21세기는 기술과 인터넷이 폭발적으로 성장한 시기입니다. 이로 인해 ‘해커’라는 새로운 존재가 등장하게 되었는데, 이들은 영웅적인 면모와 악당적인 면모를 동시에 지니고 있습니다.
해커는 컴퓨터에 대한 깊은 지식을 바탕으로 소프트웨어나 컴퓨터 시스템의 취약점을 찾아내고 이를 활용하는 사람들을 일컫습니다.
해커는 크게 윤리적인 해커와 비윤리적인 해커로 나눌 수 있습니다. 윤리적인 해커는 시스템의 취약점을 발견하여 이를 악용하기 전에 수정할 수 있도록 하는 등, 자신의 기술을 선한 목적으로 사용합니다.
반면에 비윤리적인 해커는 웹사이트나 시스템을 마비시키거나, 민감한 정보를 훔치거나, 심지어 사이버 스파이 행위를 하는 등 악의적인 목적으로 자신의 기술을 사용합니다.
윤리적인 해커와 비윤리적인 해커 외에도, 해킹 활동의 의도나 동기에 따라 다양한 유형의 해커들이 존재합니다. 이러한 분류는 해커들이 어떤 활동에 관여하는지를 명확히 전달하는 데 도움이 됩니다.
여기서는 우리가 알아야 할 9가지 유형의 해커를 자세히 살펴보겠습니다.
화이트 햇 해커
해킹 세계에서 화이트 햇 해커는 ‘착한 해커’라고 불립니다. 윤리적 해커라고도 하는 이들은 시스템의 취약점을 찾아내고 이를 보고하여 악의적인 해커가 그 취약점을 악용하기 전에 해결할 수 있도록 돕습니다.
흔히 사이버 보안에서 ‘공격이 최선의 방어’라는 말이 있습니다. 악의적인 행위자가 시스템의 취약점을 발견하기 전에 먼저 찾아내는 것이 중요합니다. 이러한 이유로 많은 기업들은 시스템 보안을 지속적으로 테스트하고 발견된 취약점을 수정하기 위해 화이트 햇 해커를 고용합니다.
화이트 햇 해커는 윤리적인 해커이므로 법의 테두리 안에서 활동합니다. 즉, 해킹하려는 시스템 소유자의 허락을 받고 해킹하며, 취약점을 발견하면 시스템 소유자에게 보고하고 스스로 악용하지 않습니다.
가장 유명한 화이트 햇 해커 중 한 명은 케빈 미트닉(Kevin Mitnick)입니다. 그는 과거에 법을 어기고 악의적인 목적으로 해킹을 하여 5년 동안 감옥에 수감되기도 했습니다. 하지만 출소 후에는 가장 유명한 화이트 햇 해커 중 한 명이 되었습니다.
케빈 미트닉은 여러 기업과 정부 기관의 시스템 보안을 테스트하는 침투 테스트를 수행하여 보안 수준을 높이는 데 도움을 주었습니다. 또한, 보안, 사회 공학 및 온라인 안전에 대한 다양한 강연을 통해 사람들을 교육하고 있습니다.
블랙햇 해커
블랙햇 해커는 화이트 햇 해커와 정반대입니다. 이들은 시스템의 취약점을 발견하면 이를 악의적으로 이용하는 해커입니다.
블랙햇 해커의 해킹 동기는 민감한 정보 탈취, 시스템 파괴, 개인적인 복수, 다른 시스템 해킹을 위한 발판 마련, 자신의 기술 과시, 금전적 이익 추구 등 다양합니다.
가장 유명한 블랙햇 해커 중 한 명은 알버트 곤잘레스(Albert Gonzalez)입니다. 그는 14세에 NASA를 해킹한 혐의로 FBI의 감시를 받았으며 뛰어난 해킹 실력을 보여주었습니다. 한때 여러 신용카드의 정보를 빼돌린 사실이 적발된 후에는 감옥에 가지 않기 위해 비밀 경호국의 유료 정보원으로 활동하기도 했습니다.
보도된 바에 따르면 알버트 곤잘레스의 가장 큰 해킹 사건은 TJX 백화점을 해킹하여 9천만 개 이상의 신용카드 및 직불카드 정보를 훔친 사건입니다.
이는 역사상 가장 큰 신용카드 및 직불카드 정보 유출 사건이었으며, 알버트의 해킹으로 인해 기업, 은행, 보험사 등이 약 2억 달러에 달하는 손실을 입었습니다. 알버트는 2010년에 체포되어 범죄 혐의로 20년 형을 선고받았습니다.
회색 모자 해커
해킹 세계는 선과 악, 화이트 햇 해커와 블랙햇 해커로 완전히 나눌 수 없습니다. 화이트 햇 해커와 블랙햇 해커 사이에는 그 중간 지점인 회색 모자 해커가 존재합니다.
화이트 햇 해커는 시스템을 해킹할 권한과 허가를 가지고 있으며 악의적인 의도로 해킹하지 않습니다. 반면에 블랙햇 해커는 해킹과 취약점 악용에 대한 권한이 없으며 악의적인 의도로 이를 수행합니다.
회색 모자 해커는 이 둘 사이에 위치합니다. 이들은 시스템을 해킹할 권한이나 허가가 없지만, 해킹 시 블랙햇 해커처럼 범죄적이거나 악의적인 의도를 가지고 있지도 않습니다.
따라서 회색 모자 해커는 허가 없이 시스템을 해킹하여 취약점을 발견한 후, 이를 악용하여 시스템에 피해를 입히는 대신 시스템 소유자에게 이를 알립니다.
회색 모자 해커의 행위는 허가 없이 시스템을 해킹하기 때문에 법적으로 문제가 될 수 있으며, 취약점의 전체 범위를 공개하는 윤리적 해킹 원칙에도 법적으로 구속되지 않습니다. 하지만 이들은 악의적인 해커는 아닙니다.
회색 모자 해커의 예로는 칼릴 슈레테(Khalil Shreateh)가 있습니다. 로이터에 따르면 칼릴은 페이스북 사용자가 다른 사용자의 비공개 타임라인에 글을 게시할 수 있게 하는 소프트웨어 보안 결함을 발견하여 이를 보고했습니다.
하지만 칼릴은 페이스북 보안 전문가로부터 무시당했습니다. 칼릴은 버그가 존재한다는 것을 증명하기 위해 페이스북 CEO 마크 저커버그의 비공개 페이스북 페이지에 직접 글을 올렸습니다.
레드햇 해커
사이버 보안 분야에서 레드햇 해커는 일종의 ‘자경단’으로 여겨집니다. 이들은 활동으로 인해 ‘로빈 후드’나 ‘배트맨’과 같은 가상의 영웅에 비유되기도 합니다.
블랙햇 해커의 공격으로부터 시스템의 취약점을 보호하려는 화이트 햇 해커와는 달리, 레드햇 해커는 직접 문제를 해결합니다. 이들은 블랙햇 해커와 같은 사이버 범죄자를 추적하고, 법을 위반하는 경우에도 이를 막기 위해 모든 수단을 사용합니다.
레드햇 해커가 사용하는 방법 중 일부에는 사이버 범죄자를 무력화하기 위한 노력의 일환으로 사이버 범죄자를 해킹하여 그들의 데이터, 컴퓨터 시스템, 서버를 훔치고 손상시키거나 영구적으로 파괴하는 것이 포함됩니다.
레드햇 해커는 블랙햇 해커와 다른 사이버 범죄자를 무장 해제하고 막기 위해 불법적인 행위도 서슴지 않습니다. 때로는 정부가 블랙햇 해커에 대응하고 그들을 무력화하기 위해 레드햇 해커를 고용하기도 합니다.
블루햇 해커
회사가 새로운 소프트웨어나 시스템을 출시하려고 할 때, 그들이 하는 중요한 일 중 하나는 시스템에 악용될 수 있는 취약점이 있는지 확인하는 것입니다.
시스템에 보안 취약성이 있는지에 대한 객관적인 의견을 얻는 가장 좋은 방법은 외부 사이버 보안 전문가를 초청하여 시스템의 취약점을 식별하도록 하는 것입니다. 이러한 전문가를 블루햇 해커라고 합니다.
블루햇 해커는 화이트 햇 해커와 유사하지만, 차이점은 외부 사이버 보안 전문가라는 점입니다.
블루햇 해커는 새로운 소프트웨어, 시스템 또는 네트워크가 출시되기 전에 해킹하여 취약점과 허점을 식별하기 위해 회사나 조직에서 고용한 해커입니다. 이는 출시 전에 식별된 취약점과 허점을 해결하기 위한 것입니다.
예를 들어, 마이크로소프트는 블루햇 보안 컨퍼런스를 개최합니다. 마이크로소프트 엔지니어는 로베르토 로드리게스와 같은 외부 보안 연구원과 협력하여 마이크로소프트 소프트웨어가 출시되기 전에 해당 소프트웨어의 취약점을 찾아 해결합니다.
그린햇 해커
그린햇 해커는 아직 해킹에 익숙하지 않고 기술을 배우고 있는 초보 해커입니다. 이들은 숙련된 해커가 되어 해커 커뮤니티에 받아들여지기 위해 가능한 한 많은 것을 배우려는 의지를 가지고 있습니다. 그린햇 해커의 주요 동기는 최대한 많은 것을 배우는 것입니다.
그린햇 해커는 화이트 햇, 블랙 햇, 레드 햇 해커와 같이 경험이 풍부하고 숙련된 해커만큼 전문성이 부족하기 때문에 의도치 않게 시스템에 피해를 입힐 수도 있습니다.
그린햇 해커는 일반적으로 기술을 발전시켜 화이트 햇, 블랙 햇, 블루 햇, 또는 심지어 레드 햇 해커가 됩니다. 경험이 많은 모든 해커들은 한때 그린햇 해커였습니다.
스크립트 키디
스크립트 키디는 자신만의 해킹 방법과 도구를 개발하는 데 필요한 기술적 능력이 부족하여 다른 해커가 만든 스크립트와 소프트웨어에 의존하는 아마추어 해커입니다.
해킹 방법을 배우고 해킹 도구를 개발하는 데 관심을 가진 그린햇 해커와는 달리, 스크립트 키디는 이미 개발된 소프트웨어를 사용하여 공격을 수행합니다.
이들은 그린햇 해커처럼 숙련된 해커가 되는 방법을 배우는 데 큰 관심을 가지지 않습니다. 스크립트 키디는 단순히 해킹의 재미를 느끼거나 명성을 얻기 위해 공격을 수행하는 청소년인 경우가 많습니다.
스크립트 키디의 예로는 다니엘 켈리가 있습니다. 그는 15세에 TalkTalk에 대한 서비스 거부 공격 및 SQL 주입 공격을 감행하여 약 7,700만 파운드의 재정적 손실을 입혔습니다. 다니엘 켈리는 컴퓨터 범죄로 4년 동안 감옥에서 복역했습니다.
핵티비스트
핵티비즘은 해킹(Hacking)과 행동주의(Activism)를 합친 단어입니다. 핵티비스트는 컴퓨터 해킹을 활동의 한 형태로 사용하고 사회적 또는 정치적 목적을 달성하기 위한 방법으로 사용하는 개인이나 해커 그룹입니다.
핵티비스트는 정부나 조직의 특정 정책이나 조치에 항의하거나 인권 침해와 같은 특정 문제에 대한 인식을 높이기 위해 해킹을 할 수 있습니다.
다른 악의적인 해커들이 금전적 이익이나 혼란을 일으키려는 욕구에 의해 동기를 부여받는 반면, 핵티비스트는 사회적, 정치적 이상에 의해 동기를 부여받고 자신이 믿는 가치를 증진시키기 위해 해킹을 수행합니다.
가장 유명한 핵티비스트 그룹 중 하나는 ‘가이 포크스’ 가면으로 알려진 익명의 단체입니다. CNBC에 따르면, 익명의 단체는 텍사스 주의 낙태법에 대한 항의의 한 형태로 공화당을 대상으로 한 해킹 공격이 자신들의 소행이라고 주장했습니다.
또한 익명의 단체는 러시아가 우크라이나를 침공한 후 러시아 정부 기관, 국영 언론 매체, 기업을 대상으로 한 다양한 사이버 공격에 대한 공로를 인정했습니다.
내부고발자
해킹과 관련하여 내부 고발자는 해킹을 통해 민감한 정보를 일반 대중에게 공개하는 컴퓨터 전문가를 의미합니다. 이러한 정보에는 정부의 인권 침해, 부패 사례, 정부와 기업의 불법 행위 등이 포함될 수 있습니다.
내부 고발하면 떠오르는 이름 중 하나는 에드워드 스노든(Edward Snowden)입니다. 올바른 생활상에 따르면, 스노든은 미국의 기술자이자 국가 안보국(NSA) 계약자로서 미국 정부가 어떻게 국제적 대량 감시 시스템을 운영하고 있는지에 대한 증거를 발견하고 공개했습니다. 이는 인권과 국제법을 위반하는 행위였습니다.
그의 행동이 더 큰 이익을 위한 것이었는지는 논쟁의 여지가 있습니다. 하지만 로이터에 따르면, 몇 년 후 항소 법원은 NSA가 수행한 감시 프로그램이 불법이라고 판결했습니다.
또한 대중은 NSA의 활동에 대해 더 잘 알게 되었고, 미국 정부는 감시 활동에 대해 더욱 투명해졌습니다.
결론
해킹은 좋은 이유와 나쁜 이유 모두에서 행해질 수 있는 활동입니다. 해킹은 종종 부정적인 의미로 사용되지만, 선한 의도를 가지고 해킹하는 윤리적 해커도 있으며, 이들의 노력은 컴퓨터 시스템을 더욱 안전하게 유지하는 데 도움이 됩니다.
만약 해커를 꿈꾸고 있다면, 법을 어기지 않고 컴퓨터 보안에 의미 있는 기여를 할 수 있도록 윤리적인 해커가 되는 것을 고려해 보십시오. 허가 없이 컴퓨터 시스템을 해킹하는 것은 불법이라는 점을 기억해야 합니다.
윤리적 해킹에 대해 더 자세히 알고 싶다면 관련 서적을 찾아보는 것도 좋은 방법입니다.