🪙 75센트 : 청구서 오류로 시작된 사이버 첩보전

📌 사건 개요 요약

• 장소: 미국 로렌스 버클리 국립연구소 (LBNL)
• 시간: 1986년
• 문제: 회계 시스템에서 75센트의 계산 오류가 발생
• 의문: 이 금액이 사용자 계정의 접속 시간 요금 청구 내역과 맞지 않음
• 추적자: Clifford Stoll, 당시 천문학자로 시스템 관리자 업무 겸임

---

🪙어떻게 75센트 오류가 생겼는가?

   당시 LBNL은 미국 ARPANET 및 국방연구 네트워크에 연결된 고성능 VAX/VMS 시스템을 운영하고 있었고, 외부 사용자들이 연구 목적으로 이 시스템에 접속할 수 있었습니다. 이 접속은 시간 단위로 과금되었고, 연구소는 월말에 이를 바탕으로 접속 사용자들에게 요금을 청구했습니다.

✅ 당시 시스템 과금 방식

• 사용자 A가 원격 접속 → 시스템에서 사용 시간 계산
• 사용 시간 × 단가 = 과금 요금
• 시스템 관리자가 월말 보고서를 통해 누적 요금 정산
• 75센트는 미지급 상태로 남음

🔍 이상한 점

1. 보고서에 따르면, 특정 사용자 계정에서 세션 기록이 존재하지 않음
2. 그런데도 청구 시스템은 0.75달러를 부과함
3. 이 말은, 사용 시간은 있었는데, 정식 사용자 계정으로 등록되어 있지 않았다는 것

이 모순에서 Clifford Stoll 은 해커의 존재를 의심하기 시작했습니다.

 

🧠 프롤로그: 추적의 시작, 75센트의 회계 오류

   1986년, 단 75센트의 미세한 회계 오류가 시작이었다…

Clifford Stoll은 본래 천문학자였습니다. 그는 로렌스 버클리 국립연구소(LBNL)의 연구원으로, 천문 관측 자료 분석과 연구 업무를 맡고 있었습니다. 그러던 어느 날, 그는 갑작스럽게 내부 회계 시스템에서 75센트의 미세한 회계 불일치를 발견합니다. 이는 누군가 시스템을 무단으로 사용하고 있었음을 암시하는 단서였죠. 대부분의 사람이라면 ‘75센트쯤이야’ 하고 넘어갈 일이었지만, Stoll은 달랐습니다. 그는 집요하게 그 오차의 원인을 추적하기 시작했고, 이 단순한 오류는 곧 세계 최초의 디지털 전쟁 중 하나로 번지게 됩니다.

   Stoll은 시스템 로그 파일을 수십 시간 분석하면서 이상한 로그인 흔적을 발견합니다. 누군가 정기적으로 내부 시스템에 접속하고 있으며, 여러 계정을 돌아가며 사용 중이라는 사실이 드러난 것이죠. 그는 이 해커가 버클리 대학 시스템뿐 아니라 미군, 국방 관련 연구소, 심지어 나사(NASA)까지도 침투하고 있다는 것을 알게 됩니다. 이때부터 그는 본격적으로 ‘사이버 스파이’를 쫓는 디지털 탐정이 되어버립니다.

   이 사건은 단순한 해킹 사건이 아닙니다. 냉전 말기라는 역사적 맥락, 기술 발전과 정보 보안의 초창기 단계, 그리고 한 명의 민간 과학자가 전 세계 첩보 전쟁에 어떻게 뛰어들게 되었는지를 보여주는 사례죠. 앞으로 다룰 각 섹션에서 우리는 이 ‘디지털 전쟁의 탐정’이 어떻게 역사에 남게 되었는지를 세밀히 추적해 보겠습니다.

---

🕵️‍♂️ 추적의 시작: 로그파일 속 스파이를 쫓다

   Clifford Stoll 은 버클리의 컴퓨터 시스템에서 이상 징후를 추적하기 위해 cron job을 활용합니다. 이는 시스템 명령어로 주기적인 작업을 예약할 수 있는 기능인데, Clifford Stoll 은 이를 이용해 매 5분마다 로그인 세션, 계정명, 접속 IP 등을 저장하는 스크립트를 실행하게 만듭니다. 이런 방식으로 그는 해커가 매일 밤 특정 시간대에 침입한다는 패턴을 발견하게 됩니다.

   그는 해커가 사용하는 접속 지점을 역추적해 나가기 시작합니다. 당시에는 인터넷이 지금처럼 발달한 시절이 아니었기 때문에 전화선을 통한 모뎀 접속이 일반적이었고, 이 때문에 흔적을 추적하는 것이 매우 까다로웠습니다. 하지만 Clifford Stoll 은 끈질긴 분석을 통해 전화번호, 회선, 스위치, 게이트웨이 등 각종 기술적 단서를 모아 해커의 행적을 하나씩 좁혀 나갔습니다.

   재미있는 사실은, 그가 이 작업을 할 당시 정부나 FBI, CIA 같은 기관들은 그의 제보를 거의 무시하고 있었다는 점입니다. 그들은 해킹을 '장난' 정도로만 여겼고, 실제로 보안 위협으로 여기지 않았죠. 하지만 Stoll은 절대 포기하지 않았고, 독자적으로 덫을 놓기 시작합니다. 가짜 계정을 만들어 해커가 낚이도록 유도하는 ‘허니팟(honeypot)’을 설치한 것이죠. 이 계정에는 일부러 군사 기밀처럼 보이도록 꾸며진 가짜 파일을 저장했고, 해커가 이를 열람하면 바로 로그가 생성되도록 설계했습니다.

   그리고 결국, 덫이 작동합니다. 해커는 ‘SDINET’라는 가짜 군사 네트워크 문서를 열람했고, 이를 통해 Clifford Stoll 은 더욱 많은 기술적 단서를 확보하게 되죠. 그가 이 모든 작업을 수행할 때 사용한 도구는 지금 보면 굉장히 원시적입니다. 프린터 출력물, 수기로 작성한 노트, 전화번호부, 그리고 전화선 도청까지… 디지털 추적의 원조라고 불러도 손색이 없는 시기였죠.

 

✅ Clifford Stoll의 로그파일 분석 방식 

1. cron job 기반 스크립트 감시
   Stoll은 UNIX 기반 시스템에서 cron daemon을 이용해 주기적으로 시스템 상태를 기록했습니다. 이를 통해 /etc/passwd, /var/log/wtmp, utmp, lastlog 등 다양한 로그 파일에서 접속 기록을 수집합니다.
   그는 로그 파일을 5분 간격으로 복사하는 자동화 스크립트를 배치하여, 해커가 침입하고 있을 가능성이 높은 심야 시간대의 로그도 빠짐없이 확보했습니다.
2. 이상 접속 패턴 탐지
   로그에는 다음과 같은 특징적인 행동이 포함되어 있었습니다:
   • 정규 사용자 계정을 가장한 로그인
   • 다른 호스트에서의 rlogin 시도
   • 슈퍼유저 권한 전환(su root) 시도
   • 프로세스 트레이스(trace) 및 시스템 디렉터리 탐색
   • 주기적인 접속 패턴 (심야에 집중)
   그는 이 중 접속 시간, 세션 지속 시간, 로그인된 계정 수 등을 기반으로 시계열 분석(time-series analysis)을 수행하며 침입 주기를 파악합니다.
3. 허니팟(Honeypot) 설치
   Stoll은 가짜 사용자 계정 및 문서를 포함한 디렉터리를 만들어, 해커가 침입할 경우 그 행동을 정밀 추적할 수 있는 디지털 함정을 설치합니다. 이 허니팟에는 다음과 같은 조작된 정보가 포함되어 있었습니다:
   • 가짜 군사 네트워크명 (예: SDINET)
   • 기밀처럼 보이는 파일 이름 (예: nuclear_missile_coord.dat)
   • 읽을 수 없는 바이너리 형태로 포장된 더미 데이터
   이러한 데이터 접근 시마다 로그가 자동 생성되도록 설계되었으며, 이 기록은 해커의 실제 탐색 행위에 대한 근거가 됩니다.

---

🧩 해커는 누구였는가?

  Clifford Stoll의 추적은 결국 해커의 정체를 밝혀냅니다. 그는 바로 마르쿠스 헤스(Markus Hess), 당시 서독 출신의 해커였고, KGB(소련 국가보안위원회)의 고용을 받아 미국의 군사 정보를 수집하고 있던 사이버 스파이였습니다.

헤스는 단순한 ‘개인 해커’가 아니었습니다. 그는 조직적으로 움직였고, 여러 명의 공범과 함께 미국의 수십 개 연구소, 방위 산업체, 정부기관에 침투하고 있었죠. 그들이 노렸던 것은 단순한 정보가 아니라 군사 전략, 인공지능 개발, 통신 암호화 기술 등 국가 안보에 직결되는 첨단 기술이었습니다. 실제로 이들은 ARPANET(인터넷의 전신)에도 접속을 시도하며 미국 통신망의 핵심을 노리고 있었던 것으로 알려졌습니다.

   마르쿠스 헤스는 당시 독일의 하노버에서 모뎀을 이용해 미국 시스템에 접속하고 있었으며, Clifford Stoll 은 그의 전화선까지 역추적해 독일 정부와 공조를 요청하게 됩니다. 여기서부터 사건은 본격적으로 국제적인 첩보전 양상으로 발전하게 되죠. 독일 경찰은 Clifford Stoll의 협조를 받아 해커의 거점을 급습했고, 마르쿠스 헤스는 체포됩니다.

   이 사건은 사이버 전쟁이 단순한 가상 세계의 일이 아니라 국가 안보를 뒤흔드는 현실이라는 것을 전 세계에 각인시킨 계기가 되었습니다. 또한 ‘디지털 냉전’이라는 표현이 처음 사용되기 시작한 시점이기도 하죠. 지금 우리가 보는 수많은 국가 간 해킹 전, APT 공격의 원형이라 할 수 있는 이 사건은 단순한 범죄 그 이상의 의미를 가집니다.

🛠️ Markus Hess의 해킹 방식

1. 모뎀 접속을 통한 원격 로그인
   • Hess는 당시 X.25 패킷 교환망과 전화선을 이용한 모뎀(Modem)을 사용해 독일에서 미국으로 접속했습니다.
   • 구체적으로는 Tymnet과 Datex-P 같은 공공 패킷망을 경유하여, ARPA 연구소, 국방부, 대학 연구소의 VAX/VMS 시스템에 침입했습니다.
2. 계정 정보 탈취와 패스워드 브루트포스
   • 그는 소셜 엔지니어링(Social Engineering)이나 기본 계정 비밀번호 추정을 통해 초기 계정에 접근하고,
   • 이후 슈퍼유저 권한 획득을 위해 buffer overflow, 권한상승 버그 등을 활용했습니다.
   • 당시 많은 기관이 디폴트 패스워드(admin/admin) 또는 간단한 사전 단어를 그대로 사용했기 때문에 해킹 난이도는 지금보다 상대적으로 낮았습니다.
3. Trojan 및 키로깅 기법
   • 시스템 내에 트로이 목마(Trojan)나 키로거(Keylogger)를 설치하여 사용자의 로그인 정보를 수집했습니다.
   • VMS 시스템의 경우, 로그인 프롬프트를 위장한 가짜 쉘 스크립트를 배치해 사용자의 입력값을 탈취하는 방식이었습니다.
4. 로그 삭제 및 흔적 지우기
   • 자신의 침입 흔적을 없애기 위해 로그파일을 수정하거나 삭제했습니다.
   • 다만 시스템에 남은 임시 캐시 파일, 백업 로그, 그리고 Stoll이 수집한 로그에는 이 흔적이 남아 있었고, 이는 결국 그를 추적하는 단서가 됩니다.
5. 정보 수집 및 전송
   • 해킹 대상의 문서를 수집하고, 이를 X.25 회선을 통해 독일 내 서버에 업로드한 후, KGB에 전송한 것으로 추정됩니다.
   • 수집 대상은 주로 미국 군사 전략 문서, 위성 통신 기술, 암호 프로토콜 문서 등이었습니다.

📊 해커의 실제 피해 규모는?

정확한 피해 금액은 추산하기 어렵지만, 다음 사실들을 종합하면 피해는 상당했습니다:

• Markus Hess는 수개월 동안 여러 미국 군사기관 및 대학 시스템에 침입.
• 100개 이상의 시스템에 접근했고, 이 중 상당수에서 기밀문서를 다운로드했습니다.
• CPU 사용량, 저장소 점유, 네트워크 트래픽 등도 다수 유발.
• 다만, 이 피해는 금전적 손실보다 정보 유출과 국가 안보 위협이 본질적 피해였습니다.

---

📚 Clifford Stoll의 유산: 『The Cuckoo's Egg』와 사이버 보안의 진화

   이 사건 이후, Clifford Stoll은 자신의 경험을 바탕으로 책을 집필하게 됩니다. 바로 전설적인 사이버 추적기 『The Cuckoo's Egg』입니다. 이 책은 기술적 전문성과 서사적 흥미를 모두 갖춘 작품으로, 해커 추적기를 문학 장르로 승화시킨 최초의 사례로도 평가받습니다.

『The Cuckoo’s Egg』는 해킹 역사에 남은 대표적인 저서일 뿐 아니라, 보안 전문가들 사이에서 지금도 회자되는 고전입니다. 이 책에서 Stoll은 단순한 기술 설명을 넘어서 해킹의 사회적 의미, 보안의 중요성, 개인의 책임, 정부의 대응 부족 등을 날카롭게 지적합니다. 특히 “작은 단서도 놓치지 않는 관찰력과 끈기가 얼마나 중요한가”를 보여주는 사례로 널리 인용되며, 컴퓨터 보안 교육에도 활용되고 있습니다.

   이 사건은 이후 사이버 보안 정책 수립에도 큰 영향을 끼쳤습니다. 미국 국방부와 여러 정보기관은 이 사건을 계기로 본격적인 정보 보안 부서를 강화하게 되었고, 컴퓨터 시스템 접근 통제 및 로그 분석의 중요성을 인식하게 됩니다.

흥미롭게도, Clifford Stoll은 이후 보안 업계에서 활동을 계속하지는 않았습니다. 그는 다시 천문학과 교육으로 돌아가며 강연 활동을 하거나 과학 저술 활동에 전념합니다. 하지만 그의 이름은 오늘날까지도 '최초의 디지털 전쟁을 종결시킨 민간 영웅'으로 불리며 남아 있습니다.

---

🧠 마무리: 75센트로 역사를 바꾼 천문학자

   Clifford Stoll의 이야기는 단순히 한 해커를 잡은 사건이 아닙니다. 이는 작은 오류를 무시하지 않고 끝까지 추적한 한 과학자의 집요함이 국가 안보를 지켜낸 이야기이며, 해킹과 정보 보안의 역사가 본격적으로 시작된 전환점이기도 합니다.

   그는 전통적인 수사 방식 대신, 기술과 논리, 과학적 사고를 동원해 위협을 추적했고, 이를 통해 ‘사이버 보안’이라는 새로운 분야의 중요성을 온 세상에 알렸습니다. 오늘날 우리가 사용하는 모든 보안 시스템 로그 추적, 허니팟, 네트워크 분석은 어쩌면 그의 방식에서 출발했는지도 모릅니다.