정보 유출 사고에 대한 세 가지 오해

Juniors, 안녕!
테크를 가장 날카롭고 가치 있게 읽어주는 더테크엣지 아빠들이야.

새해를 맞아 처음 쓰는 편지에 어떤 주제를 담을까 많이 생각했어. 그런데 한 달이 쥐도 새도 모르게 지나가버렸지 뭐야. 고민의 시간이 조용히 흘러가는 동안 누가 재촉하지도 않아, 옆에서 잔소리를 하는 것도 아니다 보니 ‘내가 고민을 하고 있다’는 것 그 자체가 쓰지 않는 것의 핑계가 되어버렸던 거야. 차라리 누가 시끄럽게 닥달했다면 이렇게 늦어지지 않았을 테지. 아무 일도 일어나지 않는 것처럼 보이는 거짓 평화 속에서 사실은 소중한 한 달을 낭비했다는 것, 뼈 아픈 교훈이야.

그런 반성 속에서 한 가지 주제가 떠올랐어. 그저 누가 잔소리 하지 않는 것일 뿐인데 그걸 고요한 평화라고 혼자 오해하고 시간을 낭비한 것처럼, 우리도 각종 해킹 사고와 피해에 대해 오해하는 것들이 있다는 것이 퍼뜩 생각난 거야. 그 오해 속에서 우리는 피해를 불필요하게 늘리기도 하고, 입지 않아도 될 손실을 입기도 하지. 그래서 해킹 사고, 특별히 정보가 도난 당하는 ‘정보 유출 사고’에 대한 세 가지 오해를 적어볼게.

1. 고요함에 대한 오해

비밀번호같이 소중한 정보가 유출되면 어떤 일이 일어날까? 그 즉시 경고가 울리고 보안이나 IT 담당자들이 이 방 저 방 뛰어다니면서 컴퓨터 전원을 내릴까? 곧이어 경찰들이 들이닥치고, 모든 컴퓨터가 꺼지며, 방화벽이 내려오고, 뉴스 캐스터들이 방송을 준비할까? 전혀 아니야. 99.9%의 경우, 정보 침해가 발생해도 사람이나 시스템이나 평소의 고요함을 유지해. 아무도 무슨 일이 난지 모른 채 평소의 생활을 이어갈 뿐이야.

비밀번호를 탈취한 해커들은 어떨까? 축제를 벌이고, 그 비밀번호로 은행과 각종 인터넷에 로그인 할까? 그래서 뭔가 비싼 물건을 피해자 명의로 구매하는 등 수익 극대화를 위해 발빠르게 움직이기 시작할까? 아니야. 그들 스스로도 제대로 작동하는 비밀번호를 훔치는 데 성공했다는 사실을 뒤늦게 파악할 때가 많아. 빠르게 알게 됐더라도 충분한 수의 비밀번호가 추가적으로 모일 때까지 움직이지 않는 게 대부분이야. 그러므로 해커 쪽도 조용할 때가 많아. 

‘고요함’에 대해 우리는 오해하는 경우가 많아. ‘아무 일도 없다’거나 ‘평화롭다’고 말이야. 하지만 고요에는 ‘폭풍전야’도 있고, ‘침묵하는 다수’도 있어. 뭔가 밑에서 부글부글 끓고 있는데, 그래서 폭발하기 직전임에도 당장은 겉으로 드러나지 않을 뿐인 ‘고요함’도 있다는 것이지. 정보 유출 사고도 이런 종류의 고요함을 특징으로 가지고 있어. 

심지어 해커들이 훔쳐낸 정보를 가지고 움직이기 시작할 때도 이 고요함이 유지되는 게 보통이야. 이들은 무척 영리해. 손에 쥔 것을 가지고 다짜고짜 움직이지 않아. 천천히, 그리고 조용히, 시험부터 해 보지. 비밀번호를 가져갔다면 그 비밀번호가 어디에 통하는지 확인해. 신용카드 정보를 가져갔다면 그게 너무 오래돼서 이제는 써먹을 수 없는 건 아닌지를 확인해. 개인정보를 가져갔다면, 조용히 그 개인에 대해 조사를 하거나 그 정보를 사갈 사람을 찾아. 이 중 소란을 일으킬 건 아무 것도 없어. 고요하지만 평화로운 건 아니야.

소리는 어디서부터 날까? 피해자가 우연히, 혹은 아주 꼼꼼한 검사를 통해 피해 입은 사실을 알아채고 그 사실을 경찰에 신고할 때야. 하지만 여러 가지 이유로 피해자가 자발적으로 신고하는 사례는 그리 많지 않아. 이쪽에서 나는 소리는 간헐적이고, 끊기기 십상이지. 정말 큰 소리는 공격자에게서부터 나와. 정보를 다 확인하거나 충분한 수를 확보하고 슬슬 본격적으로 움직일 때지. 자기 수중에 있는 비밀번호로 대형 은행에 접속할 수 있다는 사실을 확인하고서, 혹은 신용카드 정보로 실제 물건 구매가 가능하다는 걸 파악하고서, 혹은 개인정보를 큰돈 주고 살 사람을 확보했을 때라는 것이지. 그리고 이런 소리들은 보통 기자들이 먼저 알아듣고 세상에 알려.

이게 무슨 뜻인 거 같아? 우리가 듣는 사고 관련 소식은 대부분 ‘뒷북’이라는 거야. 고요함을 지나 소란함에 닿았을 땐, 이미 한참 늦은 때야. 해커들은 이미 우리 비밀번호로 다른 중요한 서비스에 접속해 돈을 인출했거나, 비싼 물건을 샀거나, 중요한 기업 비밀을 가져갔거나, 개인정보를 누군가에게 팔아 넘겼다는 거지. 우리에게 남은 건 책임자를 찾아 처벌하는 것 뿐인데, 그렇기 때문에 해킹 공격을 허용한 기업이나 기관이 보통 욕을 먹지. 진짜 해커는 이미 어디론가 숨은 뒤니까.

지금 주변이 고요하고, 컴퓨터나 태블릿, 핸드폰에 별 다른 이상이 없어? 혹은 이메일에 스팸 메일도 잘 들어오지 않는 상황이야? 아주 좋아. 그런데 그것이 ‘안심’의 근거가 되어서는 안 돼. 고요한 중에 무슨 일이 벌어지고 있는지 우리는 장담할 수 없기 때문이야. ‘안심’의 근거는 보안 실천 사항들을 잘 지키고 산다는 객관적인 자신감이어야 해.

2. 큰 곳만 털린다는 오해

해커들은 누구나 이름 들으면 알만한 곳들만 노릴까? 네이버나 삼성, LG 혹은 여러 은행들이 주요 공격 대상일까? 대형 통신사들은? 여러 나라의 군대는? 해커라면 당연히 들어가보고 싶겠지? 실제로 이런 곳들은 공격자들이 끊임없이 기웃거리는, 어떻게든 한 번 들어가보고 싶어 하는 곳이지. 하지만 ‘해커들은 이런 대형 조직들을 주력으로 노린다’는 건 반만 맞는 말이야. 오히려 해커들의 ‘주력 먹잇감’은 아무도 모르는 소형 사이트나 기업이야.

그런데 왜 ‘끊임없이’ 기웃거릴까? 이런 큰 기업이나 은행들에는 늘 새로운 정보나 자산이 쌓이니까? 매일 훔칠 것이 풍부해지니까? 그것도 반만 맞는 말이야. 더 정확히는 ‘이런 곳들은 이미 단단한 보안 장벽을 갖추고 있는 상태니까’야. 아무리 뛰어난 해커들이라도 이런 곳에 쉽게 들어갈 수는 없어. 마음 먹고 파고들어도 될까 말까야. 내부의 누군가가 실수를 해야 그나마 기회가 생기는 건데, 그 실수라는 게 언제 어떻게 터질지 예측할 수 없으니 끊임없이 기웃거리는 거야. 참 부지런도 하지.

하지만 그렇게 잠복 근무만 해서는 당장 고픈 배를 채울 수가 없는 게 누구나의 현실이야. 그렇기 때문에 해커들은 한탕 크게 벌일 수 있는 대기업들에 한쪽 눈을 고정시키고는, 실제 수익이 될 만한 곳들을 계속해서 두드려. 그건 바로 소규모 사이트와 기업들이야. 이런 곳들은 삼성이나 LG처럼 어마어마한 자산을 가지고 있지 않지만, 대신 방어력이 약하거든. 정보나 돈이 아주 없는 것도 아니고 말야. 해커들 입장에서는 적은 노력으로 결실을 볼 확률이 높아. 해커들은 사소한 정보로도 얼마든지 수익화할 수 있는 사람들이라는 걸 기억해야 해. 그렇기 때문에 해커들을 진짜로 먹고 살게 해 주는 건 바로 이런 작은 사이트들이 되는 것이지.

이게 현실인데, 작은 사이트 운영자들이나 기업가들은 ‘해커들이 왜 우리 같이 작은 곳은 노리겠어?’라고 생각해. 아무도 모르니까. 무명이니까. 표적이 될리 없다고 여기는 거지. 너무 큰 오해고, 바로 이 오해 때문에 이들이 해커들의 실질적 지갑이 되는 거야. 너희들이 나중에 사이트를 운영하거나 기업가가 된다면, 그 규모가 크든 작든 ‘나야말로 해커가 노리기에 딱 좋은 표적’이라는 긴장감을 놓지 않았으면 해. 

해커들이 작은 사이트를 주로 노린다는 것에는 또 다른 의미가 있어. 너희들, 인터넷 돌아다니면서 그때 그때 필요에 의해 혹은 호기심에 이끌려 작은 사이트에 회원 가입 해놓고 잊어버리는 경우 없지 않지? 그럴 때 어떤 ID와 비밀번호를 써? 보통은 평소 다른 사이트에서 사용하는 것들을 그대로 재탕할 거야, 맞지? 해커들 입장에서 굳이 보안 장치가 잘 설치돼 있는 대형 사이트에서 비밀번호를 알아내려고 위험을 감수할 필요가 없어. 이런 ‘쉬운’ 사이트들에 사용자들이 알아서 비밀번호를 입력해 가입해놓고 방치하니까. 이걸 해커들도 잘 알고, 그래서 유명하지도, 돈이 많지도 않은 사이트들을 적극 노리는 거야.

어딘가 회원가입을 할 때는 정말 가입이 필요한지 검토에 검토를 먼저 해야 해. 정말 이 작은 사이트에 내 ID와 비밀번호를 새기는 게 세상에 단 하나 남은 마지막 수단인지 고민해봐. 그러고 나서 가입을 한다면, 비밀번호를 평소 쓰지 않는 것으로 하고, 목적을 달성했다면 - 그리고 그 사이트를 주기적으로 방문하지 않을 거라면 - 회원 탈퇴를 해. 굳이 가입한 사이트를 많이 쟁여둘 이유가 없어.

3. 이미 털리면 끝이라는 오해

주변에 그런 사람이 없길 바라지만, 혹시 ‘내 개인정보? 이미 여러 번 털려서 공공재나 다름 없어’라고 한탄하는 말을 들어봤어? 이 말은 보통 ‘이미 도난당했으니 더 보호해봤자 소용 없다’는 뜻으로 사용돼. 즉 보안에 신경 쓰는 귀찮은 일을 하지 않겠다는 의미지. 

사실 여러 사람의 개인정보가 몇 번의 굵직한 사건으로 해커들의 손에 넘어간 건 맞아. ‘공공재’라는 표현에는 다소 과장이 섞여 있긴 하지만, 그런 말이 나올 정도로 현재 해커들이 난리를 부리는 것도 틀리지는 않아. 하지만 한 가지 지적할 게 있어. 정보의 경우 ‘도난당했다’는 사실 그 자체보다 ‘언제 도난당했는가’가 더 중요하다는 거야. 

위에서 해커들이 정보를 훔치는 데 성공하고서 한 동안 조용히 준비 작업을 한다고 했지? 바로 그 점 때문에 ‘기간’이 중요해지는 거야. 정보가 새나갔다는 걸 빨리 알아채면 챌수록 피해를 줄일 수 있어. 그러니 ‘보안에 신경을 쓰는 귀찮은 일’을 할 때, ‘도난을 원천 차단한다’가 아니라 ‘빨리 알아챈다’에 초점을 맞추어야 해. 빠져나갔다는 것 자체로 큰 재난이라면, ‘이미 나간 정보, 더 지켜서 뭐하나?’라는 회의감 가득한 마음에 반박할 수 없어. 하지만 ‘이미 나간 정보라도 해커들이 활용할 기간을 줄이자’는 게 목표가 된다면 어떨까? 그런 표현은 옳지도 않고, 나올 수도 없겠지.

‘이미 내 정보는 해커들이 가져갔어’라는 말로 보안을 포기하는 건 오해 중 가장 큰 오해야. 그 정보가 그 자체로 해커들의 배를 불리지 않거든. 정보도 음식과 같아서 조합하고 익히고 숙성시켜야 드디어 먹을 만한 뭔가가 만들어지는 거야. 해커들에게도 그런 ‘조리의 시간’은 반드시 필요한 것이고, 그 시간이 길어지면 길어질수록 해커들은 많은 결실을 거두고 우리는 많은 피해를 입지. 이미 나간 정보라고 포기하면 해커는 무한대로 수익을 낼 기회를 얻게 되는 거야. 그걸 줄이는 게 우리의 몫이야.

이게 무슨 뜻인 거 같아? ‘아직까지는’ 정보가 어느 정도 새나갔다 해도 우리에게 기회가 남아 있다는 거야. 비밀번호는 바꾸면 되고, ID는 새롭게 만들면 돼. 진짜 심각한 상황이라면 개명도 가능하고, 주민등록번호 재신청도 할 수 있어. 신용카드, 조금 불편해도 파기하고 새로 발급받으면 돼. 여권도 마찬가지야. ‘내 개인정보는 이미 공공재’라며 비밀번호 변경도 하지 않고 넋을 놓는 일이 안타까운 건 그 비밀번호와 ID 변경이 최소한의 노력이기 때문이야. 솔직히 말해 그것조차 하지 않은 채 한탄만 하는 사람은, 언젠가 다른 계기로라도 정보가 털렸을 사람이야. 

그래서…

이 세 가지 오해만 바로잡아도 우리가 평범한 사용자로서 할 수 있는 일은 훨씬 많아져. 그리고 그 하는 일에 대한 효과도 높아지고 말야. 다시 한 번 복기해볼까? 

1) 오늘 아무 일이 없었다고 해서 괜찮다는 건 아니다. 정보를 지키기 위한 행동들을 실천했느냐를 점검하는 게 더 중요하다.

2) 작고 이름 없는 사이트나 기업이라고 해서 해커들의 레이더에 포착되지 않는 건 아니다. 아니, 오히려 더 잘 포착된다. 그런 사이트들을 운영하는 쪽이나 사용하는 쪽이나, 더 철저히 정보를 보호해야 한다.

3) 정보가 이미 새나갔다고 해서 ‘게임 오버’를 선언해서는 안 된다. 아직 할 일이 남아 있다. 새나간 정보들을 바꾸는 것이다. 

그런데 이 세 가지를 놓고 보면 한 가지 더 떠오르는 ‘오해’가 있어. 그건 바로 ‘해커들은 무지하게 뛰어나고 머리 좋은 사람들이다’라는 거야. 이 오해에 사로잡히면 ‘나 같이 평범한 사람이 그런 컴퓨터 천재들을 어떻게 막아?’와 같은 무기력증이 피어나. 가장 큰 오해이자 보안의 적이라 할 수 있어. 

해커들? 확실히 컴퓨터를 잘 다루지. 우리 한 사람 한 사람보다 뛰어날 확률이 높은 것도 맞아. 하지만 그들 하나하나가 자연재해와 같은 천재성을 갖춘 건 아니야. 위에서 열거한 것들을 보면, 이들이 먹고 사는 비결은 우리 편의 실수나 오해, 혹은 게으름인 걸 알 수 있어. 우리의 ‘섣부른 안심’과, ‘익명성/무명성에 숨으려는 성향’과 ‘지레 포기’가 없었다면 어지간한 천재 해커들도 우리 컴퓨터에서 원하는 만큼 가져갈 수 없어. 가져간다 한들 그들 편에서 내야 할 비용이 엄청나게 커지지.

비밀번호 제대로 설정하고, 꼭 가입이 필요한 사이트만 엄선해서 사용하고, 수상한 링크나 첨부파일을 눌러보지 않고, 필요한 때마다 인터넷에서 사용하는 나의 정보들을 변경하고, 일상을 SNS에 생각 없이 공유하지 않고… 이런 사소한 습관들만 몸에 배어 있어도 그 컴퓨터 구루들을 얼마든지 막아낼 수 있어.

그러니까 고요의 색깔을 구분해. 작은 사이트 우습게 보지 마. 포기하지 마. 너희가 컴퓨터를 샅샅이 알지 못해도 정보는 지킬 수 있어. 🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• Cyber Security Breaches Survey 2024: Technical Report (랜섬웨어·사고 인지 혼동 등 응답자 인식 상의 문제 분석) - UK Government, 2024년
• An Exploratory Case Study on Data Breach Journalism (언론 보도가 데이터 유출 위험을 과장·왜곡하는 경향 분석) - arXiv, 2024년
• Debunking Cybersecurity Myths: 10 Common Misconceptions (침해사고와 관련된 잘못된 통념 정리) - Wizard Cyber, 2024년
• Common Cybersecurity Myths Debunked: Separating Fact from Fiction (침해사고 원인·책임에 대한 오해 해소) - Jisc Cybersecurity, 2024년

에어프랑스·KLM, 고객 정보 유출… 멤버십·연락처 노출

에어프랑스와 KLM이 고객 상담용 플랫폼이 해킹돼 개인정보가 유출됐다고 7일(현지시간) 밝혔다. 양사는 침해 사실을 파악한 직후 공격 경로를 차단했으며, 항공사 자체 네트워크와 결제 시스템은 피해를 입지 않았다고 강조했다. 회사 발표에 따르면 해커가 접근한 대상은 제3자 고객 서비스 시스템으로, 고객 이름·이메일·전화번호·보너스 마일 정보·최근 거래 내역 등이 포함된

The Tech EdgeDonghwi Shin

컬럼비아대 해킹, 개인정보 유출 및 시스템 장애, 핵티비스트 성격

💡Editor Pick - 미국 컬럼비아대학교 서비스 중단 및 정보 유출 사고 발생 - Hacktivist Group에 의한 것으로 추정, 공격 중 트럼프 대통령 사진 띄워 정치적 메시지 암시 미국 컬럼비아대가 지난 6월 24일 정치적 동기로 추정되는 해커 조직의 공격을 받아 계좌번호, GPA 점수 등 유출되고, 학교 컴퓨터 시스템이 일시 중단되는 사고가

The Tech EdgeDonghwi Shin