온라인 상거래가 사이버 범죄의 심각한 위험에 노출돼있다는 사실을 부정하는 사람은 다음 사항을 고려해봐야 한다. 상대적으로 해킹 지식은 부족하지만 절도를 목적으로 집요하게 해킹하려는 사람에게 도움을 주는 해커가 있다는 사실이다.
이전부터 해킹 서비스를 제공하는 회사(그 중에 상당수는 러시아에 있음)가 많이 만들어져 다른 이들의 절도를 도왔다. 해킹 비즈니스는 빠르게 성장했다. 위험 정도, 체포 가능성, 처벌 정도 등에 따라 받는 해킹 보수는 범죄를 직접 저지르는 것보다 고수익을 보장해주기도 한다. 범죄 서비스를 제공하는 기업들은 한 달에 수백만 달러의 수익을 거두고 있다. 일부 전문가들은 이들이 2007년에 15억 달러의 매출을 올린 것으로 추정하고 있다.
지난해 두 명의 러시아인이 정기구독 방식의 신원 정보를 이용해 절도 서비스를 고안해 냈다. 이들은 직접 신원증명서를 훔치기 보다는 컴퓨터를 해킹해 고객이 원하는 컴퓨터에 30일 동안 자유롭게 접속하는 서비스를 제공하고 컴퓨터 한 대당 1000달러를 받는다. 이들의 서비스를 이용하는 고객들은 30일 동안(한 번의 비용이 청구되는 시간 단위) 해킹당하는 사람들이 송금하거나 개인 정보를 온라인상으로 보내올 것이라고 확신하고 있다.
해커들은 이런 서비스를 제공하기 위해서 ‘보트(bot)’라고 불리는 불법 코드로 정교하게 불법 프로그램을 확산시키는 서비스를 제공하는 업체들과 계약을 맺는다. ‘보트’를 배포하는 사람들은 접속자 수에 따라 매주 돈을 주겠다고 웹사이트 운영자들을 부추겨서 웹사이트에 ‘보트’를 감춰둔다. 이 방법은 광고주가 신문사 웹사이트 방문자 수에 따라 신문사에 광고료를 지불하는 것과 같은 방법이다. 다른 서비스를 제공하는 공급자들은 ‘보트’에 감염되어 있는 컴퓨터를 통합하여 ‘보트넷(botnet)’이라는 네트워크를 만들고 이 네트워크의 일부를 고객들에게 임대한다. 고객들은 임대한 ’보트넷‘을 이용해 △스팸 메일을 보내거나 △경쟁사의 웹사이트를 마비시키거나 △기업의 네트워크에 잠입해서 지적 재산을 훔쳐낼 수 있다.
다른 서비스 산업과 마찬가지로 해킹 서비스를 이용하는 고객들도 프리미엄 서비스에는 추가 비용을 기꺼이 지불한다. 두 러시아 해커들은 해킹 구독 서비스뿐만 아니라 정보 정리 서비스(불필요한 정보는 제거해주는 서비스)와 해킹한 정보를 항목별로 정리하여 보고하는 서비스도 제공한다. ‘보트넷’ 임대 서비스는 고객의 해킹 효과가 극대화 될 수 있는 방법을 컨설팅 해주는 서비스도 부수적으로 제공한다. 어떤 이들은 특정 서비스의 수준을 보장하고, 목적한 바를 이루지 못하면 환불해 주기도 한다.
인터넷 뱅킹과 쇼핑의 급속한 증가, 개인 정보를 온라인상에 공개하려는 사람들의 욕구 증가가 해킹 서비스 출현을 불러온 중요한 원인이다. 해킹 기술을 가지고 있는 사람은 누구나 기술을 이용할 기회가 점점 늘어나고 있다.
하지만 또 다른 일도 일어나고 있다. 해킹 능력이 뛰어난 해커들은 능력 부족으로 사이버 범죄와는 거리가 멀었던 수많은 사람들도 해킹을 가능하게 하고 있다. 이들은 해커들과 접촉하지 않았다면 사이버 범죄와는 전혀 상관없는 사람들이 됐을 것이다. 해커들은 이들을 위한 서비스를 고안해 실제 범죄를 저지르지 않고서도 큰 이익을 낼 수 있다. 금 투기꾼들은 이런 서비스를 대단한 것으로 여기지 않을지도 모르겠지만 냄비나 곡괭이를 파는 사람들 입장에서는 쉽게 큰 돈 버는 사업으로 보일 것이다.
일부 전문가들은 해킹 서비스 경제가 대단히 혁신적이고 호황을 누리고 있다는 사실에 놀라움을 감추지 못하고 있다. 해커들은 거의 박사 수준이다. 그들이 문제를 해결하는 방법은 창의적이고 효과적이다. 또 해커들은 시장 상황에도 민감하게 대처한다. 그들은 고객 서비스에도 집중하고 있다. 해킹 서비스를 제공하는 집단이 일반 기업이었다면 성공 사례로 크게 유명해졌을 것이다.
사이버 범죄 서비스는 매우 정교하고 강력하다. 새로운 해킹 서비스는 단순히 비즈니스를 방해하는 것이 아니다. 이들은 고객을 위협하고 상거래 안전성을 훼손해서 비즈니스를 위태롭게 한다. 사이버 범죄의 희생자가 증가하면 할수록 희생자들은 누군가 책임질 사람을 찾으려 할 것이다. 이 때 해커가 그 책임을 지게 되는 것이 아니라 고객을 보호해줄 것으로 여겨진 신뢰받는 브랜드들이 책임을 지게 될 것이다.
저자 Scott Berinato는 메사츄세츠의 CSO 잡지 편집국장으로 재직 중이다. 정보 보안과 사이버 범죄를 담당하고 있다.