인류의 종말은 사이버로부터 온다 - 사이버 무기 시장의 실체와 제로데이 (니콜 펄로스, 2022)

책소개
알려지지 않은 소프트웨어의 보안 취약점을 가리키는 '제로데이(zero day)'는 그를 이용해 국가의 기간 시설과 핵심 시스템에 침투할 수 있게 해주는 가공할 무기라는 점에서 사이버 세계의 '블러드 다이아몬드'로 불린다.

이 책은 지난 수십 년간 그늘에 숨어 있던 제로데이 거래의 암시장을 끈질기게 추적하고, 주요 관계자들의 입을 통해 왜 제로데이가 그토록 위험한지, 최악의 경우 인류의 종말을 불러올 수도 있는지 명징하게 설명한다.

---

목차
1부. 미션 임파서블
1장. 비밀 옷장
2장. 빌어먹을 연어

2부. 자본가들
3장. 카우보이
4장. 첫 번째 브로커
5장. 제로 데이 찰리

3부. 스파이들
6장. 건맨 프로젝트
7장. 대부
8장. 잡식동물
9장. 루비콘 - 돌아올 수 없는 강을 건너다
10장. 공장

4부. 용병들
11장. 쿠르드인
12장. 추잡한 비즈니스
13장. 용병들

5부. 저항
14장. 오로라
15장. 포상금 사냥꾼들
16장. 암흑 속으로

6부. 토네이도
17장. 사이버 가우초들
18장. 퍼펙트 스톰
19장. 전력망

7부. 부메랑
20장. 러시아 해커들이 몰려온다
21장. 그림자 브로커들
22장. 공격
23장. 뒷마당

---

니콜 펄로스(지은이)의 말
이 책은 7년여에 걸쳐 3백 명이 넘는 사람들을 만나 인터뷰한 결과물이다. 이들은 사이버 무기의 거대한 암시장에 참여했거나 이를 추적했거나 그에 직접 영향을 받은 당사자들로 해커, 활동가, 반체제 인사, 학계 인사, 컴퓨터 과학자, 미국 및 해외 정부 관료들, 법의학 포렌식 수사관 및 용병 등 다양한 직업군에 걸쳐 있다.
많은 이는 몇 시간씩, 심지어 며칠씩 할애해 이 책에 소개된 여러 사건과 대화의 상세한 내용에 대해 이야기를 나눴다. 나는 증거가 될 만한 자료를 요청했고 계약서, 이메일, 메시지 혹은 기타 디지털 흔적 등 다양한 형태의 자료를 얻을 수 있었다. 많은 이들이 기밀 유지협약에 묶여 있었기 때문에 가능한 사건에 대한 정보를 입증하는 데 음성 녹음이나 일정표 및 메모를 사용했다.
인터뷰에 응한 많은 이는 사안의 민감성 때문에 익명을 요구했다. 그중 두 사람은 가명을 쓰는 조건으로 인터뷰를 승낙했다. 이들의 주장의 사실 여부는 가능한 한 다른 사람들의 설명과 비교해 확인했다.
한 가지 주의할 것은 이 책에 언급된 사람들이 해당 사건이나 대화의 취재원일 것이라고 단정해서는 안 된다는 점이다. 당사자로부터 해당 내용을 직접 들은 경우도 있지만 목격자나 제3자 혹은 이미 기록된 문서를 정리한 경우도 많다.
또 하나 중요한 점은 해커나 거래 주체 그리고 정부 관계자들은 기밀 유지를 최우선으로 삼기 때문에 특히 사이버 무기의 은밀한 거래 내용이 공식 문서로 기록된 경우는 매우 드물다는 점이다. 때문에 많은 이야기의 사실 여부를 확인하기 어려웠고, 내용에서 제외할 수밖에 없었다.
진실을 밝히기 위해 나름 최선을 다했지만 지금도 여전히 사이버 무기 거래는 두터운 베일에 싸여 있다. 그래서 이 책의 모든 내용이 정확하다고 주장하기는 어렵다. 어떤 내용이 잘못됐든 그 책임은 내 몫이다.
모쪼록 이 작업이 기밀과 은폐의 장막에 싸인 사이버 무기 시장의 실체를 부족하나마 조명해 더 많은 사람이 주목하기를, 그래서 긴요한 사회적담론으로 발전하기를 기대한다. '사물인터넷'이라는 디지털 쓰나미가 우리 사회를 돌이킬 수 없는 나락으로 빠뜨리기 전에 말이다.

---

역자후기
지난 2월말 벌어진 러시아의 우크라이나 침공은 비단 물리적 환경에만 국한된 것은 아니었다. 아니, 그보다 앞서 사이버 환경에서 먼저 벌어졌다. 러시아의 사이버 군대는 우크라이나의 주요 기간 시설에 대한 전방위적 해킹을 시도했다. 우크라이나도 그에 맞서 러시아의 기간 시설에 대한 사이버 공격을 감행했다. 즉, 사이버 공방전은 실제 물리적 전쟁의 전조였던 셈이다. 뉴스에는 자주 언급되지 않지만 양국의 사이버 전쟁은 물리적 전쟁 못지않게 치열하다. 전쟁이 두 달째에 접어든 지난 4월 초, 우크라이나의 컴퓨터 긴급대응 팀(CERT-UA)과 슬로바키아의 사이버보안 회사인 ESET는 러시아의 샌드웜 해커 그룹이 인더스트로이어(Industroyer), 혹은 크래시 오버라이드(Crash Override)로 알려진 멀웨어의 한 변종을 사용해 우크라이나의 주요 고압 변전소들을 마비시키려 시도했다고 폭로했다. 러시아의 군사정보국(GRU) 산하 74455 부대로 알려진 샌드웜 해커들은 2015년과 2016년 우크라이나의 전력망을 해킹해 사상 초유의 피해를 입혔고, 그 내용은 이 책에 잘 묘사돼 있다. 러시아의 침공과 병행한 이번 공격은 전력 공급을 조절하는 변전소 장비들을 무력화하기 위한 것으로, 최악의 경우 2백만 가구 이상의 전력을 끊는 치명적 피해로 이어질 수 있었다.
그러나 우크라이나 측은, 이번 샌드웜 그룹의 공격을 성공적으로 저지했다고 밝혔다. 재난적 피해를 입은 2015년과 2016년의 뼈아픈 경험이 우크라이나의 사이버 전력을 한껏 강화하는 '쓴 약' 구실을 한 것으로 보인다. 더욱이 러시아의 침공을 계기로 우크라이나는 전세계 해커들의 지원도 받고 있다. 「가디언」과 「와이어드」를 비롯한 여러 매체에 따르면 러시아는 우크라이나 침공 이후 사상 초유의 규모로 집중 해킹 공격을 받고 있다. 우크라이나의 자원봉사자들과 전세계의 화이트햇 해커들로 구성된 'IT 군대'가, 우크라이나 정부가 매일 오전 5시(현지 시간), 비밀 메신저 프로그램인 텔레그램을 통해 러시아측 해킹 표적을 전달받으면 해킹 공격에 돌입하는 것이다.

---

뉴욕타임스 베스트셀러,
<파이낸셜 타임스>와 맥킨지가 공동 주관하는 2021년 '올해의 비즈니스 책' 선정!
조승연 작가 추천의 바로 그 책 『This Is How They Tell Me World Ends』.
알려지지 않은 소프트웨어의 보안 취약점을 가리키는 '제로데이(zero day)'는 그를 이용해 국가의 기간 시설과 핵심 시스템에 침투할 수 있게 해주는 가공할 무기라는 점에서 사이버 세계의 '블러드 다이아몬드'로 불린다. 이 책은 지난 수십 년간 그늘에 숨어 있던 제로데이 거래의 암시장을 끈질기게 추적하고, 주요 관계자들의 입을 통해 왜 제로데이가 그토록 위험한지, 최악의 경우 인류의 종말을 불러올 수도 있는지 명징하게 설명한다.