인터넷에 연결 안됐는데 어떻게 외부 해킹이 가능할까?

인터넷에 연결돼 있지 않으면 외부에서 해킹은 어렵다는 말은 사실이기는 하지만 항상 그런 것은 아니다. 전화기 도청에 활용된 접근법을 응용하면 인터넷에 연결되지 않은 컴퓨터 시스템을 해킹하는 것은 매우 어렵기는 하지만 아예 불가능한 것은 아니다.

미국 정부 기관인 국가안보국(NSA)이 대통령 승인 아래 지멘스 소프트웨어 제로데이 취약점을 활용해 개발한 악성코드로 알려진 스턱스넷에도 활용됐다. 인터넷에 연결되지 않은 상황에서도 이란 시스템에 들어가 주요 시설을 마비시켰다.

뉴욕타임스 기자인 데이비드 E. 생어가 쓴 '퍼펙트 웨폰'을 보니 인터넷에 연결되지 않았는데도 목표 시스템에 악성코드를 투입하는 공격은 아래와 같은 과정을 거친다.

  2008년경부터 국가안보국은 컴퓨터가 인터넷에 연결되지 않은 상태에도 데이터를 훔치거나 변형시킬 수 있는 새로운 해킹 툴을 사용하기 시작했다. 이란의 나탄즈 핵 시설과 디지털 세계의 '에어 갭'을 극복하는데 사용된 것이 바로 이것이었다.

  이 장비의 가장 기발한 부분은 표적 컴퓨터에 작은 해킹용 회로판과 USB 드라이브를 설치해 두고 그로부터 전달되는 저주파 채널을 은밀하게 이용한다는 데 있다. 물론 해당 컴퓨터에 이런 장치를 설치하려면 디바이스들이 공장에서 나가기 전에 미리 미국이나 그 동맹국들이 그 디바이스들 안에 해킹용 하드웨어를 집어 넣어야 한다. 아니면 누군가 몰래 표적 컴퓨터에 접근할 수 있어야 한다. 쉬운 일은 아니다. 그러나 그 안에 어떤 장치가 되어 있는지도 모른 채 표적 컴퓨터에 사용자 스스로 이 디바이스를 설치하게 만들 수도 있다.

  카탈로그에는 코튼마우스 이라는 디바이스도 들어 있었는데,  모양은 사무용품점에서 파는 보통의 USB 드라이브처럼 생겼다. 그러나 그안에는 작은 송수신기가 심어져 있어 그것에서 흘러나오는 주파수를 통해 데이터를 몰래 빼내고 심어 넣는다. 일반 불법 전기회로망을 심어 놓으면 컴퓨터에서 나오는 시그널이 여행 가방 크기의 기지국으로 보내진다.

영화나 드라마에서 봤던 전화기 도청과 프로세스는 비슷해 보인다.

  '나이트 스탠드'라는 딱 들어맞는 이름의 이 기지국은 표적 기기에서 최대 13킬로미터까지 떨어진 거리에서도 신호를 받을 수 있다. 요컨대 미국 정보원이 중난하이 건너편 카페에 편히 앉아서 베이징의 지도자들이 주고받는 이메일을 수신 받아 워싱턴으로 보낼 수 있다는 이야기다. 한마디로 이 카탈로그에 소개된 장비들은 1920년대 이후 정보원들이 전화기에 심어온 도청 장치를 업그레이드한 것이었다.

  카탈로그에는 해킹의 범위와 정교함 면에서 완전히 새로운 차원의 하드웨어들이 나열되어 있었다. 컴퓨터 운영자들이 인터넷을 통한 침입을 완전히 차단했다고, 그래서 외부의 공격으로부터 완벽하게 안전하다고 생각한 컴퓨터와 네트워크로 침입하여 그 데이터에 개입할 수 있도록 해주는 것들이었다. 국가안보국은 심지어 중국에 데이터센터를 두 곳이나 만들었다. 물론 컴퓨터 시스템에 악성코드를 집어넣는 일이 주목적인 기업들을 통해서였다.

  국가안보국이 '퀀텀'이라고 부르는 무선 전파 조작 시스템은 중국 외 다른 나라에서도 사용됐다. 러시아의 군사 네트워크와 멕시코의 경찰-마약 카르텔이 사용하는 시스템에도 똑같은 악성코드를 심기 위해 국가 안보국은 갖는 노력을 기울였다.