라스베가스에 7월이 오자 한낮의 이글거리는 태양으로 밖의 기온은 이미 50도를 넘어섰다. 하지만 이곳 알렉시스 파크 리조트 내부는 시원하고 어둡다. 술집이 문을 열자 손님들이 들어차기 시작한다. 때는 오후 1시. 이제 막 빅게임이 시작되었는데, 스포츠 도박의 중심부답게 방안은 시시각각 변화를 포착하는 수십 개의 화면들에서 내뿜는 빛으로 번쩍인다.
그런데 방안에 있는 것은 텔레비전 화면이 아니라 노트북 화면들이다. 더구나 화면을 들여다보며 바쁘게 키보드를 쳐대는 사람들은 게임에서 마지막 순간까지 득점하려고 애쓰는 도박꾼들이 아니다. 이들은 해커들이고, 이게 바로 게임이다.
이 게임은 자칭 “세계 최대 규모의 비공식 해킹 이벤트”인 데프 콘(Def Con)이다. 이런 모임의 참석자나 개최자들이 통상 모임에 대해 공개하지 않기 때문에 정말 세계 최대 규모인지 밝히기는 어렵지만, 데프콘이 12년 전 21세의 다크 탄젠트라는 해커가 온라인상으로만 알고 지내던 친구들과 만나기 위한 수단으로 이런 대회를 개최하기로 한 이후 폭발적인 인기를 누려 온 것만은 확실하다. 1993년 첫 컨퍼런스 때는 약 100명이 그의 초청에 응했다. 그런데 2004년에는 미리 인쇄해 둔 4,000명분 참가 배지가 일찌감치 모두 팔려버렸다. 참가하려면 출입구에 현금 80달러를 든 채 나가면 된다. 사전 예약이나 이름, 질문도 필요없다.
보안 연구부터 자동차 해킹까지
그럼 다크 탄젠트의 비밀 동료들이 80달러를 내고 얻는 것은 무엇일까? 이들은 3일간에 걸쳐 최근 보안 연구로부터 자동차 해킹에 이르기까지 다양한 내용에 관한 패널 프리젠테이션에 참가한다. 이들은 열띤 경쟁 속에서 스스로를 시험해 볼 기회를 얻게 된다. 라스베가스의 비보호 무선 접속점을 식별해 내는 워 드라이빙, 사막에서 장거리 무선 연결망을 구축하는 와이파이 슛아웃, 군중속에 섞여 있는 정부 요원을 제대로 찾아내는 사람에게 티셔츠가 수여되는 스팟 더 페드 같은 게임들은 물론 자바를 이용해 다양한 프로그램을 만들어내는 대회도 진행된다. 이 외에 세 곳의 수영장 선택권이 주어지는데, 이들 중 최소한 한 곳에서는 흥겨운 DJ의 진행과 함께 흥건한 술판이 벌어지기도 한다.
하지만 데프콘의 핵심 행사는 바로 이곳 다소 허름한 연회실에서 진행되고 있는 전자식 깃발 뺏기 게임이다. 예선전에 참가한 21개 팀들 가운데 8개의 정예팀들이 최종 선발되어 각 팀마다 2.1미터 높이의 전광판을 둘러싸고 회의 탁자들을 한 세트씩 차지한 채 탁자 위에 노트북과 팀별 게임 박스인 서버를 갖춰 놓고 있다. 보통 여름 캠프에서 하듯 이 게임의 목표는 자기편 깃발을 지키면서 상대편 깃발을 빼앗는 것이다. 하지만 이 깃발들은 서버내의 가상 공간에만 존재한다.
깃발뺏기 대회는 해킹계 수퍼볼 경기
데프콘의 깃발 뺏기 대회는 해킹계의 수퍼볼 경기와 같지만 방안을 가득 메운 검은 복장의 창백한 해커들이 키보드를 두드리며 레드 불 통을 쌓아올리는 모습은 미식축구장의 생생한 현장감에는 한참 못미친다. 반면 이 방에 모여있는 해커들의 스태미너는 인정해 줘야 한다.
풋볼 수퍼스타들은 네 시간 동안만 경기에 집중하면 되지만 이곳의 해커들은 노트북 모니터를 앞으로도 33시간 동안 지켜보고 있어야 한다. 게임이 진행되는 동안 방안에 긴장감이 감돈다.
비록 이 깃발 뺏기 게임은 지난 8년간 라스베가스에서 매년 개최되었지만 선수들은 이곳에 도착할 때까지 어떤 게임을 하게 될지 전혀 알지 못한다. 대회 한 시간 전쯤에 3년 연속 우승을 한 후 2002년에 경기 운영권을 확보한 시애틀 소재 단체인 게토 해커스라는 주최측에서 기업 정보 유출용으로 제작된 CD와 시나리오 지침을 나눠준다. 각 팀들은 여러 은행 이름을 걸고 깃발 대신 토큰을 확보하려고 경쟁한다. 시간당 10회 정도에 걸쳐 자동 프로그램이 작은 코드 조각인 토큰을 각 팀의 게임 서버에 할당한다. 이 토큰들은 실제 세계에서 자세히 조사하거나 훔쳐내고 싶어할 만한 중요한 자료에 해당한다.
자신의 해킹실력 검증받기
내일밤까지 우승을 하는 팀은 부러움의 대상인 검정색 데프콘 배지 세트를 받아 평생 이 대회에 무료로 입장할 수 있고, 1년간 실컷 자랑할 수 있게 된다. 하지만 보다 중요한 것은 참가한 사람 모두가 각자 자신의 해킹 실력을 검증받는다는 점일 것이다.이 게임은 가능한 한 실제와 유사하도록 설계되어 참가자들은 실제 회사들이 사용하는 종류의 서비스들을 공격하거나 방어하게 된다. 게토 해커들은 실제 보안 문제들이 어떤지 알고 있다. 이들 대부분이 직업상 이런 문제들을 연구하기 때문이다. 필자가 자리를 함께 한 베이컨이라는 팀의 멤버들도 모두 마찬가지이다. 베이컨이라는 팀명은 멤버 12명이 모두 좋아하는 게 베이컨 밖에 없어서 붙여진 이름이다.
만약 라스베가스에 숙박한 사람들을 대상으로 올해의 이벤트 중 좋아하는 것을 택일하라고 하면 단연 베이컨이 수위를 차지할 것이다. 2년 전 현재 앉아있는 곳에서 6미터쯤 떨어진 테이블에서 이 단체의 리더라고 할만한 존 비에가를 만났었다. 당시 그와 현재 베이컨 팀원들 중 대부분이 리눅스 보안회사 이름을 딴 임뮤닉스란 팀 소속이었는데, 간발의 차로 2등에 머물렀다. 비에가의 팀 동료들은 대부분 벤처기업인 시큐어 소프트웨어에서 근무했었지만, 인텔과 AOL 출신의 콕스 커뮤니케이션사 직원 2명이 나중에 팀에 보강되었다. 필자와 주말내내 대화를 나눴던 사람은 끝내 이름과 직장을 말해주지 않았다.
30세의 두 아이 아버지
만약 이런 상황이 해커 컨퍼런스 치고 상당히 성숙되어 보인다면 그건 지금이 2004년이기 때문이다. 1980년대와 1990년대의 10대들이 어른이 된 것이다. 이들의 유머 감각은 여전히 남아 있어 필자가 노트북에 붙은 스티커를 보자 거기에는 이렇게 적혀 있었다. “제 기계를 리눅스 게임기로 쓰고 계시군요.” 하지만 깃발 뺏기 게임 자격이 있는 사람들은 아이들이 아니다.
비에가를 예로 들어보자. 그는 30세이고 두 아이의 아버지이다. 그는 중요한 오픈소스 소프트웨어들과 이메일 목록 서버에 올라있을 경우 사용할 수 있는 메일맨이라는 프로그램도 개발했다.
대학에서 강의도 했고, 보안 코드 작성에 관한 저서 3권도 출간했다. 2001년에는 회사를 설립해 31명의 직원을 두고 현재 기술이사를 맡고 있다. 컨퍼런스 전주에는 너무 바뻐서 호텔 예약도 하지 못했다. 그런데 잘 필요가 없어 호텔 방이 필요없어졌다. 테이블 위로 몸을 기울인 채 비에가는 조용하면서도 빠른 속도로 게임 계획을 짜고 있다. 베이컨팀 선수들은 게임 서버에서 각자의 노트북으로 응용프로그램들을 내려받아 분석하기 시작하고 있다. 게토 해커들은 응용프로그램들을 직접 작성하거나 기제품을 약간 수정해 숙련된 해커들의 공격을 받기 쉽게 해 놓았다. 베이컨팀은 이런 취약점을 찾아내 다른 팀의 서버로 잠입한 뒤 상대편의 토큰들을 훔쳐낸다.
자료 훔치거나 바이러스 퍼뜨리기
그런데 곧 이런 노력의 효과가 나타난다. 4시경 아나운서가 방송을 통해 이렇게 발표한다. “베이컨팀이 드디어 처음으로 다른 팀 서버에 침투했습니다.” 비에가는 다섯 팀의 서버에 침투했지만 다름 팀들은 아직 추격할 시간이 넉넉하다. 경기는 앞으로도 30시간 후에나 끝이 나기 때문이다. 해커들을 비롯해 많은 사람들이 해킹 커뮤니티를 두 개의 그룹으로 나눈다. “나쁜 해커들”은 허점을 찾아 이를 이용해 자료를 훔치거나 바이러스를 퍼뜨린다. 반면 “좋은 해커들”은 허점을 찾아내 나쁜 해커들이 이를 발견하기 전에 고쳐 놓는다. 현실에서는 이 경계가 모호한 경우가 대부분이지만 데프콘에는 양진영의 해커들이 모두 참석한다.
더구나 깃발 뺏기 때회의 매력은 정의의 해커들조차도 1주일 동안은 악당 역할을 할 수 있다는 점이다. 사람들이 일상생활에서 점차 전자식 데이터 교환에 의존하게 되면서 양진영의 해커들에게 기회가 증가하고 있다. ATM 영수증처럼 간단한 것으로도 치명적인 공격을 받을 수 있다고 전직 국가안보국 수석 과학자였던 로버트 모리스가 데프콘 패널 세션에서 말했다. “ATM에 영수증을 남겨두면 안됩니다”라고 그가 말한다. “길가에 버려서도 안됩니다. 그로 인해 어떤 문제가 발생할지 여러분들 중에 이미 알고 있는 분도 있으니 이 자리에서 언급하진 않겠지만 영수증을 ATM에 남겨두면 상당액의 돈을 잃게 됩니다.”
해킹 가능성 높아진 무선통신
무선통신의 인기가 날로 높아지면서 해킹의 가능성이 훨씬 넓어졌다. 또다른 패널에서는 베이컨팀 선수들 일부를 포함한 보안 전문가들로 구성된 쉬무 그룹 멤버들이 주요 인터넷 사이트에서 오가는 트래픽을 누군가가 해킹할 수 있도록 해주는 프로그램을 선보인다.
이들은 또 안전하지 못한 무선 사용자들을 찾아내어 이들의 패스워드를 대형 화면에 나타내는 핸들에 달린 소형 “해커봇”도 자랑한다. 주말 늦게 오하이오에서 데프콘에 왔던 세 명의 10대들이 신시내티를 돌면서 불안전한 무선 인터넷 접속망을 찾아 문을 노크하고는 안에 있는 집주인들에게 통신을 안전하게 고치고 싶냐고 물어보았다고 말했다. “사람들이 다소 겁을 먹어서 우리는 구입한지 얼마 안된 장비들로 할 일을 찾았습니다”라고 벤 코래도가 자신들이 데프콘에 참석하게 된 동기를 설명한다. 이들은 사막을 가로질러 55.1마일을 무선통신으로 연결해 와이파이 슛아웃 게임에서 우승을 했다.
문외한이 보면 깃발 뺏기 게임을 하는 사람들이 그냥 각자의 노트북으로 작업하고 있는 것처럼 보인다. 사람들은 대부분의 시간을 컴퓨터 코드를 한 줄씩 해독하면서 어떻게 침투할지 생각한 후 시험삼아 프로그램을 몇 줄 써넣어 본다. 하지만 대개 실패한다.
몇 분마다 게토 해커들이 비디오 클립을 벽의 화면에 띄워 기분을 전환시켜 준다. 대부분 강력 진동 파워 툴들을 갖춘 기이한 복장의 여자들 모습 같은 것들이다. 한편 건너편 술집 옆에서는 일부 참석자들이 “수치스런 벽”을 프로젝트로 쏘아 데프콘의 무선망에 깜빡 잊고 암호화하지 않은 채 접속한 동료들의 유저 네임과 패스워드 앞글자 몇 개를 줄줄이 올려놓고 있다.
올 게임에 특징 멀티유저 도메인
올해 게임에서 두드러진 응용프로그램들 중 하나는 멀티유저 도메인 혹은 MUD인데, 아마도 참석자들이 평상시 온라인에서 소모한 시간이 많음을 인정해 포함되었을 것이다. MUD는 텍스트 기반은 멀티 유저 온라인 게임으로 플레이어들이 원격지에서 접속할 수 있다.
1980년대부터 퍼지기 시작한 이 게임을 해커들은 에버퀘스트 같은 게임의 원조로 생각한다. MUD는 채팅방과 흡사해서 사람들은 오랫동안 MUD에서 만나왔다. 각 팀은 MUD를 실행한 뒤 다른 팀의 플레이어들이 로그인할 수 있도록 해야 한다. 처음부터 비에가는 자신이 할 수 잇는 일을 제한하는 MUD의 접근 조절기능에 약점이 있음을 알아챘다. 곧 그는 “마법사”의 특권을 얻어 토큰을 훔쳐낼 수 있도록 해주는 코드 작성처럼 일반 유저들에게는 불가능한 일들을 할 수 있게 되었다. 오후가 지나고 저녁으로 접어들자 베이커팀의 테이블에는 빈 과자 봉지들과 술병들이 널리기 시작한다. 비에가와 동료들은 이미 잭다니엘과 베일리를 한 병씩 해치우고, 1리터들이 와일드 터키를 마시는 중이다.
이 게임은 결국 해킹경쟁
오후 8시경이 되자 게토 해커팀 멤버 한 명이 어슬렁거리며 다가와 비에가에게 말을 건다. “토큰을 냈죠?” 그가 묻는다. “무슨 소리요?” 비에가가 대답하며 몇 분간 짐짓 아닌 체 하지만 결국은 웃으며 실토한다. 점수를 얻기 위해 플레이어들은 자신들이 훔친 토큰을 점수 서버에 제출해야 한다. 베이컨팀 선수인 프라버 찬드라는 하와이식 셔츠를 입은 유쾌한 사내로 AOL의 보안 업무를 맡고 있는데, 자기팀의 토큰을 제출하는 수 밖에 다른 도리가 없음을 알아채고는 그렇게 했다. 이 게임은 결국 해킹 경쟁이다.
속임수도 권장된다. 주최측은 이를 축하하며 곧 결함을 고치는 데 착수한다. 하지만 이제 다른 팀들이 득점을 하고 있다. 곧 Sk3wl of Root라는 팀이 베이컨 팀을 앞지른다. Sk3wl은 해커들 용어로 “school”을 뜻하고, 유닉스 컴퓨터에 루트 억세스를 한다는 건 무슨 짓이든 할 수 있게 된다는 의미이다.
이 팀은 해군대학원 사이버시큐리티 전공 대학원생들로 구성됐다. 조금 후에 비에가는 일어나서 다리를 풀더니 Sk3wl of Root팀 테이블로 가 인사를 건넨다. 많은 사람들에게 데프콘은 가상공간에서만 만났던 친구들과 어울릴 기회를 제공해준다.
방어보다 공격에 관심 많아
비에가는 창업 초기의 바쁜 업무와 어린 아이들 돌보는 일로 정신이 없는 상태에서 라스베가스에 스트레스가 잔뜩 쌓인 채 도착했다. 그런데 밤을 새우며 해킹을 하다보니 스트레스가 사라졌다. 게임이 진행됨에 따라 그는 점차 편안해지며 안정을 되찾았다. 다른 두 선수들도 비에가처럼 의자에만 눌러 붙어 앉아 있었지만 다른 사람들은 수영장 파티 구경을 하러 나가거나 잠깐 눈을 붙였다.
새벽 두 시 직전 비에가는 베이컨팀의 서비스망 보호가 일부 허술하다고 불평했다. 명확한 리더와 업무분담이 확실한 다른 팀들과는 달리 베이컨팀은 예선전 통과를 위해 뭉쳤던 똑똑한 친구들이 다시 라스베가스에 모인 데 불과했다. 이들은 각자 생각해서 임무를 맡앗는데, 대부분 방어보다는 공격에 관심이 많았다. 물론 이런 즉흥적인 전략에는 허점이 있게 마련인데, 비에가가 불평을 한지 한 시간쯤 후에 베이컨팀의 수비 취약 특성이 확인됐다.
“우리 졌어”라며 비에가가 불평한다. “PHP 인터페이스에 다른 팀이 이름을 올려놨어.” “접수됐다”는 표현은 대부분의 사람들이 해킹을 생각할 때 떠올리는 말일 것이다. PHP는 웹페이지를 만드는 데 사용하는 스크립팅 언어인데, Sk3wl of Root팀은 이 언어를 사용해 베이컨팀에게 자기들이 시스템을 접수했다고 알리는 쪽지를 남겼다. 하지만 해킹은 은밀한 작업이기 때문에 공격자는 대개 들키지 않으려고 한다.
500개 업체중 125개 업체 해킹
이 팀들이 운영하는 응용프로그램들은 대부분 서비스들이다. 대다수 일반인들은 매일 별 생각없이 이런 서비스들을 이용한다. 이 프로그램들은 이메일에 접근하거나 원격지 컴퓨터에 정보를 저장해 둘 수 있도록 해준다. 만약 이들이 공모할 경우 심각한 결과가 발생할 수 있다.
대부분의 업체들이 자체 보안 문제를 공개하지 않기 때문에 이런 문제가 얼마나 널리 만연되어 있는지 알아내기가 어렵다. 하지만 작년에 미국 시크릿 서비스사와 CSO 매거진, 카네기 멜론대학의 정부출연 보안센터인 CERT가 실시한 업계 조사에 따르면 500개 업체 중 125개 업체가 해킹으로 인해 재정적인 손실을 입은 적이 있다고 인정했다. CERT가 발간한 또다른 보고서에서는 해커들이 오랫동안 알고 있던 사실이 확인되었다. 개발업체들은 취약점 보완이 가능함에도 불구하고 계속해서 취약점이 있는 소프트웨어를 생산한다는 것이다.
매년 주요 소프트웨어 제품에서 수많은 취약점이 발견되는데, 이들 중 상당수가 데프콘 참석자들에 의해 밝혀진다.
정부기관 학계서 훈련용으로 사용
현재 깃발 뺏기 게임의 다양한 버전들이 정부기관과 학계에서 훈련용으로 사용된다. “보안 분야는 자세히 들여다 보면 정말 복잡해요”라고 산타바바라 캘리포니아 대학 교수인 지오반니 비그나가 말한다. “직접 해봐야만 제대로 알게 된답니다.”
대학원 프로그램을 주축으로 결성된 두 팀이 올해 게임에서 선두를 차지한 이유는 교실에서의 게임 경험과 확실한 리더쉽 덕분일 것이다. 오전 9시가 되자 베이컨팀은 4등으로 밀려났다. 하지만 선수들은 여전히 섬뜩할 정도로 몰입해서는 아침은 물론이고 점심조차도 안중에 없었다. 이 팀은 다음 몇 시간동안 점수를 두 배로 올렸지만 만회하기에는 역부족이었다. Sk3wl of Root팀과 에너미 컴배턴트라는 팀이 마지막 순간까지 선두를 다투었다. 오후가 되자 비에가와 그의 팀이 우승하기란 불가능하다는 게 명확해졌다. 하지만 이들은 순순히 물러서지 않았다. 마틴 머레이는 스물한 살로 윈도우 랩탑을 갖고 출전한 베이컨팀 선수였는데, 아무렇지도 않게 방을 가로질러가 점수판과 바닥층 사이에 놓인 테이블을 뛰어 넘어서는 누구라도 금방 알아볼 수 있게 프로젝터로 걸어가 점수표시 장치의 플러그를 뺀 다음 자신의 랩탑 컴퓨터를 연결했다.
갑자기 점수들이 사라지고 윈도우즈 사용자들에 익숙한 우울한 푸른 빛 그림자가 화면에 나타났다. 화면에는 에러메시지 같은 긴 문구가 보였지만 꼭대기 부분 가까이에 잘 보이게 다음고 같은 단어들이 적혀 있었다. “베이컨... 접수하다... 게토.” 요란한 환호성이 들려왔다. 스피커를 통해 누군가의 목소리가 들렸다. “누군가 봤더라면 정말 특종감이야. 누군가가 프로젝터 연결망을 접수했다면 다 끝난 거잖아.” 점수가 다시 나타나자 Sk3wl of Root팀이 선두였는데 경기 종료시까지 그대로 유지되었다. 베이컨팀에게 게임은 이미 끝난 후였다.
** 로빈 메지아는 캘리포니아 산타크루즈에 거주하는 자유기고가이다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
