[디지털 라이프] 해커와 크래커

현대캐피탈 고객 42만여 명의 개인정보가 유출된 사고에 이어 또다시 해킹 사고로 추정되는 농협의 전산장애 사고로 나흘 이상 전산이 마비되는 사고가 발생하면서 '해킹'에 대한 국민들의 불안감이 증폭되고 있다. 그런데 이렇게 해킹 관련 사건이 발생할 때는 꼭 터져나오는 지적이 있다. "해커와 크래커를 분리해서 용어를 사용해야 한다"는 주장인 것. 이들 사이에는 무슨 차이가 있기에?

◆장난에서 시작된 해킹

현재 '해킹'은 다른 사람의 컴퓨터 시스템에 무단으로 침입하여 데이터와 프로그램을 없애거나 망치는 일을 통칭하는 의미로 쓰인다. 하지만 초창기 해킹은 악의 없는 단순한 '장난'에서 비롯됐다.

매사추세츠공과대(MIT)에는 화학, 금속, 전자 등 과를 가리지 않고 자신만의 기술로 장난스런 깜짝쇼를 벌이는 재미있는 전통이 있었다. MIT 재학생들은 이를 '핵'(hack)이라고 불렀다. 한번은 1948년 하버드대와 예일대의 친선 미식축구 게임에서 학생들이 도폭선(동시폭발에 쓰이는 금속관)을 이용해 미식축구 경기장에서 'MIT'라는 글자 모양대로 타오르는 장치를 꾸민 적이 있다. 하지만 이것은 경기 전날 발각되고, 코트 안에 도폭선을 작동시킬 배터리를 숨겨 경기장에 잠입했던 MIT 학생들은 경찰에 체포되고 말았다. 그러자 MIT 학장이 나서서 "공대생이라면 누구나 배터리를 가지고 다닌다"(All Techmen carry batteries)고 적극 변호하기도 했다는 일화가 전해진다.

핵이 현재처럼 컴퓨터 프로그래밍 분야로 좁혀지게 된 것은 1960년 초 MIT에서 인공지능을 연구하던 학생들 때문이었다. 이들은 대학교 소유의 컴퓨터에 밤마다 몰래 접근해 각종 프로그램을 실행 및 수정하며 연구에 몰두했는데 이들이 스스로를 해커(hacker'핵을 수행하는 사람)라고 부른 데서 해커의 어원이 유래됐다고 한다.

이처럼 초창기 해킹은 자신만의 독창적인 기술을 기반으로 하면서 깜짝 놀랄 만한 아이디어를 보여주되 다른 사람에게 피해를 주지 않는 것을 원칙으로 하고 있었다.

◆해킹에서 크래킹으로의 전환기적 사건

하지만 이런 해킹이 정보화 시대에 접어들면서 범죄의 수단이 되고 말았다. 정보가 중요한 자산이 되자 이를 빼내고 조작하는 해킹이 만연하게 된 것.

전설적 해커 케빈 미트닉(Kevin David Mitnick)은 해커에서 크래커로의 전환기적 인물로 평가된다. MIT에서 시작된 해커 그룹은 IT기술 발전을 이끌어온 긍정적인 존재로 평가됐지만 그가 나타난 이후(아니면 그 즈음 해서)부터 해커는 파괴자(크래커)로서의 범죄 행위가 더욱 부각되기 시작한 것. 케빈 미트닉은 12세부터 해킹을 시작한 이후 갖가지 해킹 전력으로 1년 동안 감옥생활을 하지만 출소 후에는 자신을 재판했던 담당판사의 기록을 변경하고, 산타크루즈 법정 전산시스템에서 자신의 범죄 기록들을 삭제했다. 29세 때는 모토로라, 썬, 노벨, 퀄컴, 노키아, 후지쓰사의 시스템을 해킹했다. 결국 32세인 1995년 2월 다시 FBI에 체포돼 5년형을 살았다. 당시 전 세계 해커들은 그의 수감 생활동안 프리 케빈(Free Kevin) 운동을 벌였으며, 전설적인 해커인 그를 해킹하는 것이 꿈일 정도로 부각됐다.

우리나라 해킹 역사에도 이와 유사한 전환기적 사건이 하나 있다. 1996년에 발생했던 KAIST 해킹 동아리들의 포스텍 해킹 사건이 바로 그것이다. 포스텍 전기전자공학과 시스템에 저장해놓은 연구자료, 과제물 등이 모두 삭제돼 학사행정과 연구 작업이 마비상태가 됐는데 결국 검찰이 나서 KAIST 동아리 쿠스(KUS)와 스팍스(SPARCS) 회원의 소행임을 밝혀낸 것. KAIST와 포스텍의 해킹 동아리 간에 주고받는 해킹 전쟁은 이미 이전부터도 있어왔지만 이것은 서로의 실력을 자극해 보안 수준을 높인다는 긍정적 인식이 깔려 있었다. 하지만 장난이라고 하기에는 전례 없이 악의적인 사건에 결국 2명이 구속 기소되고 2명이 불구속 기소되는 것으로 마무리됐다. 묵인된 해킹 관행이 법에 의해 처벌받음으로써 해커가 크래커로 전락하는 상황이 처음 발생한 것이다.

◆해킹과 크래킹은 다르다?

사실 해킹이라는 단어에는 긍정적 의미와 부정적 의미가 모두 담겨 있지만, 현재 우리나라에서는 부정적 의미만이 강조되고 있다. 이 때문에 일부에서는 긍정적인 해킹과 부정적인 해킹을 구분해야 한다는 목소리가 높다. 기존의 악의 없는 해킹은 그대로 해킹이라 부르되, 남에게 해악을 끼치는 해킹은 크래킹(cracking)이라고 불러야 한다는 것. 혹자는 '화이트 해커'(white hacker)와 '블랙 해커'(black hacker'혹은 크래커)로 구분해야 한다고 주장하기도 한다.

하얀 거짓말과 마찬가지로 남에게 해를 끼치지 않고 좋은 의도의 해킹은 오히려 사회적으로 도움이 될 수 있다. 시스템의 취약점을 찾아내 보안을 강화할 수 있도록 조언하는 보안 기술자가 바로 그것이다. 이들을 '화이트 해커'라 부르든지 아니면 '해커'로 부르는 것이 본래의 그 단어의 유래에도 맞다. 웹사이트를 공격해 기밀이나 개인정보를 빼내가는 '블랙 해커'는 파괴자를 의미하는 '크래커'가 좀 더 적합한 명칭일 것이다.

최근에는 흰색과 검은색의 중간인 그레이 해커(Gray hacker)도 있다. 이들은 해킹을 한 후 해당 관리자에게 이 사실을 알리는데 해당 취약점을 수정해주는 대가로 실비를 받으려는 속셈인 것이다.

한윤조기자 cgdream@msnet.co.kr