지난 달 미국 중앙정보국(CIA)이 윈도, iOS, 안드로이드, 리눅스 등 운영체제의 취약점을 악용해 스마트폰, TV 등에서 소비자들의 정보를 불법적으로 수집했다는 위키리크스의 폭로가 있었다. CIA는 위키리크스의 문서가 자신들의 공식 문서임을 확인하는 것 자체를 거부했지만, 위키리크스가 밝힌 수천 건의 문서가 모두 조작되기는 어렵다는 점, 과거 미국 정보기구에 관한 비슷한 폭로가 있었다는 점에서 사실로 받아들여지고 있다.

애플이나 구글에서는 해킹된 운영체제가 오래된 버전이고 관련 취약점들을 모두 보완했기 때문에 지금은 문제가 없다고 발표했지만, 세계적인 기술력을 가진 업체들의 제품이 해킹되어 소비자의 프라이버시가 침해되는 걸 보면서 많은 사람들이 대부분의 IT 기기가 프라이버시를 제대로 보호하지 못할 거라는 생각을 하게 되었을 것 같다. 더욱이 해킹의 주체가 그 나라 최고의 기술력을 동원할 수 있는 정부 기구와 관련되어 있다고 하면 그것은 기술로 대응할 수 있는 범위를 넘어서게 된다.

CIA의 직원이었고, 미국 국가안보국(NSA)의 협력업체 직원이던 에드워드 스노든은 NSA가 미국의 통신업체 이용자들뿐만 아니라 수십 개 나라의 정상들을 포함해 전세계를 감시하는 체계를 갖추고 수백만 명을 도청한다는 사실을 폭로했다. 2013년 6월의 일이다.

2015년 7월에는 이탈리아 스파이웨어 업체인 ‘해킹팀’이 해킹되어 수백 기가바이트의 자료가 인터넷에 공개됐는데, 이 업체의 핵심 제품인 RCS가 사용자 모르게 스마트폰에 설치, 주소록을 훔치고 사진과 동영상, 음성, 문자, 메신저 등 사생활을 도청해 서버로 보내는 소프트웨어여서, 공개적으로 해킹툴 사업을 하는 회사가 있고, 우리나라를 포함해 30여개 나라의 정보기구가 이 회사의 고객이라는 사실에 많은 이들이 놀랐다.

기업에서는 산업기밀, 고객정보, 영업정보뿐 아니라 서버, 네트워크 같이 자신의 통제 영역 안에 있는 중요 정보자산을 지키기 위해 다양한 보안솔루션을 구축한다. 100개는 족히 될 보안솔루션이 시장에 나와 있고, 웬만큼 보안에 투자하는 회사에 2-30개의 보안솔루션이 구축돼 있는 이유다. 그럼에도 기술적 보안대책으로는 한계가 있기 때문에 정보보호 거버넌스, 정보보호 정책과 지침, 제도, 각 부서별 보안 책임과 권한 부여, 부서간 협업 등 (크게 보면)관리적 보안대책도 강조한다.

또한 교통, 철도, 항공, 우주, 선박, 물류, 병원, 에너지, 군수 등 우리의 일상 생활과 밀접하게 관련이 있는 기반시설, 편의시설, 산업시설 중 많은 부분이 컴퓨터와 네트워크를 기반으로 한 가상-물리시스템(Cyber-physical system)으로 이뤄져 있어서 우리 사회는 이미 거대한 사이버 공간을 기반으로 작동되고 있다고 해도 과언이 아니다. 따라서 이를 운영하는 공공부문이나 민간기업들이 보호해야 할 정보자산은 매우 많고 중요하다.

구매 또는 임대 등을 통해 소비자가 통제 권한을 갖는 ‘제품’의 보안을 위해 공급업체는 제품이 처리하는 중요 정보를 보호하고, 제품이 목적과 달리 악용되는 것을 방지하는 데 암호화, 키 관리, 하드웨어 보안 등 다양한 보안 기술을 사용한다. 하지만 언급한 CIA의 해킹 사건에서 보듯이 제품 보안에서의 기술적 대책은 완전하지 않다.

게다가 공급업체는 사용 편의성, 사용자 특성, 사용 환경, 제품 가격 등을 고려하기 때문에 그나마 있는 보안 기술조차도 제품에 적용하지 않는 경우도 있다. 소비자에게 편익을 제공하기 위해 다양한 센서와 입력장치를 통해 소비자의 개인정보, 건강정보, 행위정보, 영상, 소리 등을 수집해 제품이나 클라우드에 저장하는 사물인터넷 기기에서는 문제가 더 심각해 질 수 있다.

이러한 현실을 반영해 정보보호 인력의 양성을 중시하는 요즘, 유명 해킹 전문교육 프로그램 출신 청소년이 돈 벌이를 목적으로 해킹 팀을 만들어 디도스 공격 등의 범행을 저지르다 검거된 사건은 사뭇 충격적이다. 단지 청소년에게 해킹기술을 교육하는 것이 바람직한지 여부를 넘어서서 기술 위주의 교육 전반에 경종을 울린 사건으로 읽힌다.

한 발 더 나아간다면 제2차 세계대전 당시 과학에 대한 맹신과 애국심으로 인류와 생태계를 파멸시킬 수도 있는 핵무기의 시대를 열었던 미국 ‘맨하탄 프로젝트’ 참여 물리학자들을 다시 생각해 볼 필요도 있지 않나 싶다.

사물인터넷, 가상-물리시스템 등 거대한 사이버 공간을 통해 현실 공간을 통제하는 시대에 중국 애국주의 해커집단 홍커나 북한의 해커 집단의 사이버 보안 범죄가 부각되고, 제5의 전장으로서 사이버 공간이 떠오르면서 기술에 취한 해커 집단이 2차 세계대전 당시 물리학자들의 역할을 할지도 모른다는 우려는 지나친 상상만은 아닐 것이다.

무엇보다도 기업의 자산이나 소비자용 제품을 보호하기 위한 사업자들의 기술적, 관리적 투자와 함께 다른 이의 정보자산에 대한 침해가 범죄라는 사회적 인식을 확산시키고 처벌을 강화하는 등 사이버 보안 범죄를 줄이기 위한 종합적인 노력이 있어야 하리라 생각된다.

특히 한두 살 때부터 IT기기와 인터넷을 사용하며 자라는 어린이, 청소년들에게 인터넷 윤리와 사이버 보안 윤리를 교육하고, 그것의 바탕이 되는 사이버 시대의 가치관, 세계관에 관한 연구와 논의가 활성화되면 좋겠다.

정부, 언론, (인문·사회) 학계, 법조계, 업계 등이 함께 노력해야 할 지점이다. 사이버 보안 문제를 보안(기술) 전문가들의 전유물로 여겨서는 답을 찾을 수 없기 때문이다. 헌법과 법률을 토대로 사이버 보안 활동에 대한 민주적 통제, 국제적 공감대 형성, 근본적으로는 인간과 세계, 기술에 대한 통찰이 필요한 때다.

글 강은성(CISO Lab 대표)