Hacker
보안을 비웃다, 룰즈섹
2017 06 27
  • Facebook
  • Twitter
  • Copy URL

당신은 해킹을 할 때, 어떤 동기와 이유를 가지고 해킹을 하는가. 만약, 해킹을 통해 기업에게는 보안 의식을, 정부에게는 부정부패를 폭로하며 나의 생각과 메시지를 전하는 것이 과연 옳은 일일까. 마치 도적이었지만 어려운 사람들을 도왔던 의적 홍길동처럼 말이다. 해킹의 재미도 재미지만 취약점을 알려 당사자에게 도움이 될 수 있다면, 좋은 마음과 의도로 해킹을 했다면 그것은 옳은 일인지 분명하지 않은 것 같다. 오늘 이야기할 친구 '룰즈섹'은 분명 자신들이 하고 있는 해킹에 동기와 이유가 충분했던 해커 그룹이다. 하지만, 그들을 의적이라고 부르지 않는다. 오히려, 세간에는 그들을 악동 '룰즈섹'이라고 한다. 오늘의 이야기는 그들의 화려한 50일, 룰즈섹의 관한 이야기다.

이미지를 불러오는데 실패했습니다.

룰즈섹(LulzSec)의 그룹명은 웃음을 뜻하는 LOL(Laughing out Loud)과 보안을 뜻하는 Security의 합성어로 '보안을 비웃는다'는 의미가 있다.[1] 다른 한편으로 LulzSec의 Sec이 Security가 아닌 Sector라는 집단으로 해석하기도 한다. 그들은 어나니머스에서 파생되어 나온 해커집단으로 많이 알려져 있지만, 사실 어나니머스가 불특정 다수인 것을 생각하면 딱히 연관되어 있다고 보긴 힘들 수도 있다. 그들의 행동 기간, 50일은 여러 기업, 여러 국가의 정부, 방송사, 게임 등 전혀 분야를 상관하지 않고 해킹을 했다.[2][3] 그들은 단순히 재미를 위해 한 것도 있지만 그들의 해킹에는 동기와 이유가 있다. 심지어, 세계적으로 유명한 해커 지오핫이 플레이스테이션을 해킹하여 소니와 법정 공방에 휩쓸려 있을 때도 룰즈섹은 아랑곳 하지 않고 소니를 해킹해버렸다.[4] 그들의 동기는 확실하지 않지만 추측하기로는 지오핫의 법정 공방에 대해 소니를 향한 비난과 기업에서 처음부터 낮았던 보안의식을 조롱하려는 이유이지 않을까 생각된다. 아무튼, 그들은 어느 순간부터 갑자기 나타나 약 한달이 좀 넘는 기간 동안 37건의 해킹 사건을 만들어냈다. 그 중 소니를 향한 공격은 무려 14건이나 되었다.[5] 그렇게 전 세계를 휘몰아치전 룰즈섹은 50일이 지난 날, 트위터를 통해 해산을 선언했다.[6] 하지만 꼬리가 길었던 탓일까. 룰즈섹의 리더 Sabu가 붙잡히면서 차례차례 검거되기 시작했다.

당시, 룰즈섹이 검거되었을 때 놀라웠던 점은 그들 대부분이 상당히 젊은 층이 였다는 것이다. 룰즈섹의 리더 Sabu 그리고 Topiary, Kayla, T-Flow, Avanit, Pwnsauce 이렇게 6명의 창립 멤버로 룰즈섹을 만들어내고 활동을 시작했다.[7] 이 그룹에서 거의 리더와 같은 역할을 했던 Sabu는 다음에 공격할 대상을 결정하고 다른 멤버의 참여여부를 확인하는 역할을 했다고 한다. 당시 그가 검거되었을 때는 29세의 실직자로 그의 해킹 실력은 상당했으며[8] Sabu가 검거되고 다른 멤버를 찾는데 아주 중요한 역할을 하기도 했다.[9][10] 룰즈섹의 거의 대변인을 담당했던 Topiary는 트위터를 통해 자신들이 벌인 해킹사건에 대해 메시지를 담기도 했다. 거의 룰즈섹의 소식은 Topiary를 통해 이루어졌고 룰즈섹의 해체 소식도 이 친구의 트위터를 통해 알려졌다.[11] 룰즈섹의 해제 선언 이후에는 그 전에 올라왔던 게시물은 모두 삭제되었다. 결국에는 Topiary도 검거하게 되는데 그는 5건의 사이버 범죄 혐의였다.[12] Kayla 역시 룰즈섹의 창립 멤버로 자칭 16세의 해커 소녀라고 말하고 다니지만 검거해보니 남자였다는 이야기가 있다.[13] 그는 분산 서비스 공격(DDoS)에 사용된 봇넷을 소유하고 있으며 약 800,000대의 감염된 서버를 소유하고 있었다고 한다.[14] 체포될 당시 16세 나이로 모두를 놀라게 한 Tflow는 룰즈섹의 네 번째 창립 멤버다. 그가 체포될 당시 적은 나이도 있었지만 웹 개발에 능통하며 그들의 웹 사이트 lulzsecurity.com의 유지 보수 및 보안을 담당햇다고 한다.[15][16] Avunit과 Pwnsauce는 비슷한 시기에 들어와 거의 창립 멤버라고도 말할 수 있기도 하고 주요 멤버라고 얘기할 수도 있을 것 같다.[17] 하지만, 앞서 얘기한 세 사람과 Pwnsauce는 이후 검거되었지만 Avunit는 여전히 그가 누구인지 확인도 되지 않은 유일한 멤버다.[18] 어떻게 보면 Avunit은 자신의 레이블을 붙인 ‘Fuck the FBI Friday’ 사건을 끝으로 그룹을 탈퇴했기 때문에 붙잡히지 않은 유일한 멤버이지 않을까 생각된다.[19] 이후에 들어온 Palladium, Anarchaos, Ryan Cleary은 앞서 얘기한 멤버들과 함께 해킹을 하며 사건을 만들어냈지만 결국에는 모두 검거되어 거의 모든 멤버가 밝혀졌다.[20]

룰즈섹의 처음은 앞서 얘기한 창립 멤버 6명이 어나니머스와 또 다른 그룹, Internet Feds의 구성원이었다는 점에서 시작된다. 그들은 Internet Feds라는 그룹명으로 Fine Gael, HBGary, Fox Broadcasting Company의 웹 사이트를 공격했다. 당시, 그들은 보안 업체인 HBGary의 CEO 이메일을 해킹하였고 비즈니스 이메일을 온라인에 폭로해버렸다. 하지만 이 사건이 커지면서 CEO는 사퇴하였고 앞서 얘기한 창립 멤버 6명은 룰즈섹의 이름으로 이 사건에 대해 자신들이 했다는 발표를 했다.[21] 그렇게 룰즈섹이 확실하게 만들어지고 그들의 첫 해킹은 Fox.com의 웹 사이트를 터는 것이었다.[22] 그들은 웹 사이트를 해킹하여 홈페이지 가입자의 비밀번호를 포함한 개인정보를 유출했다. 또한, 미국 오디션 방송인 X Factor의 참가 신청자 73,000명의 참가자 정보를 공개하고, 여러 직원의 LinkedIn 프로필을 변경했다.[23] 룰즈섹이 이 오디션 방송을 해킹한 이유는 당시 이 방송이 상당히 비윤리적으로 촬영되었기 때문이라고 그들은 밝혔었다.[24] 룰즈섹이 알려지게 된 가장 큰 계기는 영국의 ATM 전산망을 해킹한 사건이었다. 그들은 영국의 한 은행 ATM 전산망을 해킹하였고 그대로 자신들이 훔친 거래 명세를 외부에 공개해버렸다. 당시 이 사건은 한 은행이 털린 사건으로 상당히 크게 이슈가 되었다.[25]

룰즈섹이 해킹을 하며 50일 동안 가장 많이 공격했던 그들의 주 공격 대상은 따로 있었다. 일본 기업 소니. 그 이유와 동기로는 소니가 지적 재산권을 중시하는 경향이 있어 가장 많이 타겟팅이 된 것 같다는 의견도 있었고 앞서 얘기했듯이 지오핫을 옹호하려는 의도가 보였다는 얘기도 있다. 소니는 소니 뮤직, 소니 픽쳐스 등 소니 회사를 겨냥한 해킹이 거의 14건에 이르니 그 피해 금액도 어마 무시하다.[26] 물론, 소니 기업만 공격 대상이 되었던 것은 아니다. 닌텐도 역시 룰즈섹의 공격대상이 되었다.[27] 룰즈섹은 FBI를 해킹하기 전에 전초전으로 닌텐도 사이트를 해킹했다는 이야기를 트위터에 올리기도 했다. 그때 당시 닌텐도도 해킹을 당했었다는 발표를 하였고 고객의 정보는 유출되지 않았다는 발표를 했다. 게임회사, 일본 기업 말고도 그들은 블리자드의 리그 오브 레전드 사이트를 해킹하기도 했다.[28][29]

룰즈섹은 기업뿐만이 아니라 정부에도 손을 뻗쳤다. 그들은 정부와 관련하여 FBI, CAI를 공격하는 것도 서슴지 않았다. 특히 그들은 FBI의 비영리 협력 업체인 InfraGard 지부 사이트를 해킹했는데, InfraGard의 회원 이메일 일부와 사용자의 정보가 유출되었다. 룰즈섹은 여기서 멈추지 않고 ‘LET IT FLOW YOU STUPID FBI BATTLESHIPS’라는 메시지와 함께 동영상을 홈페이지에 올려놨다.[30] 국가도 가리지 않았다. 포르투갈 정부와 관련된 웹 사이트를 공격하여 은행, 기관 등의 서비스를 몇 시간 동안 사용할 수 없게 만들기도 했다.[31] 이 외에도 미국의 상원 웹 페이지인 senate.gov의 사용자 정보를 공개해버리고[32], CIA의 공개 웹 사이트인 www.cia.gov에는 DDoS를 날려 웹 사이트가 다운되게 만들기도 했다.[33] 하지만 룰즈섹이 공격만 있었던 것은 아니다. 룰즈섹은 영국의 국민 건강 시스템 측에 자신들은 아무런 해를 끼치지 않고 기술 문제를 해결해 드리고 싶다며 취약점을 보내오기도 했었다.[34]

룰즈섹이 이러한 해킹을 한 것은 크게 재정적 문제로 그랬던 것은 아니라고 본다. 오히려, 한 기업에서 자신들의 홈페이지를 침투하면 상금을 주겠다는 대회를 했었을 때, 룰즈섹은 당당히 1등을 하고 상금은 필요 없다는 이야기를 하기도 했었다. 그들이 이러한 이유를 벌인 이유는 단순히 해킹이 재미있어서라고 말했다. 하지만 그들이 해킹하는 곳은 그들만의 이유가 분명 존재했다. 오디션 프로그램 방송은 너무 악질적인 방송이기 때문에 혹은 정치 국가적인 곳을 해킹할 때에는 정부의 부정부패를 폭로하고 자신들의 정치적 메시지를 담아서였다. 더욱이, 기업을 해킹하여 사용자의 정보를 공개했었을 때는 그렇게 밖에 관리하지 못한 기업의 낮은 보안 의식을 끄집어내거나 사용자가 비밀번호를 바꿀 수 있도록 계기를 마련한다는 그들만의 주장이 있기도 했다. 혹은 그 기업의 행실이나 나쁜 행동이 폭로되길 바란다는 메시지도 분명 있었다.[35] 더불어, 룰즈섹이 해킹을 한 후 그들이 말하기로 주로 자신들이 한 공격이 DDoS공격, SQL Injection을 하였고 그 외에는 특별한 공격이 있었던 것은 아니라고 말했다.[36] 이러한 공격방법을 밝힘으로 자신들이 공격한 대상이 이러한 공격에 어떠한 대비책도 내지 못했다는 것이다. 그리고 그들의 활동이 시작한 지 약 50일이 지난 후에 그들은 자신들의 해킹은 처음부터 50일의 기한을 두고 계획대로 진행되었다는 것을 밝히며 자신들의 해체의사를 밝혔다. 

그들의 해킹에는 분명히 자신들이 해킹한 이유, 동기가 존재했다. 어느 곳에서는 그들을 범죄자로 부르지만 다른 곳에서는 그들에게 열광하며 의적이라고 한다.[37] 하지만 그들이 한 짓이 옳았던 것인지는 생각해봐야 할 문제다. 사실 그들은 자신들이 해킹을 하고 나서 그에 대한 증명을 자신의 트위터에 탈취한 정보를 공개하며 마치 전리품처럼 보여왔다.[38][39][40] 실제로 그렇게 해서 피해 입은 것은 누구인가. 결국은 고객이었다. 물론 기업, 정부, 당사자들 역시 피해를 입은 것도 사실이다. 물론, 룰즈섹의 입장이 이해가 안되는 것은 아니다. 그들의 말에 따르면 자신들이 이렇게 해킹을 하여 사용자들 역시 비밀번호를 바꿀 수 있는 계기 그리고 보안의식을 높일 수 있을 계기가 될 것이라 생각했다고 한다. 하지만, 이 글을 읽고 있는 당신이 보기에 어떤가. 결과적으로 룰즈섹은 자신들의 해킹이 여러 기업과 정부에게 날카로운 일침이 되었을 거라 생각했을 수도 있지만 그들은  앞서 얘기했듯이 단순히 자신들의 해킹에 메시지를 담았다는 근사한 영웅 심리였지 않았을까 생각해 본다.

유성경 yuopboy@grayhash.com