“전지전능(全知全能)하신 하느님조차 절대 알 수 없는 세 가지는?”
“서울 시내 교통 상황, 이불 속 사연, 내 컴퓨터와 휴대전화 속 내용.”
변화무쌍한 서울의 교통체증 상황과 성(性) 트러블 때문에 급증하는 이혼 세태, 젊은 세대의 점증하는 사생활보호 욕구를 빗댄 농담이다. 하지만 이 농담도 수정해야 할 때가 왔다. 그중 내 컴퓨터와 휴대전화의 내용은 굳이 하느님이 아니더라도 누구나 알 수 있는 시대가 됐기 때문이다.
‘주간동아’는 최근 등장한 화면해킹 악성코드를 이용해 해킹당한 컴퓨터상의 모든 작업을 해커의 컴퓨터로 훤히 들여다볼 수 있는 충격적인 현장을 목격했다. 화면해킹 악성코드는 해커가 사용자의 컴퓨터에 한 번 설치하면 자신의 컴퓨터에서 사용자의 컴퓨터 화면을 실시간으로 지켜볼 수 있게 만든 소프트웨어 프로그램. 이 악성코드는 e메일 첨부파일, P2P 사이트의 파일, 인맥 구축 사이트의 파일 등에 장착돼 파일을 열거나 다운로드 받는 순간, 사용자의 컴퓨터에 심어진다.
내 정보 쥐락펴락, 하느님과 동격이 된 해커
‘주간동아’와 이 악성코드를 만든 회사가 함께 벌인 해킹 시연에서 한국 금융권의 모든 사이버거래 사이트와 포털사이트의 보안솔루션은 모래성처럼 무너졌다. 해커는 악성코드가 심어진 컴퓨터 사용자의 포털사이트 로그인 아이디와 패스워드, e메일 내용, 주민등록번호, 계좌정보와 인터넷뱅킹 비밀번호, 공인인증서, USB 속 내용까지 모두 파악할 수 있다. 그럼 해커는 인터넷뱅킹을 통해 사용자의 돈을 빼내고, 제멋대로 주식을 판다. 해킹을 당하는 순간 카드는 해커의 것이라고 생각하면 된다. 주식거래통장의 돈도 해커의 통장으로 빠져나가며, 포털사이트의 e메일 내용은 유리알처럼 공개된다.
요즘 주목받고 있는 스마트폰도 예외는 아니다. 모든 정보가 줄줄 새나간다. 모 대학 교수팀이 개발한 ‘트로이 목마’ 바이러스를 스마트폰에 심어놓으면 문자메시지와 각종 정보가 고스란히 해커의 스마트폰으로 옮겨진다. 해킹 악성코드가 심어진 노트북 컴퓨터는 도청기로 돌변한다. 근방 5m 안의 모든 음성이 녹음돼 해커의 컴퓨터로 전송된다. 이렇게 해킹에 사용된 각각의 악성코드와 바이러스는 해킹을 당한 사용자가 절대 알 수 없는 곳에 저장되거나 스스로 삭제돼 들킬 염려가 전혀 없다.
이쯤 되면 한 가지 의문이 생긴다. 사용자 컴퓨터의 모든 것을 볼 수 있다는 화면해킹 악성코드를 이용하면 정부의 홈페이지와 내부망에서 내밀한 정보도 빼낼 수 있지 않을까. 화면해킹 악성코드를 만든 보안업체 관계자는 “각 부처 홈페이지에 담당자의 업무와 연락처, e메일 주소가 모두 노출돼 있기 때문에 누구나 고위 담당자에게 악성코드가 첨부된 e메일을 보낼 수 있다. 물론 e메일과 첨부파일의 제목은 꼭 열어볼 수밖에 없도록 붙여야 한다. 방화벽이 높지 않아 악성코드가 담당자의 컴퓨터에 장착된다면 부처 홈페이지와 내부망을 해킹하지 않고도 고위 관계자가 컴퓨터로 보는 모든 화면을 녹화해 빼낼 수 있다. 부처 e메일이 뚫리지 않는 경우 그 사람이 쓰는 포털사이트의 e메일로 악성코드를 보내면 백발백중”이라고 말한다.
고위 공무원들의 컴퓨터는 유리알
가상의 상황을 설정해 예를 들어보자. 중국 주재 한국대사관에 근무하는 영사 K는 어느 날 자신의 포털사이트 개인 계정으로 한 통의 e메일을 받는다. e메일의 제목은 ‘탈북자입니다. 도와주세요’, 첨부파일의 제목은 ‘기구한 우리 가족의 사연’. 확장자명이 문서파일로 돼 있어 K는 이 파일에 화면해킹 악성코드가 장착돼 있다는 사실을 모른다. 파일 제목도 영사로서 열어보지 않을 수 없는 내용. K가 첨부파일을 다운로드 받는 순간, 자신도 모르게 화면해킹 악성코드가 그의 컴퓨터에 깔린다.
이때부터 해커는 K가 컴퓨터에서 하는 모든 행위와 거기에 담긴 내용을 자신의 컴퓨터로 보면서 녹화한다. 북한과 관련한 극비 문서를 열면 해커는 바로 그 내용을 화면 캡처한다. 중국과의 민감한 외교 현안 문서를 열어도 마찬가지. K가 외교부 홈페이지에 접속하면 아이디와 비밀번호, 공인인증서가 해커의 컴퓨터로 빨려 들어간다. K가 외교부 내부망에 접속해서 하는 모든 행동도 해커의 컴퓨터에 녹화돼 저장된다. K가 금융정보에 접속하면 해커는 모든 개인정보를 알아낸 뒤 사이트에서 계좌를 뒤져 협박할 내용을 찾아낸다.
상상만 해도 무서운 일이지만 실제 화면해킹 악성코드는 이런 위력을 갖고 있다. 만일 여기에 도청해킹 악성코드까지 첨가된다면 피해 상황은 걷잡을 수 없이 커진다. 기자가 보안업체 관계자에게 이런 가상사례를 시연해볼 수 없겠느냐고 요구하자 “감옥에 가고 싶으냐”는 답변이 돌아왔다. 금융보안연구원 관계자는 “정부를 상대로 한 해킹 중 가장 위험한 악성코드가 화면해킹이다. 이에 대한 근본 대책이 필요하다”고 말했다. 그는 또 “국가정보원 국가사이버안전센터가가 1월25일 사이버위기 단계를 ‘정상’에서 ‘관심’으로 상향 조정한 것도 이 때문”이라고 밝혔다.
국가정보원(이하 국정원) 사이버안전센터는 이에 대해 “1월19일부터 해외의 알 수 없는 해킹조직이 우리 정부기관을 대상으로 해킹 e메일을 지속적으로 보내옴에 따라 의심 e메일 열람금지 등 인터넷 사용자 주의 당부와 함께 1월25일 사이버위기 단계를 ‘관심’으로 상향 조정했다. 그런데 최근 공격 양상이 약해져 위기경보를 해제하고 사이버위기 단계를 ‘정상’으로 환원했다”고 밝혔다. 그러면서 국정원은 “앞으로도 모든 공무원은 해킹 의심 e메일의 열람을 금지하는 등 ‘정보보호’ 생활수칙을 지켜달라”고 당부했다.
문제는 각 부처의 공무원이 자신의 이름으로 포털사이트의 개인 블로그를 운영하거나 포털사이트에 e메일 주소를 무심코 노출하는 행위가 다반사로 이뤄진다는 점. 포털사이트의 개인 e메일로 해킹 공격을 해올 경우 사실상 막을 방법이 없다. 그런데도 각 언론사가 운영하는 정무직 고위 공무원의 정보 제공 사이트에는 개인 e메일 주소가 유료로 제공되고 있다. 마음만 먹으면 정부의 기밀을 채가는 것은 시간문제. 한 보안업체 관계자의 말에는 서글픈 우리 사회의 사이버 보안의식이 그대로 투영돼 있다.
“세계 최고의 인터넷 강국이라는 한국의 해킹 보안이 이토록 허술하다는 사실에 가슴 아픕니다. 이제 정부나 금융권이나 해커의 위치에서, 또한 고객과 소비자의 위치에서 해킹 보안에 신경 써야 합니다. 보안업체들이 아우성치면 뭘 합니까. 들으려 하지 않는 것을….”
