[보안 초짜기자 해킹 체험기] 누구나 해킹?···"아무나 못해"
"유튜브 보고 따라하면 일반인도 범죄용 인공지능(AI)으로 얼마든지 해킹할 수 있다." 미국 정보보호 기업 팔로알토네트웍스의 박상규 한국지사장은 얼마 전 한 언론 매체와의 인터뷰에서 이같이 밝혔다. 해킹은 컴퓨터 프로그래밍에 능숙한 전문가들이 할 수 있는 것 같지만, AI 기술이 발전하면서 일반인도 손쉽게 악성코드나 랜섬웨어를 만들 수 있다는 것이다. 실제 그럴까. 사실이면 정말 큰일이다. 정보보호(보안) 전문가가 아니어도 별다른 장비 없이 유튜브만 보고 해커가 된다면 세상은 해커 지옥이 되는 것 아닐까. 기자는 서울의 한 대학에서 문과를 다녔고, 보안 기술을 하나도 모른다. 여기에 최근 회사 인사 발령으로 보안을 맡았고, 그야말로 완전 보안 초보 기자다. 이런 기자도 해킹할 수 있을까? '보안'의 '보'자도 모르는 기자가 7일 한나절 동안 직접 해킹을 시도해봤다. 참고로 기자는 영어와 숫자의 조합을 아주 싫어한다. 해킹 시도에 앞서 먼저 해킹이 무엇인지부터 알아야 했다. 이 정도로 기자는 해킹에 '무개념'이다. 찾아보니, 프로그램을 제작자 의도와 다르게 바꾸는 모든 행위를 해킹이라고 한다. 해킹 자체가 범죄는 아니지만, 나쁜 의도로 보안을 뚫어 바꾸거나 정보를 탈취하면 범죄가 된다. 해킹 도구를 검색하니 '웜GPT'라는 게 있었다. '이게 맞나?' 싶어 국내 정보보호 기업 스틸리언에 기사 기획 의도를 설명하고 물어보니 스틸리언은 기자 체험용으로 '웜GPT'와 '핵스GPT(Hacx GPT)'를 알려줬다. 스틸리언은 '화이트 해커'로 유명한 박찬암 대표가 세운 회사다. 일반적으로 해커는 나쁜 이미지로 알려졌지만, 화이트 해커는 서버 취약점을 연구해 해킹을 막는 착한 해커다. 기자는 해킹이 차라리 안 되길 바라면서 핵스GPT로 보이는 홈페이지에 처음 접속했다. 속으로 '이걸 하다 내 컴퓨터가 망가지면 어쩌지'하는 걱정도 들었다. '회사 일하다 회사 컴퓨터 망가진 거니 회사가 책임지겠지'라는 생각도 했다. 혹시 몰라 '카카오톡' 같은 메신저와 회사 이메일 등 프로그램은 모두 끄고 인터넷 창만 켰다. 먼저 영어로 된 사이트가 나왔다. 홈페이지를 한국어로 자동 번역해주는 기능을 이용해 한국말로 바꿔 읽었다. '핵스GPT는 웜GPT의 강력하고 사악한 형제입니다.'라는 말이 떴다. 기사 의도에 맞게 잘 찾아온 듯했다. 참고로, 핵스GPT'는 웜GPT에서 영감을 받아 개발한 프로그램이다. 이어 '망가진 AI: 당신이 원하는 것은 무엇이든 할 수 있다!'는 문구가 따라왔다. 해킹을 부추기는 건가? 지금 내가 있는 밝은 사무실이 순간적으로 어두운 방이 된 듯한 느낌을 받았다. 이어 '핵스GPT의 오픈 소스 버전이지 실제 핵스GPT가 아닙니다'라고 쓰인 글의 옆 링크를 누르자 먹통 화면이 나왔다. '어, 안 되는 건가? 내가 못 찾은 건가?' 걱정이 되면서 반면 안도했다. 해킹 시도가 처음이다보니 드는 생각이다. 세계에서 가장 큰 검색 사이트 '구글'에 다시 웜GPT를 검색했다. 여러 페이지를 눌러보다 '웜GPT.exe'라는 파일을 찾아 손쉽게 설치했다. '와, 이번엔 진짜 되나?' 떨리는 마음으로 실행했다. 검은 화면에 빨간 글씨가 주르륵 쏟아졌다. 정말 악마 같다. 놀이공원에 있는 귀신의집에 들어가는 기분이다. 웜GPT가 나한테 물었다. '무엇을 선택하시겠습니까: 1. 웹사이트를 공격합니다. 2. Osint 사람들과 전화, 이메일... 3. 주입 SQL. 4. 암호화하고 파일을 해독합니다. 5. 악성 파일을 만듭니다. 6. 닫기. 고르세요:' '웜GPT가 내 말을 알아들으려나?' 의심하며 '1'에 이어 자판에서 '입력(Enter)'을 눌렀다. 화면에 '웹사이트 URL 입력:'이 나오면서 웜GPT가 공격할 웹사이트 주소를 쓰라고 했다. '아, 진짜 해킹이 되는 건가? 이러다 잡혀가는 건 아니겠지?' 하는 불안한 마음이 들어 해킹 취재 기사를 지시한 선배 기자에게 물었다. "선배, 제가 해킹 도구 써보고 있는데요. 제가 '웹사이트 공격하자'니까 이게 '웹사이트 주소 쓰라'고 하네요. 지디넷코리아 홈페이지 주소 쓸까요? 여기서 그만둘까요? 저는 워낙 초보라서 뭔가 진짜 되는 게 아닌지 떨립니다."고 묻자, "계속 해보라"는 답이 돌아왔다. 물 한 모금을 꿀꺽 마시고 자세를 가다듬었다. 이어 해킹할 웹사이트 주소로 'zdnet.co.kr'을 썼다. 그런데, 갑자기 웜GPT가 꺼졌다. 흰 글씨 영어로 뭐라고 몇 줄 쓰였는데 순식간에 사라져 읽지를 못했다. 얼른 지디넷코리아 홈페이지를 확인했다. 멀쩡하다. '새로고침'해도 멀쩡하다. 스마트폰으로 봐도 멀쩡하다. 괜한 걱정을 했나? 웜GPT를 다시 켰다. 또 선택하라기에 이번엔 '웹사이트를 공격합니다(Attack The Website.)'라고 썼다. '잘못 입력되었습니다. 다시 시도하십시오.'라는 글이 떴다. 이어 아래와 같은 문구가 나왔다. '무엇을 선택하시겠습니까: 1. 웹사이트를 공격합니다. 2. Osint 사람들과 전화, 이메일... 3. 주입 SQL. 4. 암호화하고 파일을 해독합니다. 5. 악성 파일을 만듭니다. 6. 닫기. 고르세요:' 속으로 '잘못된 입력은 해킹하기 쉽게 만든 너다, 이놈아'라고 코웃음치며 다시 '1'을 썼다. 또 웹사이트 주소를 쓰라기에 'zdnet.co.kr' 입력하길 되풀이했다. 영어로 흰 글씨가 또 뭐라고 몇 줄 쓰였으나 역시 순식간에 웜GPT가 꺼져 못 읽었다. 다행인지 불행인지 지디넷코리아 홈페이지는 여전히 멀쩡했다. 웜GPT를 또 다시 켰다. 다른 홈페이지 주소를 써보고 싶었지만 진짜 잘못될 수도 있다는 생각에 그러질 못했다. 그럼 이번엔 악성 파일을 만들어볼까? 설마 만들자마자 이 컴퓨터를 망가뜨리지는 않겠지. 선택지에서 악성 파일을 만든다는 '5'를 골랐다. 잘못 입력했다고 다시 하라는 응답이 나왔다. 다시 '5'를 입력했다. 또 잘못 입력했다고 한다. 이상하다, 내가 뭘 잘못한 거지? 웹사이트를 공격하려고 '1'을 썼을 땐 바로 웹사이트 주소를 물었는데, 악성 파일을 만들려고 '5'를 입력하니 자꾸 잘못했다는 응답만 나왔다. '글로 써주면 알아들을까?' 해서 '악성 파일을 만듭니다(create a malicious file)'라고 입력했다. 하지만 허사였다. 또 잘못 입력했다는 말이 떴다. 방향을 바꿨다. 다시 선택하라고 해서 이번에는 파일을 암호화하고 해독한다는 '4'를 입력했다. 소용없었다. '4'라고 여러 번 눌렀지만 컴퓨터가 못 알아듣었다. 자꾸 선택하라고만 했다. 그래서 다시 '파일을 암호화하고 해독하자(encrypt, decript files)'고 입력했다. 역시, 또 내가 잘못 입력했다며 다시 시도하라고 한다. 2번과 3번 선택지도 있었지만, 이건 내가 전혀 모르는 말이라 명령(입력)하지 못하고 포기했다. '결국 실패한 건가? 내가 사용한 게 순수한 업무용 컴퓨터라 안 되나? 운용체계(OS)를 어둠의 경로로 바꿔놓으면 되려나?' 여러 생각이 들었다. 마지막으로 '6번(닫기)'을 입력했다. '프로그램 종료(Exiting the program)'라는 말과 함께 꺼졌고, 기자는 웜GPT에 답장하지 못했다. 해킹 프로그램 설치까지는 쉬웠지만 계속 진행은 어려웠다. 기자가 한나절 체험해보니 박상규 팔로알토네트웍스 한국지사장 말과 달리 누구나 해킹할 수 있는 건 아닌 것 같다. '아무나 할 수 있지만 누구나 할 수 없다'는 말이 있는데, 해킹도 그런 것 같다. 기자의 해킹 실패가 한편으로는 다행이라고 생각한다. 혹시 기자처럼 '해킹'의 '해'자도 모르는 독자가 해킹에 성공했다면 제보해 주시라. 기자가 기사로 고발해 경각심을 일으키겠다. 참, 이미 설치한 웜GPT가 나중에라도 잘못될 지 모르니 기자는 컴퓨터에서 웜GPT.exe를 삭제하고 컴퓨터를 다시 시작했다.
