이슈

아마존 CEO도 당하는 스마트폰 해킹, 정보 염탐하는 통로가 따로 있다

개인 데이터 익명화, 원하지 않는 정보 보호하는 장치 마련 시급

  • 김돈정 산업기술평가관리원 지식서비스 PD

    입력2020-02-09 10:00:01

  • 글자크기 설정 닫기
    [GettyImages]

    [GettyImages]

    우리는 스마트폰에 익숙한 세상에 살고 있다. 그것이 없었던 시절이 언제였을까 싶을 정도다. 위치기반서비스, 다양한 애플리케이션(앱)을 통해 영어를 못 해도 해외여행을 자유롭게 다니고 일상을 찍어 기록한 뒤 이를 공유하며 즐기고 있다. 동시에 자신도 모르는 사이 사진이 자동으로 유형별로 편집되고, 문자메시지와 전화번호가 클라우드에 동기화되며, 위치가 기록되고, 지식이 저장되고 있다. 스마트폰 하나에 내 모든 일상이 담기는 것이다. 지극히 개인적이고, 또 남들에게 보여주고 싶지 않은 비밀스러운 부분을 포함해서 말이다. 

    시장조사 전문업체 가트너에 따르면 올해만 약 58억 개의 사물이 연결되고, 5G(5세대) 통신과 사물인터넷(IoT)이 결합되며, 자율주행차와 원격의료 등이 현실화되면서 개인정보 데이터가 기하급수적으로 늘어날 전망이다. 게다가 일론 머스크 테슬라 최고경영자(CEO)가 투자한 뉴로링크(Neurolink)는 인간 뇌에 초소형 전극을 삽입해 무선통신으로 사람의 생각 또는 기억을 업로드하거나 다운로드할 수 있도록 관련 기술을 개발하고 있다. 개인의 데이터뿐 아니라 생각까지 컴퓨터에 저장된다면 괜찮을까.

    프라이버시 바이 디자인

    2014년 클라우드 계정이 해킹돼 누드사진이 유출된 할리우드 배우 제니퍼 로렌스(오른쪽)와 배우 주진모의 스마트폰 해킹 피해 사건을 다룬 SBS ‘본격연예 한밤’ 방송 화면. [SBS ‘본격연예 한밤’ 화면 캡처, AP=뉴시스]

    2014년 클라우드 계정이 해킹돼 누드사진이 유출된 할리우드 배우 제니퍼 로렌스(오른쪽)와 배우 주진모의 스마트폰 해킹 피해 사건을 다룬 SBS ‘본격연예 한밤’ 방송 화면. [SBS ‘본격연예 한밤’ 화면 캡처, AP=뉴시스]

    2020년 벽두, 개인정보라는 이름으로 몇 가지 일이 동시에 일어났다. 하나는 연예인 해킹 사건이다. 해커가 연예인들의 스마트폰을 해킹, 사진과 문자메시지를 스마트폰 또는 클라우드로 빼돌린 뒤 이를 빌미로 당사자와 지인들에게 금품을 요구한 것이다. 2014년 할리우드 배우 제니퍼 로렌스의 클라우드 계정이 해킹돼 누드사진이 유출된 사건과 유사하다. 클라우드 서비스는 변경된 데이터를 즉시 백업해주는 편리함으로 이용자가 꾸준히 증가해왔다. 그만큼 수많은 스마트폰 사용자가 쓰고 있어 누구든 해킹 피해자가 될 수 있다. 

    또 다른 하나는 ‘데이터 3법’의 통과다. 개정안에 따라 개인 식별자를 제외한 정보의 활용이 가능해졌다. 이에 산업계는 인공지능(AI), 빅데이터 활용 근거와 새로운 형태의 비즈모델이 나타날 것으로 기대하고 있다. 반면 시민단체는 안전한 통제장치 없이 개인정보에 접근하는 것이라며 우려하고 있다. 

    같은 시각 지구 반대편, 세계 최대 가전쇼 ‘CES(국제전자제품박람회) 2020’에서는 개인정보로 한 차례 홍역을 치른 바 있는 애플, 페이스북, 구글 등 미국 주요 정보기술(IT) 업체들이 개인정보 보호의 중요성을 한목소리로 강조했다. 특히 28년 만에 처음 참여한 애플은 소비자 스스로 데이터를 통제하고 선택할 수 있는 권리를 가져야 한다고 주장하면서 개인 데이터를 익명화하는 ‘프라이버시 바이 디자인’을 소개했다. 



    다른 장소, 다른 내용이지만 개인정보 보호라는 관점에서 동일하다. 연예인 해킹 사건과 관련해 다수의 전문가는 개인의 보안 의식 제고가 필요하다고 진단했다. 웹사이트마다 같은 비밀번호를 쓰거나 개인정보나 일련번호 등 해커가 쉽게 알 수 있는 비밀번호를 사용하는 것이 문제라고 한다. 해결 방안으로는 어려운 비밀번호 생성, 주기적인 변경, 클라우드 이중화 보안체계 설정, 배터리 소모 확인, 의심 문자메시지 열지 않기 등을 제시한다. 이미 8자리 이상 비밀번호에 문자, 숫자, 특수문자의 조합을 요구하고 잦은 변경으로 어느 사이트에 어느 비밀번호를 썼는지 기억하기조차 힘든 지경인데 말이다. 이를 메모장에 기록하면 보안이 더 취약해진다. 그럼 개인만 각별히 주의하면 문제가 생기지 않을까. 

    2주 뒤 또 다른 장면. 제프 베조스 아마존 CEO의 스마트폰 해킹 사건이 영국 일간지 ‘가디언’에 보도됐다. 2018년 무함마드 빈 살만 사우디아라비아 왕세자가 왓츠앱을 통해 백도어(backdoor) 프로그램을 심어 베조스의 아이폰을 해킹한 정보로 사우디 반체제 인사 자말 카슈끄지를 암살했다는 의혹이다. 정확한 해킹 방법은 아직 알 수 없다. 거대 IT 기업의 CEO가 개인정보 보안 의식이 약하다고 보기는 어렵다. 전문가에 따르면 한번 해커의 표적이 되면 보안성을 높여도 해커들이 취약점을 분석해 그 대상이 무엇이든 뚫릴 수밖에 없다고 한다. 언론에서 다루는 사건은 빙산의 일각일 뿐 광범위하게 개인정보가 노출되고 있다. 

    아카마이 테크놀로지스의 ‘2019 인터넷 보안현황’에 따르면 모든 산업에 걸쳐 광범위하게 해킹 공격을 받고 있다. 아이디와 비밀번호 정보를 조합해 여러 사이트에 로그인을 시도하는 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격이 2017년 11월부터 2019년 3월까지 550억 건 발생했다. 해킹은 시스템의 정상적인 기능을 교란해 관리자 권한을 획득하는 행위로, 다양한 방식으로 진화하고 있다. 그중 상대방의 정보를 몰래 들여다보기 위한 기술로 백도어를 많이 사용한다. 백도어가 설치되면 SMS, 주소록, 인터넷 기록, 카메라 촬영, 도청, 위치추적 등 모두 접속이 가능해진다.

    감시 생태계 구축해야

    백도어 설치 수법을 보면 e메일이나 문자메시지에 악성코드를 심기도 하고, 출처를 알 수 없는 앱 설치를 요구하거나 정상적인 앱에 심어 앱 설치 시 서비스와 무관한 기능을 요구하기도 한다. 예를 들어 영어공부 앱에서 주소록이나 사진 사용 권한을 요구한다. 백도어는 소프트웨어회사 또는 제조사가 원격지원을 위해 자체 설치하거나 정부기관의 요구에 의해 만들어지기도 한다. 미국 연방수사국(FBI)은 테러 용의자의 휴대전화 데이터를 조사하고자 애플에 백도어를 만들어달라고 요구하기도 했다. 2016년 미국에 판매된 중국 스마트폰에서 백도어가 발견되기도 했다. 칩 생산 단계에 심어놓으면 찾기는 더더욱 어렵다. 중국의 5G 통신장비에 백도어가 숨겨져 있다는 미국의 우려가 제기되고 있다. 스마트폰으로 집 안의 전자기기들과 자동차를 컨트롤할 정도로 진화하고 있지만 보안성은 아직 취약하기만 하다. 

    해킹은 범죄다. 어두운 밤거리를 다니지 말고 호신용품으로 무장하면 범죄가 예방될 수 있을까. 범죄 예방의 새로운 대안으로 등장한 경찰, 지방자치단체, 주민이 포함된 네트워크와 환경 중심의 ‘범죄예방 환경설계(CEPTED)’ 같은 접근이 필요하다. 과거 신용카드 복제가 급증할 때 의심 가는 매출에 대해 본인 확인 절차를 거쳤던 사례도 참고할 만하다. 해킹을 당한 피해자가 재수 없었다고만 생각해선 안 된다. 범죄에 취약한 환경 개선과 ‘거리의 눈’ 같은 감시 생태계를 구축해야 한다. 위협 데이터를 체계적으로 수집하고 분석해 위협 정보를 공유하는 것도 한 방법이다. 오픈소스 소프트웨어의 경우 개발자들이 서로 소스를 쳐다보고 있어 해커가 취약점을 알기 전 선제 차단이 이뤄지기도 한다. 개인이 만들어낸 다양한 지식은 공유돼야 한다. 이를 기업이 활용해 새로운 지식서비스산업을 만들어내는 것도 현 시대의 과제다. 반면 원하지 않는 개인정보는 철저히 보호돼야 할 것이다.



    댓글 0
    닫기