(* 이 글은 영화의 스포일러를 포함하고 있습니다.)

'계좌번호(암호화), 비밀번호(암호화), 생년월일, 이메일(암호화), 이름, 주소(암호화), 주민등록번호 뒷자리(암호화), 전화번호, 급여정보, 통장사본 이미지, 주민등록등본 이미지, 신분증 이미지, 증명사진 이미지, 근로계약서 이미지, 서명 이미지'

쿠팡이츠 콜센터에서 근무했던 한 피해자의 해킹피해 내역이다. 몇몇 정보가 암호화된 채 유출되었다곤 하지만, 상당부분은 유출된 이미지로 추정할 수 있다. 내 생년월일과 주민등록번호, 이름과 주소, 얼굴과 서명, 전화번호와 계좌번호, 월급, 경력까지를 범죄자가 전부 안다고 생각해보라. 사실상 신분이 복제된 수준이다. 끔찍하지 않은가.

지난달 발생한 KS한국고용정보 해킹사태로 이와 같은 피해를 본 이들만 수만 명에 이른다. 쿠팡이츠 콜센터만의 문제가 아니다. KS한국고용정보가 위탁해 운영하는 업체만도 수십 곳이다. 정보를 도용해 불법대출 등 향후 발생할 수 있는 피해가 어느 정도일지 가늠조차 되지 않는다. KS한국고용정보를 시작으로, SKT 유심 정보, 알바몬 이력서 정보 등 근 몇 년간 볼 수 없었던 수준의 개인정보가 한꺼번에 털리는 사건이 거듭 보고됐다.

큰사진보기

영화가 바라본 해킹, 상상과 현실

1995년 이언 소프틀리가 감독한 <해커스>는 해커를 소재로 한 영화 중 기념할 만한 작품이다. 해킹을 중심소재로 내세워 러닝타임 전체를 이끌어가는 흔치 않은 작품으로, 해킹이 범죄에 이용되는 양상을 상상력을 동원해 구현해 호평받았다. 독보적 미모를 과시하던 갓 스물의 안젤리나 졸리가 주연한 작품으로 기억되는 이 영화는 30년 전 미래의 해킹을 당대 할리우드와 업계 전문가, 대중들이 어떻게 바라보았는지 보여준다는 점에서도 의미가 크다.

영화는 10대 해커들이 재미 삼아 해킹해 복제한 유조선 업체 내부파일 때문에 곤란한 지경에 놓이며 시작된다. 별 의미 없는 파일이라 여겼던 건 사실 이 업체 보안담당자 플라그(피셔 스티븐스 분)가 몰래 만든 바이러스다. 피해를 알게 된 플라그는 죠이(제시 브래드포드 분)와 데이드(조니 리 밀러 분) 등 10대 해커들에게 바이러스를 만든 책임을 뒤집어씌우려 든다. 그저 재미로 업체 보안을 뚫고 별 의미 없는 파일을 가져올 목적이었던 이들은 경찰은 물론 군까지 동원돼 저들을 쫓는 상황에 의구심을 느낀다. 본격적으로 10대 해커들이 플라그의 음모를 파헤치게 되는 이유다.

<해커스>가 흥미로운 건 아직 수면 위로 떠오르지 않았던 해킹범죄를 당대 할리우드와 작가들이 어떻게 대하는지를 확인할 수 있기 때문이다. 플라그가 바이러스를 통해 꿈꾼 범죄는 수많은 이들의 계좌에서 사람들이 눈치챌 수 없도록 몇 센트씩 훔쳤다. 그렇게 수십억을 훔친다 해도 눈치 채는 사람이 없으니, 걸릴 위험도 없다는 계획이다. 그리고 이 사실이 발각될 즈음에는 유조선을 바이러스에 감염시켜 해상에서 침몰시키고 사회의 이목을 돌리겠단 심산이다. 아직 온라인뱅킹이며 선박 원격조종기술이 태동하기 전인 1990년대 영화로선 다분히 시대를 앞장서 가는 인식이다. 물론 영화가 앞장서 간 시대는 아직도 오지 않았다. 어쩌면 영영 오지 않을지도 모른다.

큰사진보기

화려하고 현란했던 해킹, 그러나 현실은?

영화에선 10번 가까운 해킹장면이 등장한다. 영화는 그를 시각적으로도, 발상의 측면에서도 화려하고 파격적으로 연출한다. 마치 컴퓨터를 쓰는 곳이라면 무엇이든 가능하다는 식이다. TV네트워크와 학교의 데이터베이스 및 제어시스템, 유조선 회사 서버, FBI 내부 네트워크, 무엇보다 플라그와 전 세계 해커들 간의 온라인 상의 전투 등이 정체를 알 수 없는 화려한 영상 가운데서 시각적으로 펼쳐진다. 네트워크를 시각적으로 구현해 그 위를 내달리는 연출이라거나 어마어마한 숫자와 문자가 화면 위를 수놓으며, 아예 육식공룡과 초식공룡이 초원에서 맞붙는 연출로 비유하기까지 한다.

30년 뒤 오늘의 현실은 이와는 딴판이다. 해커가 직접 첨단 기술로 바이러스를 제작해 기업 보안을 뚫어내고 원하는 파일을 추출하는 방식은 얼마 확인되지 않는다. 기차를 멈추고 비행기를 떨어뜨리며 배를 침몰시키는 해킹, 또 미사일을 발사하고 TV방송 송출을 일시에 정지시키는 해킹을 우리 주변에서 보고 듣기란 어려운 일이다. 물론 불가능해서는 아닐 테다. 업계 관계자들은 보다 간편하고 돈이 되는 해킹이 있기 때문이라고 입을 모은다.

해킹이 범죄에 활용되는 가장 일반적인 방식은 훨씬 더 단순하다. 해커가 제작한 랜섬웨어 파일을 구매하여 뿌리고, 실제 타깃인 PC며 내부망에 접근가능한 사람이 그를 다운받거나 직접 기기에 연결하도록 하는 형태가 흔하게 사용된다.

일시에 유조선이 침몰하는 사태가 벌어지진 않는대도, 선박의 핵심 문서가 죄다 든 컴퓨터가 잠겨 어떤 항구에도 입항할 수 없이 바다 위를 떠도는 사례는 벌어질 수 있는 것이다. 나는 이와 같은 사례를 제법 알고 있고 기자시절엔 그중 일부를 기사로 보도하기도 하였는데, 공해상을 떠도는 배 위에서 항해사들을 닦달해 입출항 및 선박관리 관련 문서를 새로 작성토록 하는 일이 한국 선박에서 벌어졌단 사실이 기가 찰 밖에 없었다.

실제로 VSAT(위성통신장치)를 통해 개별 항해사 및 선원들이 인터넷에 접속할 수 있는 상황 가운데서 선박이 해킹의 타깃이 되는 사례가 수두룩하다. 단순히 입출항과 관계된 문서가 든 PC를 랜섬웨어에 감염시켜 잠그고 풀어주는 조건으로 돈을 요구하거나, 주요 문서를 탈취해 협박하는 경우가 가장 흔하다. 가끔은 엔진이며 발전기를 제어하는 프로그램을 점령해 마비시키거나 선사의 컴퓨터를 공략해 선박으로 들어가는 전산자료를 왜곡하는 류의 해킹도 있다. 그 대부분이 인적과실을 겨냥한다.

큰사진보기

해킹범죄의 현실

다큐멘터리 <시티즌포>는 차라리 현실적인 해킹영화라 불러도 좋겠다. 스노든의 폭로로 알려진 프리즘은 미국 정보기관이 운용한 데이터 마이닝 프로젝트로, 악명 높은 도감청 기술과 결합하여 전 세계인에 대한 불법적 정보조사를 자행하는 시스템까지를 대표한다. 영화는 CIA와 NSA 정보분석원이던 에드워드 스노든이 미국 정부가 전 세계 개인정보를 무차별적으로 수집하는 상황에 문제를 느끼고 이를 폭로하기까지의 과정을 다룬다.

막대한 정보를 보유한 민간 업체 서버 등을 자유자재로 넘나들며 필요한 정보를 발췌해 해석하면 말 그대로 모든 사람에 대한 관리가 가능하다는 게 이 시스템의 무서움이다. 본래는 테러방지가 목적이지만 정보기관 일부 직원들은 이 시스템을 활용해 여성의 알몸을 감상하는 등 악용했다고 전한다. 스노든은 결국 제게 부여된 접근권한을 이용해 이러한 문제를 입증할 자료를 탈취하여 폭로한다. 기관의 불법적 해킹에 문제를 느낀 스노든 스스로가 정보기관의 정보를 빼내는 과정이 하나의 해킹과 다르지 않다.

비슷한 사례가 한국에도 없지 않았다. 2021년 국내 638개 아파트, 40만 가구의 관리시스템, 월패드가 해킹됐던 초유의 사건이 그것이다. 보안전문가였던 범인은 제 지식을 이용해 아파트 중앙서버에 접근해 컴퓨터와 시스템을 감염시켰다. 월패드에 달린 카메라는 집 내부도 촬영하고 있는데, 여기에 옷을 벗고 다니는 거주민의 모습, 그 이상의 장면들까지 촬영된 것으로 파악됐다. 당시 언론보도는 범인이 이를 불법적으로 거래하려고 시도했다고 전했다.

이처럼 오늘날 해킹의 가장 취약한 고리는 인간이다. 다른 마음을 먹은 인간과, 해서는 안 되는 행동을 하는 인간이 해킹의 주요한 고리가 된다. KS한국고용정보의 정보탈취 또한 악성코드 감염으로부터 관리자 계정 탈취, 내부 시스템 접근의 경로를 거쳐 이뤄졌다.

큰사진보기

하청의 고리, 부족한 인식... 해킹의 표적

해커 출신 보안관계자 A씨는 해킹에 대한 대비가 철저히 이뤄지지 않는 상황에 개탄했다. A씨는 "인포스틸러가 포함된 악성파일을 내부 직원이 개인정보에 접근 가능한 PC에다 내려 받으며 계정이 털렸고, 이후에 전현직 직원 개인정보까지 유출된 사안으로 보인다"며 "요즘 해킹 트렌드가 대단한 첨단 기술로 하는 게 아니라 이번처럼 악성코드를 다운받거나 노가다로 뚫는 방식인데, 결국 현장에선 사람이 하지 말라는 걸 해서 인적과실로 문제가 생기는 경우가 대부분"이라며 아쉬움을 드러냈다.

보안은 물론, 정보를 다루는 많은 영역을 기업이 외주화하는 상황 또한 위험을 높일 수 있다. 2010년 630만 명의 정보가 유출된 교육관리기관의 경우 서버 유지보수업체 직원이 직접 서버에 해킹 프로그램을 설치했던 것으로 확인됐다. 카드사 고객정보 1억 400만 건이 유출돼 사상 최대라 불렸던 2013년 사례에서도 은행 IT센터 외주업체 직원들이 줄 구속되는 걸로 결론 났다. 비슷한 사례가 셀 수 없이 많음에도 한국에선 외주업체에 보안을 맡기고 문제가 터지면 해당 업체 관계자에 책임을 묻고 끝내는 게 보통이다.

김성훈 변호사(법률사무소 담영)는 "원청인 개인정보처리자가 수탁자인 제3자에게 개인정보 처리 업무를 위탁하면 원청은 정보주체의 개인정보가 유출되지 않도록 수탁자를 교육하고 수탁자가 개인정보를 안전하게 처리하는지 감독하도록 법이 돼 있다"면서 "관리감독이나 교육을 소홀히 한 대기업은 하청업체가 이 법의 규정을 위반한 경우 전체 매출액의 3%를 초과하지 않는 범위에서 과징금 부과 대상이 된다"고 설명했다. 이어 "개인정보보호위원회가 개선권고, 시정조치 명령, 과징금 부과, 고발 또는 징계권고, 과태료 부과 내용 및 결과를 공표하는 것도 가능하다"고 덧붙였다.

하지만 현실은 만만찮다. 현직 대기업 보안담당자인 A씨는 "말은 시스템도 조금 더 도입하고, 외주 업체 관리하는 프로세스를 강화하겠다고, 사람도 더 뽑아서 하겠다고, 그런 조치를 하기는 하지만 외주의 한계가 명백하다"며 "답사를 가서 관리활동을 하지만 외주업체가 '이미 했어요', 혹은 '할게요'하면 그걸로 끝이 나고 진짜 중요한 문제가 바깥에선 확실히 파악이 되지 않을 가능성이 높다"고 설명했다.

그러면서 "결과적으로는 충분히 투자할 수 있게끔 돈을 많이 써야 되는데 돈을 안 쓰려고 외주업체를 쓰는 상황에서 그게 되겠냐"며 "문제가 되지만 않으면 돈이 덜 나가는 방향으로 하는 게 현실인데, 매출액 3% 이하 과징금을 매길 게 아니라 징벌적 손해배상제도를 도입해서 확실히 관리할 수밖에 없도록 해야 한다"고 제언했다.

하청, 외주, 효율을 기하기 위해 고안되고 허용된 체계가 모든 면에서 효과적이지는 못하단 걸 KS한국고용정보를 비롯한 일련의 해킹사태가 적나라하게 보여준다. 다른 어느 나라보다도 이로 인한 문제를 여실히 드러내는 한국사회다. 한국은 과연 변화할 수 있을까. 오늘의 체계가 효율이 아닌 비용과 책임전가를 위해 기능하지 않도록, 한국사회가 움직여야 할 때다.