사이버캅(Cyber cop). 경찰청 컴퓨터범죄수사대를 이르는 말이다. 사이버캅은 가상 공간의 무법자들을 추적한다. 수사 대장은 양근원 경정(37). 수사 요원은 모두 8명. 이들말고도 전국 지방 경찰청에는 컴퓨터 범죄 전담 수사 요원 5백10명이 배치되어 있다. 경찰청 소속 컴퓨터범죄수사대는 주로 해킹·바이러스 유포 같은 전문 분야를 담당하고, 컴퓨터 통신을 이용한 사기나 음란물 배포 사범은 지방 경찰청 소속 수사관들이 맡는다.

97년 8월 외사관리관실 해커수사대와 형사국 지능과가 통합되어 출범한 컴퓨터범죄수사대의 시설과 수사관 신원은 대외비이다. 컴퓨터 시스템과 성능이 알려지면, 컴퓨터 범죄 사범이 수사관의 추적을 따돌리기 용이해질 수 있다. 언론이 컴퓨터범죄수사대를 취재하는 데 어려움을 겪는 것은 이 때문이다.

사이버캅, 밤샘 근무하며 범죄자 추적

<시사저널>은 몇 차례에 걸쳐 취재 요청을 한 끝에 경찰청 5층에 있는 컴퓨터범죄수사대 사무실에 들어갔다. 수사실 크기는 10평 가량. 수사실 한쪽에는 디지털 사의 대형 서버가 설치되어 있고 수사관 책상마다 ‘해커추적용’이라는 팻말이 붙은 고성능 컴퓨터가 올려져 있다. 수사실 복판에 있는 탁자와 책상에는 유닉스·리눅스 관련 전문 서적이 수북했다.
수사관들에게는 밤낮이 따로 없다. 수사는 24시간 진행된다. 날마다 1∼2명은 밤샘 근무를 하며 범죄를 끈질기게 추적한다. ‘야행성’ 해커를 검거하려면 수사관도 야행성이 되어야 한다.

양근원 경정이 자랑하는 사례는 MOV를 검거한 것. ‘Master of Virus’라고 알려진 이 바이러스의 대가는 FK658·남벌·에볼라·까마귀 등 컴퓨터 바이러스 스물두 가지를 제작·유포해 악명을 떨쳤다. FK658은 컴퓨터 실행 파일을 지속적으로 감염시켜 결국 컴퓨터 시스템을 망가뜨리는 바이러스였다. 수사대는 97년 말부터 그를 추적했다.

MOV의 활동 무대는 가상 공간의 ‘지하 세계’였다. 지하 세계는 하이텔·천리안 같은 상용 통신망이 아니라 개인이나 중소업체가 서버를 한 개 갖다놓고 아는 사람만 접속하는 사설 BBS를 가리킨다. MOV는 고려넷·에이텔·신천지·스마트라인 같은 사설 BBS에서 암약했다.

MOV는 자기가 만든 바이러스를 ‘이야기7.3’같은 PC 통신 프로그램이나 바이러스 백신 프로그램인 양 위장 등록하는 수법을 즐겨 사용했다. 컴퓨터 사용자가 덜컥 이 파일을 내리받았다가는 자기 컴퓨터 시스템이 파괴되는 것을 속수무책으로 지켜보아야 했다.

컴퓨터범죄수사대는 가상 공간의 뒷골목을 샅샅이 뒤지기 시작했다. 사설 BBS에 컴퓨터 바이러스가 떴다는 정보를 찾아 밤낮 없이 헤매기도 하고, 누드 사진이라고 위장 등록된 바이러스를 내리받기도 했다.

수사대는 사설 BBS를 떠도는 온갖 소문과 정보를 취합해 수사망을 좁혀 갔다. 곳곳에 숨어 있는 바이러스 위장 파일을 확인한 뒤 그 파일이 흐른 경로를 추적했다. 바이러스 파일이 거친 모든 통신 접속점을 찾아 나선 것이다. 컴퓨터 시스템은 일반적으로 누가 언제 어디서 접속했는지에 대한 기록을 파일 형태로 저장하고 있다.

가상 공간의 ‘지하 세계’ 1년 넘게 수사

추적은 쉽지 않았다. 시스템 관리자가 시스템을 엉성하게 관리해 접속 기록이 없는 일도 많았고, 컴퓨터 통신 회사와 인터넷 망 사업자(ISP)는 통신 비밀 침해라며 협조를 거부하기 일쑤였다. 게다가 실력이 뛰어난 해커는 침입한 흔적을 지우고 나가 접속 기록마저 남지 않는 사례가 비일비재였다. 한 곳이 막히면 다른 경로를 뚫는 식으로 추적을 계속한 수사대는 MOV가 해킹의 대가가 아니기를 바랐다.

수사를 시작한지 5개월이 지난 지난해 2월 수사대는 인터넷에서 활동하는 바이러스 제작 그룹 회원을 검거했다. 그가 속한 그룹의 이름은 CVC(Corea Virus Club). 접속 흔적을 지우는 일을 게을리하다가 붙잡힌 것이다.

강원도 강릉에 사는 서 아무개군(13)을 비롯해 CVC 회원 4명은 대전시에 있는 사설 BBS 스마트라인의 바이러스 제작 동우회 ‘40Hex’에서 바이러스 제작 기법을 연마했다. 이들은 가명을 쓰거나 다른 사람 이름으로 소백텔·양산텔·키텔·고려넷 같은 중소 규모 사설 컴퓨터 통신망에 가입해 바이러스를 올렸다.

안철수바이러스연구소는 이들이 제작해 퍼뜨린 FCL·율곡·고래 바이러스를 97년 최대 악성 바이러스로 분류했다. 이 바이러스들은 프로그램 주요 부분을 암호화했는데, 암호를 푸는 단서가 되는 부분은 바이러스가 다른 파일로 복제될 때마다 돌연 변이를 일으켜 발견하기가 쉽지 않을 뿐더러 치료도 힘들었다.

하지만 CVC는 MOV가 아니었다. MOV는 여전히 왕성하게 활동했다. 피해자는 수천 명에 이르렀다. 컴퓨터 프로그램 제작 업체인 ㅎ연구소 김현상 연구원은, 지난해 6월 2년 동안 연구한 프로그램을 모두 잃어버리는 피해를 입었다. 피해자의 컴퓨터 시스템은 완전히 파괴되고 저장된 자료는 전혀 사용할 수 없게 되었다. MOV가 만든 바이러스는 개인용 컴퓨터뿐만 아니라 기업 전산망까지 파고들어 기업 활동이 마비되는 일도 생겼다.

수사대는 초조했다. 바이러스 파일이 이동하면서 만들어진 모든 사설 통신망의 접속점을 일일이 추적했다. 지하 세계에 떠도는 온갖 소문을 취합했다. 지루한 추적은 1년이 넘게 지속되었다.

바이러스 제작의 최고수 MOV는 고등학생

마침내 올해 3월 바이러스 제작의 최고수 MOV를 체포했다. 그는 뜻밖에도 이제 갓 고등학교에 입학한 ㅎ고등학교 학생이었다. 서울 관악구에 사는 김현기군(가명·15).

김군은 중학교 1학년 때부터 고려넷 같은 사설 BBS에 다른 사람 이름으로 가입해 컴퓨터 통신을 사용하면서 바이러스 제작 기법을 배웠다. 대부분의 바이러스 제작자가 해킹 동우회 사이트에 올려진 도구를 사용해 바이러스 프로그램을 만드는 것과 달리, 김군은 컴퓨터 바이러스 제작에 사용되는 컴퓨터 언어 ‘어셈블리어’를 독학으로 익히고 인터넷과 컴퓨터 통신에 올라 있는 바이러스 소스를 모아 연구한 끝에 독성이 강한 바이러스를 대량 생산했다.

김군이 체포되었을 때 가장 놀란 사람은 김군 부모였다. 하루 종일 컴퓨터 앞에 앉아 프로그램 공부를 하는 줄 알았던 부모들은, 아들이 수천 명에게 엄청난 피해를 입힌 바이러스 제작자라는 것을 믿을 수 없었다. 김군은 ‘컴퓨터 등 장애 업무 방해’혐의로 불구속 입건되어 재판을 받고 있다.

컴퓨터범죄수사대가 바이러스 사범 못지 않게 수사력을 집중하는 분야가 해킹이다. 해킹 사고는 최근 눈에 띄게 늘고 있다. 국내외 해커들이 개발한 신종 프로그램이 인터넷을 통해 전세계에 널리 유포되어 해킹 도구를 쉽게 구할 수 있는 데다, 국내 인터넷 망 사업자가 고속 서비스를 제공함으로써 본의 아니게 해킹에 적합한 환경이 조성되었기 때문이다. 지난해 1백58건이었던 해킹 건수가 올해에는 8월7일 현재 2백50건이 넘어섰다. 대학과 중소기업의 93.2%가 해킹을 당한 적이 있는 것으로 나타났다.

수사대가 가장 최근에 해커를 검거한 것은 지난 3월. 한국과학기술원(KAIST) 컴퓨터 시스템에 불법 침입한 ㄱ대학 컴퓨터학과 학생 이 아무개군이었다. 피해자인 한국과학기술원 시스템 관리자와 한국정보보호센터의 도움을 받아 범인을 일찍 검거할 수 있었다.

아이디·비밀 번호 빼내는 무서운 해커들

이군은 지난 3월 한국과학기술원 컴퓨터 시스템에 침입했다. 그는 ‘죽은 소의 숭배자(CDC·Cults of Dead Cow)’라는 세계적으로 유명한 해커 집단이 지난해 8월에 공개한 백오리피스라는 해킹 도구를 사용했다. 백오리피스는 마이크로소프트 운영 체제인 윈도95·98을 공격할 때 사용하는 해킹 프로그램이다.

한국과학기술원 시스템 안에는 이미 누군가가 백오리피스 프로그램을 침투시켜 시스템에 뒷문(backdoor)을 만들어 놓았다. 시스템 안에 잠입한 프로그램은 백오리피스 서버라고 불린다. 이군은 먼저 국내 컴퓨터 시스템에 퍼져 있는 백오리피스 서버를 찾기 위해 탐지(scanning) 프로그램을 가동했다. 탐지 프로그램은 인터넷에 접속된 시스템을 빠르게 훑다가 백오리피스 서버가 침투해 있는 시스템 목록을 화면 위에 띄웠다. 이군은 목록을 읽어 내려오다 한국과학기술원에서 멈추었다. 공격 대상이 결정된 것이다.

시스템 안에 있는 백오리피스 서버와 호응하는 백오리피스 클라이언트 프로그램이 활동할 차례였다. 해커는 클라이언트 프로그램을 마우스로 클릭해 실행시켰다.

효과는 대단했다. 이씨는 서버가 만들어 놓은 구멍을 통해 어렵지 않게 침투해 시스템을 장악했다. 이때부터 한국과학기술원 시스템은 서울에서 전송망을 통해 들어온 해커의 손 안에 놓이게 되었다. 그가 마음만 먹으면 얼마든지 파일을 뽑아내거나 시스템을 파괴할 수 있었다. 또 프로그램을 실행하고 접속 권한을 가진 사용자의 아이디(ID)를 빼낼 수도 있었다. 시스템에 접속한 누군가가 홈뱅킹을 하기 위해 입력한 아이디와 비밀 번호도 얼마든지 빼낼 수 있었다. 그러나 이씨는 ‘우리별 3호’에 대한 자료만을 빼냈다. 그것은 한국과학기술원을 해킹했다는 것을 자랑할 때 쓸 증거였다.

한국과학기술원 컴퓨터 시스템 관리자는 낯선 이가 시스템에 들락거리는 것을 뒤늦게 알아차리고 전산망 접속 기록을 찾아 그 경로를 역추적하기 시작했다. 시스템 안에 설치된 ‘로그 파일’에는 누가 언제 어디서 접속했는지에 대한 정보가 빠짐없이 기록되어 있었다. 경로를 따라 추적을 거듭한 끝에 불법 침입자가 인터넷에 홈페이지를 갖고 있는 것을 알아냈다.
시스템 관리자는 3월5일 한국정보보호센터(KISA)와 경찰청 컴퓨터범죄수사대에 신고했다. 한국정보보호센터 기술지원팀 정현철 연구원은 한국과학기술원이 알려준 홈페이지에 접속해 내용물을 뒤졌다. 정연구원은 해커의 홈페이지에 전리품처럼 전시된 우리별 3호 자료를 볼 수 있었다. 범인 추적은 의외로 싱거웠다. 홈페이지 운영자가 시스템 침투자임에 틀림없었다.

컴퓨터범죄수사대가 나설 차례였다. 수사대장인 양근원 경정과 형사들은 우리별 3호 자료가 올려진 홈페이지 화면을 캡처해 증거를 확보한 후 인터넷 통신 회사를 찾아 홈페이지 운영자 신원을 알아냈다. 수사 요원들은 이군을 검거한 뒤 범행 일체를 자백받았다.

사이버캅, 검거 실적 지난해보다 5배 증가

백오리피스 프로그램은 해킹 도구이지만 시스템에 침입해 뒷문을 만든다는 점에서 트로이 목마 바이러스와 비슷하다. 안철수바이러스연구소는 해킹 프로그램인 백오리피스를 바이러스로 분류하고 있다. 해킹과 바이러스 기술이 파괴적으로 합쳐지고 있는 것이다.

해킹이 가진 정조준 능력과 바이러스가 가진 파괴력을 겸비한 해킹 기술이 나오면 대형 범죄가 일어날 수 있다. 금융 전산망을 마비시켜 금융 공황이 닥치고, 항공 통제망과 지하철 운행망을 엉망진창으로 만들어 대형 참사를 일으킬 수 있다. 국가 기간 전산망에 침입해 국가 기밀을 빼낼 수도 있다. 한국정보보호센터 김재성 선임연구원은 “컴퓨터 기술과 네트워크 지식을 갖춘 나이 어린 해커를 꼬드겨 국가 주요 전산망을 파괴하는 범죄가 일어날 가능성이 커지고 있다”라고 강조했다.

컴퓨터 범죄와 벌이는 사이버 전쟁의 최전선에 배치된 공권력이 컴퓨터범죄수사대이다. 수사대는 올해 상반기까지 해킹과 바이러스 유포 등 컴퓨터 범죄 1천1백6건, 1천3백70명을 적발했다. 이중 83명을 구속하고 1천2백87명을 불구속 조처했다. 검거 실적이 지난해 같은 기간에 비해 5배나 증가했다.

컴퓨터 범죄를 막는 데 가장 중요한 것은 예방이다. 사이버캅은 사고가 난 뒤 범인을 잡을 수 있을 뿐 범죄를 예방할 수는 없다. 사실 그것은 그들 몫이 아니라 컴퓨터 시스템 관리자와 사용자의 책무이다.