몇 년 후, 애슐리 매디슨 해킹은 해결되지 않은 인터넷의 미스터리로 남아있다.
몇 년 후, 애슐리 매디슨 해킹은 미스터리로 남아있다.
2015년 애슐리 매디슨(Ashley Madison) 사용자들의 신상정보를 유출한 해커 또는 해커들에 대해 우리가 아는 것이 얼마나 적은지 정말 이상하다. 그들은 수십만 명의 사람들에 대한 매우 민감한 데이터를 유출했으며, 명확한 이윤을 얻지 않았으며, 영어권 세계 전역에서 “애슐리 매디슨”을 조롱거리로 만들었고, 그 뒤로 사라져 버렸다.
아마도 해킹 사건을 기억할 수 있겠지만, 범인을 기억하는 것은 의심스럽다. “The Impact Team”이라는 단체였다. 그들의 체포 및 기소에 이바지하는 정보에 대한 50만 달러의 보상금이 제시되었지만, 그런 체포는 결코 이루어진 적이 없다.
애슐리 매디슨의 모회사 CEO인 노엘 비더먼은 당시 그가 누가 그 일을 저질렀는지 정확히 알고 있었다고 주장했고, 그것은 해킹이 일어나기 전에 자살로 사망한 전 직원이었다는 것으로 밝혀졌다.
당시 연구원들에 의해 발견된 가능한 범인 중 한 명은 Thadeus Zu라는 이름을 사용한 수수께끼 같은 인물이었다. 버클리 대학의 니콜라스 위버(Nicholas Weaver)라는 연구원은 Zu에 대한 상황적 증거가 충분히 설득력이 있다고 판단하여 법 집행기관에 영장을 요청하고, Zu의 소셜 미디어 계정을 해킹하여 더 많은 정보를 알아내려고 했다. 그러나 그런 일은 결국 일어나지 않았다.
하지만 해킹 사건을 처음으로 보도한 보안 연구원인 브라이언 크렙스(Brian Krebs)는 Thadeus Zu에 대한 사건을 처음으로 제기한 지금까지의 사건과 더불어, 올해 이른 시기에 동일한 수준의 관심을 끌 수 있는 인물인 에반 블룸(Evan Bloom)을 발견했다. 블룸은 2019년 해킹된 인터넷 계정 정보를 판매한 혐의로 유죄 판결을 받은 애슐리 매디슨의 전 직원이었다. 크렙스와의 인터뷰에서 블룸은 자신의 연루를 부인했다.
우리에게 무슨 일이 일어났는지 내부 이야기를 해줄 수 있는 유죄인이 없기 때문에, 애슐리 매디슨 해킹은 인터넷 역사의 도서관에서 잘못 정리된 것일까? 우리는 모두 어둠과 사악한 것에 대한 우리의 집단적인 대답으로 “LOL”을 받아들이기 위해 속은 셈인가?
해당 트윗은 삭제되었을 수 있습니다
애슐리 매디슨은 오랜 기간 동안 해커들에게 매력적인 대상이었다
기억을 되살리기 위해, 애슐리 매디슨은 (네, ‘있었다’가 아니라 ‘있다’입니다) 2001년에 설립된 유료의 데이트 웹사이트로, 이미 관계를 가지고 있는 사람들을 대상으로 하고 있으며, 사실상 이미 기혼자와 함께 사기꾼들을 연결하기 위한 것으로 소개되고 있습니다.
아마도 당신은 이 태그라인의 직설성을 기억할 수 있을 것입니다: “인생은 짧다. 불륜을 하라.” 그래서 당신이 온라인에서 함께 비밀적인 섹스를 할 상대를 찾아 그 섹스를 위한 필요한 계획을 세우고 싶어하는 상대자이면, 애슐리 매디슨은 딱 당신이 찾던 원스톱 쇼핑 서비스로 보였을 것입니다.
애슐리 매디슨은 또한 사용자들의 데이터 보안에 대한 걱정을 더 많은 수익으로 이용하고 있었다고 합니다. “풀 삭제”라는 기능은 사용자의 모든 흔적을 사이트의 내부 시스템에서 제거한다고 주장하며, 이 기능은 19달러에 이용할 수 있었으며, 회사에 수백만 달러의 수익을 가져왔습니다. ArsTechnica는 해킹 전 몇 달 동안 이러한 관행의 수상성에 대한 기사를 게재했습니다. 그러나 “The Impact Team”은 나중에 이 기능이 실제로 작동하지 않았다고 주장했으며, 사이트의 데이터베이스를 조사한 분석가들은 해커들이 옳았다는 증거를 찾아냈습니다.
월스트리트저널의 미리엄 고프리드(Miriam Gottfried)는 2015년 5월, 해킹 사건 전 약 두 달 전에, AdultFriendFinder.com에서 발생한 유사한 해킹을 고려하여 “불륜을 추구하는 부부에게 특화된 데이트 사이트인 AshleyMadison.com의 모회사는 주의를 기울여야 할 것”이라고 썼습니다. 그리고 그 very 모회사인 Avid Life Media는 어리석게도 그 봄에 공개적으로 거래되는 회사로부터 걸음을 옮기기 시작했습니다.
따라서 해킹되기 전부터 애슐리 매디슨은 큰 문제였습니다.
그리고 그것은 터졌습니다.
해킹이 노출시킨 것들
해당 사건 자체는 전설적입니다. 많은 인터넷 사용자들은 애슐리 매디슨을 이미 악명높고 애매하게 신뢰할 수 없는 웹사이트로 알고 있었지만, 이 해킹으로 인해 최소한 잠시 동안은 애슐리 매디슨은 가장 유명한 이름이 되었습니다. 결과적으로, 애슐리 매디슨은 이제 디지털 불신을 의미하는 보편적으로 이해되는 약어입니다.
많은 양의 데이터가 유출되었으며, 이는 사용자들의 이름, 이메일 주소, 거주지 주소, 생년월일을 포함한 대규모 데이터베이스였습니다.
그렇다면 이러한 유출된 사용자들은 모두 불륜자였을까요? 아마도 많은 경우에는 성공적인 불륜자는 아니었을 것입니다. 편리성과 신뢰성 측면에서, 이 사이트는 아마존 프라임과 유사한 불륜을 위한 서비스로 약속한 것을 실현하지 못했습니다.
임팩트 팀은 나중에 여성 프로필의 90-95 퍼센트가 가짜라고 주장했습니다. 이는 거의 확실히 과장이었지만, 사이트의 구조를 조사한 결과 애쉬리 매디슨이 실제로 여성 사용자 대신 챗봇을 통해 많은 남성 사용자를 연결하고 있으며 고독한 여성 사용자를 달래는 동등한 규모의 시스템이 없었다는 사실이 곧 분명해졌습니다.
명확히 말하자면, 실제로 여성 사용자들은 있었고, 해킹 이후에는 그들 중 일부가 자신들의 성적 모험에 대해 글을 쓰기도 했지만, 애쉬리 매디슨 내에서 성 비대칭은 분명 알려진 문제였습니다.
생명을 파괴한 ‘해킹티비즘’ 행위
2015년 7월 초에 해킹이 의심되었고, 그 후에 조사가 진행되었으며, 최종적으로 보안 연구원인 브라이언 크레브스가 7월 15일에 알려지지 않은 해커 포럼의 게시물을 보고 신고했습니다. 정보의 초기 공개에는 “AM과 EM은 즉시 영구적으로 종료되어야 한다”라는 제목의 선언문이 포함되어 있었습니다. AM은 애쉬리 매디슨을, EM은 Avid Life Media가 소유한 다른 데이트 사이트인 Established Men을 의미합니다. 이 사이트는 어린 여자와 연장자 사이의 연령 차이가 있는 관계를 위한 것입니다.
뉴스는 텔레비전에서 보여줄 늦은 밤의 명백한 토크쇼였고, 텔레비전 인물들은 이를 전달했습니다:
제임스 코든의 스탠드업 루틴 중에서는 해킹에 관한 것이 그다지 이상하지 않았습니다. 그는 우리에게 절망에 빠진, 죄책감에 시달리는 남편이 벗어나려고 몸부림치는 모습을 상상하도록 요청하며, 해킹을 아무렇지도 않은 것처럼 대충 넘기는 것 같았습니다. 사실, 사건 이후에 집중적으로 보도된 내용에서는 코든이 그 시기에 수많은 문제가 있는 부부에서의 현실을 그저 묘사한 것임이 분명합니다.
하지만 임팩트 팀의 선언문은 결코 부정적인 의견을 표현하지 않았으며, 사실 그 시간을 들여 읽는다면 혼란스러울 정도로 이상한 내용이었습니다.
저자는 Avid Life Media의 CTO인 트레버에게 이름으로 말하며 “어서 오세요, 최악의 악몽이”라고 말하고, 임팩트 팀의 놀라운 해킹 능력에 대해 자랑합니다. 그들의 실제 불만은 회사 자체에 대한 것이었으며, “ALM 경영은 헛소리이며 완전히 사기를 저질렀습니다”라고 지적합니다.
그런 다음 선언문은 전체 삭제 기능이 부정직하고 기능하지 않는다는 주장을 하며, 회사가 사용자 수백만명으로부터 사기와 극도의 개인 및 전문적인 피해를 입게 될 것이라고 언급합니다. 이는 바로 부정행위자들의 동정심에 호소하는 것 같습니다. 그러나 추가적으로 개인 정보를 두 명의 사용자에 대해 공개하기도 합니다 (ENBLE은 링크를 걸지 않을 것이기 때문에).
“만약 당신이 다른 사람들의 고통에서 이익을 얻는다면, 어떤 방법이든 우리는 완전히 당신을 소유할 것입니다”라고 선언문은 말합니다. 이후 몇 달 동안, 이 해킹은 해킹티비즘의 사례 연구로 활용되었습니다. 예를 들어, 포브스는 애쉬리 매디슨이 “아마도 미국 사회에서 반칙 (불륜)에 대한 공개적인 접근을 취하고, 마케팅 전략의 일부로 논란을 유발했을 것이다”라고 표현하며 이를 해킹티비즘으로 규정했습니다. 그러나 그들의 선언문이나 그들의 유일한 언론 출연인 Vice와의 인터뷰에서, 불성실한 행위로 인한 사기, 부실한 사이트 관리 및 보안 등을 제기하는 것 외에는 해킹의 실질적 동기가 무엇인지에 대한 증거는 전혀 없었습니다. “Avid Life Media는 중독자를 학대하는 마약상과 같다”고 Vice의 조셉 콕스에게 말했습니다.
논리적으로 보면, 그것은 결함이 있는 폭탄을 만들기 위해 무기 공장에 침입하여 회사를 처벌하고, 모든 폭탄을 훔쳐서 펜타곤에 떨어뜨린 것과 같았습니다. 인간적인 대가나 공격자들의 명시적 동기에 상관없이, 일부 펜타곤 반대자들은 분명히 박수를 보낼 것이고, 그 중 일부는 그 이유에 대해 궁금해하지 않을지도 모릅니다.
대중 반응은 피해자들에게 동정심이 없었습니다
해킹 이후 유출된 정보는 수백만 명의 굴욕스러운 배우자들을 그들이 배신한 가족들과 실망시킨 사회적 관계에 대한 분노로 노출시켰습니다. 데이터 덤프의 도덕적 모호성에 대한 많은 의문이 있었음에도 불구하고, 일부 코멘터들은 그들의 가장 잔인한 언어적 비난을 표출하는 기회를 얻었습니다.
데이터 노출 이후 The Observer에 글을 쓴 코멘테이터 바바라 엘렌은 이러한 부정행위자들을 “어리석음”의 죄로 판결 지었고, 불쌍함을 받을 자격이 없다고 선언했습니다. 그녀는 전통적 도덕을 주장하고 있는 것으로 생각될 수도 있지만, 사실 엘렌은 애쉬리 매디슨 사용자들이 “바람둥이, 인색하거나 무릎을 탁탁 치고 성노동자를 고용하지 않는다”고 말합니다. 다시 말해, 이러한 부정행위자들은 예외적으로 천하태평하며 그들이 받은 모든 것을 받을만큼 비열하다고 여겨졌습니다.
엘렌과 같은 미디어 인물들은 해커 그룹을 영웅적인 존재로 부르지는 않았지만, 많은 인터넷 사용자들은 그렇게 생각했습니다.
범죄는 어떤 사람들에게는 영웅적으로 보이기도 하고, 어떤 사람들에게는 시대를 좌우하는 일로 여겨졌으나, 애슐리 매디슨 사용자들에게는 파괴적인 영향을 끼쳤습니다. 적어도 한 명은 자살했으며, 아마 두 명일지도 모릅니다.
하지만 어쨌든, 이 해킹은 규범과 온라인 행동에는 영구적인 영향을 미치지 않은 것으로 보입니다. 아니면 모든 것을 더 악화시켰을지도 모릅니다.
해커들을 영웅적으로 여기는 사람들은 그들을 드러내고 법적 처벌을 받게 하는 데에는 서두르지 않을 것입니다. 그런데 점점 그런 직감이 틀렸다는 것이 점점 확실해지고 있습니다.
Impact Team의 진짜 동기는 무엇이었을까요?
나는 가능한 동기에 대해 사이버 범죄 전문가들에게 더 알아보기 위해 연락했지만, 아무도 추측하고 싶지 않았습니다. 예를 들어, 캔자스 주립 대학교의 사이버 범죄 연구원인 케빈 스타인메츠는 이 혼란스러운 사건에 대해 내게 이야기해 주기를 주저했습니다. 스타인메츠는 몇 가지 세부사항이 “해커티비스트로서 나타나지 않는 것”으로 보인다고 말했습니다.
그들의 혼란스럽고 상반된 해커티비즘이 진짜 동기가 아니라면, 또 다른 명백한 가능성은 돈입니다. 그러나 이 해커들이 돈을 원한다고 하더라도, 초기 해킹 후 1개월 정도 지나자 소중한 개인 정보를 누구나에게 제공하여 이익 기회를 날렸습니다. 그들은 어두운 웹에서 이 데이터를 비트토렌트를 통해 모두에게 제공했습니다. (눈치채야 할 점은 해킹에 관여하지 않았다고 주장한 블룸은 대규모 데이터 판매 작업의 일환으로 유출된 애슐리 매디슨 데이터를 판매했습니다). Impact Team은 동반 성명에서 정보가 유출된 사람들에게 동정을 표하면서도 “그 남자들에게는 안됐구나”라고 말했지만, 이번에는 처음으로 그들에 대해 판단적인 언어를 사용하여 “그들은 속이고 있는 더러운 놈들이고 그런 사람들에게는 그런 동정을 보여줄 가치가 없다”라고 말했습니다.
이 유출 데이터를 사용하여 적어도 2020년까지 이어진 일련의 협박 사건이 발생했지만, Impact Team이 직접 어떤 협박 행위를 한 것으로는 증거가 없습니다.
역사 전반에 걸쳐 해커들에 대해 일반적으로 이야기할 때, 스타인메츠는 “‘lulz’를 위해 그런 짓을 하는 사람들이 있었습니다”라고 빠르게 언급했습니다. 이는 흔히 미소를 짓고 희롱의 목적으로 파괴를 일으키는 것을 의미합니다. 그러나 그는 “진정한 정치적 동기가 재미와 킥을 추구하는 것과 동시에 공존할 수 없는 이유는 없다”고 덧붙였습니다.
스타인메츠는 도움이 되는 병렬 사례로 ‘해킹티비즘’이라는 용어를 유명하게 만든 Cult of the Dead Cow라는 그룹을 가리켰습니다. 이 그룹은 마침내 전 직원인 베토 오루크가 갑자기 주목받기 시작한 2019년에 한 때 뉴스에 등장했습니다. Cult of the Dead Cow는 마이크로소프트의 Windows 98의 보안 결함을 공개하기 위해 소프트웨어를 공개하고, 시스템을 원격으로 제어할 수 있는 기능을 제공했습니다. 추가적으로, 이들은 이 소프트웨어를 미디어 효과를 더하기 위해 해부학적 이름 “Back Orifice”라고 명명했습니다.
“Back Orifice는 다운로드 하는 데 시간을 투자하는 모든 사람에게 제공될 것입니다,” Cult의 홍보 성명은 말합니다. “그렇다면 마이크로소프트의 보안에 대해 많은 주의를 기울인 사람들에게는 어떤 의미가 있을까요?” 마이크로소프트는 주목을 받았음에도 불구하고 이를 무시했고, Back Orifice는 사용자들에게 제공되었습니다. 그들이 겨냥한 기업은 대응하지 않았으므로 그들은 그들의 위협을 실현시켰고, 이는 모든 Windows 98 사용자들을 위험에 빠뜨릴 수 있었습니다. 애슐리 매디슨 침해 사건에서는 이 사건의 메아리가 들릴 수 있습니다.
해커들은 해킹을 할 것입니다. 사실, 이보다 더 복잡한 이유는 없을지도 모릅니다.
Ashley Madison은 극단주의의 번개 막대기입니다
해킹 사건을 처음으로 블로그에서 보도하고 이후로 끊임없이 보도해온 크렙스는 Ashley Madison의 이야기가 이렇게 무심하게 끝나지 않도록 만족하지 않았으며, 작년에는 Impact Team의 동기에 대한 단서를 찾기 위해 인터넷의 가장 암울한 부분을 살펴보았습니다.
그는 단정적인 것은 찾지 못했지만, 크렙스는 도덕적인 해킹으로 칭송하는 사람들에게는 불쾌한 맛을 남길만한 것들을 발견했습니다.
트윗이 삭제된 것일 수 있습니다
크렙스는 Flashpoint라는 사이버 범죄와 극단주의 연구 도구를 사용하여, 2015년 인터넷 반유대주의자들 사이에서 애슐리 매디슨에 대한 게시물을 발견했습니다. 이들 게시물은 사이버 범죄 측면보다는 극단주의 측면에서 발견되었습니다.
구체적으로, 애슐리 매디슨을 “유대인 소유의 간통을 유도하는 데이팅 웹사이트”라고 부르는 게시물들과 유명한 신 나치 앤드류 앵글린이 Biderman을 “간통의 유대인 왕”이라고 부르는 글들이 해킹 사건 전에 게시되었습니다.
Biderman는 2015년 유출 사태로 인해 사임하였다. 그러나 Biderman 없이도 사이트는 계속 운영되고, 사이트가 호의적으로 검토된 Chicago Reader 웹사이트의 홍보 게시물은 Ashley Madison에 대한 정보를 검색할 때 구글 상위 결과 중 하나이다. 그 검토의 게시일은 정기적으로 변경되어 최근 것처럼 보이게 한다.
그러나 요즘 날에 Ashley Madison을 사용하는 것은 아마 이전과 마찬가지로 현명하지 않을 것이다. 그 이유는 당연한 도덕적인 이유뿐만 아니라, 그 악명 때문에 협박 계획의 매력이 되고 있는 것 같다. 한 Reddit 사용자는 작년에 Ashley Madison 대화 중 다른 상대방에게 전화번호를 알려주자 상황이 변했다고 주장한다. 곧 그들은 “내 Facebook, 내 아내의 Facebook 및 몇몇 다른 친척들의 스크린샷을 받았으며, 내가 그들에게 3000달러의 Nordstrom 상품권을 보내지 않으면 내가 무엇을 하고 있는지 모두 알게 될 것이라고” 말한다.
몇 달 후에, 같은 Reddit 사용자는 3000달러를 지불하지 않았지만 정보가 노출된 적도 없다고 보고했다. 협박자는 Impact Team의 일원이 아닌 것 같다, 왜냐하면 과거의 증거들은 그들이 빈협박은 하지 않는다는 것을 시사한다.
