나의 해킹일지

2024. 2. 26.

  2024년 2월 6일 화요일 오전 10시 좀 넘은 시간. 인스타그램 계정을 해킹 당했다. 해커(편의상 'S'라고 부르겠다. 왜 'H'가 아니냐고 생각 할 수 있겠지만 'H'로 시작되는 한국 욕은 별로 없는 것 같다)는 나약해진 나의 마음을 아주 예리하게 포착했고(사실 대량으로 뿌린 스팸메일에 내가 넘어간 것뿐이지만) 나는 혼이 나간 채 S에게 당하고 말았다. 그러니까 해킹을 당한 건 내가 나약해져 있었기 때문이다. 

  S들의 해킹 방법은 이렇다(고 추정된다). 인스타그램에서 활동 중인 계정들의 이메일 주소를 취합한다(추출한 방법은 잘 모르겠다. 인스타그램과 연동된 페이스북 계정에서 확인 혹은 유출되지 않았을까 생각된다). 이 이메일 주소를 바탕으로 대량 메일을 발송한다. 발신인은 신뢰도를 높이도록 'meta-'로 시작되는 이메일을 사용한다. 내 경우에는 meta-verified485769@sildenafilpr.com 라는 S였다. 안다. 누가 봐도 수상쩍은 이메일 주소라는걸. 그렇지만 다시 고백한다. 나는 나약해져 있었다.

  이메일의 제목은 'Technical Media #73451' 이었다. 이 부분에서 나의 약간의 자만심이 작동했다. 회사 재직 기간 동안 수많은 랜섬웨어, 피싱 메일, 스미싱 등의 공격을 막아낸 바가 있었기에(열지 않고 휴지통에 넣었다는 뜻이다) 어떤 경각심도 갖지 않은 것이었다. 그렇게 무심하게 이메일을 열었고 판도라의 상자는 열렸다. 혹시 여기까지 읽고 S의 이메일 공격이 너무 두렵다는 생각이 들 수도 있다. 하지만 그럴 필요는 없다. 대부분의 이런 메일들은 스팸메일함에 자동으로 옮겨져 있다. 그러니까 나는 굳이 스팸메일함에 들어가서 굳이 미심쩍은 이메일을 열어봤다는 이야기다. 야구에서는 상식적으로 이해할 수 없는 실책, 실수를 '본헤드 플레이(bonehead play)'라고 한다. 나는 안다. '본헤드 플레이'를 한 선수는 아마 심리적으로 나약한 상태였을 것이다.

이메일 제목을 클릭하자 가장 먼저 눈에 들어온 문장은 이것이었다. 

We inform you that your account is eligible for the Blue Badge. 

메타가 인스타그램 유저들에게 블루배지를 권장(혹은 장사)하고 있다는 것은 작년부터 알고 있었다. 당시에는 2만 2천 원이라는 구독료와 인증 절차(프로필 사진이 본인 얼굴이어야 한다) 때문에 마음을 접었었다. 

하지만 나약해진 나는 다시 'Blue Badge'라는 단어를 본 순간 이성을 잃었고 이메일 하단에 있는 'Go to Form'이라는 배너를 클릭하였다. 

  여기서부터는 기억에 의존해서 써야 한다. 위의 이메일은 방부처리되어 내 메일함에 영구 보존되어 있기에(마치 오래된 상처를 핥듯 정보 보안 교육의 일환으로 틈만 나면 S가 내게 처음으로 보낸 이 메일을 읽어볼 계획이다) 정확한 복기가 가능하지만 배너에 연결된 사이트는 현재 접근이 차단되었다(이 글을 쓰기 위해 그 배너를 다시 클릭해야 했을 때 스스로 놀랄 정도로 심리적 부담을 느꼈다. 언제까지일지 모르겠지만 나는 이런 종류의 배너를 클릭해야 할 때마다 전에 없던 부담감을 느끼게 될지도 모르겠다). S가 만든 사이트는 상단에 메타 로고가 그려져 있었고 하단에 인스타그램 비밀번호를 기입하도록 되어 있었다(메타 로고와 깔끔한 UI를 본 순간 이미 나는 무장해제되어 있었다). 비밀번호 기입 후 'confirm'('go'였을지도 모른다)을 누르자 메타에서 보낸 2단계 인증 문자(그러니까 나는 이런 상황을 대비해서 2단계 보안 절차까지 해 놓은 상태였다는 말이다)를 적는 페이지가 열렸다. 그리고 마치 무엇에 이끌리듯 핸드폰 문자메시지로 온 인증번호 6자리를 기입하자 모든 것이 멈추었다. 해킹을 위한 모든 열쇠를 S에게 갖다 바쳤기 때문이다(영화에서는 종종 범죄가 완성되기 마지막의 마지막 순간에 누군가 나타나 악당을 저지하지만 현실에서 그런 일은 일어나지 않았다. S의 엄마가 나타나 S의 등짝을 발로 차주었다면 얼마나 좋았을까). S는 1분도 채 되지 않는 시간에 미국 밀워키에서 삼성 갤럭시 S20 울트라폰을 이용하여(메타가 내게 알려준 정보는 이것뿐이다) 비밀번호를 바꾸고, 2단계 인증을 해제하고, 계정과 연동된 이메일 주소를 바꾸었다(바뀐 이메일은 qiwq5ykg@femailtor.com 이다. 혹시 주위에 이 계정을 쓰는 분이 계시다면 등짝을 발로 차 주시기를 바란다). 인스타그램과 연결된 페이스북 계정도 함께.

  감지와 후회는 동시에 온다. 뭔가 잘못되었음을 감지한 나는 급히 인스타그램 해킹 사례를 찾아보았고 나와 비슷한 사례가 있는지 확인하였 다. 당했다고 느낀 순간 깊은 후회와 자기혐오가 치밀어 올랐다. 시간을 되돌리고 싶은 기분. 단 10분 아니, 단 1분 만이라도. 하지만 아침에 일어나 애써 떠올려보려는 간밤의 꿈처럼, 찾으면 찾을수록 내 계정은 멀리 사라져갔다. 

  인스타그램 해킹을 당해도 복구할 수 있는 방법이 없는 건 아닌 듯하다. 계정 프로필이 자신의 사진으로 되어 있다면 셀프 동영상을 찍어 메타에 보내는 방법이 있다. 나는 여기에 해당이 되지 않기 때문에 팔로워 인증을 통해 복구하는 방법이 있었다. 평소 많은 피드백을 주신 팔로워 두 분께(이 자리를 빌려 정말 감사를 드립니다) 요청을 드렸고 효과가 있기를 바랐지만 메타에서 아무런 반응이 없었다. 이 절차가 메타의 직원을 통해서 이루어지는 것이 아니라 자동화되어 있기 때문에 딱히 하소연할 수 있는 곳이 없었다. 약 1주일 동안 위 절차를 세 번 반복 시도했으나 아무런 성과가 없었다.

  아이러니하게도 내가 가장 적극적으로 '다다다'에 임하고 있을 때 가장 절망적인 일이 일어났다. 인풋과 아웃풋을 최대한 늘리고 인스타그램 광고를 더 적극적으로 펼치고 있던 시기였다. 연재 3년. 나는 어떤 결과를 손에 쥐고 싶었다. 이 모든 게 한때의 치기 어린 장난으로 남지 않기를 바랐다. 연초부터 입버릇처럼 되뇌던 말은 '왜 아무 일도 안 일어나지?'였다(결국 일이 일어나기는 했다). 나는 간절했고 그래서 나약했다. 

  사람들은 약한 사람에게는 손을 내밀기도 하지만, 나약한 사람에게는 손을 거둔다. 시스템과 타인은 내 나약함의 원인을 개인 의지의 문제로 정의한다. 그래서인지 (내 개인적인 생각이지만) 나약함은 자기혐오를 동반하는 것 같다. 나약함의 근원이 온전히 한 개인에게 달려있어서 손가락질을 당해도 싸다는 생각은 당연히 위험하다. 하지만 현대 사회에서는 좀처럼 바뀌기 힘든 생각이다. 결국 더 힘을 짜내서 생각해야 하는 건 자기혐오를 어떻게 다룰 것인가 하는 것이다. 

  차분히 생각해 보았을 때, 이 해킹 피해는 온전히 나의 잘못일까. S처럼 손쉽게 남의 시간, 자본, 노력을 빼앗아 이익을 극대화하려는 사람들, 그리고 그런 이들을 추앙하는 사람들을 양성한 시스템의 잘못은 없을까. 그리고 이러한 해킹 피해 사례를 너무 잘 알고 있으면서도 오히려 과거보다 퇴보한 고객센터를 운영하고 있는 메타의 방만한 CS는 그러려니 하고 넘어가야 하는 것일까. 대량 발송되는 스팸메일을 여전히 주는 대로 받아먹는 이메일 서비스는 왜 개선되지 않는 것일까. 기술의 한계일 것이라고 생각하는 것은 기술에 무지한 나 같은 사람의 게으른 추측일 뿐, 사실은 그들이 문제의식을 갖고 적극적으로 행동하지 않는 것 아닐까. 이런 문제들과 나의 나약함을 같은 선상에 놓고 보았을 때, 내 잘못은 어느 정도일까. 그리고 나약함과 간절함이 동전의 양면과 같다면 내가 스스로를 미워해야 할 이유는 어디에 있을까. 

  며칠의 고민의 시간이 있었다. 여기에서 멈출 것인지, 아니면 다시 시작할 것인지. 그리고 결국 나는 나약함을 더 품기로 했다. 어떤 결과를 보고 싶기도 했고 무엇보다 캐릭터들이 아직 해야 할 이야기가 남아있었다(그리고 아직 맥가이버칼을 사지 못했다). 그래서 지난 2월 13일부터 새로운 계정에 다시 '다다다'를 처음부터 게재하고 있다. 이건 아주 멀리 돌아가야 하는 일이고 터널이 아닌 동굴 속을 걷는 일일 수도 있다. 그렇지만 내가 나를 혐오하지 않는 일이다. 물론 지금 이 순간에도 종종 내 머리를 쥐어박고 싶기는 하지만.