한겨레

[프라이버시의 종말]

금융기관에서 잇따라 보안사고가 일어났다. 금융기관 전산망은 한번 뚫리면 거액의 고객 예탁금이 인출되는 등 기업 활동과 신뢰도에 치명적이기 때문에 보안 정도가 매우 높을 것으로 여겨진 곳이다. 최근 발생한 현대캐피탈과 농협의 ‘해킹’은 보안의 중요성을 다시 알려준다. 이번 사건으로 인해 많은 기업들이 보안에 대해 적극적인 투자 필요성을 절감하고 있다.

하지만 인터넷에서 보안은 가장 견고한 방패를 마련하는 것으로 보장되지는 않는다. 아무리 단단히 빗장을 채우더라도 결국 문지기를 협박하거나 속여서 스스로 빗장을 열게 하면 곳간이 열리는 것과 마찬가지다. 보안 전문가들은 ‘사회공학(social engineering)적 방법’이 소셜네트워크 환경에서 무엇보다 강력한 보안 위협이라고 강조한다.

사회공학적 연구는 기술적 접근보다는 사람들의 심리와 행태에 대한 연구를 통해 실제 사용 환경에서 인간적 요소에 의해 보안 취약점이 드러나는 것에 초점을 맞추는 접근법이다. 무작위로 건 전화나 노출된 단편적 개인정보 하나로 사기와 협박을 하는 보이스 피싱이 대표적이다.

몇해 전 한 법원장이 보이스 피싱에 걸려 6000만원을 송금한 사례가 있었다. “아들이 우리 손에 있다. 살리고 싶으면 500만원을 보내라”는 전화에 법원장은 동료 직원들과 상의해가면서 추가적으로 돈을 보내는 등 모두 6000만원을 범인에게 송금했다. 사회 활동이 적은 사람들이 주로 피해를 입는 줄만 알았던 보이스 피싱에 법원장마저 걸려든 이 사례는 보안의 약한 고리를 보여준다. 법원장은 사기 사건 이후 “전화로 들려온 ‘살려달라’는 비명 소리를 급박한 상황이라 아들의 목소리라고 믿었다”고 말했다고 한다.

인터넷 메신저 등으로 인한 사기도 친한 친구가 ‘도움’을 요청할 때 일어나는 경우가 많다. 친하지 않은 친구가 돈을 요구하는 경우에는 거의 응하지 않지만, 친밀한 친구가 다급하게 요청할 때는 평상시처럼 합리적인 의문과 판단이 작동하지 않기 때문이다.

몇해 전 미국에서 배우 패리스 힐턴의 휴대전화에 저장된 친구들의 사진과 전화번호 등이 유출된 일이 있었다. 힐턴은 이동통신사의 서버에 휴대전화 속 데이터를 저장하는 클라우드 서비스를 이용했는데, 한 10대 소년이 이를 해킹해서 인터넷에 퍼뜨린 일이었다. 방법은 간단했다. 가입자가 이통사에 저장된 자신의 정보에 접근할 때 비밀번호를 잊을 경우를 대비해 자신의 애완동물 이름을 입력하도록 돼 있었는데, 힐턴의 애완견 이름은 이미 널리 알려져 있었다.

사회공학적 보안 위협은 사용자가 상대방을 믿거나 자신의 정보를 스스로 알려주는 게 어떠한 물리적 보안 방벽도 무력화시키는 결과로 이어진다고 알려준다. 문제는 사회관계망서비스로 인해, 자신에 관한 다양한 정보를 노출하는 경우가 점점 늘어나고 있다는 점이다. 사회관계망서비스 사용자들은 자신에 관한 정보를 노출하는 일이 사회공학적 해킹에 활용될 수 있음을 알고, 단편적 정보 노출에도 주의해야 한다.

구본권 기자