인터넷의 위험
지난 4월쯤 "XZ 해커 사건"으로 업계를 떠들썩하게 했던 일을 들어보셨는지 모르겠다. 한국에서는 보안뉴스가 잠시 소개한데 그쳤고 유튜브를 통해서 몇몇의 사람들이 관심을 가졌지만 그 이후로는 사라진 이야기다.
최근 트럼프가 34개의 고소 항목에 대해 모두 유죄판결을 받은 일이나, 북한에서 한국에 계속 보내고 있는 쓰레기 풍선등은 모두가 들어봄직한 사회 이슈지만 아무도 몇 달 전에 일어난 악성코드에 관한 일은 들어본 적이 없거나 관심이 없다. 그러나 이번 일이 얼마나 큰 재앙이 될 수 있었는지는 업계에서는 다 아는 사실이다. 우선 이 사건을 들여다보기 전에 개발자의 입장에서 인터넷이 어떤 것인지 한눈에 볼 수 있는 그림을 소개할 필요가 있다.
우리가 사용하고 있는 인터넷을 정말 쉽게 설명한 그림이다. 각종 은행 앱, 카톡, 핸드폰 카메라로 찍은 사진이 담겨 있는 사진 앱, 이메일, 각종 웹사이트, 페이스 북, 구굴, 브라우저 이 모든 것들이 바로 위에 이런 복잡한 층층이 올려진 프로그램 위에 쓰인 것들이다. 그리고 밑에 화살표로 표시되어 있는 단 하나의 돌멩이는 특정한 프로그램을 지칭한다기보다는 그중 하나의 프로그램이다. 즉 이들 중 하나만 잘못돼도 우리가 알고 있는 "인터넷"이라는 것은 무너지게 된다.
인스타그램, 페이스북, 구글의 검색엔진, 애플의 핸드폰, 삼성의 컴퓨터 등 큰 회사 제품은 자체 개발한 프로그램을 쓰고 있거나 이런 구조가 아닐 것이다라고 생각하시면 큰 오산이다. 이런 큰 회사들도 역시 오픈소스 프로그램, 즉 누군가가 개발해서 공짜로 배포한 프로그램, 을 쓰고 있다.
한마디로 이런 복잡한 오픈소스 프로그램 중에 하나라도 악성코드에 의해 전염되면 우리의 정보, 은행에 있는 돈, 항공사 시스템 등 모든 것이 하루아침에 한 사람이나 집단에 의해 사용되거나 조종될 수 있다. 그럼 XZ 해커 사건에 대해 좀 더 알아보자
이 사건이 세상에 알려지게 된 것은 마이크로 소프트사에서 근무하고 있는 한 개발자가 인터넷의 핵심이 되는 OpenSSH라는 프로그램이 오작동한 것을 발견하면서였다. OpenSSH를 쉽게 설명하면.. 집에 있는 대문 잠금키 같은 것이다. 이 시스템이 오작동하면 누구든지 집에 들어올 수 있고 집에 물건을 훔치거나, 불을 지르거나 심지어는 사는 사람들을 헤칠 수도 있다. 사건의 전말은 이렇다.
지아 텐("Jia Tan")이라는 사람은 2021년부터 인터넷에서 좋은 명성을 얻으며 여러 가지 오픈소스 프로젝트에 참여했다. 개발자 사이에서는 이런 사람들이 바로 유명인이다. 구글과 마이크로소프트사등 유명한 회사에서 일하는 개발자들이 대단한 사람들이라고 일반인들은 생각하지만 우리가 매일 사용하는 프로그램을 개발해서 전 세계에 유포하고 관리하는 이들을 개발자들은 히어로로 여긴다. 어떤 이들은 이름과 얼굴이 공개된 사람들도 있지만 대부분은 조용히 일하면서 개인 시간을 써가며 이런 일에 몰두한다. 한마디로 배트맨 같은 사람들이다. 그래서 위의 그림에 '네브레스카에서 조용히 살며 누구에게 고맙다는 말 한마디도 듣지 못하고 이런 프로그램을 만들고 유포하고 끊임없이 관리하는 사람'이라는 표현이 쓰인 것.
지아 텐은 전 세계의 거의 모든 회사나 시스템에 기반이 되는 XZ 유틸이라는 파일을 압축하는 프로그램의 관리자가 되었다. 그리고 슬쩍 이 프로그램에 악성코드를 심었다. 그리고 이 프로그램의 새로운 버전을 깔도록 회사와 개인들을 유도하기 시작했다. 이 코드는 사용하지 않는 개인이나 회사가 없을 정도다. 그리고 설치한 회사나 개인의 대문을 여는 시스템으로 소개한 OpenSSH를 오작동하게 만들었다. 만약 이 것이 대량 유포 전에 발견되지 못했다면 정말 끔찍한 결과를 초래했을 것이다.
전 세계의 은행, 항공사, 정부 심지어는 군사 시스템까지 오작동시키거나 핵커들이 통제할 수 있게 된다. 그럼 지아 텐("Jia Tan")은 누구일까?
현재는 알려진 것이 없다. 개인 해커일 수도 있지만 러시아, 북한, 중국등을 거론하는 전문가도 많다. 이 일을 계기로 업계는 비상사태다. 앞으로 어떻게 이런 일을 막을 수 있을지 고민 중이다.
모두가 공유하고 함께 도와가며 인터넷을 개발하자던 90년대의 이상적인 '오픈소스 활동'은 이제는 해커들에게 고스란히 세계를 지배할 수 있는 하나의 타깃이 되어버렸다.
혹시 반지의 제왕에서 언급한 세계를 통치할 수 있는 힘을 가진 하나의 반지가 존재한다면 바로 이런 것이 아닐까 싶다. 프로도와 그의 친구들이 목숨을 걸고 반지를 지키기 위해 떠난 동안 세상은 무슨 일이 일어나고 있는지도 모른 채 살고 있었을 것이다. 이번 사건이 얼마나 큰 재앙을 부를 수 있을지는 정말 생각만 해도 끔찍하다.
자세한 시건의 전말은 와이어드에서 보실 수 있다.
대문은 Photo by Clint Patterson on Unsplash