘을 보여주었다. 그리고 지난 9일, 유전자 정보가 담긴 DNA에 인코딩된 악성코드를 심어 컴퓨터를 해킹할 수 있다는 연구를 입증했다. 공상 과학 소설 같은 이야기가 이제는 현실로 다가오고 있다.

2017년을 강타한 랜섬웨어 wannacry는 전 세계 150여 개국에 공황과 공포를 주며 악성코드의 위용을 보였다. 특히, wannacry 덕에 랜섬웨어가 무엇인지도 몰랐던 많은 사람이 하나둘 랜섬웨어가 무엇인지 알게 되었고, 악성코드 존재를 크게 위협적으로 못 느꼈던 일반인들에게 얼마나 위험할 수 있는 것인지 알게 해 준 계기가 되었으리라 생각한다. 물론, 국내에서 wannacry의 피해가 예상보다 크지 않아 여전히 모르거나 위협적으로 보이지 않을 수도 있다. 하지만 외국은 상황이 다르다. 영국에서는 국민보건서비스(NHS)가 감염되었고, 프랑스의 자동차 회사인 르노도 피해를 당하였으며, 이외에도 많은 기업과 사용자가 감염되었다. 이런 때에 넓고 빠르게 퍼져 나가고 있던 wannacry의 확산을 늦춘 이가 있었으니, 그가 바로 22세의 Marcus Hutchins다. 사람들은 그를 영웅이라고 불렀고, 그의 우연한 한 수가 더 큰 피해와 확산을 막았다. 이것이 지난 5월의 이야기고, 지난 3일에 그는 악성코드 유포자로 FBI에 검거되었다.

우리가 자주 사용하는 프로그램 중 윈도우(Windows)환경에서 원격으로 파일을 보내고 서버를 관리하는 등의 작업을 쉽게 할 수 있도록 도와주는 프로그램이 있을 것이다. 그 중 국내 기업인 넷사랑컴퓨터의 제품 Xshell이나 Xftp 등 ‘X’가 붙은 제품의 시리즈는 많이 사용할 것으로 생각된다. 특히, 넷사랑컴퓨터의 제품은 무료에다가 사용하기도 편리하여, 많은 사용자를 보유하고 있다. 하지만 이 제품에 문제가 발생했다. 바로 넷사랑컴퓨터에서 업로드 한 제품들의 업데이트 파일에 악성코드가 첨부되어 사용자들에게 퍼진 것이다. 문제는 많은 사용자 외에도 기업에서도 많이 사용하고 있기 때문에 피해가 클 것으로 예상한다. 더군다나 기업에서 문제를 파악하고 새로운 업데이트 파일을 올렸지만, 이는 해결책으로 보이지 않는다. 본 글에서는 문제가 되는 해당 파일을 설치하였을 때 차라리 운영체제를 다시 설치하라는 권유를 하고 싶다.

미국드라마 HBO의 왕좌의 게임 시즌 7이 시작되었다. 시작한 지 언젠데 인제야 이런 말을 하는 거냐고? 그럼 정정해서 왕좌의 게임 시즌 7은 7부작으로 이미 한참 전에 시작하여 시즌 종료까지 3화가 남았다. 하지만 일주일에 한편씩, 고작 7화가 방영되는 동안 조용할 날이 없이 다사다난하다. 사실 드라마도 조용할 날이 없긴 매한가지지만. 스포 아니다. 아무튼, 왕좌의 게임 시즌7은 해커들에게 표적이 되어 방영되기 전 편의 대본이 유출되는가 하면 공식적으로 방영되기 전의 영상이 인터넷 레딧을 통해 유출되었다. 이에 따라 방송사 HBO는 해커들의 소행임을 공식적으로 발표하였으며 해킹 경로 추적 등 대응에 나섰다.

2017년 6월 10일 새벽 1시, 정상적으로 서비스하고 있던 한 웹사이트에 문제가 생긴다. 접속은 되지만 로그인이 되질 않고, 사이트에 있던 콘텐츠는 하나도 확인할 수가 없다. 더불어, 모든 메뉴는 404 에러 페이지로 연결되었다. 웹 호스팅 업체, 나야나 고객센터에 전화하더라도 관계자는 묵묵부답이다. 어렵사리 연락되었을 때, 나야나 관계자는 현재 이와 같은 문제를 고치기 위해 복구 중이라며, 확인하는 즉시 연락을 준다고 했다. 이후, 나야나 관계자와 두 번째로 연락이 되었을 때는 랜섬웨어에 감염되어 복구 중이라는 말을 하였다. 나야나 홈페이지에 있는 자유게시판에는 이와 같은 문제로 사용자들의 글로 인해 게시판이 도배되었다. 그리고 그날 밤 오전 3시가 넘어서야 인터넷나야나 사이트에는 랜섬웨어로 인해 복구 중이라는 공지사항이 그제야 떴다.

2011년, 2월 6일 룰즈섹이 HBGary 웹 사이트를 해킹했다. 이 때문에 HBGary의 CEO는 사퇴하고 보안회사였던 HBGary의 명성과 신뢰는 한없이 떨어졌다. 피해도 상당했다. 익명의 그룹 룰즈섹은 HBGary를 해킹한 후, 약 6만 개 이상의 메일을 공개하였으며 자신들이 해킹한 사실을 숨기지 않고 오히려 드러냈다. 룰즈섹은 거기서 그치지 않고 그들 주변에 맴돌면서 회사의 보안 의식을 조롱했다. 어쩌다 이러한 상황까지 온 것일까. 가장 큰 문제는 보안 시장에서 어느 정도 자리매김을 하고 있던 보안회사가 막상 자신들은 보안의 취약한 부분들을 대수롭지 않게 넘겼다는 것이다. 오늘은 그들이 간과했었던 부분들과 그리고 왜 그들은 다른 이들보다 더 비판을 받았었는지 에 대해 이야기해보려 한다.

며칠 전 룰즈섹에 관한 이야기를 담아보았다. 룰즈섹은 10대에서 20대 사이의 해커 그룹으로, 50일 동안 약 40개에 가까운 여러 곳을 해킹한 후에 마치 전리품처럼 해킹한 자료를 인터넷에 공개했다. 더욱이, 자신들의 해킹 사실을 트위터를 통해 밝혀 굳이 숨기려 하지 않았다. 자신들이 해킹한 사실을 숨기지 않는 이유는 그들은 해킹한 사실을 밝히며 자신들의 메시지를 전했기 때문이다. 예를 들어, 그들은 정부의 비리, 기업의 낮은 보안의식, 편파적인 방송 등 사회적인 문제에 대해 자신만의 방식으로 꼬집곤 했다. 이 때문에 그들의 해킹에 환호하는 이가 있었고, 비판의 눈초리를 보내는 이도 있었다. 하지만, 가장 속이 타들어 가는 쪽은 역시 해킹을 당한 당사자이지 않을까 싶다. 특히나, 룰즈섹의 화려한 50일의 시작점을 찍은 HBGary 해킹은 보안회사라는 이유만으로도 파장이 더욱 컸다. 더욱이 CEO도 보안에 대해 일가견이 있던 사람으로 HBGary의 해킹 소식은 많은 고객과 여러 사람의 신뢰도를 떨어트리기 충분했다.

최근 들어, 애플은 iCloud 계정과 관련한 협박을 받았다. 애플은 iCloud 개인정보를 노출하겠다는 해커의 협박을 가볍게 무시했다. ZDnet에서 확인해 본 샘플에서는 실제로 유효한 계정 정보가 포함되어 있었다. Turkish Crime Family라고 불리는 해커 그룹은 iCloud 2억 5천만 개의 계정을 해킹하였고 이 데이터를 삭제하는 대신 비트코인 혹인 아이튠즈 기프트 카드 10만 달러 상당을 달라는 요구했다. 그들은 심지어 애플이 돈을 지불하지 않으면 사람들 계정과 연결된 아이폰을 쓸어 버리겠다고 위협했다.

닌텐도(Nintendo)는 모바일 사업을 하지 않겠다고 했지만 닌텐도도 별 수 없이 모바일 사업을 시작했다. Miitomo, 포켓몬 셔플을 이어 다음으로 나온 것이 증강현실을 이용한 게임, 포켓몬고(Pokemon Go)다. 포켓몬고가 나왔을 때 폭풍 같은 열광과 관심이 쏟아져 나왔고 포켓몬고는 출시된 지 한달 만에 1억 4,300만달러를 찍었다. 포켓몬고의 열기가 슬그머니 식어갈 때쯤 닌텐도에서는 새로운 모바일 게임 하나를 출시했으니, 그것이 바로 슈퍼마리오런(Supermario Run)이다. 슈퍼마리오런 역시 출시되자마자 가볍게 다운로드 순위 1위를 찍었다. 많은 이가 포켓몬고와 슈퍼마리오런의 출시를 주목하고 기다렸다는 증거다. 하지만 게이머만 이 게임들을 기다려온 것이 아니다. 게이머들이 슈퍼마리오런과 포켓몬고의 출시를 기다린 것처럼 악성코드 제작자 역시 게임이 출시되기를 기다렸다. 2016년 12월, 슈퍼마리오런이 출시되고 악성코드 제작자들은 바빠졌다. 그들은 게임의 인기를 이용하여 사용자의 모바일 기기에 악성코드를 설치한 후 사용자 정보를 훔쳤다. 안타까운 점은 이러한 모바일 악성 앱(App)이 나오는 것이 흔한 경우가 아니라는 것이다.