한겨레

당신은 디지털 기능으로 무장한 첨단 자동차를 몰고 기분 좋게 고속도로를 질주하는 중이었다. 그런데 불현듯 자동차가 이상 증상을 보이기 시작한다. 켜지도 않은 에어컨이 갑자기 찬 바람을 불어대며, 헤비메탈 음악이 최대 볼륨으로 스피커를 울리기 시작하고 와이퍼가 미친 듯이 작동한다. 브레이크조차 말을 듣지 않는다. 당신은 전자장치로 제어되는 이 자동차의 통제권을 완전히 잃어버렸다. 누군가가 당신을 절벽 끝으로 인도할 수도 있다는 공포가 엄습한다.

‘철통 보안’ 자랑하는 사이트라도
더 강력한 도구 나오면 해킹 노출
“내 정보가 인터넷에서 노출된다면?”
만약의 경우 염두에 두고 사용해야

몇년 전 보았던 공상과학영화의 한 장면 같은 이야기가 드디어 현실로 다가왔다. 찰리 밀러와 크리스 밸러섹이라는 미국의 두 해커와 정보기술잡지 <와이어드>의 앤디 그린버그 기자가 자동차 해킹을 직접 시연한 내용이 지난 21일 <와이어드>를 통해 소개됐다. 시속 112㎞로 외곽도로를 달리던 앤디의 ‘체로키 지프’를 두 해커가 탈취하는 데 성공한 것이다. 두 사람은 자동차로부터 11㎞ 떨어진 집의 거실 소파에 노트북을 펼쳐놓고 기대앉아 앤디의 자동차를 마음껏 조종할 수 있었다.

두려워하던 일이 현실로 나타나자 사람들과 회사는 깜짝 놀랐다. 체로키 지프 제조사인 피아트-크라이슬러는 지난 24일(현지시각) 체로키 지프를 포함해 보안 취약점이 발견된 자사의 차량 140만대에 대해 리콜을 하겠다고 전격 발표했다. 자동차 업계에서 해킹 위험으로 인해 대량 리콜을 결정한 최초의 사례다. 구글과 테슬라를 비롯한 내로라하는 전세계 정보기술업체와 자동차업계들이 자율주행자동차를 통해 제시한 장밋빛 미래에 가려진 기술의 위험성이 드러난 장면이다.

인터넷에 연결된 전자정보기기로 제어되는 커넥티드카(스마트카)는 아직 우리에겐 낯설지 모른다. 하지만 스마트폰이라면 어떨까? 지난 5일 이탈리아 감시 프로그램 업체 ‘해킹팀’의 400GB에 달하는 내부 자료가 정체 모를 해커에 의해 털리면서 세계가 발칵 뒤집혔다. 우리나라 국가정보원도 이들의 감시 프로그램 ‘아르시에스’(RCS·원격제어시스템)를 구매 운용한 주요 고객 가운데 하나로 드러났다. 국정원의 주요 관심사는 스마트폰 해킹이었다.

아르시에스 프로그램의 먹잇감이 된 스마트폰은 그야말로 진공청소기처럼 주변의 정보를 빨아들여 감시자에게 전달한다. 익명을 요구한 한 컴퓨터공학과 교수는 “해당 프로그램은 관리자 권한을 탈취한다. 마치 주인과 같이 모든 정보에 접근한다고 보면 된다”고 말했다. 감시자가 보낸 감염된 인터넷주소를 클릭하거나 앱을 깔면 순식간에 끝나는 일이다. 이후 감시자가 가져올 수 있는 정보는 그야말로 방대하다. 스마트폰에 입력하는 모든 문자(암호 포함)는 물론이고, 나의 메신저 채팅 내용(관리자 권한을 탈취하기 때문에 텔레그램과 같은 메신저도 무용지물), 통화 내용, 저장된 사진, 동영상, 위치정보 등 모든 것이 대상이다. 심지어 스마트폰이 잠긴 상태에서 사진이나 동영상을 촬영하는 조작도 가능한 것으로 알려져 있다.

하지만 이런 고도의 감시는 간첩의 세계에서나 벌어지는 먼 이야기 아닐까? 스파이도 아닌 나의 정보들에 누가 관심을 둘 것이며, 설사 좀 본들 무슨 상관이랴. 하지만 누구에게나 감춰야 할 정보는 있는 법이다. 일상에서 의식하지 않고 있지만 이런 정보는 생각보다 많을 수 있다.

지난 20일 기혼자를 대상으로 하는 세계 최대 데이팅 사이트인 ‘애슐리 매디슨’이 해킹을 당해 가입자 정보를 도난당했다는 소식이 알려졌다. 자체 통계로 가입자가 3700만명에 이르는 이 사이트는 결혼한 이들의 ‘바람’을 조장한다는 이유로 2001년 설립 때부터 수시로 논쟁의 대상으로 떠오르곤 했다. 우리나라 회원도 19만명가량 되는 것으로 추정된다. 이 사이트 가입 때에는 자신의 자세한 신상뿐 아니라 성적 판타지 등 내밀한 정보까지 적게 되어 있는데 이런 내용이 모두 털린 것이다. 자신을 ‘임팩트팀’이라고 소개한 해킹 그룹은 실제 미국인 1명과 캐나다인 1명의 상세한 정보를 공개해 보이면서 “사이트를 폐쇄하라”고 요구하고 있는 상황이다. 수천만명에 달하는 가입자들은 벌벌 떨고 있다. 바람을 피우라고 권하는 사이트에 가입한 대가이지만, 자신의 신상뿐 아니라 감추고 싶던 내밀한 욕망까지 낱낱이 공개되었을 때 그들뿐 아니라 배우자와 자녀들이 받을 상처를 생각하면 아찔한 일이기도 하다.

이처럼 알려져선 안 되는 개인정보는 곳곳에 있다. 시한부 삶을 아직 가족에게 알리지 않은 가장의 병원 기록, 커밍아웃을 하지 않은 성적소수자의 게이 커뮤니티 가입 내역, 주변에 묻기에 민망해 포털사이트에 남몰래 쳐봤던 무수한 키워드들까지, 자신이 주체적으로 공개를 결정하지 않은 정보들이라면 모두 보호받을 가치는 있다. 언제 어떻게 뚫릴지 모르는 해킹의 위험은 앞으로 더 많은 이들을 곤경에 몰아넣게 될 것이다.

중국의 한 해커는 블로그에서 이번 해킹팀 데이터 유출과 관련해 “스턱스넷 노출 때 대중은 ‘정말 뭔가 일어나고 있구나’ 했다가, 에드워드 스노든 폭로 때 ‘그런 일들이 엄청 많구나’ 했다. 이번 일로 사람들은 ‘이게 비즈니스가 될 수도 있구나’ 하고 깨닫게 될 것”이라고 평했다. 스턱스넷은 미국 정보기관이 이란의 핵시설을 파괴한 악성 코드이고, 스노든은 미 국가안보국(NSA)의 전세계 대량 감시 프로그램을 폭로한 전직 요원으로 이들은 대표적인 해킹 폭로 사례들이다. 해킹팀 유출도 실제 해킹 비즈니스가 어떻게 돌아가는지 드러낸 기념비적인 사건으로 이름을 올리게 될 전망이다. 하지만 실제 인명사고를 낼 수 있는 자동차 해킹까지 도래한 시대에 대부분의 일반 사용자들에게는 자신을 보호하기 위해선 전과 다른 디지털 안전의식이 필요하다는 점을 알린 사건으로 기억될 필요도 있다.

권오성 기자 sage5th@hani.co.kr