[스페셜 리포트] 당신이 미처 몰랐던 사이버 보안 이야기_갈수록 진화하는 사이버 범죄의 ‘대항마’

“덫을 놔야겠다!” 샤워꼭지에서 나오는 따뜻한 물이 온몸을 감싸면서 기분이 좋아진 순간, 클리포드 스톨(Clifford Stoll)에겐 기막힌 아이디어가 떠올랐다. 미국 캘리포니아 소재 로렌스버클리실험실(Lawrence Berkeley Laboratory, LBL) 컴퓨터센터 관리자인 그는 최근 센터 관할 시스템 해킹 사고로 골치를 앓고 있었다. 스톨은 문제의 해커가 장거리 전화 서비스 중 하나인 타임넷을 통해 LBL 컴퓨터센터에 접속한 후 아르파네트(ARPANET, 오늘날 인터넷의 전신) 등 미국 국방부 인트라넷에 업혀 미국 군부대 컴퓨터들을 공격하고 있다는 사실을 확인할 수 있었다. LBL 컴퓨터센터 이사진은 당장 이 해커가 이용하는 전화선을 차단하려 했다. 하지만 스톨의 생각은 달랐다. 보다 근본적인 방법을 찾아야 문제가 해결될 것 같았고, 그러려면 해커를 유인할 ‘덫’이 필요했다.

해커 유인 작전명이 ‘샤워꼭지’라고?

스톨의 아이디어는 이랬다. 가짜 군사 프로젝트를 극비리에 추진하고 있는 것처럼 꾸민 다음, 문제의 해커가 들어와 접속하고 있는 동안 전화의 발신지를 추적하는 것. 이 덫엔 ‘샤워꼭지 작전’이라는 별명이 붙여졌다. 이 작전으로 덜미를 잡힌 해커는 독일인 마르쿠스 헤스(Marcus Hess)였다. 독일 브레멘대학 컴퓨터센터 연구원이었던 그는 당시 소련 비밀경찰 KGB에 포섭돼 미국 국방부와 군부대 컴퓨터를 통해 정보를 빼내 왔다. 헤스는 ‘스파이 행위를 했다’는 죄목으로 체포, 형무소에 수감됐다. 이 얘긴 첩보 영화 줄거리가 아니다. 1980년대에 시작돼 (헤스가 체포된) 1990년 종료된 실화다. 사이버 보안 문제를 논할 때면 빠지지 않고 등장하는 이 사건의 교훈은 결코 가볍지 않다. 인터넷 시스템이 채 갖춰지기도 전인 1980년대에 이미 ‘사이버 커뮤니케이션은 제3자에 의해 얼마든지 악용될 수 있다’는 교훈을 던지고 있기 때문이다.  

재산 도둑보다 위험한 데이터 도둑

마르쿠스 헤스가 체포된 지 24년이 흐른 지금, 사이버 보안 문제는 사회 전 분야에 걸쳐 심각한 문제로 떠오르고 있다. 지난 2010년 로이터통신은 이미 “실제로 기업들이 ‘자산 도난보다 인터넷을 통한 데이터 도난에 따른 피해가 더 크다’는 사실을 인정하기 시작했다”고 보도했다. 같은 해 세계적 컴퓨터통신 기업 중 하나인 시만텍(Symantec)이 회사·정부기관·연구소 등을 대상으로 실시한 설문조사 결과도 흥미롭다. 응답자의 94%는 “우리 조직은 사이버 보안에 지금보다 더 많이 투자해야 한다”고 응답했다. 42%는 “사이버 보안에 취약한 것이야말로 조직의 최대 위험 요인(risk)”이라고 지적했다.

실제로 우리는 일상에서 이미 사이버 공간에 크게 의존하고 있다. △국가 안보나 금융처럼 사회 전체 안전을 포괄하는 일은 말할 것도 없고 △항공기나 선박 운항, 대형 병원 관리처럼 인명이 직결되는 일 △가까운 지인끼리의 내밀한 대화나 스마트홈 관리처럼 지극히 사적인 일에 이르기까지 종류도 다양하다. 그리고 그 의존도는 하루가 다르게 심해지고 있다.  

범죄 행위 추적 자체가 사실상 불가능

문제는 사이버 범죄 행위에 대응하는 게 현실 공간에서의 혼란을 잠재우는 것보다 훨씬 어렵다는 사실이다. 범죄자 신원을 확인하는 일부터 간단찮다. 사이버 공간에선 가명이나 대행 시스템을 이용하는 것도, 일시적인 가상 주소를 이용한 후 곧바로 폐기하는 것도 쉽기 때문에 범죄 행위를 추적한다는 건 불가능에 가깝다. 범죄 ‘행위’가 사이버 공간에서 이뤄졌을 뿐 범인 ‘추적’ 상황은 현실 공간에서 벌어지게 마련인데, 사이버 범죄의 경우 범행 규모가 지구 전체를 종횡무진 누빌 정도로 방대하다. 실제로 범인이 해외 거주자일 때도 다반사여서 이 경우 범인의 색출이나 체포가 무척 어려워진다. 엎친 데 덮친 격으로 이들을 잡아 들여야 할 정부가 제대로 된 사이버 범죄 대응 기술을 갖추지 못한 경우도 흔하다. 사이버 보안이 어려운 또 다른 이유는 셀 수 없이 많은 해킹 경로와 방식이다. 하루가 다르게 쏟아져 나오는 각종 스마트 기기 역시 사이버 보안 장벽을 낮추는 주범 가운데 하나다.  

‘뛰는’ 사이버 보안, ‘나는’ 사이버 범죄

실제로 사이버 범죄는 매년 증가 추세이지만 검거율은 신통찮은 게 현실이다. 경찰청 사이버안전국 통계에 따르면 지난해 국내에서 발생한 사이버 범죄는 15만여 건이었다. 이 가운데 검거된 범죄는 절반가량인 8만6000여 건에 불과하다. 경찰청에서 사이버수사 업무를 맡고 있는 한 관계자는 사이버 범죄의 현주소에 대해 “현존하는 사기 행각의 대다수가 스마트폰으로 가능하다고 보면 된다”며 “하지만 사이버 보안, 특히 스마트 기기 내 보안 수준은 기존 온라인 분야에 비해 아직 미비한 수준”이라고 지적했다. 사이버 범죄로 통칭되는 행위도 구체적으로 살펴보면 여러 유형으로 나뉜다. △사이버 공간에서 특정인을 집단적으로 따돌리거나 집요하게 괴롭히는 ‘사이버 불링(cyber bullying)’ △다양한 정보통신망을 활용, 악의적이고 지속적으로 공포감과 불안감 등을 유발하는 ‘사이버 스토킹(cyber stalking)’ △익명성을 악용해 특정인의 명예를 훼손하고 거짓 정보를 올리는 등 사이버 상에서의 질서를 파괴하는 ‘사이버 반달리즘(cyber vandalism)’ △기술적 방법이 아니라 인간 관계의 기본적 신뢰를 기반으로 타인을 속여 비밀 정보를 획득하는 ‘소셜 엔지니어링 해킹(social engineering hacking)’ 등이 대표적이다. 사이버 범죄의 마수는 개인뿐 아니라 조직을 향해서도 마구잡이로 뻗쳐지고 있다. 실제로 일부 해커는 조직 구성원 간 의사소통에 혼선을 일으켜 사고를 내거나 고의로 내부 기밀을 폭로함으로써 해당 기관의 권위를 추락시킨다. 성격상 개인정보를 취급하는 기관의 내부망에 침입, 엄청난 양의 개인정보를 빼돌려 불법적으로 이용하는가 하면 심한 경우 돈이나 기타 자산을 빼돌리기도 한다. 이 같은 범행 건수는 너무 많아 제아무리 규모가 크고 예산이 많은 조직이라도 이를 건건이 밝혀 차단하기란 여간 어려운 일이 아니다.  

사이버 보안 노하우, 하드웨어에 이식해라

사이버 보안 솔루션이 개발자의 참신한 아이디어에 머물러선 곤란하다. 꾸준한 경험 축적, 그리고 해당 노하우를 하드웨어 생산에까지 반영할 수 있는 폭넓은 기술력이 받쳐줘야 비로소 안정적 솔루션이 완성될 수 있다.

사이버 보안 분야의 세계적 선진 기업은 시만텍·코모도·사이렌 등이다. 최근엔 삼성전자도 세계 최고 수준의 보안 솔루션을 선보여 인정 받고 있다. 삼성전자는 특히 스마트폰 보안 분야에서 발군의 성취를 계속해나가고 있다. 삼성전자의 보안 플랫폼 녹스(KNOX)는 지난해 5월 미국 정부에서 보안 승인을 받은 데 이어 올 2월 말엔 미국 국가안전보장국(National Security Agency, NSA) 산하 국가정보보증협회(National Information Assurance Partnership)에서 스마트폰 최초로 보안 인증을 획득했다. 지난 5월엔 영국 정부통신본부 내 정보보안 부서의 보안 기준을 통과하기도 했다. 녹스는 하드웨어 보안 기술인 트러스트존(TrustZone)을 이용해 개인정보 유출을 원천적으로 차단한다. 그 덕분에 특히 개인정보 유출에 민감한 금융 보안 분야에서 주목 받고 있다. 삼성전자는 올 8월부터 모바일 가맹 신청 서비스를 도입하는 여신금융협회에 녹스를 공급함으로써 ‘모두가 안심하고 누리는 모바일 라이프’ 조성에 앞장서고 있다. 최근 출시된 삼성전자의 초고속 무선 네트워크 보안 솔루션 ‘스마트 무선랜 보안 AP’은 지난 7일 폐막한 ‘2014 ITU(International Telecommunication Union, 국제전기통신연합) 전권회의’ 당시 적용돼 세계 각국 참가자의 찬사를 받았다. ITU 전권회의는 UN 산하 정보통신기술(ICT) 전문 국제기구인 ITU의 최고위 의사결정회의이며, 국내 최초로 개최된 글로벌 IT 회의란 점에서 눈길을 끌었다.

“삼성전자 스마트 무선랜 보안 AP는 보안이 최우선시되는 스마트 디바이스 시대에 최적화된 무선랜 솔루션입니다. 앞으로도 시장 트렌드를 선도하는 무선랜 솔루션을 지속적으로 개발, 출시할 예정입니다.” 김정기 삼성전자 네트워크사업부 엔터프라이즈개발그룹 상무의 말처럼 삼성전자는 모든 이가 보안 걱정 없이 안심하고 살아갈 수 있도록 관련 솔루션 개발에 박차를 가하고 있다.  

음지의 ‘청년 해커’, 개발자로 전환해야

지난해 12월 호주의 16세 소년 조슈아 로저스(Joshua Rogers)는 빅토리아주(州) 공공 운송 업체 PTV(Public Transport Victoria) 웹사이트를 해킹하며 한바탕 소동의 주인공이 됐다. 우연찮게 PTV 웹사이트에 접속한 로저스는 60만여 명 회원의 성명·주소·전화번호는 물론, 신용카드 번호까지 쉽게 알 수 있다는 사실을 발견했다. 이후 그는 즉시 PTV 측에 이메일을 보내 그 사실을 알렸고, 1주일이 지나도 반응이 없자 동일한 내용을 페어팩스 미디어에 제보했다. 이 사건은 사이버 범죄(보안) 분야에서 연령별 관심 차가 가져올 수 있는 결과를 잘 보여준다. 해외에선 사이버 보안 분야가 블루 오션으로 떠오른 지 오래다. 미국에선 NSA가 위치한 메릴랜드주를 비롯한 몇몇 지역에서 관련 연구와 시장 개발 경쟁이 특히 치열하다. 미래 개발자를 육성하려는 시도도 활발한 편이다. 흥미로운 건 작업의 특성상 10대 청소년이 총총 러브콜 대상에 오르곤 한다는 사실. 심지어 사이버 보안 관련 연구소나 기업이 유치원이나 초등학교를 돌며 설명회를 여는 사례도 느는 추세다. 이 같은 실정은 우리나라도 예외가 아니어서 사이버 범죄자의 연령별 분포를 살펴보면 20대가 40%로 가장 많다. 대상자를 10대부터 30대까지로 확장시키면 그 비중은 80% 이상까지 증가한다.

노병규 한국인터넷진흥원 정보보호본부장은 “사이버 보안 문제를 해결하지 않으면 당장 3년 후, 5년 후 새로운 먹거리 창출에 장애가 될 것”이라며 “문제 해결을 위한 실마리는 다음 세대를 주목하는 데서 찾을 수 있다”고 지적한다. (차세대를 위해 준비해나가야 할) 미래 세상의 성패가 차세대의 특성을 이해하고 소통하는 데 달려 있다는 사실은 어쩌면 당연한 일인지도 모른다.