미 컴퓨터 범죄의 실태-공개된 사건만 1천3백여건

미국에서 컴퓨터범죄가 급증하고 있다. 인터네트의 폭발적인 보급확산에 의해 누구나 해커의 표적이 되는 시대가 되었다. 정부및 기업은 안전대책을 모색하고 있지만 해커들은 이를 비웃듯 네트워크에 침입, 기밀데이터를 빼내간다. "일경산업신문"에 실린 미국의 컴퓨터 범죄실적을 소개한다.

<편집자주> 지난 2월 25일 미명、 미국노스캐롤라이나주 작은 도시의 한 아파트를 미국 연방수사국(FBI)요원들이 포위했다. 곧 이어 그 안에서 케빈 미토닉이 끌려나왔다. 악명높은 거물급 해커다.

미토닉은 수사진중에 낯익은 얼굴을 발견하곤 말을 건넨다. "쓰토무、 당신에게 경의를 표한다." 미토닉으로부터 찬사를 받은 시타무라 쓰토무(하촌 노)씨. 그는 샌디에이고슈퍼컴퓨터센터에서 근무하는 일본인 네트워크보안전문가이다. 지난해 12월 시타무라의 컴퓨터에 누군가 침입、 대량의 데이터를 훔쳐 갔다. 해커대책전 문가에 대한 도전장이다. 이에 대해 시타무라는 FBI와 손잡고 네트워크상에서 집요한 추적활동을 벌여 끝내 미토닉의 은닉처를 찾아냈다.

시타무라의 활약상은 미국매스컴에서 대대적으로 다뤄졌다. 곧 단행본으로도 출판된다. 이같은 컴퓨터범죄는 미국내에 빠른 속도로 불어나고 있다. 카네기멜론대학 의 컴퓨터사태긴급대책팀(CERT)의 조사에 따르면、 지난해 발생한 컴퓨터범죄는 약 1천3백건. 2、 3년전의 약 50건에 비하면 기하급수적인 증가다. 또한 스캔들에 휘말리는 것이 무서워 사건을 발표하지 않는 기업도 많을 것으로 추정되기 때문에 공개된 숫자는 빙산의 일각에 불과할 지도 모른다.

컴퓨터범죄는 인터네트의 보급확산에 따라 증가하고 있다. 전세계의 PC가 통신네트워크로 연결되면서 해커의 활동무대가 급격히 넓어진 것이다. 미토닉 사건이 큰 관심을 끄는 것도 이때문이다. 일반인에게도 컴퓨터범죄가 더이상 남의 일이 아닌 셈이다.

범죄의 내용도 다양하다. 최근 밝혀진 것은 기밀데이터를 대상으로 한 앵글 러(비합법)마켓. 인터네트를 통해 훔쳐 낸 개인의 크레디트카드정보나 기업 정보를 매매하고 있는 것으로 알려지고 있다. 한 소프트웨어컨설턴트가 이 마켓의 존재를 잡지에 발표하자 화가 난 해커는 이 컨설턴트의 은행계좌에 침입、 마음대로 현금을 이체했다.

산업스파이사건도 빈발하고 있다. 지난해 한 건설회사는 1백만달러규모의 경쟁입찰에서 패했다. 경쟁업체와의 입찰액차이는 불과 9백달러. 나중에 경쟁 회사가 인터네트를 통해 이 회사의 입찰정보를 빼낸 것으로 판명됐다. 이와관련 디지털 이퀴프먼트사(DEC)의 인터네트 안전 서비스매니저인 빌포지리 키트씨는 "해커의 수가 급격히 늘고 있다고는 생각하지 않는다.

다만그 수법이 점점 교묘해지고 있다"며 컴퓨터범죄수법의 지능화 및 다양화 를 강변한다.

인터네트는 원래 누구나 쉽게 참여할 수 있는 개방.분권형 네트워크로 출발 했다. "안전"과는 다소 거리가 있다. 지난해 7월 국립 로렌스 리버모어연구 소의 한 연구원이 인터네트상에서 포르노사진을 뿌린 사건은 이같은 특성을 잘 말해준다. 즉 네트워크상에서 누가 무엇을 하든、 어느 누구도 제한할 수는 없다.

한편 컴퓨터범죄가 급증함에 따라 그 대응에 대한 관심도 높아지고 실질적인 대응책도 잇달아 등장하고 있다.

한 예로 지난달 초、 뉴욕에서 개최된 네트워크안전대책세미나에는 1백60명 이상의 비즈니스맨이 몰렸다. 세미나주최측은 예상밖으로 출석률이 높은 것에 놀랐다. 컴퓨터범죄에 대한 미국기업들의 관심도를 짐작케 해 준다.

미국기업들은 이미 해커의 침입에 대처、 실질적인 방지대책을 마련해 놓고있다. 이중 가장 일반적인 것은 기업네트워크와 공용네트워크간에 물리적인" 벽"을 설치하는 "파이어월(방화벽)"이라는 수법이다.

인터네트와의 접속지점에 감시역할을 하는 컴퓨터나 접속장치를 설치、 사내 네트워크에 출입하는데이터를 분석、 의심스러운 것은 통과시키지 않는 장치 다. 파이어월 관련제품이 시장에 속속 등장、 잘 팔리고 있다.

네트워크관련제품업체인 시스코 시스템즈사는 파이어월기능을 지닌 루터(LAN 간 접속장치)를 투입했다. 대형소프트웨어업체인 선 소프트웨어사는 기존의워크스테이션에파이어월기능을 추가시켜 줄 전용소프트웨어를 판매하고 있다. 그러나 외부인을 사내네트워크로부터 차단하는 것만으로는 안전대책으로 불충분하다. 네트워크를 통과하는 데이터는 전문소프트웨어를 사용하면 간단히 도청 할 수 있다. 컴퓨터안전의 전문가 F 코엔씨는 "전화쪽이 아직 도청 하기 어렵다"고 충고한다.

이 도청방지를 위해 등장한 것이 "암호화"기술이다. 인터네트관련업체인 네 트스케이프 커뮤니케이션즈사는 인터네트의 비즈니스이용에 대응、 인터네트 접속용 소프트웨어 "네트스케이프 내비게이터"의 암호화기능을 강화하고 있다. 데이터를 자동적으로 암호화하고 나서 송신하는 기능을 담아 도청을 막는다. 상대는 특정의 독해소프트웨어를 이용하지 않으면 내용을 파악할 수없다. 특히 암호화기술관련 특허를 가진 RSA데이터 시큐리티사는 마이크로소프트、 로터스 디벨로프먼트등 1백50개사이상의 컴퓨터관련기업들에 암호화기술을 라이선스공여하고 있다. 이 회사의 J 비존사장은 이 때문에 올 매출이 급증할 것이라고 자신감을 보이고 있다.

하드디스크등에 축적된 데이터를 통째로 암호화해 두는 기술도 등장했다. 이것까지 대책을 철저히 하면 해커가 침입、 데이터를 훔쳐내는 일은 극히 어렵다. 이같은 기업들의 안전대책에 대해 상당수 해커들은 심각해하지 않는다. 지난7일 뉴욕에서 해커의 집회가 열렸다. 고등학생、 대학생이 주류인 이들은 40 ~50명정도 규모다. 이들은 "호기심"、 "악의는 없다"고 입을 모은다. 그러나RSA의 비존사장은 "보수를 받는 프로해커도 있다"고 경고한다.

사실어떤 기업은 라이벌기업의 기밀정보를 훔치기위해 RSA의 기술자를 해커 로 발탁했다. 시간과 기술은 있지만 돈이 없다는 게 종전의 해커상이라면 최근의해커는 자금력있는 기업을 "스폰서"로 보다 악질화되고 있는 셈이다. 미국컴퓨터시큐리티협회의 한 간부는 "기업이 파이어월을 도입해도 설정이 달라 유효한 안전대책이 되지 않는 경우가 많다"고 지적한다.

한 고등학생 해커도 "기업의 안전대책에는 샛길이 많다"며 웃는다. 기밀정보 를 지키려는기업과 그것을 훔쳐내려는 해커. 양자의 숨박꼭질은 앞으로도 계속될 것으로보인다. <신기성 기자>