사상 최악의 사이버 테러를 막아낸 20대 해커 | 지큐 코리아 (GQ Korea)

사상 최악의 사이버 테러를 막아낸 20대 해커

2020-07-20T11:42:37+00:00 |culture|

사상 최악의 사이버 테러를 홀로 막아낸 20대 청년이 FBI에 체포됐다. 영화 같은 사건의 전말과 그 중심에 섰던 해커의 최초 증언.

2017년 8월의 조용한 아침. 스물세 살의 마커스 허친스는 에어비앤비를 통해 빌린 라스베이거스의 저택 현관문을 열고 나왔다. 배달원이 가져온 빅맥을 받기 위해서였다. 그는 이곳에서 열흘 동안 파티를 벌였다. 햄버거를 받던 그의 눈에 검은 SUV가 들어왔다. FBI에서 운용할 듯한 외형이었다. 수면 부족과 네바다주에서 합법인 대마초를 피워댄 탓에 여전히 정신이 몽롱한 가운데, ‘결국 다 끝난 건가’라는 생각이 스쳤다.

하지만 이내 FBI가 뻔한 전술을 펼 리가 없다는 생각이 들었다. 그는 다시 집 안으로 들어가 침실로 향했다. 검은 SUV에 대한 생각은 완전히 지우고 햄버거를 먹으며 마지막 대마초를 피웠다. 식사 후엔 곧장 짐을 쌌다. 일등석을 타고 영국으로 돌아갈 예정이었다. 허친스는 세계 최대 규모의 해커 컨퍼런스인 데프콘 Defcon에서 영웅으로 대접받으며 한 주를 보냈다. 기진맥진한 상태였다. 불과 3개월 전, 그는 역사상 최악의 사이버 테러로 꼽히는 워너크라이 Wannacry라는 멀웨어 공격으로부터 인터넷을 지켜냈다. 자가 증식을 거듭하는 워너크라이가 수천 수만 대의 컴퓨터를 침공해 데이터를 파괴하는 와중에 코드 안에 감춰진 킬 스위치를 찾아 작동시킨 인물이 바로 허친스였다.

화이트햇 Whitehat 해킹 분야에서 전설적인 위업을 달성한 허친스는 데프콘 참여자 사이에서 A급 스타 이상의 존재였다. 라스베이거스에서 열린 VIP 파티에 초대받았고, 기자들로부터 저녁 식사를 대접받았다. 함께 사진을 찍고 싶어 하는 팬들이 그를 따라다녔다. 누구나 빠져들 법한 매력적인 스토리다. 내성적인 20대 청년이 키보드 하나로 디지털 세상의 존망을 위협하는 괴수를 홀로 물리친 영웅담. 쏟아지는 찬사로부터 아직 벗어나지 못한 허친스가 FBI에 대한 걱정을 붙잡고 있을 틈은 없었다. 그는 우버에 올라타 공항으로 향했다. 훗날 공개된 재판 기록에 따르면 검은 SUV는 허친스를 내내 따라다녔다고 한다. 그의 위치 또한 계속 추적당하고 있었다.

공항에서 보안 검색을 받는 동안 허친스는 교통보안청(TSA) 직원으로부터 백팩에 든 랩톱을 굳이 꺼내지 않아도 된다는 말을 들었다. 보안 요원들이 자기를 신속하게 보내기 위해 특별히 애쓴다는 느낌이 들었다고 한다. 검색대를 통과한 허친스는 느긋하게 공항 라운지를 거닐다 콜라를 들고 의자에 앉았다. 영국으로 돌아가는 비행 편이 몇 시간이나 남아 트위터를 하며 시간을 보냈다.

스마트폰을 붙들고 있던 중 허친스는 남자 세 명이 자신에게 접근하고 있다는 사실을 알아챘다.

붉은 머리에 건장한 체구의 남자가 제복 차림의 세관 요원 둘을 대동하고 허친스 앞에 나타났다. “마커스 허친스 씨 맞나요?” 붉은 머리의 남자는 담담한 목소리로 허친스에게 동행을 요구하더니 일반인의 접근이 제한되는 계단으로 연행했다. 허친스의 손목에 수갑이 채워졌다. 그는 자신이 지금껏 저지른 위법 행위 중 세관의 관심을 끌 만한 게 있었는지 정신없이 복기했다. 그러나 ‘그것’일 리는 없다고, 그 해묵은 범죄는 아닐 거라고 스스로를 안심시켰다. 허친스는 취조실에 혼자 남겨졌다. 잠시 후 붉은 머리의 남자가 키가 작은 금발 여자와 함께 돌아왔다. 둘은 신분증을 내보였다. FBI였다.

그 후 몇 분간 FBI 요원들은 허친스의 학력이나 그가 재직 중인 보안업체 크립토스 로직에 대한 질문을 던졌다. 처음엔 워너크라이를 물리친 방법을 자세히 알아내고, 자신의 협조를 구하기 위해 조금 과격한 방식을 사용하는 게 아닐까 하는 안일한 믿음을 가졌다. 그러나 심문을 시작한 지 11분째, 요원들은 크로노스 Kronos라는 프로그램에 대해 알고 있는지 물었다. “이름은 들어봤어요”라고 대답했지만, 이내 오금이 저려왔다. 집으로 돌아갈 수 없겠다는 불길한 예감이 엄습했다.

추락

14년 전, 마커스 허친스가 영웅도 악당도 아니던 시절, 그의 부모 자넷과 데스몬드는 영국 서부 해안에서 불과 몇 분 거리인 데본에 정착했다. 스코틀랜드 출신의 자넷은 간호사로 일했다. 자메이카에서 온 데스몬드는 소방관이었다. 원래 런던에서 50킬로미터 정도 떨어진 도시에 살았지만, 아홉 살 난 아들 마커스와 그의 남동생이 순수하게 자랄 수 있는 환경을 찾아 데본으로 넘어왔다. 허친스는 밝은 아이였다. 또래에 비해 키가 컸고 여느 영국인처럼 축구에 열광하지도 않았다. 오히려 차가운 바다로 나가 서핑을 하며 시간을 보냈다. 학교에서 몇 안 되는 혼혈 학생이었으며, 곱슬머리는 잘 자르지도 않아 언제나 부스스했다. 허친스가 또래 아이들과 확연히 구별되는 점은 컴퓨터를 다루는 능력이었다. 선천적으로 컴퓨터에 이끌렸다. 여섯 살 때부터 엄마가 데스크톱 컴퓨터로 윈도우 95를 사용하는 모습을 지켜보곤 했다. 가족이 데본으로 집을 옮겼을 무렵엔 HTML에 관심을 갖기 시작했다. 얼마 지나지 않아 그에게 프로그래밍이란 “원하는 무엇이든 만들 수 있는 세상”이 됐다.

문서편집기 따위를 가르치는 컴퓨터 수업은 절망스러울 정도로 지루했다. 학교 컴퓨터는 ‘콜 오브 듀티’처럼 그가 원하는 게임 설치가 차단됐다. 방문할 수 있는 웹사이트에도 제한이 있었다. 하지만 허친스는 프로그래밍을 통해 제약에서 벗어날 수 있다는 사실을 알았다. 스크립트 작성 기능을 이용하면 원하는 코드를 무엇이든 실행하고, 비승인 소프트웨어마저 설치가 가능했다. 허친스는 프록시를 설치해 웹 트래픽을 먼 곳의 서버로 보내며 학교 측의 감시와 차단으로부터 벗어났다.

열세 번째 생일, 집에서 공용으로 사용하는 컴퓨터를 두고 벌인 수년간의 다툼 끝에 부모님은 아들에게 컴퓨터를 사주기로 했다. 정확히는 컴퓨터가 아니라 아들이 직접 조립할 수 있도록 원하는 부품을 하나하나 사줬다. 얼마 지나지 않아 허친스는 컴퓨터와 완전무결한 사랑에 빠졌다. 동시에 어릴 때부터 즐기던 서핑 역시 계속했고, 인명 구조술로 경쟁하는 스포츠 ‘서프 라이프 세이빙’도 시작했다. 얼마 지나지 않아 전국 대회에서 메달도 몇 개 딸 정도로 실력이 성장했지만, 허친스는 바다보단 컴퓨터 앞에서 더 많은 시간을 보냈다. 그의 어머니는 아들의 컴퓨터 집착을 염려했다. 보다 구체적으로는 인터넷의 어둡고 위험한 부분이 부정적인 영향을 미치지 않을까 걱정했다고 한다. 그때까지만 해도 아들이 시골에 사는 순진한 청소년으로밖에 보이지 않았다. 그녀는 컴퓨터에 자녀 보호 프로그램을 설치했다. 그러자 아들은 컴퓨터 부팅 단계에서 간단한 방법으로 관리자 권한을 획득한 후 감시 프로그램을 종료하는 식으로 대응했다. 자넷이 집에서 사용하는 라우터를 조작해 인터넷 접속을 통제하려 하자 이번에는 라우터의 하드웨어를 리셋하는 방법을 알아냈다. 조작된 라우터를 초기화시켜버린 후 오히려 엄마의 인터넷 접속을 차단하며 반항했다. 어머니는 인터넷 서비스 자체를 끊어버리겠다며 엄포를 놓았다. 결국 서로 한 발씩 양보해 휴전을 맺었다. “제 컴퓨터의 인터넷을 복구해주는 대신 아들의 컴퓨터 사용을 다른 방식으로 감시하기로 했어요. 하지만 사실상 불가능했어요. 우리 중 누구도 따라잡지 못할 정도로 똑똑했으니까요.”

컴퓨터를 갖게 된 지 1년도 지나지 않아 허친스는 초보적인 수준의 해킹 관련 인터넷 포럼을 드나들었다. 당시 널리 사용되던 ‘MSN 메신저’를 공격하기 위해 결성된 포럼이었다. 자신과 비슷한 생각을 가진 어린 해커들이 모여 각자 실력을 뽐내는 공동체였다. 회원 중 하나는 JPEG 파일로 가장한 MSN 웜을 만들었다며 자랑했다. 파일을 열면 메신저에 등록된 모든 계정으로 멀웨어가 전송되며, 파일을 전송 받은 사람이 미끼를 물고 사진을 열면 다시 한번 동일한 메신저로 전파되는 프로그램이었다. 허친스는 그들의 목적을 이해할 수 없었다. 사이버 범죄를 일으킬 목적으로 만들었는지, 단순한 장난인지 알 수 없었지만 강한 인상을 받았다. “우와, 프로그래밍이 이런 일도 할 수 있구나. 나도 하고 싶다는 생각이 들었어요.”

열네 살 때는 처음으로 직접 만든 프로그램을 포럼에 올렸다. 패스워드를 탈취하는 간단한 프로그램이었다. 포럼 내에서 반응이 좋았다. “사실 아무 생각 없었어요. 그냥 내가 만든 재미있는 프로그램 정도로만 생각했어요.” 커리어가 구체화되는 동시에 그의 학업 성적은 추락했다. 해변에서 놀다가 해가 질 때쯤 귀가해 컴퓨터 앞에서 식사를 한 뒤 자는 척을 했다. 부모님이 잠자리에 들고 나면 다시 키보드를 잡았다. 아침이 되어 아들을 흔들어 깨우면 안색이 창백했다고 한다. 잠을 30분밖에 못 잤기 때문이다. 영문도 모른 채 걱정에 빠진 어머니는 허친스를 데리고 병원에 갔으나 의사의 진단은 간단하고도 허무했다. “수면 부족에 빠진 십 대 청소년.”

열다섯 살이 되던 해, 학교 인터넷이 먹통이 되는 사태가 발생했다. 몇 시간 후 허친스는 교장실로 불려갔다. 그곳에 있던 직원 하나가 학교 네트워크가 공격을 받아 서버를 교체해야 한다며 범인으로 허친스를 지목했다. 그는 아무런 관련이 없다며 격렬히 부인하는 한편 증거를 보여달라고 요구했다. 학교 측에선 거절했다. 허친스가 범인으로 몰린 원인은 그가 학교 직원들 사이에서 보안 조치를 우회하거나 해제하며 쌓아온 악명 때문이었다. 그는 현재까지도 희생양에 불과했다는 주장을 굽히지 않는다. 그의 어머니도 동의한다. “마커스는 뽐내기를 좋아하는 아이였어요. 만약 사실이라면 자기가 했다고 말했을 거예요.” 그는 결국 2주간 정학 처분을 받았다. 학교 컴퓨터에 대한 사용 금지 조치까지 내리자 야행성으로 돌아서 수업 내내 잠을 잤다. 수업을 통째로 빼먹는 일도 빈번했다. 부모님은 격분했지만 별다른 방법이 없었다. 2009년이 되어 허친스 가족은 목장에서 나와 조그마한 마을로 옮겼다. 새 집은 우체국으로 사용하던 건물이었다. 마커스는 계단 꼭대기에 있는 방을 사용했다. 냉동 피자를 돌리거나 철야 프로그래밍을 위해 커피가 필요할 때만 방을 벗어났다. 대부분의 시간은 문을 걸어 잠그고 혼자만의 비밀스런 생활에 깊이 빠져들었다.

비슷한 시기, 허친스가 드나들던 MSN 해킹 포럼이 문을 닫자 ‘핵포럼스’라는 다른 커뮤니티를 드나든다. 실력이 더 좋은 반면 윤리관이 흐릿한 사람들이 모이는 곳이었다. 핵포럼스에서 인정받는 요건은 봇넷 Botnet의 보유 여부였다. 멀웨어에 감염된 컴퓨터들의 집합을 뜻하는 봇넷은 공격 대상인 웹 서버에 정크 트래픽을 무더기로 보내 서비스를 마비시킨다. 이른바 ‘DDoS 공격’이다. 당시만 해도 조용한 시골 생활과 비밀스러운 사이버 펑크 생활이 충돌할 일은 없었다. 도덕적 한계점을 학습할 기회도 없이 지하 세계의 비윤리적 환경에 그대로 걸어 들어갈 수 있는 환경이었다. 허친스는 새 커뮤니티에 발을 들이자마자 8천여 대의 컴퓨터를 거느린 봇넷을 갖고 있다며 자랑했다. 봇넷을 구성하기 위한 해킹은 대부분 가짜 파일을 다운받은 사용자가 자기도 모르게 멀웨어를 실행하는 식으로 이뤄졌다.

허친스는 사업에도 뛰어들었다. 서버를 대여해 월 이용료를 받고 핵포럼스 회원들에게 웹 호스팅 서비스를 제공했다. 그가 ‘Gh0sthosting’이라고 명명한 이 사업은 “모든 종류의 불법 사이트가 허용되는 곳”이라며 노골적으로 광고했다. 허친스가 올린 광고 중 하나는 로그인 창을 가장한 피싱 페이지를 만들어 패스워드를 훔치는 데 자신의 서비스를 이용할 수 있다고 적시했다. 아직 십 대였던 허친스는 자신이 벌이는 일이 사이버 범죄와는 상당한 거리가 있다고 믿었다. 불법 서버를 호스팅하거나 페이스북 패스워드 절도, 감염된 컴퓨터를 동원해 다른 해커에 가하는 DDoS 공격 정도는 사법기관이 관심을 가질 만한 범죄로 보이지 않았다. 적어도 돈을 훔치는 금융 사기를 벌이진 않았으니까. 그의 자의적이고 유연한 도덕적 기준에서도 금융 사기만은 절대로 넘지 말아야 할 선으로 남아 있었다고 한다.

허친스는 1년도 안 되어 봇넷과 호스팅 서비스에 싫증이 났다. 징징대는 고객들을 달래면서 진절머리가 났다. 두 사업을 모두 접고는 훨씬 즐거운 일, 즉 완벽한 멀웨어 개발에 몰두했다. 그는 다른 해커들의 루트킷 Rootkit을 훔쳐 분석했다. 컴퓨터의 운영체제를 조작해 침입 사실을 은폐하는 프로그램인 루트킷을 이해하고는 감염된 기기의 파일 디렉터리에서 멀웨어 코드를 숨기는 방법을 알아냈다. 자신의 실력 향상을 뽐내기 위해 샘플 코드를 게시판에 올리자 회원 중 하나가 감명받은 나머지 일을 의뢰하기에 이른다. 해커가 제작한 멀웨어를 특정 안티바이러스 소프트웨어가 감지하는지 체크하는 프로그램의 개발이었다. 안티-안티바이러스인 셈이다. 허친스는 작업의 대가로 ‘리버티 리저브’라는 초창기 디지털 화폐로 2백 달러를 받았다. 그리고 그 고객은 사용자가 온라인 양식에 기입한 패스워드와 데이터를 훔쳐서 해커에게 전송하는 ‘폼 변조’ 프로그램을 8백 달러에 판매해달라고 추가 주문을 넣었다. 허친스는 망설이지 않고 수락했다.

열여섯 살이 되어 멀웨어 ‘고스트라이터’로 이름을 알리기 시작했을 때, 보다 위험한 의뢰인의 제안을 받았다. 허친스에게 접근한 자는 비니라는 가명을 쓰는 사람이었다. “‘Exploit.in’이나 ‘Dark0de’처럼 전문적인 해커 장터에서 판매될 정도로 안정적인 다기능 루트킷을 만들어달라. 판매액의 절반을 떼어주겠다.” 허친스와 비니는 루트킷에 ‘UPAS Kit’이라는 이름을 붙였다. 동남아시아에서 독화살을 만드는 데 사용한 유퍼스 나무에서 착안한 이름이었다. 비니는 해커들이 모이는 지하 커뮤니티 등에서 만나본 애송이와는 달랐다. 대화가 늘어가는 가운데서도 신상에 관한 얘기를 흘리는 법이 없었다. 허친스의 말에 따르면 대화가 절대 저장되지 않도록 각별히 주의를 기울였다고 한다. 그 결과 대화 기록은 전혀 없고, 허친스가 기억하는 내용이 전부다.

허친스는 수사를 교란하기 위해 다수의 프록시 서버와 동유럽의 해킹당한 컴퓨터를 거치며 은밀하게 활동했다. 하지만 사생활을 숨기는 데는 터무니없이 경솔했다. 한번은 허친스가 자신이 사는 영국 시골 동네에서는 질 좋은 마리화나를 구하기 힘들다며 불평하자 비니는 ‘실크로드’라는 전자 상거래 사이트를 통해 마리화나를 보내겠다고 했다. 그때가 2011년이었다. 악명 높은 다크웹 마약 거래소 실크로드가 지하 세계에만 알려졌을 때이다. 당시 허친스는 비니가 자기를 놀린다고 생각했다. 그는 “웃기고 있네. 증명해봐”라고 비니에게 답장을 보냈다. 비니는 허친스에게 주소와 생년월일을 물었다. 정말로 ‘물건을’ 보내주고 싶다는 이유였다. 허친스는 두 가지 정보를 아무 의심 없이 제공했다. 열일곱 살 생일에 그에게 정말로 소포가 배달됐다. 마리화나와 환각버섯, 그리고 엑스터시 꾸러미가 들어 있었다. 정체불명의 새 친구 비니가 보낸 선물이었다. 당시엔 예상하지 못했지만, 미래를 판 대가로 받은 선물이었다.

허친스가 9개월 가까이 걸려 완성한 UPAS 키트는 2012년 여름부터 판매가 시작됐다. 그가 만든 루트킷을 사가는 사람들은 개발자가 누군지 일절 묻지 않았다. 장기자랑 수준에서 벗어나 사람들의 기대에 부응하고 칭찬을 받는 전문 프로그래머로 성장한 자신이 자랑스러웠다. 보수 또한 적지 않았다. 비니가 UPAS 키트 판매에 따른 수수료를 비트코인으로 수천 달러씩 지급하기 시작하자 허친스는 처음으로 제대로 된 돈을 손에 넣었다. 컴퓨터를 업그레이드하고 엑스박스를 구입했으며, 방에 사운드 시스템을 새로 설치했다. 비트코인 데이트레이딩에 손을 대기도 했다. 학교는 이미 완전히 때려치운 시점이었다. 서프 라이프 세이빙도 코치가 은퇴하자 그만둬버렸다. 부모님에게는 프리랜서 프로그래머로 일한다고 둘러댔다.

UPAS 키트가 성공을 거두자 비니는 이제 UPAS 키트 2.0을 만들 차례라고 했다. 후속 버전에는 피해자의 키보드로 입력하는 모든 내용을 기록하는 등의 다양한 신기능을 추가하고 싶어 했다. 피해자의 컴퓨터 화면을 통째로 엿볼 수 있게 해달라고 주문하기도 했다. 무엇보다도 그가 간절히 원한 기능은 피해자가 보고 있는 사이트 페이지에 가짜 입력 필드 등 악성 콘텐츠를 삽입하는 이른바 ‘웹 인젝트’였다. 허친스는 비니의 요구사항 중 마지막 내용이 굉장히 불안하게 느껴졌다고 한다. 웹 인젝트의 목적은 명확했다. 금융 사기다. 대부분의 은행은 온라인 송금 시 본인 확인을 위한 추가 인증 절차를 마련한다. 가장 흔한 방식은 고객 휴대 전화에 문자 메시지로 인증번호를 보낸 뒤 해당 번호를 입력하도록 하는 것이다. 웹 인젝트를 사용하면 해커는 금융기관의 보안 절차를 무력화시킬 수 있다. 우선 해커가 피해자의 계정을 이용해 송금을 시도한다. 은행이 인증 코드 입력을 요구하면 해커는 가짜 메시지를 피해자의 화면에 삽입한다. 피해자는 평소 본인 확인 절차처럼 문자 메시지로 받은 인증 코드를 입력한다. 해커는 가짜 페이지에 입력한 인증 코드를 넘겨받아 은행 사이트에 입력해 유유히 돈을 빼간다.

허친스는 온라인 범죄라는 음침한 길을 조금씩 걸어왔기 때문에 종종 자신이 어떤 선을 넘고 있는지 분간하기 어려울 정도로 시야가 흐려지곤 했다. 하지만 당시 비니의 요구 사항이 굉장히 위험하다는 사실은 분명히 인지했다. 비니의 부탁을 들어준다면 그는 이제부터 선량한 사람들의 돈을 훔치는 편에 서게 될 터였다. 사이버 금융 범죄에 본격적으로 가담한다는 뜻이었다. 그때까지만 해도 허친스는 자신이 제작한 프로그램이 그저 다른 사람의 페이스북 패스워드를 훔치거나 암호 화폐를 채굴하기 위한 봇넷을 구축하는 수준에 사용되리라고 생각했다. “제가 만든 프로그램이 어떤 용도로 사용되는지 정확히 몰랐어요. 그런데 그제야 분명해졌어요. 돈을 훔치려는 목적이죠.” 허친스는 거절했다. “망할 트로이목마 같은 프로그램은 안 만들 거야”라는 답장을 보냈다.

비니는 포기하지 않았다. 오히려 자기가 허친스의 신원과 자택 주소를 알고 있다는 점을 상기시키켰다. 허친스는 비니의 말을 절반은 농담으로, 그리고 절반은 협박으로 받아들였다. 동업이 끝난다면 비니가 허친스에 대한 정보를 FBI에 넘길지도 모를 일이었다. 허친스는 두려운 동시에 스스로에게 화가 났다고 한다. 무자비한 범죄자의 본모습을 드러내기 시작한 파트너에게 순진하게도 자신의 신원 정보를 흘렸다. 그래도 그는 손을 떼겠다며 대응했다. 허친스의 코딩 실력이 없으면 안 된다는 사실을 잘 아는 의문의 인물은 한발 물러서는 듯했다. 둘은 결국 UPAS 키트의 새 버전 개발은 진행하되, 웹 인젝트 기능은 빼는 방향으로 합의를 봤다.

이어지는 몇 달간 허친스는 차세대 루트킷 개발에 매달리는 한편 자신이 사는 지역의 커뮤니티 칼리지에 등록했다. 학교에서 컴퓨터 공학을 가르치는 교수 중 한 명과 친해졌으며, 자신이 졸업장을 따고 싶어 한다는 사실을 처음으로 깨달았다. 하지만 비니가 주문한 멀웨어 개발과 학업을 병행하기는 어려웠다. 비니는 최신 루트킷을 빨리 완성하고자 안달이 난 상태였다. 진척 상황을 보고하라며 끊임없이 연락을 해왔다. 압박을 견디지 못한 허친스는 마약의 유혹을 뿌리치지 못했다. 다크웹을 통해 구한 암페타민을 복용하며 새벽까지 작업을 이어갔다. 9개월간의 철야 작업 끝에 UPAS 키트의 두 번째 버전이 완성됐다. 하지만 허친스가 결과물을 보내자마자 비니는 깜짝 발표를 했다. 허친스가 거절한 웹 인젝트 기능을 추가하기 위해 비밀리에 다른 프로그래머를 고용했다는 통보였다. 허친스와 새로운 프로그래머의 작품을 결합하기만 하면 정상적으로 작동하는 금융 사기용 트로이목마를 손에 넣을 상황이었다.

허친스는 머리 끝까지 화가 나 말문이 막힐 정도였다고 한다. 그러나 비니를 압박할 수 있는 카드가 더 이상 없다는 현실을 받아들이는 수밖에 없었다. 멀웨어는 이미 완성되었고, 개발 과정 대부분에 허친스의 손길이 닿아 있었다. 지난 수년간 애써 외면해온 윤리적 고뇌와 형벌의 공포에 정신이 번쩍 든 시점도 그때였다. “이제 도망칠 구석이 없다. 어느 날 갑자기 FBI가 체포 영장을 들고 집으로 찾아오겠지. 모두 내가 이 빌어먹을 녀석을 믿었기 때문이야”라고 자책했다.

천만 다행히도 여전히 선택권은 있었다. 비니는 다른 프로그래머가 개발한 웹 인젝트 기능을 멀웨어에 통합시키고, 업데이트와 유지 보수를 책임지는 작업을 허친스에게 맡기려고 했다. 허친스는 그 일에서 손을 떼고 다시는 비니와 연락하지 말아야 한다는 걸 알았다고 한다. 하지만 교활한 비니에겐 대비책이 있었다. 그는 허친스가 멀웨어 개발에 이미 9개월이나 시간과 노력을 들였기 때문에 고객들에게 판매될 금융 사기 루트킷을 사실상 완성시킨 셈이라며 협박했다. 보수도 여전히 수수료 형식으로 지급되는 시스템이었다. 허친스가 지금 발을 뺀다면 한 푼도 받지 못할 게 분명했다. 이미 범죄에 연루된 뒤였다. 함정에 빠진 허친스는 분노했지만, 스스로를 원망할 수밖에 없었다. 작업에 착수한 허친스는 웹 인젝트 기능을 루트킷에 이식한 뒤 출시에 앞서 테스트를 실시했다. 그 과정에서 프로그래밍에 대한 애정이 싸그리 휘발되고 말았다. 작업을 미룰 수 있을 때까지 미루다가 하루 종일 프로그래밍에 매달리기를 반복했다. 두려움과 죄의식에서 벗어나기 위해 암페타민에 의지했다. 루트킷은 2014년 6월에 완성됐고, 비니는 Exploit.in과 Dark0de라는 사이버 범죄 장터에서 판매했다. FBI가 폐쇄한 실크로드를 대체한 다크웹 사이트 알파베이에도 상점을 열었다. 갑자기 구매를 취소하는 고객들과 몇 차례 말다툼을 벌인 후 비니는 리브랜딩을 결심하고, UPAS라는 이름을 버리기로 했다. 그러고는 금융 사기 트로이목마로 악명이 자자했던 제우스에서 힌트를 얻어 ‘제품명’을 생각해냈다. 비니가 멀웨어에 붙인 이름은 그리스 신화에 등장하는 티탄족 신이자 제우스를 비롯한 올림포스 신들의 아버지 ‘크로노스’였다.

회복

허친스가 열아홉 살이 되던 해, 그의 가족은 다시 한번 집을 옮겼다. 데본시의 다른 지역에 위치한 해변 휴양 마을 일프라콤의 4층짜리 18세기 건물이었다. 허친스는 개인 화장실에 더해 한때 하인들이 사용하던 지하실에 방을 꾸렸다. 가족과 바깥 세상으로부터 더더욱 멀어졌다. 철저히 혼자였다. 크로노스가 거둔 성공은 대단치 않았다. 회원 대다수를 차지하는 러시아 해커들은 자국어를 모를뿐더러 트로이목마 프로그램에 호기롭게도 7천 달러라는 높은 가격을 매긴 비니를 신용하지 않았다. 그리고 크로노스에는 수정해야 할 버그가 있었다. 고객들은 업데이트와 기능 추가를 끝없이 요청했다. 허친스는 1년간 쉬지 않고 일했다. 기한은 늘 촉박했고, 성난 구매자들의 인내심은 부족했다.

대학 마지막 해, 무사히 졸업하기 위해 애쓰는 동시에 멀웨어 관리까지 떠맡은 허친스의 암페타민 복용량은 크게 늘었다. 그래야만 프로그래밍 작업을 즐기고 점점 증식해가는 두려움을 떨쳐낼 수 있었다고 한다. “사이렌 소리가 들릴 때마다 경찰이 저를 잡으러 온다고 생각했어요.” 걱정을 쫓아내기 위해 각성제 복용량을 늘린 그는 프로그램을 짜거나 공부하느라 며칠씩 밤을 지새웠다. 결국 불안과 우울감에 빠져 허우적대다 24시간씩 잠들기 일쑤였다. 판단력도 점점 흐려졌다. 대표적인 사례가 랜디라는 또 다른 온라인 친구와의 관계다.

랜디를 처음 알게 된 곳은 트로이얀포지 Trojanforge라는 해커 포럼이었다. 그는 허친스에게 금융 사기 멀웨어를 제작해줄 수 있냐고 물었다. 허친스가 거절하자 랜디는 기업용 및 교육용 앱 개발을 도와달라고 부탁했다. 귀가 솔깃했다. 불법적인 활동으로 벌어들인 자금을 합법적인 수입으로 세탁할 기회가 보였다. 허친스는 제안을 받아들였다. 랜디는 인심이 후한 고객이었다. 허친스가 애플 기기용 앱을 만드는 데 필요한 MacOS 구동 컴퓨터가 없다고 하자 주소를 물어본 뒤 새 아이맥을 선물로 보내줬다. 플레이스테이션을 갖고 있다면 함께 온라인으로 게임을 하자고도 제안했다. 기기가 없다고 하자 플레이스테이션 4가 집으로 배달됐다. 개인 정보를 또 한 번 흘린 것이다.

비니와 다르게 랜디는 사생활을 숨기지 않았다. 허친스는 그를 신용할 만한 사람으로 생각했다. 관계가 밀접해지면서 전화로 이야기를 나누거나 영상통화를 하는 관계로까지 발전했다. 익명의 인스턴트 메시지와는 달랐다. 허친스는 새로 사귄 친구의 자선사업 계획에 깊은 인상을 받기도 했다. 랜디는 아이들을 위한 무료 프로그래밍 수업을 진행하는 단체를 후원하는 데 수익의 일부를 사용했다. 수익 대부분을 사이버 범죄로 벌어들였을 테지만, 이미 판단력이 흐려진 허친스에겐 로빈 후드의 선행처럼 보였다. 언젠가 자신도 같은 길을 걷고자 하는 소망까지 품었다.

랜디는 자신이 로스앤젤레스에 산다고 했다. 허친스가 늘 꿈꾸던 낙원이었다. 둘은 남부 캘리포니아 해변가 인근에서 스타트업을 운영하는 계획을 상의하기도 했다. 한번은 허친스가 자신의 비트코인 데이트레이딩 기술에 대해 이야기하자 랜디는 자기 대신 투자해달라며 1만 달러 상당의 비트코인을 선뜻 맡겼다. 허친스의 투자 비법이란 비트코인 매수에 따른 리스크를 공매도로 대응하며 큰 폭의 가격 변동으로부터 자산 가치를 보호하는 방법이었다. 모든 과정은 허친스가 직접 만든 프로그램이 자동으로 관리했다. 랜디는 자신의 자금도 같은 방식으로 굴려달라고 부탁했다. 친구에게 신뢰를 얻고 있다는 기분이 들었다.

2015년 어느 여름날 아침, 암페타민에 취했다가 깨어난 허친스는 간밤에 정전이 됐었다는 사실을 알았다. 비트코인 가격이 폭락하기 시작한 시점에 컴퓨터가 모조리 꺼졌고, 랜디가 맡긴 돈 중 5천 달러 정도가 증발해버렸다. 마약 복용으로 인해 기분이 양극단을 오가던 허친스는 공황 상태에 빠졌다. 랜디에게 돈을 잃었다고 실토하면서 손실을 만회하기 위한 제안을 했다. 허친스는 자기가 크로노스라는 금융 사기 루트킷의 숨은 제작자라고 밝힌 뒤, 무료로 프로그램을 보내주겠다고 했다. 랜디가 금융 사기 멀웨어를 구하던 사람이었다는 사실을 기억해낸 것이다. 랜디는 흔쾌히 동의했다. 자신이 크로노스의 제작자라는 비밀을 누군가에게 털어놓은 건 이때가 처음이었다. 다음 날 아침, 정신이 한결 맑아지자 허친스는 자신이 엄청난 실수를 저질렀다는 사실을 알아차렸다. 침실에 앉은 채 지난 수개월간 랜디에게 아무 생각 없이 흘린 개인 정보들을 되짚었다. 보안을 지키는 데 굉장히 허술한 제3자에게 이미 가장 위험한 비밀을 털어놓은 후였다. 랜디가 체포된다면 경찰에게 사실대로 진술할 게 뻔했다. 허친스는 언젠가 사이버 범죄로 체포되는 상황을 피할 수 없으리라고 진작부터 예상했다. 하지만 이제 수사 기관 요원들이 집으로 들이닥치는 장면이 생생하게 그려졌다.

2015년 봄, 대학을 졸업한 허친스는 암페타민을 끊기로 결심했다. 당연히 금단 현상이 찾아왔다. 극도로 우울한 감정이 파고들었다. 약을 끊고 며칠이 지난 어느 저녁, 허친스는 방에서 혼자 <워털루 로드>라는 영국 10대 드라마를 보다가 문득 생소한 감각을 느꼈다. 파멸이 임박한 듯했다. 불안이 전신을 휘감았다. 그는 “죽음을 예고하는 두뇌의 신호” 같았다고 당시를 기억한다. 허친스는 어느 누구에게도 말하지 않고 홀로 금단 현상을 버텨냈다. 공황 발작도 찾아왔다. 크로노스 관련 작업이 늦어지는 이유를 대라고 비니가 다그치자 학교 때문에 바쁘다고 둘러댔다. 증세는 쉽사리 가라앉지 않았다. 능률은 점점 더 떨어졌다. 그제야 비니는 허친스에게 쓰던 신경을 덜어내기 시작했다. 몇 차례 힐난이 쏟아진 후 연락도 끊겼다. 비트코인으로 지급되던 크로노스 판매 수수료도 중단됐다. 수년간 허친스를 암울한 사이버 범죄의 세계에 가둬온 파트너십도 끝났다. 허친스는 칩거 생활을 계속하며 회복에 힘썼다. 게임을 하고 <브레이킹 배드>를 몰아서 봤다. 이따금씩 바다에서 헤엄을 쳤다. 거대한 파도에 부딪쳐 즉사하는 상상에 빠졌다. 스스로가 보잘것없는 존재로 느껴지는 기분이 좋았다고 한다. 약기운이 가라앉기까지 수개월이 걸렸다. 서서히 정상 상태를 되찾아가면서 허친스는 해킹의 세계를 다시 기웃거렸다. 하지만 사이버 범죄자들이 모이는 지하 세계에는 더 이상 흥미가 없었다. 대신 2013년부터 시작한 자신의 블로그로 되돌아갔다.

허친스가 운영한 블로그의 이름은 멀웨어테크였다. 블로그 이름을 필명으로 삼아 기술적인 관점에서 멀웨어의 세부 내용에 관한 글을 올렸다. 그가 블로그에 올린 군더더기 없고 객관적인 분석들이 블랙햇과 화이트햇 양쪽 진영에서 방문자를 끌어들였다. “일종의 중립지대였어요. 두 세계의 해커들이 모두 모여 즐겁게 지내는 곳이었죠.” 한번은 웹 인젝트를 심층 분석한 글을 쓰기도 했다. 그에게 근심과 불안을 안겨준 크로노스에 포함되었던 바로 그 웹 인젝트에 관해서였다. 그 밖에 시중에 도는 멀웨어들을 상세하게 다뤘으며, 피해 컴퓨터들의 통제권을 다른 해커에게 빼앗길 수 있다는 등의 허점을 찾아내 지적했다. 구독자는 금세 1만 명이 넘었지만, 블로그 주인의 통찰이 멀웨어를 직접 제작한 경험에서 나왔으리라곤 누구도 짐작하지 못했다.

크로노스 시절을 뒤로하고 보낸 재활 기간에는 당시 기승을 부리던 봇넷들 중 규모가 가장 큰 켈리오스와 네커스를 골라 리버스 엔지니어링 Reverse Engineering을 시작했다. 또한 자신이 감염된 컴퓨터들의 무리에 합류하면 내부의 작동 원리를 분석할 수 있다는 가능성도 확인했다. 가령 켈리오스 봇넷의 경우 중앙의 서버에서 명령을 하달하는 게 아니라 감염된 컴퓨터들 사이에서 명령이 전달되도록 설계되어 있었다. 봇넷 퇴치를 어렵게 하기 위해 P2P식 구조를 사용한 탓이다. 허친스가 켈리오스 멀웨어를 흉내 내며 봇넷의 움직임을 엿볼 수 있다는 뜻이기도 했다. 가장 먼저 봇넷 설계자가 사용한 ‘코드 난독화’라는 장애물을 넘어야 했다. 허친스는 꾸준히 수집한 정보를 바탕으로 켈리오스 봇넷을 추적하는 ‘트래커’를 제작해 전 세계에 퍼져 있는 감염된 컴퓨터의 현황을 공개된 웹사이트에 올렸다.

그로부터 얼마 뒤, 허친스는 로스앤젤레스 기반의 소규모 사이버 보안 전문 업체 크립토스 로직의 CEO 살림 나이노로부터 이메일을 받았다. 크립토스 로직은 사용자의 IP 주소가 켈리오스 같은 멀웨어에 감염된 컴퓨터 목록에 뜨면 경고를 보내는 봇넷 트래킹 서비스를 개발하고자 했다. 사실 크립토스 로직은 이미 켈리오스에 침투하려 시도한 바 있다. 그러나 당시 투입된 직원의 말에 따르면, 켈리오스의 코드를 리버스 엔지니어링하는 데 너무 오랜 시간이 걸렸다고 한다. 하지만 허친스는 혼자 힘으로 모든 문제를 해결했다. 자신도 모르는 사이에 인터넷상에서 가장 난해한 봇넷 중 하나를 뚫어버린 사람이 된 것이다. 나이노는 크립토스 로직 전용 켈리오스 트래커를 제작하는 대가로 1만 달러를 제시했다. 허친스는 첫 의뢰를 완수한 지 일주일도 안 되어 다른 봇넷을 추적하는 트래커를 추가로 제작했다. 이번에는 규모가 더 크고 오래된 샐리티였다. 두 번째 작업까지 마친 후 크립토스 로직의 대표는 억대 연봉과 함께 일자리를 제안했다. 연봉을 월급으로 환산해본 허친스는 그가 장난을 친다고 생각했다. 회사에서 제시한 액수는 허친스가 지금껏 사이버 범죄용 멀웨어 개발로 벌어들인 돈을 모조리 합한 금액보다도 많았다. 혼자 방에 숨어 검은 때 묻은 돈을 벌던 해커는 바깥세상에서 일한다는 의미를 뒤늦게야 이해했다. 음지는 절대 양지를 이길 수 없었다.

크립토스 로직에 합류한 허친스는 네커스, 드리덱스, 이모텟 등 수백만 대의 컴퓨터를 거느린 거대 봇넷들의 내부를 하나하나 들여다보며 첫 달을 보냈다. 다른 직원들이 절대 뚫리지 않으리라고 장담한 봇넷의 경우에도 허친스는 갓 수집한 코드 샘플을 들고 유유히 나타나더니 순식간에 궤멸시켰다. 코드 샘플은 블로그 구독자 또는 지하 세계의 정보원으로부터 건네받는 경우도 종종 있었다. 업체 대표 나이노가 말했다. “봇넷에 관해서라면 세상에서 가장 뛰어난 사람이었어요. 입사 후 3개월이 지났을 때 그의 도움을 받아 주요 봇넷에 대한 추적을 전부 마쳤죠. 덕분에 우리는 새로운 단계로 나아갈 수 있었고요.” 허친스는 자신의 작업을 멀웨어테크 블로그와 트위터에 꾸준히 기록했다. “리버스 엔지니어링 방면으로 특출난 재능을 가졌어요. 기본기부터 남들을 아득히 뛰어넘죠. 제가 지금껏 같이 일해본 사람들 중 최고였어요.” NSA 해커 출신의 보안 컨설턴트로서 당시 코드 샘플을 교환한 적 있는 제이크 윌리엄스가 허친스에 대해 남긴 평가다. 그럼에도 불구하고 회사 동료와 가까운 친구 몇 명을 제외하면 멀웨어테크의 정체에 대해 아는 사람은 없었다. 윌리엄스를 포함해 수만 명에 달하는 팔로워들은 허친스를 트위터 프로필인 선글라스 낀 페르시아 고양이로만 알았다.

2016년 가을, 신종 봇넷이 등장했다. 미라이로 알려진 이 멀웨어는 무선 인터넷 라우터, 디지털 비디오 녹화기, 보안 카메라 등 이른바 사물 인터넷 기기들을 감염시키기 시작했다. 전염된 장치를 마구 끌어 모으고는 DDoS 공격이 가능한 군단을 만들었다. 그때까지만 해도 가장 큰 규모의 DDoS 공격이라 해봤자 초당 수백 기가비트의 트래픽을 목표물에 전송하는 정도였다. 하지만 미라이의 위력은 초당 1테라비트였다. 그 무엇도 무지막지하게 퍼붓는 정크 트래픽을 막아내지 못했다. 엎친 데 덮친 격으로 미라이의 제작자이자 안나-센파이라는 이름을 사용하는 해커는 멀웨어의 코드를 핵포럼스에 게재해 다른 해커들이 변종 미라이를 만들도록 부추겼다.

같은 해 9월, 보안 관련 블로거 브라이언 크렙스의 웹사이트가 초당 600기가비트 수준의 미라이 공격을 받아 순식간에 다운되는 일이 발생했다. 곧이어 프랑스의 호스팅 업체 OVH가 초당 1.1테라비트 규모의 공격에 휘말렸다. 10월에는 도메인 네임을 IP 주소로 변환해 인터넷상의 전화번호부와 비슷한 역할을 하는 네임서버 제공 업체 딘을 향한 공격이 일어났다. 딘이 마비되자 북미와 유럽에서 아마존, 스포티파이, 넷플릭스, 페이팔, 그리고 레딧이 다운됐다. 같은 시각, 라이베리아의 최대 통신사에 미라이 공격이 시작됐고, 국가 전체의 인터넷이 먹통이 되는 초유의 사태가 벌어졌다. 허친스는 미라이가 몰고 온 심각한 상황을 역추적했다. 그는 크립토스 로직의 동료와 함께 미라이의 코드 샘플을 찾아낸 뒤 사방으로 분열되어 작동하는 봇넷에 침투했다. 이후 명령을 가로채는 프로그램을 만들어 봇넷의 움직임을 트위터에 실시간으로 업데이트했다. 2017년 1월에는 라이베리아 공격에 사용됐던 것과 똑같은 미라이 봇넷이 영국에서 가장 큰 은행인 로이즈에 사이버 공격을 퍼부었다. 돈을 목적으로 한 협박성 폭격이 분명했다. 은행 웹사이트가 며칠에 걸쳐 수 차례 다운됐다. 전산 시스템이 완전히 마비됐다.

한편 허친스는 미라이의 실체에 점점 접근해갔다. 미라이 전용 트래커를 통해 봇넷이 화력을 로이즈에 집중하도록 명령하는 서버를 특정해냈다. 허친스는 주문형 DDoS 공격 서비스를 제공하기 위해 사용하는 서버라고 판단했다. 결국 DDoS 공격 배후에 있는 해커의 연락 정보를 발견해냈고, 곧이어 재버라는 인스턴트 메신저에서 ‘포포프렛 Popopret’이라는 이름을 사용하는 해커를 찾아냈다. 허친스는 해커에게 공격을 멈춰달라고 부탁했다. 포포프렛 본인에게 로이즈 공격에 대한 직접적인 책임이 없고, 미라이 봇넷 사용권을 판매할 뿐이라는 것도 안다며 설득을 이어갔다. 이어서 허친스는 계정 액세스를 박탈당한 은행 고객들의 트위터 글을 포함한 메시지들을 해커에게 보냈다. 계정을 빼앗긴 피해자 중에는 한 푼도 없이 외국에 고립된 경우도 있었다. 또한 영국 정부는 은행을 핵심 인프라로 지정하고 있으며, 공격이 계속된다면 영국 정보기관이 봇넷 운영자 추적에 나설 것이라고 지적했다.

은행에 대한 DDoS 공격은 마침내 그쳤다. 그로부터 1년이 더 흐른 뒤 허친스는 당시 상황을 정리해 트위터에 올리며 해커가 내린 이성적인 판단이 놀랍지는 않았다고 밝혔다. 이때 허친스가 올린 트윗에는 자신의 비밀스런 과거를 암시하는 내용도 담겨 있었다. 선량한 피해자가 겪을 고통은 생각하지 않고, 컴퓨터 뒤에 숨어 지내는 행태가 무엇을 의미하는지 그 또한 잘 알고 있었다. “저는 프로그래머로 살아오면서 악당은 생각보다 많지 않다는 걸 알았습니다. 대부분 자신의 행동이 일으킬 결과와 영향을 생각하지 못하죠. 누군가 나타나 알려주기 전까지는 말이에요.” 그가 트위터에 올린 글 중 하나다.

2017년 5월 12일 정오 무렵, 평소 휴가를 잘 내지 않는 허친스가 오랜만에 쉬는 시간을 보내려던 참이었다. 같은 시각 허친스가 있는 곳에서 동쪽으로 320킬로미터가량 떨어진 런던 동북부. 대형 외상외과센터인 로열 런던 병원 행정실에서 여섯 대의 컴퓨터에 둘러싸여 있던 헨리 존스는 해킹으로 발생할 피해를 가장 먼저 직면한 사람이다. 실명을 언급하지 말아달라고 당부한 존스는 젊은 마취의였다. 당시 선배 마취의와의 근무 교대 호출을 기다리며 이메일을 확인하려던 참이었지만 이상하게도 로그인이 되지 않았다. 그는 행정실 내 다른 의사들과 함께 짧게 툴툴거렸다. 국영 의료기관에서 발생하는 전산 장애는 이미 익숙했다. 컴퓨터엔 거의 20년 전에 나온 운영체제 윈도우 XP가 깔려 있었다.

그런데 전산실 직원 하나가 들어와 평소와는 다른 상황이 벌어지고 있다고 했다. 바이러스가 병원 네트워크에 퍼지고 있다는 말이었다. 행정실에 있는 컴퓨터 중 하나를 재부팅하자 좌측 상단에 자물쇠 그림이 있는 빨간 화면이 나타났다. 화면엔 “아이쿠! 파일이 모두 암호화되었네요!”라는 문구가 있었다. 하단에는 암호를 풀려면 비트코인으로 3백 달러를 지불하라는 요구가 적혀 있었다. 존스는 화면에 뜬 메시지의 의미를 궁리해볼 틈도 없이 호출을 받고 외과 수술이 막 끝나가는 수술실에 입장했다. 존스가 환자를 깨울 차례였기 때문에 정확한 타이밍에 신경 쓰며 흡입 마취제의 투여량을 조금씩 줄여갔다. 수술실 안에서 그는 결과를 기록하려는 의사와 간호사의 당황한 소리를 들었다. 수술 준비실의 데스크톱 컴퓨터가 먹통이었다. 존스는 환자를 깨운 뒤 수술실을 나섰다. 복도로 나가자 수술실 관리자가 그를 붙잡고 남은 일정이 전부 취소됐다고 말했다. 존스가 근무하는 병원뿐 아니라 런던 동부의 국민보건서비스(NHS) 산하 병원 다섯 개로 구성된 의료재단의 컴퓨터가 모조리 잠겨버린 상황이었다. 다수의 NHS 병원을 표적으로 한 조직적인 공격처럼 보였다. 수술 일정이 모두 취소되는 바람에 할 일이 없어진 그는 IT 직원들을 도와 병원 곳곳의 컴퓨터 플러그를 뽑았다. 스마트폰으로 관련 뉴스를 찾아보고 나서야 피해 규모를 제대로 이해했다. 우선 표적을 선별한 공격은 아니었다. 인터넷을 타고 자동으로 전파되는 웜의 공격으로 벌어진 일이었다. 몇 시간 만에 600개가 넘는 개인 병원과 치료소가 피해를 입었다. 취소된 예약은 2만 건에 달했으며 종합병원 수십 곳의 전산 시스템이 몽땅 날아가버렸다. 병원들은 수술을 취소해야 했고, 앰뷸런스 운용도 제대로 이뤄지지 않아 위급 환자가 몇 시간 동안 기다리는 상황도 벌어졌다. 존스는 “이것 때문에 목숨을 잃은 사람도 있겠구나”라고 생각했다.

사이버 보안 연구자들은 이 웜의 이름을 워너크라이라고 붙였다. 감염된 컴퓨터의 기존 파일을 암호화한 뒤 파일명에 ‘.wncry’라는 확장자를 추가했기 때문이다. 갑자기 등장한 신종 웜은 감염된 컴퓨터를 먹통으로 만든 뒤 비트코인을 내놓으라고 요구했다. 동시에 해커 그룹인 섀도 브로커스가 미국 국가안보국으로부터 훔쳐내 온라인에 유출한 이터널블루라는 도구로 다음 컴퓨터를 감염시켰다. 워너크라이는 윈도우를 운영 체제로 쓰는 컴퓨터 중 보안 패치가 안 된 기기라면 슬며시 침투해 악성 코드를 실행할 수 있도록 설계됐다. 공격에 노출될 가능성이 있는 표적이 수백만에 달했다. 더구나 국가안보국이 개발한 고급 스파이 툴까지 얻어 무기화했다. 랜섬웨어 전염이 전 세계로 번지는 불상사는 시간문제였다. 당시 브리티시 텔레콤에서 긴급 대응 업무를 맡은 한 사이버 보안 애널리스트가 말했다. “대형 자동차 사고가 일어나기 직전 상황을 보는 듯했어요. 지금껏 본 적 없는 수준의 재앙이 되리라고도 쉽게 짐작할 수 있었고요.”

웜은 예상대로 순식간에 퍼졌다. 독일 철도회사 도이체반과 러시아의 스베르방크, 중국 대학들, 인도의 지방 경찰청, 스페인의 통신사 텔레포니카, 르노, 닛산, 혼다와 같은 자동차 제조사 및 페덱스, 보잉까지 피해를 입었다. 그날 오후에 피해를 입은 컴퓨터만 약 25만 대였다. 피해액은 40억 달러에서 80억 달러로 추정됐다. 그러나 전문가들의 눈에는 그저 시작에 불과했다. 당시 미국 대서양위원회의 사이버 보안 분야 연구원으로 있던 조시 코먼은 5월 12일 오후 미국 국토안보부, 미국 보건복지부, 의약품 제조사 머크의 담당자들 및 병원 간부들과 함께 긴급 회의에 참여했다. 이들은 의료업계 사이버 보안 TF로 알려진 대책 전담반 소속이었다. 마침 얼마 전 미국 내 병원들이 보유한 IT 보안 인력 부족의 심각성을 다룬 분석 보고서를 작성한 참이었다. 코먼은 미국이 입을 피해가 영국과 비교할 수 없을 정도로 클 것이라고 예측했다. ‘공격이 동시 다발적으로 일어난다면 대체 몇 명이나 죽을까?’라는 생각이 들었다.

오후 2시 30분경, 일프라콤의 피시 앤 칩스 가게에서 점심 식사를 포장해 컴퓨터 앞에 앉은 허친스는 인터넷이 난리 났다는 소식을 접했다. “자리를 비우기에는 최악의 시기에 휴가를 쓰게 되었네요”라고 트위터에 올렸다. 몇 분도 안 되어 카페인이라는 이름을 사용하는 해커 친구가 허친스에게 워너크라이의 코드를 복사해 보냈다. 음식에는 손도 못 댄 채 코드를 샅샅이 뜯어봤다. 먼저 방에서 직접 운영하는 서버에 가상 컴퓨터를 구축한 후 랜섬웨어가 암호화할 수 있도록 가짜 파일을 채워 넣고는 워너크라이를 실행시켰다. 허친스는 멀웨어가 미끼 파일을 암호화하기 전에 특정 웹 주소로 정보 수집 요청에 쓰이는 컴퓨터 언어 ‘쿼리’를 보낸다는 속성을 즉각 간파했다. 웹 주소는 다음과 같았다. ‘iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.’

손이 가는 대로 아무렇게나 지은 주소 같지만 뭔가 의미가 있는 듯했다. 그 긴 웹 주소를 복사해 브라우저에 붙여넣은 허친스는 놀랐다. 존재하지 않는 사이트였다. 허겁지겁 네임치프라는 도메인 등록 사이트를 방문해 10.69달러를 지불하고 웹 주소를 등록했다. 워너크라이에 감염된 수많은 컴퓨터 중 일부에 대한 통제권이라도 멀웨어 제작자들로부터 되찾으려는 의도였다. 작전에 실패해도 최소한 감염된 기기의 숫자와 위치를 모니터링하기 위한 도구를 손에 넣을 수 있으리라고 예상했다. 멀웨어 애널리스트들이 ‘싱크홀링’이라 부르는 작업이다. 아니나 다를까, 세계 각지의 신규 감염 컴퓨터들이 일제히 수천 건씩 쿼리를 퍼붓기 시작했다. 허친스는 워너크라이가 일으킨 공격의 규모를 직접 확인했다. 그가 작업 내용을 트위터에 게재하자 세계 각지의 연구원, 기자, 시스템 관리자 등으로부터 수백 통의 이메일이 날아왔다. 허친스는 싱크홀 도메인 덕에 어느 누구도 갖지 못한 감염 관련 정보를 순식간에 입수했다.

그 후 몇 시간 동안 쏟아진 이메일에 답하는 동시에 세계 곳곳의 워너크라이 신규 감염 사례를 추적하는 프로그램을 완성하려고 전력을 쏟아 부었다. 오후 6시 30분, 허친스가 도메인을 등록한 지 3시간 30분 정도가 지났을 무렵 그의 해커 친구 ‘카페인’으로부터 다리엔 허스라는 보안 관련 연구원이 작성한 트윗이 전달됐다. 허친스는 트윗 내용에 적잖이 놀랐다. “싱크홀 도메인 등록 후 악성 코드 실행이 중단됐다”라고 적혀 있었다. 다시 말해 허친스의 도메인이 연결된 이후에도 워너크라이의 신규 감염은 계속됐지만, 실제로 피해를 끼치지는 않았다는 뜻이었다. 웜이 완전히 박멸되진 않았어도 독성은 사라진 셈이었다.

허스의 트윗에는 자신이 리버스 엔지니어링한 워너크라이의 코드 한 토막이 포함되어 있었다. 코드 구조에 따르면 워너크라이는 기기의 파일을 암호화하기에 앞서 허친스의 웹 주소에 접속할 수 있는지 먼저 확인하는 절차를 거쳤다. 그리고 접속이 불가능한 경우에는 감염 컴퓨터의 파일을 암호화했다. 반대로 접속이 가능하다면 그대로 작동을 중지해버렸다. 해당 기능이 안티바이러스를 우회하기 위한 수법인지, 웜 제작자가 안전장치로 심어뒀는지 그 목적에 대해선 멀웨어 전문가 사이에서 여전히 논쟁거리다.

허친스가 발견한 것은 멀웨어의 지휘 통제 서버가 아니라 킬 스위치였다. 그가 등록한 도메인은 전 세계를 강타한 워너크라이의 공격을 간단하면서도 즉각적으로 멈추는 방법이었다. 자신의 업적을 뒤늦게야 깨달은 허친스는 의자에서 벌떡 일어나 방 안을 마구 뛰어다녔다. 평소와는 완전히 다른 그의 행동은 여기서 끝이 아니었다. 가족들에게도 알려주기 위해 지하를 나와 위층으로 뛰어 올라갔다. 그의 모친 자넷 허친스는 마침 휴일을 보내고 있었다. 시내에 나가 오랜만에 친구들을 만난 그녀는 조금 전에 돌아와 이제 막 저녁 식사 준비를 시작한 참이었다. 직장에 나가지 않은 그녀는 영국의 다른 의료 관계자들이 오후 내내 무슨 일을 겪었는지 알 길이 없었다. 그런 와중에 아들이 올라와 자기가 사상 최악의 멀웨어 공격을 멈췄다고 약간 머뭇거리며 이야기하고 있었다. 자넷 허친스는 “우리 아들 잘했네”라고 건조하게 대꾸한 후 다시 양파를 썰었다.

몇 시간 더 지나고 나서야 허친스와 크립토스 로직의 직원들은 워너크라이의 위협이 완전히 사라지지 않았다는 걸 알았다. 웜을 무력화시키긴 했지만, 남은 개체들이 증식을 계속하면서 허친스의 도메인에 꾸준히 접속을 시도했다. 이틀 만에 1백만 건 가까이 접속 시도가 이뤄졌다. 도메인을 내리기라도 한다면 접속을 시도했다가 실패한 컴퓨터는 파일이 암호화될 테고, 워너크라이의 공격도 다시 시작될 터였다. 크립토스 로직의 살림 나이노는 “도메인이 다운되자마자 워너크라이가 활동을 재개했겠죠. 24시간 안에 취약한 컴퓨터는 모두 감염됐을 거예요”라고 말했다.

이튿날 아침, 허친스는 워너크라이에 감염된 컴퓨터가 송신한 트래픽에 섞여 들어온 새로운 핑 Ping을 무더기로 발견했다. 그는 회사 동료들과 함께 모니터링했던 미라이 봇넷 중 하나가 도메인에 DDoS 공격을 퍼붓는 중이라는 사실도 알아챘다. 허친스와 그의 동료들이 미라이를 추적한 것에 대한 보복일 수도 있고, 워너크라이가 인터넷을 붕괴시키는 광경을 구경하고 싶어 하는 허무주의자들의 욕망에서 비롯된 공격일 수도 있었다. 나이노가 말했다. “우리는 얼떨결에 세상을 지탱하는 존재가 된 듯했어요. 그런데 갑자기 나타난 누군가에게 뒷통수를 맞은 기분이었어요. 아주 악의적인 행동이었죠.”

DDoS 공격의 규모는 날이 갈수록 증가하며 싱크홀 도메인을 다운시키려 했다. 이에 크립토스 로직은 트래픽을 감당하기 위해 아마존 데이터센터와 프랑스 호스팅 업체 OVH의 서버에 이를 분산시켰다. 그러나 며칠 후 프랑스의 루베라는 도시에서 예기치 못한 사태가 다시 벌어졌다. 워너크라이 배후의 사이버 범죄자들이 싱크홀 도메인을 운영한다고 오해한 루베시 지방 경찰이 OVH 데이터센터에 있는 크립토스 로직의 서버 두 대를 압류해버렸다. 허친스는 뜻대로 돌아가지 않는 상황에 굴하지 않았다. 워너크라이 킬 스위치를 찾아내기 위해 일주일간 3시간도 못 자며 대응했다. 그와 동시에 언론은 그동안 허친스가 조심스레 숨겨온 정체에 조금씩 다가왔다. 워너크라이 사태 발발 이틀 후인 일요일 아침, 지역 언론의 리포터가 허친스의 집으로 찾아왔다. 리포터에게는 허친스와 같은 학교에 다닌 딸이 있었는데, 그녀가 페이스북에서 허친스의 사진 아래 달린 멀웨어테크라는 캡션을 보고 정체를 알아냈다.

허친스의 집으로 찾아오는 저널리스트는 금세 늘어났다. 집 맞은편 주차장에 진을 치고 기다리며 전화를 해댔다. 허친스 가족은 전화기를 아예 꺼놨다. 영국의 타블로이드지들은 방구석에서 세계를 구한 영웅을 주요 뉴스로 다뤘다. 허친스는 집 앞에 포진한 기자와 카메라맨들을 피하기 위해 뒷마당 담장을 조용히 넘어 다녔다. 미디어를 달래려고 연합 통신사와 딱 한 건의 인터뷰만 했는데, 지나치게 긴장한 나머지 이름 철자를 잘못 쓰는 바람에 정정 보도가 나가기도 했다.

혼란에 빠져 보낸 며칠 동안 허친스는 새로운 버전의 워너크라이 공격이 일어날 수도 있다는 생각에 안절부절못했다. 웜을 수정해 킬 스위치를 없앤 후 다시 풀어놓는 과정은 그리 간단한 일이 아니었기 때문이다. 다행히 변종 웜은 나타나지 않았다. 다시 며칠이 지난 후 영국 사이버 보안센터는 아마존에 연락을 취해 크립토스 로직이 아마존 데이터센터의 서버 용량을 무제한으로 사용할 수 있게 하는 협상을 지원했다. 일주일 후엔 DDoS 방어 서비스를 판매하는 클라우드플레어가 나서서 자사의 서비스를 제공하겠다고 제안했다. 글로벌 기업의 조력 덕분에 봇넷이 킬 스위치 도메인을 향해 아무리 많은 트래픽을 던진다 해도 모조리 흡수할 만반의 태세를 갖췄다. 그간의 팽팽했던 대치 상황도 드디어 끝이 보였다.

최악의 시기를 간신히 넘기자 허친스의 건강이 걱정된 나이노는 그를 강제로 쉬게 했다. 조건은 보너스를 포함한 유급 휴가였다. 워너크라이 사태로부터 일주일, 마침내 잠자리에 든 허친스는 매시간 1천 달러를 벌었다. 갑작스러운 주목과 관심이 부담스럽긴 했지만, 유명세를 치른 만큼 얻은 바도 많았다. 하룻밤 사이에 트위터 팔로워가 10만 명이나 늘었다. 동네 펍에서 그를 알아본 사람들이 인터넷을 구원한 청년이라며 서로 술을 사려고 했다. 1년 동안 언제든지 공짜 피자를 제공하겠다고 나선 동네 레스토랑도 있었다. 허친스가 무슨 일을 하는지 마침내 이해하게 된 부모님은 그제야 아들의 업적을 자랑스러워했다.

허친스가 사이버 보안의 세계에서 얻은 지위를 확실하게 증명한 자리는 라스베이거스에서 열린 컨퍼런스인 데프콘이었다. 워너크라이 공격으로부터 3개월이 지난 후였지만, 앞으로 걸어나가지 못할 정도로 사람들에게 둘러싸였다. 끝없이 모여드는 팬을 피하려고 시내에서 떨어진 곳에 위치한 저택을 빌려 친구들과 함께 머물렀다. 라스베이거스에서 가장 큰 개인 수영장을 갖춘 집이었다. 허친스 일행은 발표나 대담을 보기 위해 모인 해커들로 꽉 찬 컨퍼런스는 건너뛴 채 밤마다 마리화나와 술을 즐겼다. 한낮에는 그동안 영국에서 경험하지 못했던 활동으로 시간을 보냈다. 사격장을 찾아 유탄 발사기를 쏘고, 기관총 수백 발을 연사했다. 람보르기니와 콜벳을 렌트해 라스베이거스 시가지를 질주하거나 그랜드 캐니언을 가로질렀다. 허친스가 가장 좋아하는 밴드인 체인스모커스의 공연 중에는 옷을 벗어 던지곤 속옷 차림으로 무대 앞 수영장에 뛰어들었다. 벗어놓은 바지에 있던 지갑을 도둑맞았지만 행복에 도취된 그는 전혀 신경 쓰지 않았다. 크로노스를 개발한 시점으로부터 3년이 흘렀다. 허친스는 꽤 괜찮은 삶을 살고 있었다. 완전히 다른 사람이 되어 있었다. 모든 일이 술술 풀리면서 과거의 범죄 행각에 대한 기억도 희미해져 갔다. 그런데 라스베이거스에서의 마지막 날 아침, 숙소 현관에 선 그의 눈에 검은 SUV가 들어왔다.

심판

허친스는 자신을 취조하는 FBI 요원들의 질문에 즉각적으로 대답했다. 공항 내 취조실에서 두 요원이 크로노스를 언급한 지 몇 분도 안 되어 자신이 멀웨어의 일부를 작성했다고 인정하면서도 열여덟 살이 되기 전에 손을 뗐다며 거짓 진술을 했다. 워너크라이 수사에 대한 증인으로서 신뢰성을 평가하는 중이거나 워너크라이 싱크홀 도메인의 통제권을 넘겨받기 위해 수작을 부리고 있을지도 모른다고 생각했다. 그는 변호인 동석도 없이 불안에 떨며 요원들의 질문에 대답했다. 그러나 요원들이 눈앞에 들이민 출력물을 본 순간 그전까지 품고 있던 희망은 산산조각 나버렸다. 3년 전 랜디와 나눈 대화의 기록이었다. 허친스가 유지 보수를 계속하고 있던 금융 사기 멀웨어를 랜디에게 보내주겠다고 제안했을 때 그의 나이는 스무 살이었다. 허친스에게 수갑을 채웠던 붉은 머리의 요원 리 차르티어가 마침내 FBI의 목적에 대해 입을 열었다. “마커스 허친스 씨, 솔직히 말하자면 워너크라이와는 전혀 관련이 없는 일이에요.” 그리고 그들은 컴퓨터 사기 및 오남용 방지법 위반 혐의로 발부 받은 체포 영장을 꺼냈다.

허친스는 그날 아침 숙소 앞에 주자되어 있던 것과 똑같이 생긴 검은색 SUV에 실려 라스베이거스 교도소로 보내졌다. 단 한 번 주어지는 전화 기회를 통해 직장 대표인 살림 나이노에게 상황을 알렸다. 그 후 죄수들로 가득한 방에서 의자에 묶인 채 하루를 보냈다. 앞으로 벌어질 일을 떠올리며 공포와 불안에 빠져들었다. 수개월간 구금 상태에서 재판을 기다린 끝에 결국 타지에서 징역형을 선고받을 게 분명했다. 23년 인생에서 겪은 가장 외로운 밤이었다.

허친스의 체포 소식은 해커 커뮤니티 사이에서 급속도로 퍼져나갔다. 감옥에 갇힌 허친스의 전화를 받은 나이노는 라스베이거스에 있는 해커 친구 앤드류 마비트에게 갑작스럽게 벌어진 현 사태를 알렸다. 이야기를 전해 들은 마비트는 곧장 언론에 뉴스를 흘리고, 트위터에도 글을 올렸다. 전 세계의 유명 계정이 즉각 가세해 순교자처럼 희생될지도 모르는 해커 영웅을 돕는 데 나섰다. 영국의 권위 있는 사이버 보안 전문가 케빈 뷰몬트는 “법무부가 제대로 헛짓거리를 했네”라고 트윗을 날렸다. 사이버 보안 컨퍼런스의 기획자인 마르테인 흐로턴은 허친스의 트위터 아이디를 언급하며 “@MalwareTechBlog가 확고한 윤리관을 가진 사람이라는 점을 제가 보장합니다”라고 썼다. 허친스와 워너크라이의 관계를 오해한 나머지 그를 이번 사태의 배후로 의심한 FBI가 실수를 저질렀다고 믿는 사람도 있었다. 호주의 사이퍼펑크 활동가 애셔 울프는 “해커들이 일제히 이토록 격하게 분노하는 하는 일은 흔치 않다. 도저히 용납할 수 없다”라고 적었다.

당연히 모두가 허친스를 지지하진 않았다. 미국 국토안보부 출신 해커 데이브 아이텔은 허친스가 워너크라이를 제작했으며, 웜이 통제를 벗어나자 그제야 킬 스위치를 작동시킨 게 아니냐는 글을 블로그에 게재했다. 물론 이 의견은 8개월 뒤 법무부가 워너크라이 사건의 주범으로 북한의 한 해커를 기소하면서 거짓으로 드러났다. 그래도 대다수는 허친스의 체포 소식에 동정하는 반응을 보였다. 이튿날 허친스의 지역구 의원인 피터 히튼-존스는 성명을 통해 “워너크라이 대응에 관한 허친스의 성과를 기리는 한편 그에게 씌워진 혐의에 대해 경악을 금치 못한다”고 밝혔다. 라스베이거스의 해커이자 회사 대표의 친구 마비트는 보석 심의를 위해 지역 변호사를 선임했다. 붐비는 감방에서 비참한 하루를 보내고 난 허친스의 보석금은 3만 달러로 결정됐다. 그러나 컴퓨터와 전화기를 모두 압수당해 은행 계좌 접근이 막힌 터라 비용도 조달할 방법이 없었다. 해커들의 변호인으로 유명한 토르 에클랜드 형사 전문 변호사는 보석금을 충당하기 위해 허친스의 이름으로 법률 비용 모금 계좌를 열었다. 하지만 개설하자마자 후원금의 출처에 도난된 신용카드가 등장하기 시작했다. 사이버 사기 사건 피고를 위한 후원금으로 별로 좋지 않은 모양새였다. 에클랜드는 모금을 중지하고 그때까지 들어온 돈을 전액 환불할 수밖에 없었다. 해커 커뮤니티의 선의는 계속됐다. 허친스가 체포된 날, 유명 사이버 보안 전문가 부부 타라 휠러와 데비안트 올람은 시애틀행 비행기에 올라 라스베이거스를 떠났다. 그리고 일요일 저녁, 마비트로부터 법률 비용 모금 과정에서 부딪힌 난관을 전해 듣는다. 휠러와 올람은 허친스를 만난 적이 없고, 심지어 트위터에서도 교류가 없었다. 하지만 그들은 법무부가 부당하게 젊은 해커들을 죄인으로 만드는 과정을 오랫동안 지켜봤다. 결말은 대부분 비극이었다. “젊고 컴퓨터밖에 모르는 외국인이 연방 교도소에 구금된 상황이었어요. 평범한 외국인도 아닌 영웅이었는데도요.” 당시 휠러는 근무하던 부서가 폐지됨에 따라 사이버 보안회사 시만텍으로부터 퇴직금을 받은 지 얼마 안 된 무렵이었다. 부부는 허친스의 보석금을 내는 데 돈을 보태기로 했다.

그들은 다시 비행기를 타고 라스베이거스로 돌아갔다. 월요일 오후에 도착한 그들에게 보석금 납부기한인 오후 4시까지 주어진 시간은 90분이 안 됐다. 시간을 놓치면 허친스는 감방에서 하룻밤을 더 보내야 했다. 부부는 은행으로 달려가 3만 달러짜리 자기앞수표를 발행했다. 그러나 수표를 들고 법원에 도착하자 담당 직원이 먼저 공증을 받아오라고 말했다. 법원이 문을 닫기까지 20분밖에 안 남은 상태였다. 신발을 벗어 손에 든 휠러는 맨발에 스웨터와 스커트 차림으로 라스베이거스의 열기로 덮인 길거리를 뛰어 4시 10분 전에 공증사무소에 도착했다. 땀으로 흠뻑 젖어 수표 공증을 마치고는 지나가는 아무 차나 붙잡아 세워 법원까지 데려다 달라고 간절히 부탁했다. 오후 4시 2분, 직원이 퇴근하려는 찰나 휠러는 문을 박차고 들어가 수표를 건네 마커스 허친스를 감옥에서 빼냈다.

보석금을 낸 허친스가 사회 복귀 시설로 옮기는 사이에 더 많은 해커가 힘을 보태기 위해 모여들었다. 잘 알려진 해커 사건 전문 변호사 브라이언 클라인과 마르시아 호프먼이 무보수로 사건을 맡기로 했다. 허친스는 무죄를 주장했고, 담당 판사는 그가 클라인의 사무실이 있는 로스앤젤레스에 가택 구금되는 것을 허용했다. 변호인단은 재판 전 가택 구금 조건 개선을 지속적으로 건의해 허친스가 마리나 델 레이에 구한 숙소를 벗어나거나 컴퓨터와 인터넷을 사용할 수 있도록 했다. 다만 법원은 워너크라이 싱크홀 도메인 접속은 금지했다. 어쨌든 외출시간 제한과 GPS 전자 발찌라도 제거돼 한시름 놓을 수 있었다.

마지막 제한 조치까지 전부 해제되었다는 소식을 접했을 때, 허친스는 로스앤젤레스 기반 사이버 보안 컨퍼런스인 셸콘에서 만난 해커들과 해변에서 모닥불 파티를 즐기는 중이었다. 그는 2주간 미국 여행 중 해묵은 사이버 범죄 사건으로 기소 당하면서 얼떨결에 늘 꿈꾸던 도시에 살고 있었다. 이동의 자유에 대한 제약도 비교적 적었다. 허친스를 배려한 회사가 무급 휴가로 처리했기 때문에 서핑을 하거나 숙소에서 말리부까지 길게 뻗은 해안길을 자전거로 달리며 일상을 보냈다. 하지만 그는 우울했다. 수입이 전혀 없었고, 저축해둔 돈은 계속 줄었다. 유죄 판결을 받으면 분명히 징역살이가 다시 시작될 것이었다. 무엇보다도 그를 괴롭힌 것은 진실이었다. 세상은 그를 영웅으로만 알았지만, 자신에 대한 고발 내용은 모두 사실이었다. 체포된 날로부터 한 달 뒤, 인터넷 사용이 다시 가능해진 허친스는 트위터를 확인하자마자 엄청난 죄책감에 휩싸였다고 한다. “다들 FBI가 사람을 잘못 체포했다고 말했어요. 가슴이 미어졌죠.” 블로그에 전부 털어놓을지 고민했지만 변호사들의 만류로 그만뒀다고 한다.

많은 지지자는 허친스가 법정에서 주장한 무죄를 협상 전략이 아닌 진실로 이해했다. 새로 개설된 법률 비용 모금 계좌에 수만 달러의 후원금이 쌓였다. 국토안보국 출신 해커 제이크 윌리엄스는 허친스를 위해 전문가 증인으로 법정에 출석했고, 타라 휠러와 데비안트 올람은 허친스의 양부모처럼 그의 캘리포니아 생활을 돌봐줬다. 그러나 허친스는 자신이 특별한 혜택을 받을 자격이 없다고 생각했다. 자신을 도와주는 사람들이 진실을 모르고 있다는 생각 때문에 고통스러웠다. 당장이라도 모든 걸 털어놓고 용서를 구하고 싶었다.

그러나 정작 허친스를 향한 지지자들의 속내는 그의 생각과 조금 달랐다. 허친스가 체포된 지 한 달 쯤 지난 시점에 그의 과거를 캐내기 시작한 사이버 보안 블로거 브라이언 크렙스는 허친스가 핵포럼스에 올린 예전 글들을 찾아냈다. 단어와 문장에 숨은 단서를 바탕으로 과거 불법 호스팅 서비스를 운영하고, 봇넷을 관리했으며 멀웨어를 제작한 자라는 사실을 밝혀냈다. 진실이 하나둘 드러나 사람들 사이에 퍼져갔다. 그러나 허친스의 팬과 친구들은 여전히 그를 지지했다. “우리는 모두 윤리적으로 복잡한 존재예요. 그리고 선한 행동은 과거에 벌인 악한 행동에 대한 반동으로 일어나는 경우가 종종 있죠. 우리는 과거와 현재, 어디에 무게 중심을 둘지 결정해야 합니다. 한 가지 중요한 사실은 우리는 지금을 사는 존재들이라는 거죠.” 타라 휠러의 말이다. 허친스는 주변의 응원에도 불구하고 자신이 사기꾼이라는 생각에 갇혀 고통받았다. 술과 마약에 다시 손을 댔다. 낮에는 대량의 애더럴에, 그리고 밤에는 보드카에 의지했다. 때로는 자살 충동이 일었다.

2018년 봄, 체포된 지 9개월 가까이 지난 시점에 검찰은 허친스에게 유죄 협상을 제안했다. 과거 온라인 지하 세계 활동 시 알았던 다른 사이버 범죄자나 멀웨어 제작자들의 정체에 대한 정보를 제공하면 옥살이는 면하게 해주겠다는 조건이었다. 허친스는 망설였다. 검찰의 진짜 목적인 비니의 정체에 대해 아는 바가 없었을뿐더러, 자신이 저지른 행동에 대한 처벌을 피하기 위해 동료 해커들의 사소한 범법 행위를 고자질할 순 없었다. 게다가 검찰 측의 유죄 협상을 받아들인다 해도 여전히 중죄 기록이 남아 향후 입국 시 문제될 소지가 있었다. 또한 그는 본 사건의 담당 판사 조셉 스테드뮬러가 예측을 뒤엎고 검찰의 구형보다 훨씬 낮은 형량을 선고한 이력을 알고 있었다. 결국 허친스는 협상을 거절하고 재판을 받기로 했다. 검찰은 기다렸다는 듯이 허친스를 공격했다. 총 열 개 혐의를 늘어놓았다. 그중엔 FBI 요원에게 거짓 진술을 한 죄도 포함되어 있었다. 허친스와 그의 변호인단은 유죄 협상을 거절한 허친스를 몰아세우기 위한 압박 전술이라고 이해했다.

라스베이거스 공항에서의 자백에 대한 증거 배제 신청 등 몇 차례 항변에 모두 실패한 허친스는 결국 2019년 4월 유죄 협상을 받아들였다. 그러나 누가 봐도 앞선 조건보다 불리했다. 1년 반 가까이 검찰과 밀고 당기며 싸웠는데, 이제 검찰 측의 제안은 그저 징역을 구형하지 않겠다는 것뿐이었다. 허친스는 열 개 혐의 중 두 건에 대해 유죄를 인정해야 했고, 판사의 재량에 따라 최대 10년 징역형과 최고 50만 달러 벌금형을 선고 받을 수도 있었다. 허친스는 마침내 자신의 블로그에 공개적으로 고백하는 글을 올렸다. 하지만 처음 의도와는 달리 모든 내용을 털어놓을 수는 없었다. 법률 자문을 받아 작성한 느낌이 드는 짧은 입장문을 변호사 승인하에 하나 올렸을 뿐이다. “저는 제가 보안업계에 종사하기 전 이뤄진 두 건의 혐의에 대해 유죄를 인정했습니다. 저의 지난 행동을 진심으로 뉘우치고 있으며, 모든 책임은 전적으로 저에게 있습니다.” 트위터에는 조금 더 진솔한 얘기를 남겼다. “보안 전문가가 되기 위해서 먼저 어둠의 세계에 발을 들일 필요가 있다고 생각하는 사람들이 있습니다. 사실이 아니에요. 합법적인 방식으로도 필요한 기술을 모두 배울 수 있어요. 착한 쪽에 계속 붙어 있기를 바랍니다.”

7월의 어느 따뜻한 날, 허친스는 선고를 듣기 위해 밀워키 법원에 도착했다. 회색 수트 차림이었다. 언론을 피하기 위해 2시간 일찍 모습을 드러냈다. 기자 회견실에서 변호사들을 기다리는 그의 시야가 흐려지기 시작했다. 5년 전 암페타민 금단 현상을 처음 겪었을 때 주기적으로 스멀스멀 찾아오던 파멸의 예감과 비슷했다. 그러나 이번에는 명확한 결말이 예정되어 있었다. 사실상 남은 인생이 걸린 심판. 그는 판결이 나오기 전에 마음을 진정시키기 위해 용량이 작은 자낙스 한 알을 삼킨 뒤 복도를 걸어 다녔다. 스테드뮬러 판사가 법정에 입장해 자리를 잡았다. 걸걸하고 떨리는 목소리를 가진 77세의 판사는 조금 불안정해 보였다. 재임기간 중 사이버 범죄 관련 사건을 딱 한 번, 그것도 20년 전에 맡아본 게 전부인 스테드뮬러 판사는 여전히 종잡을 수 없는 사람이었다. 복잡한 사건을 제대로 이해할 수나 있을지 의문이 들었다. 판결을 내리기에 앞서 스테드뮬러 판사의 장황한 이야기가 시작됐다. 허친스의 불안은 조금씩 사라졌고, 그 자리는 경외심으로 대체됐다.

먼저 스테드뮬러 판사는 마치 추억에 잠긴 듯 허친스에게 자신이 30년 넘게 판사 생활을 했다고 말했다. 그리고 2,200명에 달하는 피고인에게 판결을 내려봤지만 허친스와 같은 경우는 처음이라고 덧붙였다. “우리는 어린 피고인부터 나이 든 피고인까지 다양한 종류의 사람을 봅니다. 그리고 피고인처럼 범죄를 업으로 삼은 경우도 있죠. 저는 피고인의 그릇된 행동이 선행되었기에 진정한 영웅담이 탄생했다는 관점을 충분히 인지하고 있습니다. 본 사건이 여타 사건과 크게 차별화되는 지점이 바로 여기에 있습니다.” 스테드뮬러 판사는 자신이 허친스를 단순히 법정에 선 피고인이 아니라 한참 전에 방향을 튼 사이버 보안 전문가로 이해했다고 분명히 밝혔다. 허친스를 감옥에 가둬서 얻는 범죄 억제 효과와 워너크라이 같은 악성 코드를 막아내는 젊은 해커의 재능이 발현할 사회적 이익을 비교하는 듯했다. “우리는 컴퓨터 기술 없이는 살 수 없는 사회에 소속되어 있습니다. 보안을 지키기 위해서는 피고인처럼 재능과 기술을 가진 사람들에게 의지해야 합니다.” 심지어 허친스에게 사면을 베풀어 마땅하지만, 법원에 그럴 권한은 없다고 밝혔다. 이야기를 마친 스테드뮬러 판사는 판결을 내렸다. “석방과 투옥 양쪽의 효과를 저울질해봤습니다. 석방에 따르는 긍정적인 영향이 훨씬 크리라고 여겨집니다. 금일 마커스 허친스가 구금 상태에서 보낸 시간까지 처벌의 일부로 간주하고, 1년간 감독 조건부 석방을 선고합니다.” 허친스는 귀를 의심했다. 판사가 자신의 선행과 악행을 따져본 끝에 도덕적 부채를 탕감한 판결이었다. 몇 가지 형식적인 절차가 이어진 뒤 마침내 판결이 확정되었다. 허친스는 변호사들을 껴안았다. 그리고 판결을 듣기 위해 영국에서 날아온 어머니와 얼싸안았다. 인지대로 2백 달러를 지불한 그는 법원을 벗어나 체포된 때로부터 거의 2년 만에 다시 자유의 몸이 되어 거리로 나섰다.

5개월간 긴 통화 끝에 처음으로 마커스 허친스를 직접 만나기로 했다. 장소는 베니스 비치의 스타벅스 매장. 인파로 북적이는 거리를 걸어오는 부슬부슬한 곱슬머리가 보였다. 허친스는 활짝 웃음을 머금고 입장했다. 여전히 불안한 기색이 있었다. 그는 하루에 몇 시간 못 자고 있다며 커피를 사양했다. 나와 허친스는 몇 시간이나 걸었다. 그리고 아직 젊은 영국 청년의 인생에 관한 이야기를 들으며 퍼즐 조각을 맞추듯 그림을 완성시켰다. 보드워크를 걷던 중 그는 중간중간 걸음을 멈추고 스케이터와 거리의 공연자들을 감탄하며 바라봤다. 허친스가 로스앤젤레스에서 가장 좋아하는 곳이다. 그는 마지막으로 그 모습을 만끽하는 표정이었다. 구금 기간을 복역으로 간주한 판결에도 불구하고 재판 때문에 비자가 만료되는 바람에 곧 영국으로 추방될 신세였다. 해변을 따라 늘어선 값비싼 별장을 지나 산타모니카로 향하며 언젠가 로스앤젤레스로 돌아오고 싶다고 말했다. “이런 해변가에 살 수 있으면 좋겠어요. 창밖을 내다보고, 파도가 괜찮으면 바로 나가 서핑할 수 있는 곳요.”

사건은 해피엔딩으로 끝났지만, 그는 수년간 자신을 짓누른 죄책감을 완전히 떨쳐내진 못했다. 당시 모든 걸 털어놓을 생각만 하던 자신에게 법률 비용을 후원하고, 도움의 손길을 내민 이들을 떠올리면 지금도 하루하루가 괴롭다고 한다. 나는 12시간 넘게 진행한 인터뷰가 공개되면 마침내 모든 이야기가 세상에 드러나게 될 거라고 말했다. 이어 허친스의 팬은 물론이고 그를 비판하는 사람들도 스테드뮬러 판사처럼 나름의 판결을 내릴 것이라고도 했다. 허친스는 잠시 생각에 잠기더니 입을 열었다. “이제는 자백하고자 하는 이유가 완전히 달라졌어요. 용서를 구하려는 목적이 그저 이야기를 털어놓고 싶은 마음으로 바뀌었어요. 그동안 범죄와 정의 양쪽에서 달성한 위업과 비밀의 무게를 전부 내려놓고 싶다는 뜻이었다. “워너크라이를 막아낸 사람으로도, 크로노스를 개발한 사람으로도 알려지고 싶지 않아요. 그저 뭔가를 더 낫게 만드는 데 조금이나마 도움이 되는 사람으로 남고 싶어요.”