당신의 ‘사이버’ 외양간은 안전한가요?

당신의 ‘사이버’ 외양간은 안전한가요?

코스타리카 국가 비상사태 선언
2022년 4월, 코스타리카 국가에 비상사태가 선포되었습니다. 강력한 자연재해나 쿠데타 같은 정치적 문제도 아닌 바로 사이버공격 때문이었죠. 러시아 정부와 관련된 사이버 범죄 조직 콘티(Conti)가 코스타리카 재무부를 겨냥한 랜섬웨어 공격을 감행해 코스타리카 전역의 전산망이 중단되었습니다. 이로 인해 코스타리카의 수입, 수출 사업이 마비돼 하루 사이에 수천만 달러의 손실이 발생했습니다. 우리나라에서도 과학기술정보통신부와 한국정보보호산업협회가 진행한‘2021 정보보호 실태조사’보고서에 따르면 기업들 중 해킹으로 인해 55.5%가 경미한 피해를, 26.7%가 매우 심각한 피해를 입었다고 응답했습니다. 개인 역시 악성코드 감염이나 개인정보 유출, 계정도용 등으로 11.4%가 침해사고를 경험한 적이 있었습니다. 이렇게 사이버 해킹은 개인과 기업을 뛰어넘어 한 나라의 운명을 위협하는 존재가 되었습니다.

해커는 OOO이다!
이처럼 기술의 발전과 더불어 더욱 극성을 부리고, 다가올 우주시대에는 거의 치명적으로 온 인류를 위험에 빠뜨릴지도 모를 사이버 해킹을 이제 우리는 좀 더 명확한 시각으로 정의할 필요가 있습니다. 여러분은 해킹을 뭐라고 생각하시나요? 가끔 영화에 해커들이 멋지게 등장하는 장면들 때문에 초등학생들의 꿈이 해커인 경우를 종종 볼 수 있는데요. 해킹이란 단순히 고도의 기술을 통해서 정보를 빼돌리는 것이라고 생각할 수 있지만 사실 이것은 엄연한 도둑질입니다. 도둑질의 근본적인 욕심인, 자신은 노력하지 않고 다른 사람을 속여 열심히 노력한 결과물을 손쉽게 빼앗아 자기 것으로 만들려는 악한 욕망이 바로 해킹의 핵심인 것입니다.

문제는 외양간주인!
해커가 남의 것을 탐내는 엄연한 도둑질이라면 우리가 해야 할 일은 무엇일까요? 옛 속담에 소 잃고 외양간 고친다는 말이 있는데, 도둑이 들기 전에 철저히 외양간을 단속하고 틈을 주지 말아야 하는 것이지요.
‘잉? 비밀번호를 만드는데 영어 대문자와 소문자, 특수기호까지 모두 다 넣어야 한다고? 근데 이걸 3개월~6개월마다 한 번씩 또 바꾸라고?’
어디선가 많이 본 익숙한 광경이지 않나요? 우리의 사이버 외양간을 제대로 만들지 못하도록 하는 첫 번째 걸림돌은‘어떻게든 되겠지’하는 안일함과‘기업에서 알아서 해주겠지’하는 무책임한 게으름입니다.
미국 최대 통신기업인 Verizon은 ‘2021 데이터 침해 조사 보고서’에서 전 세계 해킹의 89%가 취약한 비밀번호로 인해 발생했다고 보고했습니다. 비밀번호 관리 기술 기업 노드패스(NordPass)의 연례 조사에 따르면, 조사 대상 50국가 중 43개국에서 가장 많이 사용된 비밀번호 조합은 ‘123456’인 것으로 나타났습니다. 비단 이런 비밀번호는 아니더라도 유추하기가 너무 쉬운 자신의 이름이나 생일, 가족과 관계된 비밀번호를 선택하는 것은 이것 못지않게 어리석은 일이겠죠?

복잡한 암호는 안전할까?
그렇다면 비밀번호를 최대한 복잡하게 만들면 해킹으로부터 안전할까요? 미안하지만 답은‘글쎄요’입니다. 요즘 대부분의 웹 사이트들은 가입할 때 영어 대·소문자와 숫자, 그리고 특수문자까지 포함된 복잡한 비밀번호를 만들도록 하고 있기는 합니다. 옆 나라 일본은 한술 더 떠서 여기에 전각문자와 반각문자를 구분하는 것까지 사용하도록 하는 이유도 최대한 비밀번호를 복잡하게 설정하여 이러한 취약한 비밀번호를 노린 해킹에 대비하기 위함입니다.

하지만 기술이 점점 더 발전함에 따라, 우리가 아무리 어려운 비밀번호를 설정해도 해커가 고성능 컴퓨터 프로그램으로 아이디와 비밀번호를 무작위 대입하는 등의 자동화된 수법을 이용해 비밀번호를 찾아내는 것은 단 하루도 걸리지 않는다고 하네요. 뿐만 아니라 실제로 해커들은 인터넷 검색만으로도 수천수만 개의 개인 계정 정보를 손쉽게 얻을 수 있다고 합니다. 보안 전문 회사인 Digital Shadows는 2022년 보고서에서 246억 개의 아이디와 비밀번호 조합이 다크웹에서 불법 유통되고 있다고 발표하기도 했습니다. 이런 상황에 개인의 비밀번호가 사이트마다 다 동일하다면 어떻게 될까요? 이 경우 ‘크리덴셜 스터핑’ (한 곳에서 유출된 정보로 다른 곳에서 무작위 대입하는 사이버 공격) 표적이 되기 쉽기에 만약 사이트 하나의 계정정보가 노출되면 내가 가입한 다른 사이트들도 해커의 손바닥 안에 있게 될 것입니다.

비밀번호를 변경하더라도 기억하기 쉽도록 어렵지 않게 하거나 새롭게 바꾸는 비밀번호가 기존 비밀번호와 비슷하다면, 아무리 비밀번호를 변경한들 보안강화 효과가 전혀 없습니다. 캐나다 칼턴대 컴퓨터 과학과 연구진은 비밀번호를 자주 변경하는 것은 해커들의 공격을 약간만 방해할 뿐, 그 효과가 사용자들이 불편함을 감수할 정도는 아니라고 결론을 내렸습니다. 결국은 복잡한 비밀번호가 중요한 것이 아니라, 그것을 꾸준히 새롭게 만들 사용자의 자세가 중요하다는 것이지요. 

외양간에 울타리 여럿 치기
이처럼 믿을 수 없는 비밀번호의 대체방식으로 최근에 다중인증(MFA, Multi Factor Authentication)이 부상하고 있습니다. 보안에서는 인증의 종류를 크게 4가지 기반으로 분류하고 있습니다. 다중 인증이란 다음의 인증방법 중 최소 두 가지 이상의 인증을 거친 사용자에게만 접근을 허용하는 보안기법입니다.

1. 지식기반(what you know) - 사용자만이 유일하게 알고 있는 것을 이용하여 사용자를 확인하는 방법입니다. 대표적인 것으로 비밀번호를 들 수 있습니다. 하지만 반복 재사용으로 인한 노출의 위험이 있고, 추측을 통한 불법 사용에 취약하다는 문제점이 있습니다.

2. 소유기반(what you have) - 사용자가 가지고 있는 것에 의한 인증방법입니다. 우리가 흔히 인터넷뱅킹을 할 때 사용하는 인증서나 OTP(One Time Password), 스마트폰 인증이 바로 소유기반인증방법입니다. 소유만으로 인증이 가능하여 만약 사용자가 이를 분실할 경우 바로 인증의 역할을 하지 못하기에 지식기반 인증과 함께 사용하여 취약점을 보완하고 있습니다.

3. 존재기반(what you are) - 사용자 주체를 나타내는 특징에 기반을 두어 인증하는 것으로, 지문이나 홍채 인증 등이 있습니다. 위변조가 어려워 보안성이 우수하지만 신체의 특징을 어딘가에 저장하는 것이기에 사용자의 거부감이 존재할 수 있습니다. 그리고 혹시라도 유출이 될 경우 변경이 불가능한 단점도 있습니다. 톰크루즈가 주연으로 나왔던, 2054년을 배경으로 하는 영화 ‘마이너리티 리포트’ (2002)에서 바로 이 홍채인증을 도용하는 장면이 나오죠. 설마 먼 미래에 실제로 이런 일이 가능해질까요?

4. 행위기반(what you do) - 주체가 하는 행동을 기반으로 인증하는 방법으로 걸음걸이나 서명 등이 있으며, 현재 접속을 시도하는 위치에 따른 인증도 이 분류에 속합니다. 네이버 등의 사이트에서 해외로그인을 차단하도록 설정하는 것이 일종의 행위기반보안방식이라고 볼 수 있습니다.

다음(카카오), 네이버, 구글, 애플 등 우리가 오늘날 사용하는 주요 서비스는 대부분 로그인시 2단계 인증기능을 제공하고 있습니다. 비밀번호를 입력하여 로그인을 시도하더라도 사용자가 사전에 등록해놓은 이메일이나 스마트폰으로 한 번 더 본인이 맞는지 확인하는 이 과정이 바로 지식기반과 소유기반 보안방식을 동시에 사용한 다중인증의 실례입니다. 물론 매번 로그인을 할 때마다 이렇게 이중인증을 하는 것은 사용자가 매우 번거로울 수 있기에 본인이 맞다고 확신할 수 있는 기기나 브라우저에 한해서는 더 이상 물어보지 않고 로그인을 허용하도록 서비스를 하고 있지요. 가끔 새로운 환경에서 로그인을 시도할 때 이러한 2단계 인증을 도대체 왜 하는 건지 귀찮게 느낀 적이 있나요? 조금 다르게 생각해보면 누군가 내 아이디와 비밀번호로 몰래 로그인을 할 때 나에게 2단계 인증 알림이 온다면 바로 비밀번호가 도용되었음을 알고 정보를 변경할 수 있는 기회가 될 수 있을 것입니다. 

진짜 지켜야 할 것
하지만 앞으로 이런 노력들도 무기력하게 만들 해킹 기술들이 만들어질 가능성이 얼마든지 있다는 것을 chat GPT의 등장 등을 통해 충분히 예상할 수 있습니다. 그러기에 더욱 중요한 것은 기술의 발전 뒤에 있는 인간의 욕망을 근본적으로 살피고 개인과 사회전체가 함께 만들어갈 문화와, 서로 주고받을 영향을 고민하고 형성해가는 것입니다. 

전 세계에서 해킹을 가장 많이 하는 대표적인 국가들은 우리가 잘 알듯이 러시아와 중국, 그리고 북한입니다. 돈이 전부인 것처럼 보이는 자본주의 국가에서 해킹을 많이 할 것 같지만 사회공산주의 국가에서 해킹을 더 많이 하고 있는 것은 왜일까요? 결국은 다른 사람의 노력이나 그 결과물을 귀하게 생각하지 않고 아무렇게나 빼앗으면 된다는 물질주의적인, 눈에 보이지 않는 가치들은 전부 무시한 채 눈에 보이는 물질이 전부라고 생각하는 그 사회사상 속에서 출발한 발상이기 때문입니다. 비단 해킹뿐 아니라 타인의 창작물에 관한 노력과 그 저작권은 전혀 생각하지 않고 손쉽게 남의 것을 도용해서 쓰려는 이런 태도 역시 결코 가볍게 넘어갈 문제가 아닙니다. 궁극적으로 한 시대를 같이 살아가는 타인에 대한 태도, 그리고 다른 사람의 노력에 대해 깊이 이해하고 그것을 귀하게 여기며 그에 맞는 정당한 가치를 부여하고 존중해주는 문화와 사회 분위기를 함께 만들어가려고 다 같이 노력하는 것이 정말 필요하지 않을까요? 

 

 

경기도 군포시 이송아

 

이 글은 <행복한 동네문화 이야기 제161호>에 실려 있습니다.

 

 

< 행복한동네문화이야기 >는 

• '지역적 동네'뿐 아니라 '영역적 동네'로 확장하여 각각의 영역 속에 모여 사는 수많은 사람들의 다양한 스토리와 그 속에서 형성되는 새로운 문명, 문화현상들을 동정적이고 창조적 비평과 함께 독자들에게 소개하는 국내 유일한 동네신문입니다.
• 일체의 광고를 싣지 않으며, 이 신문을 읽는 분들의 구좌제와 후원을 통해 발행되는 여러분의 동네신문입니다.

정기구독을 신청하시면  매월 댁으로 발송해드립니다.
    연락처 : 편집장 김미경 010-8781-6874
    1 구좌 : 2만원(1년동안 신문을 구독하실 수 있습니다.)
    예금주 : 김미경(동네신문)
    계   좌 : 국민은행 639001-01-509699