15일 미국 CIA를 해킹한 룰즈섹(LulzSec)은 자신의 컴퓨터 능력을 과시하려는 해커의 모임으로 보인다.
룰즈섹이라는 이름 자체가 해킹 능력을 뽐내려고 CIA, FBI, 소니 등을 잇달아 해킹했다는 추정의 근거가 된다. 룰즈섹은 '룰즈(Lulz)'와 '섹(Sec)'의 합성어이다. Sec는 보안(Security)에서, 룰즈는 인터넷 은어인 LOLs에서 나왔다. LOL은 '크게 비웃다(Laughing Out Loud)'라는 뜻이다. 결국 룰즈섹은 보안을 크게 비웃는다는 뜻이다.
룰즈섹은 이름처럼 세계 최고의 국가 정보기관인 미 CIA와 FBI를 해킹해 이들을 마음껏 비웃었다.
이들이 세상에 유명해진 계기는 지난 5월초 소니픽처스의 인터넷 홈페이지에서 고객 100만명의 정보를 빼내 수천만 개의 인터넷 홈페이지에 게시한 사건이었다.
룰즈섹이 단순한 과시욕이 아니라 정치적 의도도 지녔다고 볼 수 있는 사건은 지난달 말 미국 공영방송 PBS를 해킹한 사건이었다. 이들은 PBS가 인터넷 폭로전문 사이트 위키리크스를 비판하는 방송을 내 보내자 "프로그램이 별로였다"며 바로 해킹했다.
당시 룰즈섹의 구성원이 누구인지, 해커가 몇명인지조차 파악되지 않았다. 룰즈섹이 CIA를 해킹하고 트위터에 당당하게 해킹 사실을 알렸지만 룰즈섹의 정체는 베일에 싸여 있는 것이다.
이런 일이 가능한 이유는 인터넷의 특성 때문이다. 일단 트위터는 사용자의 개인정보가 필요하지 않는다. 가입할 때 어떤 컴퓨터로 트위터에 접속했는지에 관한 정보는 남지만 해당 정보와 룰즈섹은 사실상 무관하다. 룰즈섹이 좀비 PC를 사용해 트위터에 접속하면 좀비 PC의 정보가 트위터에 남지만, 그것으로는 룰즈섹의 정체를 추적하는 데 도움이 안 된다. 마치 유괴범이 빈집 전화로 협박하면 빈집 위치는 알아낼 수 있지만 정작 유괴범 정보를 빈집에서 알아내기 어려운 것과 비슷한 이치다.
인터넷의 이런 특성 때문에 룰즈섹 지인이 제보하거나 룰즈섹 자체가 방심해 해킹 흔적을 남기지 않는다면 룰즈섹의 검거는 물론 정체조차 파악하지 못할 것으로 보인다. 세계를 떠들썩하게 했던 사건의 주체가 안개처럼 사라지는 것이다.
룰즈섹은 세계 최고의 정보보안 기관인 CIA와 FBI를 뚫었으니 자신의 능력을 충분히 과시했다. 따라서 해킹을 멈출 수도 있다. 하지만 추가적인 자기 과시를 위해 또다른 범행을 저지를 가능성도 크다. 한 국내 보안 전문가는 "CIA, FBI는 보안을 위해 정보 등급별로 인터넷망을 아예 구분해 운영한다"며 "룰즈섹이 아직 1급 보안 문서가 저장된 서버를 해킹하지는 않은 것으로 보여 목표를 그곳으로 삼을 수 있다"고 말했다.
