해킹 역사에 있어서 1980년대는 해커 그룹의 출현이라는 특이한 꼬리표를 달고 있다. 이 당시에 등장한 해커 그룹 가운데서 법과 여론의 호된 철퇴를 피하면서 지금까지 건재한 해커 그룹의 대표주자로 CCC와 cDc를 꼽을 수 있다. 이들이 이처럼 30년 가까이 장수한 비결은 무엇일까.

CCC는 카오스 컴퓨터 클럽(Chaos Computer Club)의 약자다. 세계적인 대학생 선교회(Campus Crusade for Christ)인 CCC와는 전혀 관계가 없다. 이름에서 사용하고 있는 ‘혼돈(Chaos)’이라는 단어가 주는 느낌이 바로 CCC가 IT 세상을 어떻게 바라보고 있는지를 말해준다.

CCC는 지금으로부터 약 30년 전인 1981년 9월 바우 홀랜드(Wau Holland)와 앤디 뮐러 마군(Andy Muller-Maguhn)이 함께 독일에서 결성한 해커 그룹이다. 현재 회원 수는 4,000명이 넘는다. CCC는 태생 특성상 어느 정도 독일어를 할 줄 아는 해커들이 모이는 그룹이다. CCC 홈페이지(www.ccc.de)를 방문해보면 사용하는 기본 언어가 독일어이다. 좌측 하단의 English 메뉴를 힘겹게 찾아 선택한다고 해도 URL만 바뀔 뿐 내용은 여전히 독일어로 등장한다.

‘정보의 자유를 추구하는 사람이라면 성별, 남녀, 인종, 이념을 초월해 함께 활동할 수 있는 은하계 공동체’가 바로 CCC라고 스스로를 정의한다. CCC는 특정한 정부에 메이지 않고 정보의 자유로운 소통권을 주장한다. 해커 윤리 원칙을 옹호하며 이 땅에 존재하는 모든 사람이 자유롭게 컴퓨터를 비롯한 IT 기반기술을 활용하는 권리를 가질 수 있도록 앞장서서 싸우는 단체다.

CCC가 독일 내에서 주목을 받기 시작한 것은 한 가지 사건을 통해서였다. 독일 정부가 운영하던 통신망(Btx)에 심각한 보안 결함이 있으므로 고쳐야 한다고 CCC가 공개적으로 경고하고 나섰다. 그러나 당시 이 시스템 공급사는 CCC의 이러한 경고에 적절한 대응을 하지 않고 도리어 Btx는 안전하다고 호언했다.

결국 CCC는 자신들의 주장이 옳다는 것을 실습으로 증명하기에 이르렀다. Btx망을 통하여 독일 은행에서 13만 4,000 마르크를 CCC 계좌로 송금한 후 그 이튿날 다시금 이 돈을 언론사에 이체했다. 이 사건을 통해서 CCC는 국가 정보망의 허점을 잘 짚어준 괜찮은 단체로 일단 독일 내에서 급부상했다.

CCC를 세계적으로 유명하게 만든 사건은 1989년에 벌어졌다. 칼 코크(Karl Koch)가 이끄는 또 다른 독일 해커 그룹이 미국 정부와 기업의 컴퓨터를 해킹해 운영체제 소스코드를 소련 KGB에 팔아 넘겼다는 협의로 체포되는 사건이 발생했다. 그런데 칼 코크는 CCC의 멤버이기도 했다. 칼 코크 사건으로 CCC는 국제 사이버 스파이 혐의를 받으면서 국제 언론의 헤드라인에 등장하게 됐다.

CCC를 세계적으로 더욱더 유명하게 만든 사건은 마이크로소프트사와 관련돼 있다. 마이크로소프트사는 미래 웹 환경을 이끌 핵심 소프트웨어 기술로서 ActiveX를 전면에 내세우고 홍보에 열을 올리고 있었다. 1996년 CCC는 이러한 ActiveX에 대한 공격을 시연해 보임으로써 ActiveX의 보안 상 허점을 공개적으로 증명해버렸다. 아울러 2년 뒤인 1998년에는 휴대폰(GSM 방식)의 SIM 카드에서 사용하는 암호 알고리즘 COMP128을 깸으로써 휴대폰 복제가 얼마든지 가능함도 보였다.

2008년 독일 정부는 전자여권을 도입하고 지문을 중심으로 한 생체정보를 신분 인증용으로 활용할 계획을 구현 중에 있었다. CCC는 이러한 독일 정부의 생체 정보 이용 계획이 얼마나 위험하고 무모한 정책인지를 경고하기 위해 당시 독일 내무부장관의 실제 지문을 자신들이 발행하는 잡지에 공개적으로 실었다.

아울러 내무부장관의 지문을 필름에 떠서 타인이 내무부장관 행세를 할 수 있음을 보임으로써 지문을 전자여권에 사용하는 것이 얼마나 위험한지도 증명해 큰 파장을 일으켰다. 이런 지속적인 사건들로 인해 CCC는 독일 내는 물론 전 세계적으로 정보 보안의 취약성을 실험적으로 보이며 선도적으로 이끌고 있는 해커 그룹임을 인정받고 있다. 

cDc는 Cult of the Dead Cow의 약자로서 ‘죽은 소를 추앙하는 집단’이라는 뜻을 갖는다. 아무리 해커 그룹이라고 해도 이름 짓는데 좀 신경을 쓰지 이게 뭐냐고 할 법하다. cDc는 1984년 미국 텍사스에서 결성됐다. 스왐프 라떼(Swamp Latte), 프랑켄 기브(Franken Gibe), 시드 비셔스(Sid Vicious) 세 사람이 창립 멤버다.

이들의 첫 모임 장소는 그룹 이름에 걸맞게 도살장이었다. 그 이후로 cDc 멤버들의 특이한 행동들은 줄곧 세인들의 입에 올랐다. 1994년 cDc 멤버인 오메가(Omega)는 해커와 행동주의(activism)를 합성해 ‘핵티비즘(hacktivism)’이라는 신조어를 만들었다. 핵티비즘은 정치적, 사회적 목적을 위해 노선을 달리하는 정부와 기업, 단체를 해킹하는 행동주의를 일컫는 말로서 나중에 cDc 뿐 아니라 다른 해커들의 초법적 해킹 행동에 우월적 명분을 달아주는 단어로 자리를 잡게 됐다.

1998년 cDc 멤버인 다이스틱 경(Sir Dystic)은 당시 6회째를 맞이한 해킹 컨퍼런스 데프콘(DEF CON)에서 백 오리피스(Back Orifice, 간단히 줄여서 BO)를 만들어 발표했다. 이 명칭은 마이크로소프트사의 제품인 백 오피스를 조롱하듯 변형한 것으로 당시의 최신 운영체제이었던 MS 윈도우 95와 윈도우 98의 보안상의 취약점을 증명해 보이기 위해 만든 원격 시스템 조정 프로그램이었다.

1년 뒤인 데프콘 7회 때, 역시 cDc 멤버인 딜독(Dildog)이 BO의 후속판으로 백 오리피스 2000(간단히 줄여서, BO2k)을 만들어 소스를 공개했다. 이는 MS 윈도우 XP와 윈도우 2000을 기반으로 운영됐다. 소스까지 공개한 백 오리피스 2000의 위력은 대단했다. 궁극적으로 MS 윈도우 운영체제의 보약 취약점을 개선하는 효과를 얻어내기는 했지만 이를 이용한 해킹 행위의 급증은 피할 수 없는 현상이었다. 반면에 백 오리피스 2000이 공개 소프트웨어라는 특징 때문에 국내외에 PC 원격 관리 소프트웨어 개발의 모판이 됐고 이런 유사 제품들이 봇물처럼 터져 나오는 계기가 됐다.

CCC와 cDc가 대표적인 원조 해커 그룹으로서 지금까지 이처럼 장수할 수 있었던 데에는 나름대로 국가와 사회에 기술적으로 기여한 바가 컸었다는 데 그 원인을 찾을 수 있다. 아울러 참 다루기 힘든 해커 개개인의 독특성을 해커 그룹의 정확한 미션 아래 다듬어 수용하는 힘든 작업을 꾸준히 해왔다는 측면에서도 이들 해커 그룹의 장수 비결을 엿볼 수 있다.

<글 : 김명주 서울여자대학교 정보보호학과 교수 (mjkim@swu.ac.kr)>

[월간 정보보호21c 통권 제116호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>