상세 컨텐츠

본문 제목

[ACT! 95호 학습소설] (6) 당신의 흔적들 : 사물인터넷(IoT) 시대의 보안이란

전체 기사보기/ACT! 학습소설

by acteditor 2015. 10. 27. 21:00

본문

[ACT! 95호 학습소설 2015.11.15]


ACT! 학습소설 (6) - 당신의 흔적들 : 사물인터넷(IOT) 시대의 보안이란



주일 (창작자)





▲ 정보기관의 홈페이지엔 주소가 없다.



 사람들은 분노했다. 사회의 질서를 파괴하고 국가를 뒤흔들려는 불순한 세력과 보이지 않는 곳에서 싸워야 할 국가정보기관이 일반 시민과 정부의 정책에 반대하는 이들을 감시하는 것도 모자라 여론을 조작하려 했다는 사실에. 사람들은 분통을 터뜨리며 국가기관과 정부와 정치인들의 반성을 촉구하며 책임자 처벌을 요구했지만 늘 그렇듯, 제대로 밝혀진 건 없었다. 21세기 초, 아시아의 어느 나라에서 벌어진 일이었다. 지금은 아무도 기억하지 못하고 날마다 연속으로 터지는 사건들에 묻혀 잊혀졌지만 시작은 꽤나 심각했다. 

 국가정보기관인 I기관의 방첩 업무를 담당하는 직원 중 하나가 대선을 앞두고 유력 야권 후보를 비방하는 댓글을 여기저기에 남겼다. 처음에는 정책을 비난하는 수준의 평이한 댓글이었지만 갈수록 내용은 심각해져서 정치인에겐 치명적일 정도의 악의적 소문으로 변신했으며 꽤 전문적인 손길이 들어간 패러디 사진까지 곁들여져 장난이나 개인 차원의 일이라고 생각하긴 어려운 지경에 이르렀다. 처음에는 찻잔 속 태풍이었다. 그도 그럴 것이 여러 커뮤니티 게시판에 열심히 도배를 해도 워낙 황당한 내용 때문에 다들 무시하기 일쑤였기 때문이다. 하지만 유사한 행태를 보이는 계정이 여럿 등장하고, SNS에서 엄청난 영향력을 갖고 있는 친정부 인사 몇 명이 그들을 인용하자 양상이 완전히 뒤바뀌었다. 모두들 그들의 의견에 가치를 부여하기 시작했다. 찬성이든 반대든 일단 I기관 직원의 글을 언급한 것만으로도 유력 야권 후보는 손해를 보는 게 당연하지 않나. 악성 루머가 언론 도마에 오르고, 언론에서 다뤘다는 ‘사실’ 자체가 ‘진실’이 되어 다시 사람들의 입과 모니터 위를 떠도는 무한동력기관. 이런 일련의 과정은 대선 당일 투표 마감시간까지 이어졌고, 여당 후보의 당선이 확실시되는 순간, 신기하게도, 한꺼번에 사라졌다.

 10년 뒤 정권이 야당으로 넘어간 뒤에야 이 모든 일은 뉴스가 되었고 사건이 되었고 범죄가 되었다. 공소시효 때문에 합당한 처벌을 받은 사람은 없었지만 적어도 야당이 된 사건 당시 여당의 도덕성은 흠집을 입었다. 황당하게도 진실이 밝혀진 이유는 아주 사소했다. I기관 직원이 남긴 문장의 몇몇 표현기법이 공적 업무를 볼 때 생산했던 문장의 패턴과 유사하다는 누군가의 제보 때문에 수사가 시작된 것이다. 필적 감정을 하듯, 표절논문을 찾아내듯, 첨단 기술의 도움을 받아 밝혀낸 사실은 놀라웠다. I기관이 조직적으로 수 천 건의 루머를 생산해서 근무시간과 여가시간을 가리지 않고 인터넷에서 대량의 글을 생산하고 유통했던 것이다. 최종 책임자는 밝히지 못했지만 I기관의 적지 않은 직원들이 자신의 업무와 관련이 없는 비방글을 올렸다는 사실이 낱낱이 밝혀짐으로써 이 모든 일은 종결되었다.

 아니, 적어도 그렇게 보이는 듯 했다.





국가 공무원 보안 연수 1강 : 사회공학적 해킹


 강의실 분위기는 엄숙했다. 그도 그럴 것이 국가 최고의 정보 기관인 I기관의 비IT분야 신규 채용자들이 첫 교육을 듣는 자리였기 때문이다. 조교쯤으로 보이는 선배 직원의 대략적인 안내가 끝난 뒤 날카롭게 생긴 작은 체구의 남자가 강단에 올라섰다. 자기 소개라도 할 줄 알았건만 곧바로 본론으로 들어갔다.

 “여러분도 결국 스파이입니다. 이쪽에 서면 정보기관의 요원이고, 저쪽에 서면 스파이나 간첩입니다. 일단 이쪽에 섰으니 여러분은 국가와 사회의 질서와 안녕을 위한 정의로운 스파이쯤 되겠죠. 스파이의 최고 미덕은 무엇일까요. 전투력? 첩보기술? 정보를 얻을 수 있는 친화력? 아닙니다. 스파이는 모름지기 어떠한 정보도 누설해서는 안됩니다. 즉 보안이 최고의 미덕입니다. 아무리 열심히 적국 테러리스트의 정보를 얻어내면 뭐합니까. 우리 안에 침투한 스파이가 더 중요한 정보를 빼돌리고 있는데요. 아무리 열심히 반사회세력을 감시하면 뭐합니까. 누군가 우리의 동향을 손금보듯 고스란히 들여다 보며 역정보를 흘린다면요. 여러분은 배갯머리송사란 말을 아십니까? 잠자리에서 배우자에게 은밀하게 원하는 바를 전달하는 걸 의미하는 말입니다만, 수많은 비밀들이 침대 위에서 유출되었던 수많은 역사 속 사례를 떠올려 보시면 이 얼마나 무서운 말인지 알 수 있을 것입니다. 가장 가까운 사람에게조차 모든 걸 털어놓지 못하고 의심하며 사는 게 비인간적이고 답답해 보일 수는 있겠으나 정보를 취급하는 여러분에게는 절대로 과잉이 아닙니다. 여러분이 유출한 정보 하나에 국가가 흔들리고 사회가 혼란에 빠질 수 있다는 사실, 잊지 마십시오.”

 강사가 내뱉은 건 얼핏 평범한 내용의 말 뿐이지만 강의실은 정적을 넘어 진공의 상태로 바뀌어갔다. 아주 간단한 원칙임에도 불구하고 그 말들에 담긴 무게감이 지금 자신들이 있는 곳이 어디인가를 일깨워준 탓이리라.    

 “유명한 해킹 사례 중에 스턱스넷(Stuxnet) 바이러스 얘기를 해볼까요. 컴퓨터 바이러스나 악성 코드들은 프로그램과 시스템의 헛점을 이용해서 침투합니다. 보안이 허술한 구멍을 찾아 그곳을 공격하고, 침투에 성공한 뒤에는 자신이 관리자인양 원하는 목표물을 찾아 돌아다닙니다. 이 과정에서 자신의 흔적을 지우는 건 기본이고, 당장 원하는 목표물에 접근하지 못하거나 원하는 결과를 이끌어내지 못했을 경우에는 잠복기의 바이러스처럼 가만히 웅크리고 때를 기다립니다. 그러다 목표물이 온라인 상태로 전환되면, 뱅! 곧바로 끝나는 거죠. 스턱스넷 바이러스가 유명한 이유는 하필 핵시설을 포함한 산업기반시설을 공격하도록 설계되었기 때문이고, 다양한 변종이 파생되었기 때문이고, 장기간의 잠복기동안 아무런 활동없이 기다릴 줄 알았다는 점 때문입니다. 만약 스턱스넷 바이러스를 만든 세력이 더욱 과격한 목적을 갖고 핵발전소를 공격했다면 전세계의 수백 개의 핵발전소가 일시에 핵폭탄으로 변하는 끔찍한 일이 벌어질 수도 있던 것이죠. 무엇보다 무서운 건 대부분의 컴퓨터에 깔려 있는 운영체제인 마이크로소프트 윈도우의 취약점을 이용해 침투했다는 것인데요 수많은 컴퓨터 중에 한 대만 인터넷에 연결되어 있었어도 감염될 수밖에 없는 필연적 약점을 갖고 있던 것이죠. ”

 한 학생이 손을 들고 질문을 했다.

 “그런데 국가가 관리하는 중요 시설들은 대부분 외부 인터넷과는 단절되어 있지 않나요? 내부적으로는 네트워크가 구축되어 있어도 시스템이 직접 외부와 연결되는 일은 없는 게 원칙이라고 알고 있는데요?”

 갑작스러운 학생의 질문에 말이 끊겨 기분이 나빴을 만도 하지만 강사는 오히려 기쁜 표정을 지으며 대꾸해주었다.

 “맞습니다. 발전소를 포함한 주요 국가기관은 외부 인터넷망과 오프라인 상태입니다. 인터넷과 연결되었다는 건 해커들이 언제든 침투할 수 있다는 말이고, 시스템을 저녁 밥상에 고스란히 올려둔 뒤 ‘드세요~’라고 말하는 것과 다름이 없습니다. 굳이 국가 차원의 시설이 아니라도 대부분의 기업들은 중요 시스템을 외부 전산망과 차단한 채 운영하고 있습니다. 또 업무에 불필요한 특정 사이트나 서비스의 IP를 차단하여 애초부터 문제가 될 소지를 막고 있기도 합니다. 하지만 외부 연결만 끊으면 모든 게 해결된다는 생각이야 말로 오만한 생각입니다.  

 강사는 전자칠판에 ‘사회공학적 해킹’이란 낱말을 적었다.

 “외부 인터넷과 연결되어 있지 않다면 악성 코드에 감염될 확률은 0입니다. 운영체제와 각종 소프트웨어, 또는 하드웨어에 내장된 반도체에 내장되어 출시되지 않는 이상 오프라인 상태의 컴퓨터까지 감염시킬 수 있는 기술은 아직은 나오지 않았습니다. 언젠가는 원격으로 자기장이나 전파를 발사해서 원하는 디스크에 데이터를 전송할 수 있을 진 모르지만, 적어도 현재까진 그런 기술이 보급되었단 소식은 들은 바 없습니다. 그런데 대부분의 사람들이 간과하는 건 컴퓨터나 프로그램을 다루는 건 결국 사람이라는 점입니다. 해커가 시스템의 취약지점을 공략하듯, 사회공학적 해킹은 시스템에 접근할 수 있는 사람의 약점을 공략합니다. 게임을 좋아하는 직원이 악성 코드에 감염된 게임을 자신의 휴대폰에 설치했는데, 어쩌다가 휴대폰을 충전하려고 회사 컴퓨터에 연결하면? 게임 끝이죠. 또 공짜면 사족을 못 쓰는 직원이 어떤 세미나에 참석해서 USB메모리를 기념품으로 받았는데 거기에 악성 코드가 설치되어 있었다면? 게임 셋. 결국 사람이 답입니다. 사람을 이해하지 못하고 사람의 심리를 이해하지 못한다면 어떤 첨단기술을 이용해서 철벽을 치더라도 언젠간 뚫리게 되어 있습니다.”

 그렇게 한 시간 동안 정보화 시대의 보안에 대한 열강이 이어졌다. 초반의 진공 상태는 해제되었는지 신입 직원들은 슬슬 몸을 움직이기 시작했고 집중력이 떨어졌는지 한 번씩 휴대폰을 꺼내 시간을 확인하는 사람도 보였다.

 “마지막으로... 오늘 강의 전에 보안팀 선배님께서 주의사항을 전달했는데 기억하시는 분.”

 수백 대 일의 경쟁률을 뚫고 채용된 직원들답게 열심히 손을 들고 갖가지 주의사항을 읊기 시작했다.

 “좋습니다. 역시 엘리트들답네요. 수업 중 스마트폰을 꺼두란 말도 기억하시죠?”

 “네!”

 우렁찬 대답소리가 들렸다. 그러자,

 “제가 강의 시작 전에 휴대폰의 핫스팟 기능을 켰습니다. 일종의 공유기를 켠 셈이죠. 우리 회사 건물 내에서는 인터넷 접속이 어려운 건 다들 알고 계시죠? 그래서 일부터 접속하라고 열어두었습니다. 그리고 해킹 프로그램을 구동시켰습니다. 인터넷 접속을 위해 제 휴대폰에 접속한 사람들을 감염시키는 프로그램입니다.”

 신입들은 웅성거리기 시작했다. 이게 대체 무슨 소리지, 어떻게 돌아가고 있는 거야...

 “지금까지 강의 시간 중에 휴대폰을 켜둔 분들은 한 번 화면을 켜보세요.”

 스무 명의 신입 직원 중 다섯 명이 주머니나 가방에서 휴대폰을 꺼내 화면을 확인했다. 화면 잠금을 풀자 아주 커다란 두 글자가 번쩍거렸다. ‘탈락’

 “지금 탈락이란 메시지를 받은 분들은 두 가지 이유 때문에 연수를 끝마치지 못하게 되었습니다. 첫째, 주의사항을 따르지 않았다. 우리 회사에서 명령 불복종이라뇨. 있을 수 없는 일이죠. 둘째, 공짜 인터넷의 유혹에 쉽게 넘어갔다. 보안 의식이 이렇게 희박해선 정보 기관에서 일할 자격이 없습니다. 총 다섯 분이죠? 지금 바로 짐싸서 건물 밖으로 나가주세요.”

 당황한 다섯 명을 앞에 두고 강사는 무표정한 얼굴로 인사를 했다.

 “오늘의 강의는 여기서 마치겠습니다.” 




▲ 출처 : https://www.flickr.com/photos/brianklug/7016111651



국가 공무원 보안 연수 2강 : 메타데이터, 로그데이터, 빅데이터


 강의실에는 열 다섯 명의 신입 직원들이 세 줄로 나눠 앉아 있었다. 당연하게도 그 누구도 휴대폰을 켜두지 않았다. 강의실 앞에 걸려 있는 시계 바늘이 1시 정각을 가리키자 보안 강사가 문을 열고 들어왔다. 문고리를 잡고 시계를 보다가 들어와도 이보다 더 정확할 수는 없을 것 같은 시차를 두고. 강사는 대뜸 ‘QUIZ’란 글자를 칠판에 적었다.

 “헨젤과 그레텔이 숲속에서 길을 잃었다가 어떻게 집에 돌아왔는지 아는 분?”

 공무원 시험용 암기에 익숙해진 미생들은 말없이 앉아 서로의 눈치만 살폈다. 강사는 예상했다는 듯 금새 고개를 돌려 동화 속 한 장면을 스크린에 뿌렸다.

 “부모가 남매를 버리기 위해 깊은 숲속으로 데려갈 때 작은 돌맹이를 길에 흘리며 걸어간 덕분에 무사히 집을 찾아 왔다고 합니다. 오늘의 강의 주제는 흔적입니다. 여러분은 누구나 살아있는 것만으로도 매일 끊임없이 흔적을 남기고 다닙니다. 온라인에서도 마찬가지로, 여러분이 클릭하며 남긴 흔적을 거슬러 올라가다 보면 결국에는 여러분이 누구인지 알아낼 수 있고 무엇을 하고 다니는지 찾아낼 수 있습니다. 여러분처럼 정보를 다루는 일을 하는 사람이라면 흔적을 찾는 것도, 남기지 않는 것도 모두 중요하게 생각해야만 합니다.”

 책상 사이 통로를 걷던 강사가 강단으로 돌아가서 교재를 한 장 넘기자 신입 직원들도 일제히 넘겼다.

 “메타데이터.”

 중요하다는 점을 강조하듯 강사는 잠시 말을 끊었다.

 “메타(meta)란 말에서 알 수 있듯, 메타데이터는 데이터에 대한 데이터입니다. 사진을 예로 들겠습니다. 여러분이 갖고 있는 스마트폰으로 한 장의 사진을 찍으면 그 순간 갖가지 메타데이터가 생성됩니다. 파일명, 카메라 기종, 촬영시간, 촬영위치, 해상도, 초점거리, 조리계와 셔터스피드값, 색상 영역 등... 평소엔 확인하기 힘든 갖가지 메타데이터가 ‘IMG001.JPG’란 그림 파일 내에 삽입됩니다. 음악, 동영상, 문서 등 모든 형태의 파일들도 마찬가지입니다. 전세계에서 매일 생성되는 방대한 양의 데이터 이외에도 동시에 생성된 메타데이터가 모(母)파일을 따라 옮겨 다닙니다. 물론 전문프로그램을 사용하면 메타데이터를 지우거나 변조할 수도 있지만 그건 예외니까 일단 제외. 하나의 파일을 입수하면 파일 속 내용보다 더 많은 정보가 딸려 오는 셈입니다.”

 이전 수업과는 다르게 신입 직원들은 강사의 말을 열심히 받아 적었고, 하나라도 놓치지 않기 위해 모든 집중력을 발휘했다. 그와 동시에 자신만은 끝까지 탈락 메시지를 받아선 안된다는 일념으로 찰나의 방심도 허용하지 않았다.

 “몇 년 전에 마이크로소프트사에서 포토신스(Photosynth)란 서비스를 출시했습니다. 전세계 이용자들이 찍은 사진을 짜깁기하여 입체적인 풍경 사진을 만드는 것이 목표였죠. 이전까지도 구글어스 같은 서비스를 통하면 유명 랜드마크 건물들의 3차원 사진을 볼 수 있긴 했지만 전문가들이 설계 프로그램으로 직접 그리던가 아니면 사진 입히기(매핑 mapping)를 통해 구현했기 때문에 현실감이 떨어졌는데, 관광객을 포함한 수많은 사람들이 다양한 각도에서 촬영한 사진을 교묘히 짜깁기하니 3D로 모델링한 것보다 훨씬 실감나는 공간이 복제되었죠. 또 IT 기업의 대표주자 구글은 한 발 더 나아가 전세계 이용자들에게 무료로 사진 저장 공간을 제공하며 사진과 메타데이터를 수집한 뒤에, 사진에 담긴 데이터를 바탕으로 전세계의 시각정보와 위치정보를 모으고 있습니다. 가령 누군가 위치 정보를 삭제한 채 사진을 올리더라도 다른 이용자가 올린 유사한 형태의 사진과 비교하여 해당 사진의 위치를 제안하고 파일에 심어주고 있기까지 합니다. 아마 충분한 사진만 모인다면 시간대별로 달라진 풍경까지 판별할 수 있겠죠. 무섭기까지 한 이런 움직임은 메타데이터를 이용한 거대한 움직임의 시작에 불과합니다. 특히 컴퓨터와 인터넷을 사용하는 이용자들의 모든 움직임을 기록한 로그데이터(log data)(*주1)까지 결합되면 파일 형태로 기록되고 유통되고 저장되는 모든 데이터는 감시와 수사의 좋은 자료로 사용할 수 있을 것입니다. 어쩌면 데이터를 생성한 사람이 알고 있고 의도한 것보다 더 많은 정보를 우리에게 알려줄 지도 모릅니다.” 

 신입 직원들은 낯설고 엄청난 이야기를 들으면서도 한편으로는 엉뚱한 의문을 품기 시작했다. 저렇게 엄격하고 전문적인 사람은 과연 온라인이든 오프라인이든 자신의 흔적을 남길까. 우리가 상대해야 하는 사람은 저런 사람이 아닐까. 그렇다면 나는, 과연 이 일을 잘 할 수 있을까. 이런 잡념들이 짧은 침묵 사이사이마다 싹트기 시작했다. 

 “더 재미있는 건 이겁니다.”

 처음으로 강사가 미소를 띈 채 입을 열었다.

 “요즘같이 인터넷이 온 세상을 연결하고 SNS가 사람들 사이를 이어주는 시대에는, 우리가 힘들여서 무엇을 캐내고 뒤질 필요가 없어졌습니다. 왜냐하면 사람들이 자발적으로 자신의 정보를 훼이스북에 올리고 있기 때문이죠. 혹시 여기서 소개팅 나가기 전에 상대방의 SNS 페이지를 뒤져본 적 있는 분...이 있어도 아무도 손을 들지 않으시겠죠. 상대가 좋아하는 책, 영화, 음악을 비롯해서 언제 여행을 갔었고 누구와 친구 사이인지도 알 수 있는 SNS야말로 우리 같은 정보처리 직종 사람들을 위한 종합선물세트가 아닐까요?”

 강사는 유쾌하게 웃었고, 마주 앉아 있는 직원들도 함께 따라 웃었다.

 “몇 년 전부터 각광받고 있는 빅데이터 기술을 이용하면 이런 사소하고 정리되어 있지 않은 데이터들조차 값지고 유용한 보물로 바꿀 수 있습니다. 빅데이터 기반 수사 기법은 나눠드린 자료를 참고하시기 바랍니다.”

 한 시간 가량의 강의가 끝났다. 신입 직원들은 표현은 안 했지만 아무도 탈락되지 않은 것에 대해 감사하는 마음을 품기 시작했다. 그런데,

 “아, 한 가지 빠뜨렸네요. 인스타구람에 올라온 yeahyeah님의 사진입니다. 도서관에서 공부하다가 찍은 사진이 많네요. 자신을 응원하는 글귀, 친구가 사다준 음료수... 또 국가정보적격성검사 수험서 표지가 보이는군요. 아마 이 사진을 본 사람이라면 이 계정의 주인공이 I기관 시험을 준비한다는 것을 알 수 있겠죠? 그리고 몇 달 뒤 등장한 합격통지서. 많은 정보는 가려졌지만 아마도 I기관에 합격했으리란 건 누구나 알 수 있을 것 같네요. 그리고 어제 올린 이 사진.”

 화면에는 한 젊은 여성이 정장을 입고 정체 모를 건물 앞에서 찍은 사진이 나타났다.

 “첫 출근하는 날,이라... 기념할 만하죠. 제가 이 사진의 메타데이터를 열어 보겠습니다. 숫자로 된 좌표가 보이시죠? 이걸 지도앱으로 떨어뜨리면...”

 화면 속 지도에 커다란 핀 하나가 툭 떨어졌다. 온통 숲으로 둘러싸인 지역이었다. 

 “보안이 중요한 대다수의 국가기관은 지도에 나오지 않습니다. 대부분 숲으로 위장되어 있죠. 하지만 GPS 좌표는 속일 수가 없습니다. 사진 속 좌표는 바로 이곳입니다. 우리 회사 정문을 통과하기 전에 찍으셨네요.”

 인스타구람 화면을 대형화면에 띄울 때부터 안절부절못하던 한 직원이 고개를 푹 숙였다.

 “제가 만약 대한민국의 주적국가의 정보요원이라면, 그래서 우리 회사에 침투하고 싶으면 어떻게 했을까요. 아마 yeahyeah님에게 제일 먼저 접근하지 않았을까요?”

 화면에 웃는 얼굴이 떠 있는 직원은 여전히 고개를 숙이고 있었다. 기적을 바라고 있는 것일까. 

 “오늘의 숙제입니다. 여러분의 모든 SNS 계정을 폐쇄하고 데이터를 남김없이 삭제하세요.”

 혹시 소원이 이뤄진 것일까. 잠시 침묵이 이어졌다. 하지만 온 우주에 전해진 간절함에도 불구하고, 결국 소원은 이뤄지지 않았다.

 “그리고 yeahyeah님은 지금 바로 짐을 싸서 건물 밖으로 나가주세요.”




▲ 헨젤은 떨어뜨린 돌맹이를 따라 집을 찾아왔다



국가 공무원 보안 연수 3강 : 사물인터넷

  

 이틀간 보안 강좌 이외의 연수도 받았고 주변 동료들과 얼굴도 익혔기 때문에 조금은 편안해졌을 만도 하지만 여전히 강의실의 분위기는 무거웠다. 바로 10분 전에 한 직원이 해고를 당했기 때문이다. 이유는 간단했다. 십 년 전에 가입한 싸이누리 계정이 삭제되지 않은 채 보안팀 검색에 발각되었기 때문이다. 언제 어디서 무슨 이유로 해고될 지도 모른다는 공포감은 국가 최고 엘리트란 자부심을 갖고 있던 I기관의 신입 직원들에게 족쇄가 되었다. 한 직원의 머릿속에서는 아침에 지각하지 않기 위해 탔던 택시의 기도하는 천사 장식품이 지워지질 않았다. ‘오늘도 무사히’

 강사가 들어왔다. 손에 무언가 들고 있었다.

 “오늘 아침은 아주 기분이 좋습니다.”

 다들 어리둥절했다. 냉혈한으로만 보이던 보안 강사가 왜 저런지 알 도리가 없었기 때문이다.

 “여러분이 점점 우리 회사에 적합한 직원이 되어 가고 있다는 것이 느껴집니다.”

 여전히 영문을 모르겠다는 표정을 하고 있는 직원들.

 “제가 휴게실에 설치했던 이 USB 충전 허브를 몇 명의 직원들이 사용했을까요?”

 답을 바라고 던진 질문 같지는 않았다.

 “0명입니다. 여러분들 중 아무도 휴대폰을 충전하기 위해 정체불명의 충전기를 이용하지 않았다는 사실이 전 너무 뿌듯합니다. 이제서야 여러분이 정보기관 요원처럼 느껴집니다.”

 강사는 충전기를 탁자에 내려 놓았다.

 “이 충전 허브는 중국의 X모 기업의 제품입니다. 가격은 저렴하지만 IT 선진국 제품에 비해 전혀 성능이 뒤떨어지지 않는 이 제품은 아쉽게도 기판에 박힌 메모리에 백도어가 깔려 있어 미국과 일본 등의 국가에서는 수입 금지 품목이 되기도 했습니다. 백도어가 뭔지 아는 분?”

 “백도어는 일종의 해킹 프로그램으로 백도어가 삽입된 원래의 프로그램이나 시스템의 작동에는 영향을 미치지 않으면서도 필요할 때엔 언제든 해커가 접근해서 데이터를 빼내거나 파괴할 수 있게 도와주는 일을 합니다.”

 맨 뒤에 있던 젊은 직원이 씩씩하게 대답을 했다. 나머지 직원들은 그에게 감탄하기 보다는 퇴근길에 서점에 들러 보안 기술 서적을 사야겠다고 마음을 먹었다. 강사는 또다시 미소를 지으며 말을 이어갔다.

 “맞습니다. 백도어는 일종의 기생충과 같습니다. 숙주의 생명엔 지장이 없게 가만히 있다가 필요할 땐 통로를 지나는 모든 데이터를 감염시킬 수도 있고, 특정 상황이 되면 숙주를 조종하여 자기 파괴까지 하게 만드는 연가시처럼 무서운 기생충이죠. 트로이의 목마 같은 비유는 너무 낭만적일 정도로 백도어는 무서운 프로그램입니다. 만약 여러분이 휴대폰을 충전하려는 마음에 공공장소에 설치된 아무 충전기를 이용했다가는, 자신도 모르는 새에 좀비폰, 좀비PC의 소유자가 될 수 있는 겁니다.”

 곧이어 강사는 전자칠판에 ‘IOT’라고 적었다.

 “IOT, 즉 Internet of Things는 사물인터넷이라고 부릅니다. 간단히 말하면 모든 것이 인터넷에 연결되어 있다는 이야기지요. 예전같으면 인터넷과 전혀 상관이 없었을 체중계, 전기밥솥, 냉장고, 자동차, 줄넘기, 변기, 거울, 속옷까지 와이파이, 블루투스, NFC 등 어떤 형태로든 인터넷 망에 연결되어 있는 상태를 말합니다. 전기를 공급해주는 게 기능의 전부일 것 같은 충전기에도 프로그램이 설치될 수 있는데 다리미*에는 못 설치할까요. 인터넷에 연결된 순간, 모든 정보는 해커의 먹잇감이라는 건 이제 다들 아실 거라 생각합니다.”

 강의실 앞 대형스크린에는 백도어가 설치된 것으로 밝혀진 많은 제품들이 잠깐씩 스치고 지나갔다. 

 “물론 편하자고 도입한 사물인터넷일 겁니다. 편하죠. 모든 활동이 기록되고 다른 활동을 위한 기반 데이터로 활용할 수 있다면 수많은 비용과 시간이 절약될 것입니다. 건강을 관리하거나 나쁜 습관을 고치는 등 예전에 하기 힘든 일들을 여러 장치의 도움으로 쉽게 해결할 수 있는 건 분명 문명의 혜택일 지도 모릅니다.”

 스크린에는 유명한 전자제품 회사들의 제품들이 흘러가기 시작했다. 텔레비전, 스마트폰, 시계 등...

 “또한 우리 같은 정보처리 직종 사람들에게도 굴러 들어온 복이죠. 스마트TV에 설치된 음성인식 장치는 사용자의 음성 데이터를 축적합니다. 좀 더 높은 인식률을 위해 많은 데이터를 수집하는 거죠. 그말은 특정인의 평소 발언을 수집하려면 스마트TV와 스마트폰에 쌓인 데이터에 접근하면 된다는 겁니다. 서비스 제공사들은 수집된 데이터는 철저한 보안 속에 저장되고 있으며 어떠한 경우에도 생성한 사람을 특정할 만한 식별정보를 담고 있지 않다고 말하고 있지만, 그런 건 의미가 없습니다. 국가안보와 사회질서를 위해서는 언제든 열어볼 수 있는 게 우리 기관이니까요. 메신저와 문자메시지 등 각종 대화 내용에 접근하는 건 굳이 말하지 않아도 잘 아시리라 생각합니다. 영장 하나면 문자와 사진이 저장되어 있는 서버를 뒤지는 건 식은 죽 먹기니까요.”

 강의실 안에 있는 사람들은 다들 동시에 국민메신저 기업 서버 압수수색영장 집행 사례를 떠올렸다.

 “모든 장치가 인터넷에 연결된다는 건 모든 장치에 IP 주소가 할당된다는 말이고, 그 말은 누군가 어떤 기기를 사용해서 흔적을 남긴다면 역추적해서 결국 그 사람의 신분이나 위치를 찾아낼 수 있다는 말입니다. 인터넷이 보급되던 초창기에는 IP라는 개념을 모르는 사람들이 태반이라 실수 아닌 실수를 저지르는 통에 비교적 수사가 쉬웠지만 요즘에는 PC방이나 공공장소의 인터넷으로 짧은 시간 접속하거나 VPN(가상사설망)과 해킹을 통해 우회접속을 하곤 해서 예전보다 정체를 파악하는 데 시간이 더 소요되고 있습니다. 하지만 수사기법도 그에 맞춰 발달했기 때문에 99.9%의 용의자는 찾아낼 수 있습니다.”   

 사물인터넷에 대한 열강이 좀 더 이어진 뒤 강사의 마무리 발언 시간이 왔다. 사흘 간 이토록 긴장된 순간이 또 있었을까. 열 네 명의 신입 직원들은 눈을 동그랗게 뜨고 강단에 선 보안 강사를 바라보았다.

 “나날이 발전하는 해킹 기술, 빅데이터, 사물인터넷까지. 사회 불순세력을 색출하는 우리에겐 좋은 무기입니다. 하지만 동시에 우리를 위협하는 요소이기도 합니다. 과거에 우리 회사의 직원 몇몇이 지극히 개인적인 차원에서 불순세력에 대항한 정보를 온라인 커뮤니티에 게시한 적이 있습니다. 그때 그들의 행동이 발각된 건 그들의 보안의식이 부족했기 때문입니다. 한 아이디를 오래 쓰고, 한 IP에 오래 머물렀고, 평소 쓰던 말투와 언어 표현 습관을 게시물 작성에서도 쓰니 작정하고 달려드는 반대 세력에게 어찌 들키지 않을 수 있겠습니까.”

 오늘은 또 탈락되는 동료가 없는 건가? 다들 자신만은 아니기를 간절히 바라고 있었다.

 “내일부터 여러분은 본격적으로 업무를 맡게 될 겁니다. 이미 알고 있겠지만 개인적으로 소장하고 있는 전자기기는 회사 내에서는 사용할 수 없습니다. 지난 삼일 간은 여러분을 시험해보고자 개인 소지품 반입을 허용했지만 더이상은 안됩니다. 지금부터는 회사에서 지급된 스마트폰과 컴퓨터만 사용해야 합니다. 물론 외부 인터넷 사이트에서 사용할 가상 신분과 계정도 일괄 지급될 겁니다. 이제부터 여러분은 우리 회사의 정식 직원입니다. 부디 보안의식을 뼛속까지 새겨서 불온세력들에게 당하는 일이 없기를 바랍니다. 이상입니다.”

 보안 강사는 처음 강단에 섰을 때처럼 나갈 때도 빠르고 조용하게 사라졌다. 곧이어 총무과 직원들이 수레를 끌고 강의실로 들어왔다.

 “안녕하십니까. 총무과 원한섭입니다. 지금부터 여러분들이 사용할 장비를 나눠드리겠습니다.”

 다들 기대에 부풀었다. 국가 최고의 정보기관의 장비는 어떨까. 개인적으로 쓰던 제품들보다 훨씬 좋겠지...라는 생각을 하던 중, 누군가 나즈막히 소리쳤다.

 “이게 뭐야!”

 개인용 가방을 여니 낡은 휴대용 컴퓨터가 들어 있었고, 뚜껑을 여니 세월의 흔적이 고스란히 남아있는 자판들이 번들거렸다. 특히 어떤 직원이 받은 컴퓨터의 자판은 유독 몇 개의 자판만 글씨가 닳아서 지워져 있었다. Ctrl, C, 그리고 V. 세 개의 키캡은 원래의 글자가 보이지 않을 정도로 닳아 있었다. 

 I기관의 보안 연수는 그렇게 끝이 났다.




▲ 모든 것이 연결된 세상, 사물인터넷


* 주


(*주1) 로그데이터 : 모든 컴퓨터의 하드웨어와 소프트웨어 작동 명령을 시간별로 기록한  자료. 인터넷에서는 웹페이지 방문시 읽히는 모든 자료와 클릭을 통해 연결된 대상 페이지, 열람한 자료, 머문 시간 등의 모든 활동을 기록한 자료를 말한다. 브라우저의 활동 기록을 의미하는 쿠키도 일종의 로그데이터다.



* 참고자료


- 보안 위협(APT, 스턱스넷) 

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=16854


- 백도어 위협

http://www.zdnet.co.kr/news/news_view.asp?artice_id=20150601180929




<필자소개> 


주일

영상제작자 전기로 돌아가는 것들에 관심이 많은 자


 






관련글 더보기

댓글 영역