뉴욕타임스 베스트셀러,
<파이낸셜타임스>와 맥킨지가 공동 주관하는 2021년 '올해의 비즈니스 책' 선정!
조승연 작가 추천의 바로 그 책 『This Is How They Tell Me World Ends』
알려지지 않은 소프트웨어의 보안 취약점을 가리키는 '제로데이(zero day)'는 그를 이용해 국가의 기간 시설과 핵심 시스템에 침투할 수 있게 해주는 가공할 무기라는 점에서 사이버 세계의 '블러드 다이아몬드'로 불린다. 이 책은 지난 수십 년간 그늘에 숨어 있던 제로데이 거래의 암시장을 끈질기게 추적하고, 주요 관계자들의 입을 통해 왜 제로데이가 그토록 위험한지, 최악의 경우 인류의 종말을 불러올 수도 있는지 명징하게 설명한다.

“아마도 올해의 가장 중요한 책일 것이다. 지하 세계의 사이버 군비 경쟁 양상을 정밀하고 명석하며 생생한 문체로 묘사한 펄로스의 충격적인 르포는 필독할 가치가 있다.”
— 북리스트(Booklist) 추천 리뷰

“흥미진진한 책이다. 펄로스가 펼치는 논지의 바탕에는 항상 윤리 의식이 자리잡고 있다. 여기에 등장한 대부분의 사람은 무엇이 옳은 행동인지 고민하지 않는다. 그들의 목표는 단기적이거나 이기적이거나 혹은 모두에 속한다. 해커와 버그 판매상과 스파이들의 이야기를 놀라운 흡입력으로 다루면서 독자도 함께 심층적인 문제에 생각할 수 있게 만드는 놀라운 책이다.”
— 스티븐 M. 벨로빈(Steven M. Bellovin), 컬럼비아대학교 컴퓨터과학과 교수

“제로데이를 사고파는 어두운 지하 세계는 수십 년 동안 그늘에 가려 있었다. 그 성격과 위험성을 고려하면 이 치명적 사안을 밝히고 싶어하는 사람은 거의 아무도 없었다. 펄로스는 제로데이 시장의 기원을 끈질기게 추적하는 것은 물론, 시장의 당사자들을 설득해 이야기를 듣고 왜 이 사안이 중요한지 명쾌하게 설명한다.”
— 킴 제터(Kim Zetter), 『Countdown to Zero Day』 저자

“니콜 펄로스는 당신이 좋아하는 동네 술집에서 맥주를 마시듯 고도로 기술적이고 매혹적인 이야기를 흥미진진하게 들려준다.”
— 니나 얀코비츠(Nina Jankowicz), 『How to Lose the Information War』 저자

“디지털 분야의 종사해온 저자가 들려주는 흥미진진한 이야기다. 1과 0의 디지털 정보를 사용해 우리를 보호하거나 우리를 위협하며 이익을 창출하는 정부 후원 엘리트들의 은밀한 활동을 더없이 흥미롭게 조명한다.”
— 글렌 크레이먼(Glenn Kramon), 전 「뉴욕타임스」 수석 편집자

“스릴러처럼 읽히는 책이다. 우리를 더 안전하게 하기 위한 의도였으나 도리어 우리를 3차 세계대전의 벼랑으로 몰아가는 음험한 고수익 산업의 내면을 날카롭게 파헤친다.”
— 존 마코프(John Markoff), 전 「뉴욕타임스」 사이버 보안 전문 기자

“인터넷을 장악하기 위한 투쟁의 배후에 도사린 미친 인물들과 기묘한 이야기가 소용돌이처럼 전개된다. 여기에 나온 내용이 모두 사실이 아니라고 해도 믿기 어려울 만큼 극적이고 놀랍다.”
— 알렉스 스테이모스(Alex Stamos), 스탠퍼드대학교 인터넷 관측소 소장, 전 페이스북과 야후의 보안 책임자.

“현대 민주주의의 아킬레스건인 허위 정보와 해킹 및 소프트웨어 취약성의 냉혹한 현실을 그대로 보여준다. 이 분야에서 과학자이자 공학자로 일하고 있는 내게 이 책은 마치 공포소설과도 같다. 모두가 꼭 읽어보길 바란다.”
— 게리 맥그로우(Gary McGrow) 박사, 베리빌 머신러닝 연구소 설립자 겸 『Software Security』저자

“보통 이런 책은 영화 각본이나 소설과 같다는 말로 칭찬받곤 한다. 니콜 펄로스의 책은 그보다 더 낫다. 기술적 문제와 인간의 행태에 대한 펄로스의 민감성이 이 책의 메시지를 진정성 있게 만든다. 그래서 우리의 프라이버시, 경제 및 어쩌면 우리의 삶을 위협하는 사이버 보안의 문제를 짚는 펄로스의 메시지는 더더욱 무섭게 다가온다.”
— 스티븐 레비(Steven Levy), 『해커, 광기의 랩소디』와 『메타 페이스북』의 저자

“반드시 이 책의 한 글자도 빼놓지 말고 읽어 보길 추천한다.”
— 톰 피터스(Tom Peters), 『초우량 기업의 조건』 저자

“스파이 활동과 사이버 전투로 얼룩진 펄로스의 르포는 마치 당대 상황을 무대로 한 존 르 카레(John Le Carre)의 소설처럼 흥미진진해서 당신의 잠을 빼앗을 것이다.”
— 닉 빌튼(Nick Bilton), 「배너티 페어」 기자, 『American Kingpin』 저자

“인터넷의 가장 어두운 구석에 대한 놀랍고 새로운 역사”
— 개럿 M. 그라프(Garrett M. Graff), 「와이어드」 기자이자 『The Only Plane in the Sky』 저자

이 책은 7년여에 걸쳐 3백 명이 넘는 사람들을 만나 인터뷰한 결과물이다. 이들은 사이버 무기의 거대한 암시장에 참여했거나 이를 추적했거나 그에 직접 영향을 받은 당사자들로 해커, 활동가, 반체제 인사, 학계 인사, 컴퓨터 과학자, 미국 및 해외 정부 관료들, 법의학 포렌식 수사관 및 용병 등 다양한 직업군에 걸쳐 있다.
많은 이는 몇 시간씩, 심지어 며칠씩 할애해 이 책에 소개된 여러 사건과 대화의 상세한 내용에 대해 이야기를 나눴다. 나는 증거가 될 만한 자료를 요청했고 계약서, 이메일, 메시지 혹은 기타 디지털 흔적 등 다양한 형태의 자료를 얻을 수 있었다. 많은 이들이 기밀 유지협약에 묶여 있었기 때문에 가능한 사건에 대한 정보를 입증하는 데 음성 녹음이나 일정표 및 메모를 사용했다.
인터뷰에 응한 많은 이는 사안의 민감성 때문에 익명을 요구했다. 그중 두 사람은 가명을 쓰는 조건으로 인터뷰를 승낙했다. 이들의 주장의 사실 여부는 가능한 한 다른 사람들의 설명과 비교해 확인했다.
한 가지 주의할 것은 이 책에 언급된 사람들이 해당 사건이나 대화의 취재원일 것이라고 단정해서는 안 된다는 점이다. 당사자로부터 해당 내용을 직접 들은 경우도 있지만 목격자나 제3자 혹은 이미 기록된 문서를 정리한 경우도 많다.
또 하나 중요한 점은 해커나 거래 주체 그리고 정부 관계자들은 기밀 유지를 최우선으로 삼기 때문에 특히 사이버 무기의 은밀한 거래 내용이 공식 문서로 기록된 경우는 매우 드물다는 점이다. 때문에 많은 이야기의 사실 여부를 확인하기 어려웠고, 내용에서 제외할 수밖에 없었다.
진실을 밝히기 위해 나름 최선을 다했지만 지금도 여전히 사이버 무기 거래는 두터운 베일에 싸여 있다. 그래서 이 책의 모든 내용이 정확하다고 주장하기는 어렵다. 어떤 내용이 잘못됐든 그 책임은 내 몫이다.
모쪼록 이 작업이 기밀과 은폐의 장막에 싸인 사이버 무기 시장의 실체를 부족하나마 조명해 더 많은 사람이 주목하기를, 그래서 긴요한 사회적담론으로 발전하기를 기대한다. ‘사물인터넷’이라는 디지털 쓰나미가 우리 사회를 돌이킬 수 없는 나락으로 빠뜨리기 전에 말이다.

니콜 펄로스(Nicole Perlroth)

니콜 펄로스는 「뉴욕타임스」 기자로 10년간 사이버 보안, 디지털 스파이 활동 분야를 담당했다. 심층 취재를 통해 미국의 원자력 발전소와 전력망, 석유화학 공장에 대한 러시아 해커들의 침투 사실을 밝혀내는가 하면 소니 영화사와 은행, 병원에 대한 북한의 사이버 공격, 석유 회사와 은행 및 주요 인프라에 대한 이란 해커들의 공격 사실을 보도했다. 중국 인민해방군 산하의 해킹 부서를 폭로해 미 법무부가 군 해커들을 기소하도록 만들었으며, 해당 보도는 미국 비즈니스 편집자와 작가협회(Society of American Business Editors and Writers)로부터 ‘최고 비즈니스 상(Best in Business Award)’을 받았다. ‘멕시코가 상업용 스파이웨어를 사용해 자국민을 감시한다’는 탐사 보도는 퓰리처상 후보에도 올랐다.
다양한 매체에 원고를 기고하거나 인터뷰하면서 사이버 보안 전문가로 적극 활동하고 있으며, 미 국무부, 세계은행, 뮌헨 보안 콘퍼런스, RSA, 외교관계위원회 등 여러 기관과 보안 관련 이벤트에서 연사로 활약했다. 스탠퍼드대학교, 프린스턴대학교, 컬럼비아대학교, 코넬대학교, 하버드대학교 케네디 스쿨 등 여러 교육 기관에서도 강연한다.
「뉴욕타임스」에 입사하기 전에는 경제 전문지인 「포브스」의 부편집자, IT 전문 컨설팅 회사인 가트너 산하 기업경영진위원회(Corporate Executive Board)의 분석가로도 일했다. 프린스턴대학교에서 학사, 스탠퍼드대학교에서 석사 학위를 받았다.

지난 2월말 벌어진 러시아의 우크라이나 침공은 비단 물리적 환경에만 국한된 것은 아니었다. 아니, 그보다 앞서 사이버 환경에서 먼저 벌어졌다. 러시아의 사이버 군대는 우크라이나의 주요 기간 시설에 대한 전방위적 해킹을 시도했다. 우크라이나도 그에 맞서 러시아의 기간 시설에 대한 사이버 공격을 감행했다. 즉, 사이버 공방전은 실제 물리적 전쟁의 전조였던 셈이다. 뉴스에는 자주 언급되지 않지만 양국의 사이버 전쟁은 물리적 전쟁 못지않게 치열하다. 전쟁이 두 달째에 접어든 지난 4월 초, 우크라이나의 컴퓨터 긴급대응 팀(CERT-UA)과 슬로바키아의 사이버보안 회사인 ESET는 러시아의 샌드웜 해커 그룹이 인더스트로이어(Industroyer), 혹은 크래시 오버라이드(Crash Override)로 알려진 멀웨어의 한 변종을 사용해 우크라이나의 주요 고압 변전소들을 마비시키려 시도했다고 폭로했다. 러시아의 군사정보국(GRU) 산하 74455 부대로 알려진 샌드웜 해커들은 2015년과 2016년 우크라이나의 전력망을 해킹해 사상 초유의 피해를 입혔고, 그 내용은 이 책에 잘 묘사돼 있다. 러시아의 침공과 병행한 이번 공격은 전력 공급을 조절하는 변전소 장비들을 무력화하기 위한 것으로, 최악의 경우 2백만 가구 이상의 전력을 끊는 치명적 피해로 이어질 수 있었다.
그러나 우크라이나 측은, 이번 샌드웜 그룹의 공격을 성공적으로 저지했다고 밝혔다. 재난적 피해를 입은 2015년과 2016년의 뼈아픈 경험이 우크라이나의 사이버 전력을 한껏 강화하는 ‘쓴 약’ 구실을 한 것으로 보인다. 더욱이 러시아의 침공을 계기로 우크라이나는 전세계 해커들의 지원도 받고 있다. 「가디언」과 「와이어드」를 비롯한 여러 매체에 따르면 러시아는 우크라이나 침공 이후 사상 초유의 규모로 집중 해킹 공격을 받고 있다. 우크라이나의 자원봉사자들과 전세계의 화이트햇 해커들로 구성된 ‘IT 군대’가, 우크라이나 정부가 매일 오전 5시(현지 시간), 비밀 메신저 프로그램인 텔레그램을 통해 러시아측 해킹 표적을 전달받으면 해킹 공격에 돌입하는 것이다.

김상현

캐나다에서 정보공개 및 프라이버시 전문가로 일하고 있다. 토론토대학교, 앨버타대학교, 요크대학교에서 개인정보 보호와 프라이버시, 사이버 보안을 공부했다. 캐나다 온타리오주 정부와 앨버타주 정부, 브리티시 컬럼비아(BC)주의 의료서비스 기관 등에서 정보 공개 담당관, 개인정보보호 책임자, 프라이버시 관리자 등으로 일했다. 지금은 밴쿠버 아일랜드의 수도권청(Capital Regional District)에서 정보공개 및 개인정보보호를 담당하고 있다. 저서로 『유럽연합의 개인정보보호법, GDPR』(커뮤니케이션북스, 2018), 『디지털 프라이버시』(커뮤니케이션북스, 2018), 『인터넷의 거품을 걷어라』(미래 M&B, 2000)가 있고, 번역서로는 에이콘출판사에서 출간한 『프라이버시 중심 디자인은 어떻게 하는가』(2021),『마크 저커버그의 배신』(2020), 『에브리데이 크립토그래피 2/e』(2019), 『보이지 않게, 아무도 몰래, 흔적도 없이』(2017), 『보안의 미학 Beautiful Security』(2015), 『똑똑한 정보 밥상 Information Diet』(2012), 『불편한 인터넷』(2012), 『디지털 휴머니즘』(2011) 등이 있다.