데프콘 : APT 역추적 이슈에 대한 고찰 (1)

윤리적 해킹 = 뜨거운 ‘아아’?
지금은 기억이 가물가물한 수년 전 어느 보안 행사에서의 일이다. 한 보안 전문가께서 기조 연설을 하시다가 ‘윤리적 해킹’이라는 표현 자체를 신랄하게 비판하셨다. 해킹이라는 것 자체가 불법적인 행위이며, ‘윤리적’이라는 말을 붙인다는 것에 심각한 어폐가 있다는 것이었다. 마치 ‘아아(아이스아메리카노)’를 뜨겁게 주문하는 것과 같은 느낌이랄까. 또 다른 해, 다른 행사에 초대받았던 한 미국인 보안 전문가도 사석에서 비슷한 논조로 열변을 토했던 기억이 있는 걸로 보아 이 ‘윤리적 해킹’이라는 말이 완전히 정착하지는 않은 듯하다.

공평한 판단을 위해 반대편의 이야기에도 잠깐 귀를 기울여보자. 윤리적 해킹(혹은 화이트 해킹)이라는 말이 전혀 잘못되지 않았다는 측은 ‘해킹’이 결코 범죄 그 자체를 말하는 것이 아니라고 주장한다. 범죄에 해당하는 ‘해킹’ 행위에는 ‘크래킹’이라는 용어가 따로 있으며, ‘해킹’은 그저 지적 호기심을 충족하기 위한 분해와 분석을 통해 매뉴얼이나 일반 사용법에 나와 있지 않은 다른 접근법을 찾아내는 것일 뿐이라고 말한다. 그러므로 ‘해킹’ 자체는 가치중립적인 말이며, 거기에 ‘윤리적’이라는 단어를 붙임으로써 일반 대중이나 사회에 도움을 주는 ‘해킹 행위’를 충분히 지칭할 수 있다고 한다. 

그렇게 ‘윤리적 해킹’ 혹은 ‘화이트 해킹’이 찬반 사이에서 표류하는 사이, 여러 가지 일들이 있었다. 어떤 사이버 범죄자는 남의 회사에 침투해 들어가 데이터까지 훔치고서는 ‘무료로 모의 해킹을 실시했으니 돈을 달라’고 요구하기도 했다. 사실은 데이터를 볼모로 잡고 돈을 내라고 협박한 건데(즉, 요즘의 랜섬웨어 조직들과 궤를 같이 하는 건데) 포장을 ‘윤리적 해킹’으로 한 것이다. 어떤 해커는 자신이 여러 대기업으로부터 훔친 데이터를 무료로 공개하며 의식 있는 고발자 내지는 핵티비스트인 척 하기도 했다. 보안 전문가들이 정식 의뢰를 받고 합법적 모의 해킹을 실시하다가 경찰에 체포돼 기소까지 된 사례도 있었다(2019년 콜파이어(Coalfire) 사건).

문제의 ‘APT 역추적’ 사건
지난 달 데프콘 행사에서 아직도 신원을 밝히지 않은 두 명의 ‘화이트 해커’ 혹은 ‘핵티비스트’가 한 해킹 조직의 일원으로 보이는 자(즉 사이버 범죄자)의 컴퓨터를 해킹해 얻어낸 자료를 프랙(Phrack)이라는 잡지를 통해 대거 공개했다. 즉 해커를 해킹한 것으로, 이를 ‘보복 해킹(hacking back)’ 혹은 ‘역해킹’이라고도 한다. 나쁜 놈을 해킹함으로써 결국 방어를 더 튼실히 하겠다는 의도로 한 것이기 때문에 ‘화이트 해킹’ 즉 ‘윤리적 해킹’의 범주에 들어가기도 하고, 나중에 이 두 명이 스스로를 핵티비스트라고 칭하는 통에 ‘핵티비즘’이라고 불리기도 하는 등 용어의 측면으로만 봤을 땐 그 동안 업계에서 용어의 교통정리를 하지 않은 티가 팍팍 나는 총체적 난국 그 자체인 사건이었다.

이 사건은 ‘역해킹’일까, ‘윤리적 해킹’일까, ‘핵티비즘’일까? 혹은 셋 전부일까, 셋 다 아닐까? 정답은 ‘지금으로서는 셋 다에 가장 가까워 보인다’이다. 해커를 해킹한 것이므로 ‘보복 해킹’도 맞고, 지금까지 드러난 의도(“APT의 공격으로부터 보안을 강화한다”)로만 보자면 ‘윤리적’이라는 의미에 부합하므로 ‘윤리적 해킹’도 맞으며, 2인조 스스로가 북한 정권에 반대한다는 걸 굉장히 강조했으므로(애초에 그것이 해커를 해킹하게 된 사유였다) ‘핵티비즘’도 틀리지 않는다. 명확하면서도 애매하다. 후술하겠지만, 이게 정답이라는 것 자체가 문제다.

어쩌면 다음 질문이 더 중요하다. ‘그 행위를 분류한다는 게 과연 중요한 일인가?’ 혹자는 지금 적잖은 한국 기업과 기관들의 피해가 분명해 보이는 상황에서 그런 비실용적인 문제를 따질 때인가 일갈하며 ‘중요하지 않다’에 손을 번쩍 들지 모르겠다. 반쯤은 맞는 말이다. 하지만 단시안적일 수도 있는 생각이다. 왜냐하면 ‘역해킹’과 ‘윤리적 해킹’, ‘핵티비즘’은 법의 시각에서 완전히 다른 것이기 때문이다. ‘역해킹’은 대부분 나라에서 불법이지만 여러 정보 기관에서 국가 안보를 목적으로 은밀히 하는 것으로 알려져 있고, ‘윤리적 해킹’에 대한 가치관은 지역마다 판이하게 다르며, ‘핵티비즘’은 불법이긴 하지만 수사의 우선순위에서 상당히 뒤로 밀리는 경우가 많다.

말장난? 오히려 장기 과제
이런 용어들을 명확히 정의하는 건 어떤 의미를 갖는가? 향후 보안 전문가들이 합법적으로 움직일 수 있는 범위를 정한다는 의미를 갖는다. 합법적으로 움직일 수 있다는 건 보안을 위한 연구 및 실험 행위를 하면서 ‘혹시 내가 불법적인 행동을 하는 거 아냐?’라는 불안감을 갖지 않는다는 의미다. 즉 방어가 더 탄탄해지는 기초가 마련된다는 것이다. 예를 들어 역해킹이라는 게 특정 상황에서 합법으로 인정을 받는다면, 보안 전문가들이 해커를 해킹하는 일이 늘어날 것이고, 이는 여러 가지 순작용과 부작용을 낳을 것이다. 윤리적 해킹이라는 용어가 보다 널리 받아들여지고 법적으로 보장까지 받는다면, 그 역시 보안 전문가들의 활동 폭을 넓히면서 각종 순작용 및 부작용을 야기할 것이다. 핵티비즘도 마찬가지다. 이 세 가지를 보다 세부적으로 살펴보자.

‘역해킹’은 이미 특별한 상황에서 여러 국가 정부 기관의 승인 하에 알게 모르게 자행되는 것으로 알려져 있다. 물론 ‘역해킹’이라는 말이 그대로 사용되지는 않으며, ‘사이버 보안 강화 조치’라든가 ‘컴퓨터 네트워크 관련 작전’, ‘능동적 사이버 작전’이라는 용어로 대체하긴 한다. 음모론일까? 미국은 ISIS가 한창 극성일 때 이들의 프로파간다 네트워크에 침투해 요원들을 적발하곤 했었다. 그 유명한 스노든 폭로 사건으로 미국의 역해킹 능력이 만천하에 드러나기도 했다. 이스라엘도 ‘역해킹’ 능력을 활용해 하마스의 주요 지도자들을 암살했고, 러시아와 중국 역시 수차례 적국의 외교 기관이나 주요 기업들을 해킹해 오고 있다. 

국가들이 이렇게 움직일 수 있는 건 역해킹이나 사이버전에 대한 규제가 없어서가 아니다. 오히려 표면적 규제는 국제법은 물론 각 국내법에도 존재하는 게 일반적이다. 다만 그런 규제들을 실제 적용하는 게 기술적, 정치외교적으로 힘들며, 정부들 대부분 이런 상황을 알고 있어 ‘나만 안 하면 손해이며, 걸리지만 않으면 된다’고 판단하고 있어 문제다. 즉 역해킹을 억제하는 장치는 유명무실하며, 그 유명무실함 속에 존속될 것이라는 의미가 된다.

핵티비즘 역시 세상 사람들이 각자의 이념을 자유롭게 추구하는 이상 어떤 형태로든 존재할 것이 분명한 행위이다. 벽에 낙서하는 것과 비슷하다고도 볼 수 있다. 기본적으로는 ‘자기 표현’을 ‘허용되지 않는 공간’에 하는 것이기 때문에 ‘표현의 자유’냐 ‘반달리즘’이냐의 논란을 항상 끌고 다닌다. 이 때문에 사법활동이 즉각 발동되는 것도 아니다. 표현의 수위가 어느 정도인가, 침해된 공간의 공공성이 얼마나 높으며, 침해 사실이 사회적으로 얼마나 많은 영향을 미치느냐가 종합적으로 고려된다. ‘역해킹’이 국제 사회 속 각 국가의 은밀한 필요에 의해 존속된다면, 핵티비즘은 시대상을 반영한 복잡한 철학적, 공리학적 메커니즘 속에 존속할 것으로 예상된다.

자유주의라는 게 배척되고, 따라서 모두가 같은 윤리관과 같은 이념을 좇는 세상이 오지 않는 이상 누군가는 사이버 공간에 자기 생각을 핵티비즘 형태로 구사할 것이며, 따라서 핵티비즘은 자유주의라는 게 얼마나 더 살아남느냐와 직결되는 문제에 더 가깝지, 보안 전문가들의 활동 영역과는 별개라고도 볼 수 있다.

‘윤리적 해킹’은 조금 다른 문제다. ‘역해킹’이 점점 ‘국가 차원의 일’로 굳어져 가고 있고, ‘핵티비즘’이 ‘자유주의의 한 현상’으로 발현되는 것과 달리 ‘윤리적 해킹’은 보안 전문가들의 일상적 업무와 직결된, 구체적이면서 피부에 와 닿는 문제다. 국가 존립과 국방, 안보, 시대정신과 철학 등의 거창한 단어들로 수식되는 개념이 아니라 ‘내가 매일 하는 일의 정당성’을 규정하는 논제라는 것이다.

무엇을 ‘윤리적 해킹’으로 보고, 무엇을 ‘비윤리적 해킹’으로 볼 것인지를 법적으로 어떻게 규정하느냐에 따라 보안 전문가들이 매일 하는 일이 불법이 될 수도 있고 합법이 될 수도 있다. 중간지대의 애매한 행위들 때문에 벌어지는 각종 소송전이나 행정 절차 등 ‘사회적 비용’의 증감과도 직결되어 있다. 보안 전문가들이 ‘안심하고’ 전문성을 발휘할 수 있는 영역을 정하는 것이기도 하기 때문에 사회 전체의 ‘보안력’이 강화되느냐 마느냐 역시도 이 문제가 결정한다. ‘나는 이 단어가 싫고 좋고’ 정도로 결정할 문제가 아니라는 것이다.

그러므로 지난 8월의 APT 역추적 사건이, 보는 각도에 따라 ‘역해킹’이나 ‘윤리적 해킹’ 혹은 ‘핵티비즘’으로 분류될 수 있다는 건, 아직 보안 전문가들의 활동이라는 것이 코에 걸면 코걸이 귀에 걸면 귀걸이라는 뜻이 된다. 분명한 기준이 없기에, 앞으로 있을 ‘보안 강화 노력의 수위’가 여전히 미궁 혹은 논란 속에 남아 있을 것이며, 따라서 흔히 지나가는 단일 사건으로만 그치지 더 나은 미래를 위한 거름으로 활용되지 못할 가능성이 높다는 의미가 된다. 어제 나온 재미있는 유튜브 영상 하나 친구들끼리 쑥덕거리며 공유하는 것 이상의 가치를 갖지 못한다는 것이다. 스스로를 핵티비스트라고 칭하는 해커 둘이 APT 조직을 역으로 해킹하고, 그 과정에서 대한민국 정부와 기업이 대거 털린 게 분명해 보이는 정황들이 가득 나왔음에도 말이다. 

이 사건이 ‘역해킹’이라면?
만약 우리가 이번 APT 역추적 사건을 ‘역해킹’으로 보자고 결정한다면 어떤 파급력이 있을까? 제일 먼저 이 무명의 해커 둘(사이보그(cyb0rg)와 세이버(Saber))은 국가의 추적을 받게 될 수 있다. 어느 국가가? 이들이 해킹한 APT 조직이 소속된 국가일까? 아니다. 오히려 이 둘이 국적을 가지고 있는 국가일 것이다. 둘이 신원을 공개하지 않았기에 어느 나라 사람인지 모르겠지만, 프랙이 미국 잡지이고, 데프콘도 미국에서 매년 열리는 행사이기 때문에, 아마도 미국 사람일 것으로 예상된다. 그렇다는 건 미국 정부가 이 둘을 추적할 것이라는 뜻이 된다. 그것도 공개적으로 말이다.

왜? 그래야 국제 무대에서 미국이 명분을 갖게 되기 때문이다. 다시 복기하자면 이 둘은 북한 혹은 중국의 APT 조직으로 의심되는 해킹 조직을 침해했다. 그리고 미국인일 것으로 의심 받고 있다. 미국이 중국이나 북한을 해킹한 것이나 다름 없어 보이는 상황인 것이다. 중국과 북한 쪽에서 어떻게든 꼬투리를 잡을 수 있을 만한 사건이고, 미국 쪽에서는 해명거리가 필요하다. 최소한 ‘추적해 보니 미국인들이 아니더라’라는 주장이라도 할 수 있어야 한다. 게다가 ‘역해킹’이라는 것이 민간 차원에서 만연해지는 것을 두고 볼 수도 없는 게 정부 기관들의 입장이기도 하다. 

다만 아직 이 사건이 ‘역해킹’으로 합의되지 않았기 때문에 사이보그와 세이버 둘도 테크크런치와의 인터뷰에서 ‘미국(혹은 자기들의 나라)이 추적할 것이 걱정된다’고 말하지 않아도 되었고, 미국(혹은 둘의 나라)도 공개적으로 조치를 취하지 않아도 되는 상황이다. 만약 반대의 상황이었다면 보안 전문가들은 기회가 있어도 다른 나라 APT를 해킹할 생각도 하지 않거나, 비슷한 성과를 거두었더라도 공개할 용기를 낼 수 없을 것이다. 대신 국가 정부 기관에 은밀히 제보하는 활동이 더 활발해졌을 수 있다. 보안 강화를 위한 민관의 협력은 이 방향으로 더 굳어져 갈 것이다.

이 사건이 ‘윤리적 해킹’이라면?
사이보그와 세이버가 APT 공격에 대한 모두의 방어 능력 강화를 꾀하는 차원에서 자신들이 가지고 있던 정보를 공유한다고 밝힌 마당이라, 윤리적 해킹이라 명명하는 것도 가능하다. 그래서 이것이 ‘윤리적 해킹’의 대표 사례로 전파된다면 어떤 파급력을 가질까? 

먼저는 ‘윤리적 해킹’에 대한 현행법을 재검토하자는 촉구의 목소리가 불거져 나올 것으로 예상된다. 이미 이러한 의견은 주기적으로 나오고 있다. 지난 6월 23일에만 해도 ‘캠브리지 사이버범죄 컨퍼런스’라는 행사에서 첫 기조 연설자로 나선 박선우 뉴욕대 교수는 “사이버 보안 연구가 가지고 있는 법적 리스크”라는 내용을 다뤘다. 현재 미국에서 시행되고 있는 법이 보안 연구자들을 어떤 식으로 옥죄고 있으며, 그에 따른 부작용이 무엇인지를 언급하고, 개선 방향을 논한 것이다.

이런 논의는 대부분 미국과 영국 등 서방 국가들에서 주로 이뤄진다는 게 안타까운 현실이다. 한국을 비롯해 아시아에서는 없다시피 하다. 이런 지역의 전문가들은 법이 정해준 테두리를 대부분 순응하며 받아들이는데, 이 때문에 어쩌면 아시아 지역은(혹은 비서양권) 보다 능동적인 보안 강화의 토양을 마련하지 못하고 있을 수도 있다. 논의가 어떤 방향으로 흘러가 어떤 결론에 도달하는지는 두 번째 문제이고, 논의 자체가 없다는 게 가장 큰 문제일 수 있다는 것이다. 마침 한국과 깊은 관련이 있는 이번 역추적 사건이 ‘윤리적 해킹’으로 분류된다면 우리나라에서도 ‘윤리적 해킹’의 범위 관련 논의에 불이 붙을 수 있고, 그것 자체로 긍정적인 변화를 기대할 수 있으리라고 본다. ‘윤리적 해킹’이라는 용어가 맞냐 틀리냐를 논하는 수준을 넘어서야 할 때가 됐다는 경종을 울릴 수 있다면, 이번 APT 역추적 사건은 적잖은 의미를 가질 수 있다.

현재 한국에서 ‘윤리적 해킹’이란, ‘공식 승인과 가이드라인이 있는 상황에서의 해킹’을 의미한다. 특정 소프트웨어나 웹 서비스의 취약점을 제3자가 점검한다고 했을 때, 해당 소프트웨어나 웹 서비스의 개발자와 운영자의 승인부터 받아야만 한다는 것이다. 게다가 그 개발사나 운영자가 정해준 틀(예 : XSS 취약점만 찾아주세요 / 개인정보 유출 가능성만 점검해 주세요) 안에서만 할 수 있다. 이를 수행하다가 더 심각한 구멍을 발견했다면, 그것 자체로 불법이 될 수 있다는 의미로, 보안 전문가들 대부분은 그러한 성과를 감추게 된다. 따라서 보안 강화는 요원한 것으로 남는다.

그렇다고 이를 급진적으로 바꿀 수는 없다. 아무나 아무 소프트웨어를 파고들어 취약점을 찾아내고 돈을 요구한다면, 그건 부정적 의미의 해킹이 만연한 미래이지 모든 사이버 환경이 튼튼해지는 미래는 아닐 것이기 때문이다. 지금의 경직성을 조금 완화하되, 부정적 효과를 최소화 할 수 있는 방안이 필요하고, 그러려면 논의가 시작돼야 한다.

‘핵티비즘’이라면?
핵티비즘은 주로 ‘아마추어리즘’을 동반한다. 유명 핵티비즘 조직들은 ‘느슨하게 연대되어 있다’는 특징을 가지고 있다. 즉 참여 의사에 따라 자유롭게 같이 할 수도 있고 빠질 수도 있으며, 특정 강제 조항에 의거해 단체 행동을 하는 경우는 많지 않다. 그러다 보니 핵티비스트들의 해킹 공격이라는 것도 거의 대부분 ‘디도스’ 정도에 그친다. 핵티비스트들의 실력이 ‘프로’에 미치지 않기도 하거니와, 실력이 충분하다 하더라도 애초에 이념 설파가 목적이지 실제 범죄 이력을 쌓는 게 목적이 아니기 때문에 공격 대상을 잠시 마비시키는 선에서 그치는 것이다. 그렇기 때문에 수사 대상 1순위가 아닌 경우가 많기도 하다.

만약 이번 APT 역추적 사건이 ‘핵티비즘’이라면, 통상 디도스 정도로 그쳤던 핵티비즘에 새로운 바람이 불 수 있다. 아마추어리즘의 또 다른 특징은 ‘모방자’가 쉽게 불어난다는 것인데, 이 사건으로 인해 APT를 타격하는 게 핵티비즘의 새로운 유행으로 자리를 잡으면 핵티비스트를 자처하는 이들이 많아질 것으로 예상된다. 그 중에 보안 전문가들이 없으리라는 법이 없다. ‘역해킹’도 안 되고, ‘윤리적 해킹’에도 제한이 많다면, 차라리 핵티비즘을 새로운 연구와 폭로의 창구로 활용하겠다 마음 먹는 전문가들도 생겨날 것이다.

그러면 핵티비즘에 대한 사법 기관의 경계 태세가 한층 강화될 것으로 예상된다. 핵티비즘은 더 이상 ‘후순위로 밀리는 귀여운 장난’ 정도가 아니라 ‘심각한 사이버 범죄’의 하나로서 분류되기 시작할 것이고, 시간이 흐르면서 이러한 인식이 대중적으로 자리를 잡아 결국 사이버 보안 전문가들의 활동에는 더 큰 리스크가 수반될 것이다. 

보안 커뮤니티에 남겨진 과제
이야기를 처음으로 되돌려보자. ‘윤리적 해킹’이 있어서는 안 될 말이라고 주장했던 그 보안 전문가의 연설은 당시로서는 타당했을지도 모른다. 하지만 이번 APT 역추적 사건처럼 큰일이 이도 저도 아닌 것처럼 흐지부지 묻히는 지금 시점에서는 그렇지 않다. 이제 보안 커뮤니티에서 영향력 좀 발휘하는 사람이라면 윤리적 해킹이라는 말의 타당성이 아니라 합법성을 이야기하는 단계로 넘어가도록 화제를 이끌어야 한다. 그리고 지금 시대의 필요를 반영하는 법의 테두리를 정할 수 있도록 입법 단계에까지 힘을 모아야 한다.

처음부터 ‘윤리적 해킹’이라는 개념을 받아들였던 보안 전문가들이라면 어떨까? ‘거봐, 내가 맞았잖아’라고 거들먹거리지 말아야 한다. 그때는 그대들이 틀렸을 수도 있다. 여러 사건이 터지고 시간이 흐르면서 그때는 틀렸던 것이 지금은 맞게된 상황이라면, 거들먹거릴 이유가 없다. 스스로를 미래 예견자로 포장해 봐야 당장 필요한 제도 마련에 방해만 될 뿐이다(단, 이번 APT 역추적 사건을 예견했다면 인정. 보안 커뮤니티는 당신을 받들어야 한다.).

우리에게 필요한 건 상생이자 윈윈이고, 그러려면 지금 제도가 억제하는 보안 연구 활동이 무엇인지 파악하고, 어느 수위로까지 조정해야 하는지 결정하는 게 시급하다. 이번 사건을 통해 드러났듯, 북한인지 중국인지, 아니면 둘 다인지, 외부 세력이 대한민국을 통째로 위협하는 시점이기 때문이다.

Related Materials

• 중국 보안기업 i-Soon(安讯) 유출 데이터에서 드러난 APT 활동 및 도구 연계 분석 - Palo Alto Networks Unit 42 , 2024년
• Phrack's APT Down: The North Korea Files 상세 분석 - S2W , 2025년
• 2024년 2분기 APT 트렌드 보고서 - Kaspersky , 2024년
• 2024년 주요 데이터 유출 사례 Top 10 - Intigriti , 2025년
• How The U.S. Hacked ISIS, 2019년

한국 정부가 위험하다 해서 알아보니...아직까지 주인공은 해킹 조직

💡Editor’s Pick - 데프콘 현장에서 한 APT 조직의 내부 정보 유출 - 이 APT 조직은 북한이나 중국과 관련 있을 가능성 높음 - 한국 국방방첩사령부와 대검찰청을 턴 APT 조직 화이트햇 해커들을 위한 올림픽이라고 불리는 ‘데프콘(DEF CON)’에 데이터 폭탄이 떨어졌다. 보안 잡지 프랙(Phrack)을 통해 두 명의 해커가 한

The Tech Edge문가용 기자

드디어 공개된 ‘킴’의 데이터...피해 정황만 한가득이긴 한데

💡Editor’s Pick - 고려대학교 정보보호대학원이 8.9GB 분석 완료 - 행안부, 외교부, 통일부, 해수부, LG유플, 한겨레, KT가 당해 - 피해 정황 있지만 실제 피해 사실은 당사자들이 직접 확인해야 세이버(Saber)와 사이보그(cyb0rg)라는 핵티비스트들이 데프콘(DEF CON)에서 공개한 8.9GB 데이터에 대한 분석을 고려대학교 정보보호대학원 측에서 완료했다. 이

The Tech Edge문가용 기자