과해 보일 정도로 디지털 보안에 신경써야 하는 이유

 
무거운 주제의 글인 만큼, 가벼운 질문으로 시작해보려 한다. 독자 여러분은 노트북 카메라를 가려두셨는가? 내 노트북에는 카메라를 가리는 스티커가 붙어 있다. 나는 지문을 등록한 이중인증 기능을 활용하며, 각종 비밀번호는 대문자와 소문자, 특수문자를 조합해 복잡하게 만든다. 카페에서 인터넷을 쓸 때면 공공 와이파이 대신 복잡한 비밀번호로 무장한 스마트폰 핫스팟을 연결한다. 중요한 대화는 카카오톡이나 텔레그램의 비밀 채팅 기능을 이용한다. 이 기능은 메시지를 기기에서 암호화해 전송한다. 누군가 중간에 메시지를 탈취하거나 중계 서버를 들여다봐도 원문은 알 수 없다. 해당 기능을 아예 기본적으로 제공하는 메신저 ‘시그널’처럼 보안성이 더욱 강한 앱을 쓰기도 한다. 이상한 문자나 알 수 없는 사람의 친구 요청은 보지도 않고 삭제한다. 소프트웨어 업데이트 알람이 오면 즉시 설치한다. 호들갑처럼 보일 수 있지만, 이는 나를 보호하기 위한 ‘최소한’의 조치다. 안타까운 일이지만, 사이버 세상은 결코 믿을 수 없는 곳이기 때문이다.
2년 전 벌어진 ‘거실 월패드 해킹 사건’을 기억하는가? 일상을 촬영한 다수의 영상이 유출돼 다크웹에서 거래됐다. 평범한 시민들이 해킹의 피해자가 됐다. 문제는 이런 위험 요소가 점점 더 커지고 있다는 것이다. 이론상 모든 컴퓨터는 반드시 해킹할 수 있다. 월패드뿐만 아니라 인공지능 스피커, 홈캠 모두 컴퓨터의 일종이다. 거리의 신호체계도, 비행기와 자율주행 자동차도 컴퓨터다. 서울 여의도 인근에서는 컴퓨터가 운전하는 자율주행 순환버스가 운행되고 있으며, 도시 자체를 컴퓨터로 만드는 스마트시티 시범사업들도 진행 중이다. 2025년에는 한강에서 드론 택시를 보게 될 예정이다. 우리의 일상이 전부 해킹 가능성이 있는 컴퓨터로 전환되고 있는 것이다. 만약 월패드나 홈캠을 넘어 자율주행 자동차나 드론 택시가 해킹되면 무슨 일이 벌어질까? 이는 이미 충분히 가능하다고 증명된 사실이다. 지난 3월, 캐나다 밴쿠버에서 열린 국제 해킹대회에서는 테슬라 모델3가 2분 만에 해킹된 바 있다. 해커는 마음대로 트렁크와 문을 열었다.
문자 메시지를 단순히 ‘받아보는’ 것만으로 해킹이 이뤄질 수도 있다. 토론토대학에서 온라인 감시 활동을 연구하는 ‘시티즌랩(Citizen Lab)’은 2021년, 소름 돋는 분석 결과를 발표했다. 이스라엘의 해킹 전문 업체 NSO 그룹이 바레인 인권운동가들의 스마트폰을 해킹하는 과정에서 제로클릭(Zero-Click) 공격을 활용했다는 것이다. 제로클릭이란 링크나 첨부파일을 누르는 등의 상호작용을 하지 않아도 기기에 침투할 수 있는 공격이다. 그저 문자만 받았을 뿐인데 피해자들의 스마트폰이 악성코드에 감염된 것이다. 이는 특정 대상을 표적으로 한 고급 해킹 기술로, 국가 단위에서 벌어진다.
이처럼 디지털 세상에서 각국은 보이지 않는 전쟁을 수행 중이다. 최근 중국은 공무원들의 아이폰 사용을 금지했다. 같은 시기 미국의 마이크로소프트, 아마존, 애플, 델 그리고 일본의 캐논, 소니와 도시바, 한국의 삼성전자는 모두 중국을 탈출했다. 2019년 미국은 중국의 화웨이가 통신장비에 해킹 도구, 즉 ‘스파이칩’을 설치했다는 우려가 있다며 화웨이에 대한 제재를 가했고, 2020년에는 미국 기술이 들어간 반도체나 칩 등을 아예 중국 통신장비업체에 수출하지 못하게 했다. 올해 들어서는 반도체, 인공지능, 양자컴퓨터 등 첨단기술 분야의 대중국 투자도 금지한 상태다. 유럽연합(EU) 역시 회원국에게 화웨이와 ZTE 등 중국 기업의 부품 사용을 금지하는 방안을 추진 중이다.
실제 중국은 그간 위험한 행보를 보여왔다. 2016년 네트워크안전법, 2019년 데이터보안법, 2021년 개인정보보호법을 제정하며 사이버 공간에서의 영향력을 확장했다. 중국에서 생산된 데이터는 중국 내에만 보존하고, 데이터를 국외로 이전하려면 중국 정부의 허가를 받아야 하며, 중국 내 ‘보안 취약점’을 찾을 경우 중국 정부에만 보고해야 하는 식이다. 보안 취약점이란 아주 간단히 말해, 해킹을 하기 위해 가장 우선적으로 구해야 할 재료라고 볼 수 있다. 중국 정부는 ‘해킹 재료’를 축적하기 위한 법률을 제정한 셈이다. IT 부품과 칩을 만들던 전 세계 기업들의 공장이 중국을 떠나 자국이나 인도, 베트남으로 향하고 있는 데에는 이런 이유가 있다. 반대로 미국이 전자 기기를 통해 정보를 빼가고 있다는 주장도 있다. 앞서 러시아의 정보기관 연방보안국(FSB)은 미국의 감청, 해킹 전문 정보기관 국가안보국(NSA)이 애플과 손잡고 아이폰을 스파이 기기로 활용 중이라고 주장했다. 물론 애플은 부인했다.
디지털 전쟁은 현실이다. 미국은 지난해 한국, 일본, 대만에 ‘반도체 동맹’인 칩4를 제안했다. 이처럼 세계의 공급망은 재편되고 있다. 반도체나 인공지능, 첨단 전투기의 기술 탈취를 위한 해킹 공격이 이어지고 있는 가운데 모두가 서로의 디지털 기기와 부품을 믿지 못하는 것은 당연한 귀결일지 모른다. 보안 문제에는 전 세계 정부의 군 기관과 정보기관, 수사기관이 얽혀 있다. 이들은 민간의 보안업체나 해커 그룹들을 이용해 대리전쟁을 수행하기도 한다.
문제는 그 영향으로 일반 시민들이 피해를 받는다는 점이다. 정부가 지원하는 해커 그룹들이 보안 취약점을 악용해 만든 해킹 툴은 특정 대상에만 작용하는 것이 아니다. 전 세계 국가와 기업, 시민들이 사용하는 디지털 기기와 서비스의 특정 버전에 공통적으로 적용된다. 즉 국가 주도의 고도화된 해킹이 내 컴퓨터에서 벌어질 수도 있다는 것이다. 정보활동의 관점에서 생각해보면 좋은 일이다. 모두가 사용하는 서비스에 숨어 정보를 수집하고 추적하면 훨씬 효율적이기 때문이다.
통신이나 소프트웨어의 취약점을 활용하는 것에서 나아가 아예 기기 설계나 제조 단계에서 수상한 칩을 심어두는 작전도 벌어진다. 이는 더욱 피하기 어렵다. 위에서 언급한 ‘스파이칩’이라고 불리는 쌀알보다 작은 전자칩은 중국 기업이 만드는 스마트폰이나 노트북에 들어갈 수도 있고 충전기, 선풍기, 스피커, TV 등 각종 가전제품에 포함될 수도 있다.
과도한 음모론처럼 들릴 수도 있지만 아니다. 올해 8월, 국내 공공기관이 도입한 중국산 기상장비에서 스파이칩이 발견됐다. 장비의 데이터를 빼갈 뿐만 아니라, 주변의 소리까지 도청할 수 있는 진짜 ‘스파이’였다. 평범한 시민들과는 먼 이야기 아니냐고? 올해 초, 태국에서는 한 시민이 공공장소에 비치된 충전기로 스마트폰을 충전한 후 은행 계좌에서 수백만 원이 인출돼 신고한 사건이 있었다. 수사 결과 해당 충전기에 해킹 칩이 심어져 있다는 사실이 드러났다. 이처럼 평범해 보이는 키보드나 마우스, USB 모두 이런 위험성을 안고 있다. 내 노트북에 연결하기만 하면 키보드나 USB에 삽입된 스파이칩이 별도의 통신 라인을 형성해 공격자의 서버로 노트북의 데이터를 전송할 수 있기 때문이다.
우리의 디지털 기반은 생각만큼 튼튼하지 않다. 민감한 정보를 다루는 기관들은 국가정보원의 보안 인증을 통과한 제품만을 사용한다. 이런 와중에 전 세계는 질세라 디지털 전환을 추진하고 있다. 과연 이것이 올바른 방향인가? 국가 간의 경쟁이라는 틀 아래 시민들의 정보가 당연한 것처럼 희생될 수 있는 상황이다.
물론 정부와 기업은 보안을 위한 제도적, 기술적 조치들을 취하고 있으며 해킹이란 것이 그렇게 쉽게 되는 일도 아니긴 하다. 그러나 100% 안전하다고 판단하기는 이르다. 어떤 위험이 존재하는지 알고, 기본적인 대응은 할 수 있어야 할 것이다. 복잡한 네트워크 연결의 끝자락에 누가 앉아 있는지 우리는 알 수 없다. 알 수 없는 상대의 공격으로부터 나를 보호하기 위해서는 스스로를 지키는 법을 알아야 한다. 이것이 내가 글 서두에 말한, ‘최소한’의 조치를 취하는 이유다.
 
윤상필은 고려대학교 정보보호대학원 연구교수로, 데이터와 사이버보안 및 사이버안보 관련 법제도와 정책을 연구하고 있다. 저서로 <사이버보안 취약점의 법적 규제>가 있다.