• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

해커 영화 ‘테이크다운’, 보안의 중요성 일깨워줘 2007.08.10

전설의 해커 케빈 미트닉, 보안컨설팅업체 CEO 되다

 

 

지난 2000년 개봉된 영화 ‘Take Down’은 미국에서 전설의 해커라 불리우는 ‘케빈 미트닉(Kevin Mitnic)과 정보보호 전문가인 ‘시노무라’의 갈등을 소재로 제작됐으며 케빈이 FBI에 체포되는 2년간의 과정을 그렸다.

 

영화는 어느 술집에서 케빈과 그의 친구인 ‘알렉스’가 또 다른 해커인 ‘랜스’로부터 정보를 공유하게 되고 랜스는 FBI의 사주를 받고 케빈에게 접근을 시도하지만 오히려 ‘세스’라는 중요 정보만 케빈에게 주는 것으로 시작된다.

 

‘세스(Switched Access Service)’는 켈리포니아 텔레콤이라는 회사에서 FBI에게 제공하는 프로그램으로써 언제 어디서든 어떤 전화든 도청이 가능하다. 케빈이 ‘세스’에 대해 알고 싶은 이유는 다른 악의적인 목적으로 사용하기 위해서가 아니라 단지 호기심 때문이었다. 보호관찰 대상이었던 케빈은 ‘세스’의 존재여부와 실체를 알아내기로 하고 일을 꾸민다.

 

한편 켈리포니아 대학 슈퍼컴퓨터센터 수석 연구원으로 근무하는 ‘시노무라’는 자신이 휴대폰회사인 노키텔의 전화기에 내장 되어 있는 도청기능을 발견했다며 인터뷰를 하고 현 사회가 도청에 노출 되어 있음을 알린다. 

 

TV를 통해 이를 본 케빈은 시노무라에게 접근을 시도하고 그가 근무하는 회사의 슈퍼컴퓨터에 접근하여 각종 파일 자료와 노키텔 소스코드를 해킹하는데 성공한다. 그리고 자신이 해킹한 것을 과시 하듯 시노무라에게 그 사실을 알린다.

 

하지만 문제는 잃어버린 노키텔 소스 코드가 아니었다. 최고의 정보보호 전문가를 꿈꾸던 시노무라는 최고의 백신을 연구하고 있었으며 이에 앞서 강한 바이러스를 만들었다. 이 작업 자료는 그의 슈퍼컴퓨터 안에 저장되어 있었다.

 

‘컨템트’라 불리우는 이 바이러스는 인터넷에 연결되어 있는 모든 프로그램을 제어할 수 있는 기능을 가졌으며 전력 시스템, 병원, 은행 전산망 등에 엄청난 영향을 끼칠 수 있었다.

 

케빈은 자신이 해킹한 시노무라의 파일 안에 노키텔 소스 코드 이외에 ‘컨템트’의 존재를 알게 된다. 중요한 소스인 만큼 철저하게 암호화해서 보관해둔 ‘컨템트’였지만 케빈은 근처 대학의 슈퍼컴퓨터 네트워크를 통해 ‘컨템트’의 암호를 푸는데 성공하지만 그것을 인터넷에 공개 할지 여부를 두고 갈등한다.

 

시노무라는 주위 사람들의 도움으로 ‘셀 사이트 시뮬레이션’을 구해 케빈이 인터넷 접속에 사용하던 싸이트인 것처럼 꾸며 그와 접촉한다. 이 사실을 알지 못했던 케빈은 자신이 바이러스를 인터넷에 공개 했다고 생각한 채 FBI에게 검거 된다. 그리고 6개월 후에 시노무라는 케빈을 면회하고 케빈이 검거되던 날 자신이 사용했던 시뮬레이터와 케빈이 ‘컨템트’를 업로드 한 곳 역시 자신이 시뮬레이터였다는 사실을 알린다.

 

영화에서 케빈은 처음부터 악의를 갖고 해킹을 하지 않았다. 단순히 호기심 때문에 통신회사의 소스코드를 빼내고 컴퓨터 전문가가 개발한 바이러스를 빼냈다. 그렇지만 그는 이를 이용해 자신의 이익을 취하진 않았다.

 

영화 속의 케빈과 같은 우수한 컴퓨터 실력을 가진 천재 해커들이 그들의 실력을 양지에서 사용한다면 우리 사회에 많은 보탬이 될 것이다. 이들을 양성화해서 컴퓨터 전문가로 정착할 수 있도록 제도적 장치도 마련되어야 할 것이다.

 

실제 케빈은 상원 청문회에서 “나의 성공은 해킹당한 기업의 내부 보안 관계자들이 수년간 시행되어왔던 보안방침과 절차를 스스로 위배한 덕”이라고 밝히면서 보안 관계자들의 부주의를 탓했다. 이 말은 현 시대의 보안 관계자들에게도 경고를 보내고 있다.

 

케빈은 1995년 보호 관찰법 위반과 사이버 절도 등의 혐의로 5년간 구속되어 지난 2001년 1월 미연방 형무소에서 출소한 이후 자신의 실력을 발휘할 수 있는 ‘미트닉 시큐리티 컨설팅’이라는 보안회사를 운영하면서 컴퓨터 보안 전문가로 변신했다. 

이 회사는 또 천재 해커들에게 해킹의 대상이 되기도 해, 실제로 두 차례나 해킹을 당하는 수모를 겪어 천재적인 해커가 운영하는 보안회사도 해킹을 당할 수 있다는 것을 증명했다.

 

석방 후에도 그는 3년간 컴퓨터 사용이나 소유는 물론 휴대폰 등을 통한 인터넷 접속까지도 금지되는 보호관찰 명령을 받았지만 그에 관한 신문기사와 책, 영화, 기록 등은 쏟아져 나와 많은 관심을 모으기도 했다.

 

우리에겐 컴퓨터 소스를 이해하고 프로그래밍하고 코딩하는 기술이나 하드웨어 장비에 대한 지식도 중요하다. 하지만 그에 맞는 기본적인 보안의식을 갖는 것이 더 중요한 시대를 살아가고 있다. 특히 산업기밀 유출이 심각한 요즘 우리의 기업 보안의식은 지속적인 보안에 대한 개념 정립과 교육을 통해 높일 수 밖에 없다.  

 

모든 보안의 최대 취약점은 ‘사람’이라는 말이 있다. 자기 자신도 알지 못하는 작은 실수로 발생되는 보안사고가 엄청난 피해를 가져올 수 있다는 것을 항상 염두에 두어야 한다. 그리고 아무리 철저한 보안을 해도 이 보안을 뚫고 들어오려는 사람들은 항상 존재한다는 것을 명심해야 하지 않을까.

[김태형 기자(boan2@boannews.co.kr)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>