최근 들어 가장 흥미를 끌면서도 많은 고민을 하게 만들었던 주제는 바로 해킹에 대한 해킹으로의 복수이다. 상대의 해킹 침입에 대해 해킹으로 맞대응한 사례 자체가 많지도 않지만 그 내용이 외부에 드러난 경우는 더욱 드물다. 해킹을 당했다는 자체를 쉬쉬하며 노출을 꺼리기도 하지만, 누가 해킹했는지 대상을 정확히 확정하고 복수를 하기란 더욱 요원한 일이기 때문이다.

그런데 실제로 그런 복수를 감행해 논란이 된 사례가 있다. 아는 사람이 많지 않아 논란이 되었다고 표현하는 것이 적절한지 의문이지만, 일부 보안전문가 사이에서는 꽤 화제가 되었던 사건이다. 게다가 우리와도 밀접한 관련이 있는 북한과 연관이 있어 더욱 흥미로운 사례이기도 하다.

사례에 대해 간략히 설명해 보자.

2022년, 미국 사이버보안 전문업체를 운영하는 보안전문가 알레한드로 카세라스는 북한의 해커들에 의해 본인의 회사가 해킹을 당하는 경험을 하게 된다. 다른 나라의 보안 소프트웨어(해킹설루션) 기술을 탈취하기 위한 북한 해커집단의 국가 차원의 해킹시도였던 것이다. 각고의 노력 끝에 해킹을 막아낸 카세라스는 미 FBI와 정부 당국자들에게 해당 사건에 대해 설명했지만 시큰둥한 정부당국의 반응에 큰 실망감을 느끼고 직접 북한에 복수하기로 결심한다. 그리고 P4x라는 해커명으로 대규모 DDoS(분산 서비스 거부) 공격을 감행함으로써 북한의 주요 기관 사이트들을 마비시키고 동시에 해외에서 북한으로의 접속도 방해하는 데 성공한다. 북한 측은 일주일 이상의 시간이 지나서야 간신히 마비된 인터넷을 복구하는 데 성공할 수 있었다.

개인의 관점에서 보면 공격에 대한 당연한 응징이기도 하고, 게다가 상대가 북한이다 보니 일부에게는 정의로운 행동으로 비칠 수도 있다. 북한은 셀 수도 없는 정부 차원의 해킹을 통해 다른 나라의 지적 자산과 디지털 재화를 탈취하는 범죄행위를 일으키는 국가이기 때문이다.

그러나 다른 한편에서 바라보면 카세라스의 행동은 위험하면서 다소 무모하기까지 하다. 아무리 복수에 대한 명분이 있다고 하더라도 개인과 국가의 대결이란 계란으로 바위를 치는 것과 다르지 않기 때문이다. 본인뿐 아니라 가족과 지인들까지도 위험해질 수도 있는 상황으로, 복수를 통해 잠깐은 시원하고 통쾌할 수 있겠지만 그 이후에 벌어질 수도 있는 상황은 예측도 어렵고 개인이 감당할 수 없는 수준이기 십상이다.

더욱 중요한 것은 그 어떤 명분을 가져와도 해킹은 범죄라는 것이다. 해킹에 대해 해킹으로 복수한다는 것은 범죄행위에 범죄행위로 대응한다는 논리에 지나지 않는다.

상대방이 먼저 해킹을 했으니 그에 대한 보복 및 반격 차원에서 역해킹을 해도 되는 것인지라는 질문을 던지게 된 이유다.

만약 이것이 정당하게 허용된다면 상대의 해킹에 대해 해킹으로 복수하는 문화가 만연하게 될 수 있고, 개인과 개인의 차원뿐 아니라 개인과 기업, 기업과 기업 등 여러 관계에서 심각한 파장을 일으킬 수도 있다.

그래서 사뭇 궁금해지고 고민하게 된다. 해킹에도 정의가 존재하는지, 아니 존재할 수 있는지 말이다.