접근을 제한합니다.
지난 4월 22일, 대한민국의 거대 통신사가 뚫렸다. 내용은 해킹으로 인한 악성 코드 감염. 자세히는 통신사 고객 다수의 유심 USIM 정보 일부가 유출된 사건이다. 수사가 진행 중인 사안이라 아직 정부의 공식 입장은 없지만, 5월 19일 공개된 민관합동조사단의 2차 결과를 토대로 살펴보면 감염된 서버는 총 23대, 악성 코드의 종류는 25종으로 확인됐다. 유출된 유심 정보의 규모는 9.82기가바이트, 유출된 유심의 수는 가입자 식별키(IMSI) 기준 무려 2천6백95만7천7백49건이었다. 또 전문가들이 찾아낸 최초의 악성 코드 설치 시점은 3년 전인 2022년 6월 15일. 다만 이때부터 로그 기록이 남아 있지 않은 2024년 12월 2일까지의 자료 유출 여부는 천만다행히도 현재까진 확인되지 않고 있다. 하지만 그렇다고 해도 해킹을 통해 일부 정보가 유출된 것은 사실이다. 이에 정부와 해당 통신사는 2차 피해 예방을 위해 곧바로 유심을 교체하라고 공고했고, 두 달여가 지난 시점인 6월 10일 기준, 해당 통신사의 유심 교체 수는 7백만 건을 넘어섰다. 속도가 빠르긴 하지만 교체를 기다리는 예약자 수는 아직도 2백64만 명이 더 남아 있는 상황. 정부를 비롯한 전문가들의 조사도 여전히 진행 중에 있다.
아닌 밤중에 홍두깨 같은 일이었고, 그 밤이 다 지나가지 않았지만 한 가지 분명한 건 이번 사건은 명백한 사이버 공격이었다. 50여 일이 지나는 동안 포털에는 셀 수 없이 많은 대책이 쏟아져 나왔다. 내용 대부분은 뒤늦은 예방책 혹은 앞으로 전개될 피해 보상에 관한 전망이었다. 그리고 안타깝게도 그중에는 가짜 뉴스도 여럿 포함돼 있었다. 2차, 3차 피해가 우려되는 지점이었다. 올바른 정보가 어느 때보다 필요해 보였다.
강원대학교 이성재 교수는 이번 통신사 사고를 살펴보다 알게 된 사이버 보안 전문가다. 1999년부터 한국인터넷진흥원에서 보안기술 단장으로 근무하며 암호화 알고리즘 개발과 보급을 비롯해 융합 산업의 보안 체계 고도화 등 핵심 업무를 맡아왔다. 그가 있던 한국인터넷진흥원은 대한민국 사이버 보안의 선제 대응 기관(1차 조사 기관). 이번 통신사 유심 정보 유출 사고처럼 사이버 보안과 관련한 어떤 사건이 발생하거나 의심되면, 정보통신망법에 따라 가장 먼저 한국인터넷 진흥원에 신고하도록 되어 있다. 이성재 교수는 그곳에서 25년을 근무했다. ‘사이버 보안’에 대해 조언을 구하기에 가장 적합한 인물이다.
먼저 그에게 이번 통신사 사건부터 물었다. 명확한 정리가 필요했다. “먼저 말씀드려야 하는 건 아직 정부의 공식 입장이 나오지 않았고, 또 현재도 수사가 진행 중이기 때문에 말씀드릴 수 있는 내용이 많지는 않습니다. 다만 현 상황을 배경으로 사이버 보안의 전반적인 흐름이나 정보, 대책과 관련한 이야기는 정확하게 말씀드릴 수 있어요. 그럼 이번 사건부터 이야기해보죠. 어쨌든 해킹 사고로 봐야 합니다. 해커들이 백도어를 통해 침입했고, 서버에 악성 코드를 심어 정보를 유출해간 건 맞으니까요. 다만 어떤 경로로 침투해서 어디에 접근했고, 또 얼마큼의 정보를 가져갔는지는 조사 결과를 기다려봐야겠죠.” 이번 사건을 ‘해킹 사고’로 봐야 한다는 건 다른 접근도 가능하다는 얘기다. “해킹 사고와 개인 정보 유출 사고는 차이가 있습니다. 해킹은 해커들에 의한 공격이죠. 그래서 해킹 사고를 당하면 기업은 피해자가 돼요. 그런데 이번 사건이 복잡한 건, 기업은 해킹 사고로 보면 피해자지만 빠져나간 정보, 그러니까 개인 정보 유출 사고로 보면 가해자가 될 수 있거든요. 경중의 차이는 법리적 검토가 필요하겠지만 어쨌든 개인의 정보를 안전하게 관리하지 못했다는 책임은 분명히 있는 거죠. 두 영역을 분리해서 따로 봐야 하는 이유가 여기에 있어요. 하나의 울타리에서만 볼 순 없죠.”
해커들의 공격 루트는 어땠을까. 이성재 교수는 그 경로를 두 가지로 정리했다. “해커들의 경로는 두 가지예요. 지속 침투거나 직접 침투거나. 지속 침투를 가리켜 APT(Advanced Persistent Threat) 공격이라고 부르는데, 이 공격의 특징은 시간이 오래 걸립니다. 침투하는 경로도 다층적이고요. 쉽게 설명하면, 악성 코드를 심어 메일을 보내고, 메일을 열면서 PC를 감염시키고, 그 PC가 서버를 이용하면서 광범위하게 퍼지는 식이죠. 반면 직접 침투는 말 그대로예요. 노트북이나 USB처럼 이동 장치를 통해 직접적으로 악성 코드를 심는 방법이죠. 보통은 점검 등의 이유로 외부 기기가 내부로 들어올 때 일어나요. 그런데 이건 어디까지나 원론적인 이야기입니다. 우리가 진짜 알아야 할 건 해커들이 어떻게 들어왔는가 하는 루트보다, 얘네들이 어떻게 일을 하는가 하는 근본적인 시스템을 들여다봐야 해요.”
떠올려 보면 지금까지의 해커들은 ‘너드’의 이미지가 강했다. 본인의 능력을 범죄에 사용하기보단, 해커 개인의 능력 검증의 창으로 해킹 기술을 활용했고, 마치 퀘스트처럼 공공기관이나 유명 시설의 방화벽을 뚫어내는 걸 일종의 명예처럼 여기기도 했다. “맞아요, 어젯밤에 내가 NASA를 뚫었어! 방위국 위성에 접근했어, 이런 해킹은 정말 순수하던 시절의 이야기예요. 지금은 전혀 아니죠. 무엇보다 조직화돼 있다는 게 가장 무서운 변화예요. 이들에게 해킹은 말 그대로 금고를 여는 열쇠, 수단에 불과해요. 진짜 목적은 해킹으로 얻은 정보를 판매하는 데 있죠. 금전적 목적이 전부예요. 환경이 이렇다 보니까 각자의 역할이 분업화돼 있습니다. 랜섬웨어를 심는 해커, 그 해커로부터 정보를 사는 사람, 또 판매하는 사람. 이렇게 분업화돼 있다는 건 바꿔 말하면 규모가 크다는 뜻이겠지요. 우린 그 규모가 이미 기업화되어 있다고 보고 있어요. 더 크게는 국가적 차원의 해킹도 있을 수 있겠죠. 그런 시대가 된 거예요.” 이성재 교수는 이번 통신사 해킹 사고를 단순 이슈로만 볼 것이 아니라 하나의 전환점으로 봐야 한다고 짚는다. 개인 정보 유출이 심각한 문제인 건 당연하게도 사생활과 직결되기 때문일 것이다. “보안 담당자 입장에선 이번 사고가 보안의 중요성을 인식하는 계기가 되길 바라죠. 이렇게도 뚫릴 수 있구나, 하는 위기의식이 필요해요. 대기업이 뚫렸다고 소란스러운 가십 정도로만 여기고, 책임을 주체한테만 넘기는 건 어쩌면 방관에 가까운 태도예요. 대기업도 뚫릴 수 있다, 이제 개인도 보안에 신경 써야 한다는 위기의식이 필요하죠.”
그는 ‘사이버 보안’을 설명하며 양날의 검으로 표현했다. 보안은 곧 규제인데, 이 규제를 높일수록 사용자의 피로도도 같이 올라갈 수밖에 없다는 것이다. 그래서 편리함을 위해 보안 수준을 낮추면 그만큼 해커들의 공격이나 노출에 취약해질 수밖에 없고, 이에 다시 보안 수준을 높이면 사람들은 불편해하는, 이런 악순환의 틈이 결국 해킹이나 피싱이 접근하기 쉬운 경로로 이어진다고 경고한다. 적절한 방법은 없는 걸까. “그래서 ‘위험 관리 체계’라는 말이 나왔어요. 보호해야 하는 정보에 맞춰서 보안 수준을 구분해 관리하자는 의미예요. 중요한 정보에는 복잡한 조합으로 몇단계의 인증 절차를 설정해두고, 상대적으로 그렇지 않은 정보에는 비밀번호 정도만 걸어두는 식이죠. 이게 요즘의 보안 트렌드예요. 대표적으로는 제로 트러스트, 공급망 보안, 융합 보안 이렇게 세 가지가 있어요.” 그의 설명을 정리하면 이렇다. 제로 트러스트는 ‘신뢰할 수 있는 건 없다’는 태도로 모든 단계에 인증(보안) 절차를 설정해두는 식이다. 정보의 질에 따라 인증 방법의 난도를 각각 달리 설정해 접근 권한을 지속적으로 요구하고 확인하는 방법이다. 공급망 보안은 쉽게 설명하면 우리 식재료의 원산지 표기제, 유통망 이력제와 비슷하다. 사이버 망 곳곳에 보안의 명세를 설정해두고 문제가 발생하면 즉각 대응하는 형태다. 이를테면 어떤 국가가 신뢰할 수 없는 기업의 유입을 차단하거나, 그들이 만든 어플이나 데이터를 막는 식이다. 또 융합 보안은 장치 기반의 보안이 전체 산업 영역으로 확장되면서 나온 개념이다. 정보와 통신 기술이 더해진 ICT(Information & Communication Technology) 산업이 대표적인데, 예를 들어 이전의 TV는 단순히 전파 송출의 역할만 했기에 보안이 필요 없었지만, 요즘의 스마트 TV는 인터넷으로 연결되고, 또 스마트폰이나 노트북과도 연동되니 자연스럽게 정보 관리에 따른 보안 설계가 필요해진 것이다. “오래전부터 나온 개념이긴 하지만, 그래서 보안의 관리 체계가 예방에서 대응으로 변했습니다. 예전엔 예방이 가능했지만 지금은 위협의 종류와 방법이 너무 많아졌어요. 이 모든 위협을 일일이 체크하고, 선제적으로 방어하는 것이 불가능해졌죠. 그래서 지금의 보안 관리 체계는 리스크가 좀 있더라도 사고가 발생했을 때 빠르게 대응하고 복구하는 형태로 변했어요. 사실 모든 분야가 ICT화 되면서 보안의 취약점들이 대거 노출되고 있다고 봐야죠. 스마트 홈, 스마트 자동차, 스마트 공장, 스마트 의료 등 ICT 융합 산업의 몸집이 커지면서 어떻게 보면 검증되지 않은 기술 덧셈들이 가속화되고 있는데, 여기서 검증되지 않았다는 건 안전하지 않다는 개념이 아니라, 안전성을 파악하기에는 기술 발전이 너무나 빠르다는 거죠. 충분히 검증할 시간이 없을 정도로요.”
그렇다면 현시점, 사이버 보안의 가장 취약점은 무엇일까. 이를 알면 최소한 대응은 가능하지 않을까. “사람이죠. 뻔한 얘기지만 사실이니까요. 정보 관리를 컴퓨터나 보안 시스템이 한다고 생각하거나 의존하면 안 됩니다. 최초의 보안 관리는 개인, 즉 사람이 해야 하죠. 비밀번호 설정부터 신경 써야 해요. 그리고 사람이 취약점인 또 다른 관점이라면, 인력 부족 문제도 있습니다. 어쩌면 인력 부족이 사이버 보안의 가장 심각한 문제일 수도 있죠.” 모든 산업 분야가 ICT화되면서 자연스럽게 기술 개발에는 속도가 붙었다. 기술이 빠르게 발전하니 너 나 할 것 없이 개발자들의 수요도 덩달아 올랐다. 문제는 보안 분야의 인력은 조금도 늘지 않았다는 것. 나라의 몸집이 커지고 인구도 증가했는데, 이를 지켜야 할 군인은 턱없이 부족한 경우다. “ICT 산업이 빠르게 성장하고 시스템도 어느 정도 표준화되어 안정적으로 자리 잡았다면, 다음은 ‘보안’을 고려해야 합니다. 산업이 커진 만큼 관리해야 할 정보도 많아졌으니까요. 그런데 문제는 기업들이 보안을 고려하고 싶어도 이 분야를 아는 인력이 없다는 데 있습니다. 또 있다 해도 피라미드로 따지면 위쪽 영역에만 소수로 포진돼 있어요. 보안을 안전하게, 안정적으로 운영하려면 사실 하청업체부터 제조사, 본사, 이렇게 차례로 모든 영역에서 관리가 이루어져야 맞습니다. 물론 여기에는 많은 허들이 존재 하겠지만요. 사실 보안 전문가의 욕심 같아선 초중고 교육 과정에서부터 사이버 보안과 관련한 내용을 작게나마 다룬다면 더없이 좋겠죠. 왜냐하면 다음 세대가 살아갈 세상에서 사이버 보안의 중요성은 지금보다 몇 배는 커질 테니까, 이게 꼭 몽상가적인 바람만은 아닐 겁니다.”
생각해보면 사이버 보안도, 사이버 공격도 결국 사람의 손에서 일어나는 일이 아닌가. 사이버 보안 전문가들이 방화벽을 세우고 보안 시스템을 만들면, 또 반드시 담을 넘고 부수려는 자들도 있다. 이 끝이 없는 창과 방패의 싸움은 지금, AI라는 새 국면을 맞았다. “맞아요. 창과 방패의 싸움이에요. 그런데 막는 쪽이 훨씬 더 불리한 싸움입니다. 공격 루트가 너무 많아서요. 막아야 할 곳이 한두 곳이 아닌 거죠. AI가 빠르게 발전하면서 요즘은 보안 팀도, 해커들도 모두 AI를 활용하고 있어요. 해커들은 AI를 활용해 피싱, 딥페이크 같은 새로운 공격 모델을 만들었고, 보안 전문가들은 이상 징후 탐지부터 로그 분석, 응답 자동화 같은 대응 방법을 구축하고 있죠. 비유하자면 칼과 방패로 싸우다 총이라는 새로운 무기가 개발되면서 전쟁의 양상이 바뀐 것과 비슷해요. AI 분야는 사이버 보안 영역에서도 빠르게 흡수하고 있는 기술입니다.”
핵심은 AI다. 새로울 것 하나 없는 뻔한 말이지만 현재 AI와 경쟁할 수 있거나 AI를 대체할 수 있는 다른 기술은 없으니, 말 그대로 지금은 AI 세상이다. 그렇다면 AI는 지금 어떤 모습인가. 이를 알아보기 위해 강원대학교 김아욱 교수를 찾았다. 그는 카이스트에서 지식 서비스 공학박사를 거쳐 현재는 인공지능과 인간의 상호작용에 관한 연구와 함께 인간 중심의 인공지능 기술 개발에도 참여하고 있다. 그와 지금의 AI에 대해 이야기를 이어갔다. “쉽게 설명하면 지금의 AI는 사람처럼 학습이 가능하고, 경험을 통해 개선도 가능하고, 또 이 과정(데이터 기반의 패턴들)을 토대로 어떤 결정이나 예측까지 할 수 있는 수준까지 올라와 있습니다. 이는 굉장히 빠르게 성장한 형태예요. 그런데 앞으로의 성장세는 지금과는 비교가 안 될 정도로 훨씬 더 빠를 겁니다.” 그럼 AI가 내리는 결정, 예측들을 인간이 사전에 알 순 있는 걸까? 데이터를 기반으로 구동되고 있긴 하지만 AI가 지금보다 더 발전한다면 더 넓은 영역에서 자율적으로, 독자적으로 움직이게 될 것이다. 그럼 과연 AI의 예상, 결과들, 도출될 패턴들을 인간이 사전에 파악해 혹시라도 발생할 법한 AI발 오류들을 예방할 수는 있는 건지 궁금했다. 돌아온 김아욱 교수의 답변은 단호했다. “아니요. 절대 예상할 수 없어요. AI는 패턴을 인식하는데 그 패턴이 무수히 많습니다. 데이터가 늘어날수록 패턴도 더 많아지겠죠. 특히 딥러닝과 같은 기술에는 AI보다 월등히 많은 데이터가 들어가는데, 이걸 사람이 해석하는 건 불가능해요. 무엇보다 이 데이터가 수식으로 정리되거든요. 이 수식이 사람은 이해할 수 없을 정도로 복잡합니다. 예를 들면 저희가 데이터를 입력하면 딥러닝은 최적의 수식을 스스로 찾아내는데, 그 수식이 아주 복잡한 거죠. 이게 사람은 절대 할 수 없는 작업이니, 알 수도, 이해할 수도 없는 겁니다.”
그럼 인간이 AI를 제어할 수 있는 방법은 무엇인지 물었다. “인간의 개입이 어려우니까 결과 예측도 어렵죠. 그래서 요즘 익스프레이너블AI Explainable AI(설명 가능한 AI)가 주목받고 있어요. AI가 왜 이런 예측을 했는지, 왜 이런 결과가 도출되는지 보여주기 시작한 거죠. 이건 곧 AI의 신뢰성과 연결되는 내용이라 매우 중요한 기술입니다. 이를 바탕으로 사람이 AI에 대한 신뢰 정도를 판단할 수 있게 되는 거니까요.” 김아욱 교수의 설명을 정리하자면 이렇다. 현재의 AI는 사람처럼 학습하고, 경험하며, 이를 토대로 결정과 예측이 가능한 수준이다. 하지만 사람이 이 과정에 개입할 수 있는 여지는 극히 일부분이어서 AI를 제어하거나 결괏값을 신뢰할 수 있는 방법은 모호했는데, 최근 설명 가능한 AI를 통해 AI의 작업 과정에 관한 내용을 들여다볼 수 있게 됐고, 신뢰도 역시 점차 높아지고 있다는 것. 지금의 이 흐름을 복기하며 다시 사이버 보안의 영역으로 돌아가 대입해보기로 한다. “보안 영역에서 우려되는 건 역시 개인 정보겠죠. AI는 데이터를 흡수하고 흡수한 데이터를 바탕으로 예측과 결정 작업을 하는데, 이때 흡수하는 데이터들이 과연 투명한가, 문제가 없는가에 대해서 100퍼센트 ‘네’라고 대답할 사람은 없다는 거죠. 그런데 AI는 개인 정보가 많이 들어가면 들어갈수록 매칭률이 굉장히 높아집니다. 일반적으로 ‘맞춤형 추천’과 같은 거죠. 그럼 결국 상업적인 기업들은 AI 모델을 개발해 운용할 때 매칭률이 높아야 고객 유입이 많아질 테니까, 더 많은 개인 정보를 AI 데이터로 활용할 텐데, 이때 관리 문제가 생길 수 있는 거죠. 또 이곳에 수많은 개인 정보가 유입되고 있으니, 해커들에겐 먹잇감 풍부한 어장으로 주요 타깃이 될 수 있는 거고요. 그런데 개인 정보 유입을 떼어놓고 보더라도 현재 AI가 빠르게 성장하고 있는 영역이 텍스트, 이미지 데이터를 기반으로 하는 AI 프로그램들이거든요? 챗GPT나 AI이미지 생성 어플 같은 거요. 이쪽 분야의 성장이 빠른 이유는 텍스트, 이미지의 데이터가 월등히 많아서, 또 많은 만큼 쉽게 흡수할 수 있어서 그렇고요. 그럼 사이버 보안 영역에서 예측해본다면 AI를 활용한 해킹 범죄의 모델들도 뻔하겠죠. 텍스트나 이미지를 활용한 범죄. 이를테면 딥페이크나 QR 피싱, AI 음성 복제를 활용하는 방법이 많아질 수밖에요.”
산업의 ICT화는 이미 적용되지 않은 곳이 없을 정도로 거대해졌고, AI의 생태는 예측할 수 없을 정도로 가파르게 성장 중이다. 변화는 거스를 수 없는 세상의 이치고, 그 세상은 사이버 세상까지 포함하니까. 그럼 이토록 빠르게 진행되는 사이버 세상의 변화 속에서 우리가 할 수 있는 최소한의 대책에는 무엇이 있을까. 이성재 교수가 당부하듯 말을 이었다. “이 두 가지만 해도 기본적인 보안은 설정됩니다. 일단 패스워드부터 안전하게 설정하세요. 모든 패스워드를 복잡하게 설정해두는 것이 가장 좋겠지만, 어렵다면 동일한 패스워드를 사용하는 것만이라도 반드시 지양해야 합니다. 그리고 AI는 패턴을 학습하죠. 그래서 패스워드를 익숙한 패턴으로 설정해두는 건 위험합니다. 그다음으론 업데이트. 어떤 기기가 됐든 항상 최신 버전으로 업데이트를 해두세요. 업데이트 내용은 보안 패치가 대부분이에요. 기능 개선을 위한 업데이트는 생각보다 많지 않습니다. 그러니 귀찮아도 업데이트는 꼭 하셔야 해요.”
