스마트폰과 보안 지옥

정보통신 기술이나 보안에 대해 전문성이 있거나 특별히 해박한 것은 아니지만, 평범한 현대인답게 보안 문제에 대해선 할 말이 제법 많다. 뜬금없이 왜 이런 말을 하게 되었는가 하면, 며칠 전에 넷플릭스에서 ‘스마트폰을 떨어뜨렸을 뿐인데’를 봤기 때문이다. 시가 아키라의 소설을 원작으로 삼아 두 번째로 영상화된 이 영화는, 평범한 서울의 젊은이로 살아가는 주인공이 어느날 스마트폰을 떨어뜨렸다가, 범인의 악랄하고 치밀한 계획에 의해 보안이 뚫리고 삶이 온통 덫으로 빠져든다는 이야기다. 어지간해선 저렇게까지는 안 되지, 하고 과장이라고 생각하게 되는 부분도 있고, 거기서 그게 말이 되는 전개인가? 싶은 부분도 있긴 했지만, 분명 일상 속에서 엇비슷한 일을 겪을 수도 있고, 배우들의 연기도 훌륭해서 손에 땀을 쥐고 보게 되었다. 보안의 중요성을 강조하기 위해 엘리베이터나 지하철 같은 곳에서 주기적으로 틀어줘도 좋지 않을까 싶을 정도다.

내가 이 영화에서 가장 무섭게 느낀 것은, 스마트폰 해킹으로 소유주에 대해 알 수 없는 게 없다는 부분이었다. 물론 스마트폰 보안이 중요하다는 사실을 실감하긴 어렵다. 개인 통신 장비를 평범한 피처폰부터 사용하기 시작한 세대는 그래봐야 휴대전화 한 대 아닌가 하는 느낌 때문에, 날 때부터 스마트폰을 쥐고 산 세대는 스마트폰을 공기처럼 당연하게 여기는 인식 때문이다. 그러나 스마트폰은 이제 네트워크가 지원되는 외장 두뇌의 역할을 담당하고 있다. 게다가 앞뒤로 카메라도 달려 있고, 마이크, GPS, 압력계, 나침반 등등 최고의 센서가 닥치는 대로 달려 있어 온도 말고는 뭐든 다 감지할 수 있을 지경인데다가 타인과의 관계와 업무까지 모두 관리할 수 있으니, 스마트폰을 해킹당한다는 건 삶을 해킹당하는 것과 별로 다르지 않다. 영화에서도 해킹에 의해 주인공을 비롯한 몇 명의 관계는 물론이고 재정도 경력도 모두 박살나는 모습이 오싹하기 짝이 없었다.

그러고보니 내가 받은 스팸 메일이 떠오른다. ‘난 네 노트북을 해킹해서 카메라로 사생활 영상을 저장해놓았다. 영상이 유포되는 게 두렵다면……’ 이런 식이었다. 당시에 난 노트북의 카메라가 외장 모니터에 가려지도록 배치해 놓았기에 백신을 설치하고 카메라 커버를 붙이는 정도로 웃고 넘어갔지만, 메일이 만약 ‘난 네 스마트폰을 해킹해서 모든 개인정보와 사진, 문서를 입수했다.’로 시작했다면 기겁할 수밖에 없었으리라. 나 개인에 대한 정보는 그렇다치더라도 나와 가까운 사람들의 사진이나 일과 관련된 자료따위가 아무렇게나 유포되는 건 심각한 문제다. 게다가 나는 낡은 안드로이드 기기에 커스텀 펌웨어를 올리거나, 지금은 플레이스토어에서 구할 수 없는 앱을 따로 찾아 설치하는 경우도 있어서, 어디가 뚫렸는지 생각해보면 짚이는 구석도 상당히 많다. 영화에서도 ‘이상한 거 받아서 설치하지 말라’는 경고가 자주 나왔는데, 그때마다 뜨끔했다.

내친 김에 영화를 보고 나서는 광고가 넌더리나서 설치했던 구글 미인증 SNS 앱 하나를 지워버리기도 했다. 앱 제작사 홈페이지에서도 안전하다고 주장하고, 찾아보니 레딧 같은 커뮤니티에서도 지금까지 문제가 된 적은 없다고도 했지만, 제작자가 아무리 선량하다 하더라도 해커가 홈페이지의 파일을 바꿔버리는 등으로 손을 쓰면 알아내어 대처할 방도가 있을까 의문이다. 한국인들은 이제 ‘개인 정보는 공공재 아님?’이라고 비웃곤하는데, 그 개인 정보를 바탕으로 사람을 속여먹고 온갖 정보를 뜯어내는 모습을 보면 비웃어서 해결될 일은 세상에 하나도 없다는 걸 실감하게 된다.

영화의 맥락은 다르지만, ‘서치’도 퍽 교훈적인 작품이다. 실종된 딸을 찾기 위해 아빠가 딸의 계정 암호를 하나씩 알아내어 사생활 기록을 모조리 뒤적이는 게 주요 전개인데, 쉬운 계정부터 들어가서 새 비밀번호를 메일로 받는 식으로 개인정보를 터는 모습을 보자면 해킹이라고 무슨 천재 해커만 할 수 있는 게 아니구나 싶다. 특히 복잡한 비밀번호를 만드는 데에 지친 사람들이 생일 따위의 기억하기 좋은 정보를 이용하거나 같은 비밀번호를 모든 사이트에 쓴다는 점을 생각하면 더욱 그렇다. 어이없이 뚫려 모든 보안이 와르르 무너지는 건 상상의 영역이 아니다.

게다가 요즘 일어나는 일들을 보면 걱정이 이만저만이 아니다. 어느 사이트가 문제를 일으켜 로그인 이후 남의 개인 정보 화면을 띄우는 사고가 터지질 않나, 어디선 비밀 번호를 암호화하지 않고 대충 저장했다는 소리도 들어봤다. 하지만 아까도 말했듯이 관리 잘 해봐야 소용 없는 일이라며 코웃음치고 넘어가서 더 나아질 건 하나도 없다. 그래서 최선을 다하고 있긴 한데, 그 노력 중에서 가장 값지다고 생각하는 것은 날을 잡고 모든 사이트의 비밀번호를 서로 다르게 바꾼 것이다. 솔직히 대단히 귀찮은 작업이기도 했고, 내가 가입한 기억이 아예 나지 않는 사이트는 손댈 수 없긴 했지만, 그래도 작업하기 전보다는 훨씬 안전해졌으리라 생각한다.

새 비밀번호를 정할 때는 비밀번호 관리 앱인 Bitwarden을 사용했다. 삼성도 애플도 각자의 비밀번호 관리 방법을 쓰고 있고, 특히 애플은 사고가 터졌다간 무시무시한 벌금을 맞을 게 분명하니 믿을 만하다고 생각하지만, 내가 사용하는 모든 운영체제에서 범용적으로 쓰기엔 불편해서 포기했다. 그밖의 여러 인기 앱들도 시도해보긴 했지만 값이 너무 비싸서 포기했고, 결과적으로 여러 커뮤니티에서 가장 평이 좋은 Bitwarden을 고르게 되었다. 무료이며 모든 운영체제를 지원하고, 오픈소스라 전세계의 똑똑한 사람들이 감시할 수 있다고 하니 확실히 쓸 만한 앱이다. 심지어 비밀번호 자동완성 기능이 없는 구버전 안드로이드에서도 강제 입력을 지원해서, 낡아빠진 물건을 여럿 갖고 있는 나에겐 안성맞춤이었다.

다만 비밀번호 관리 앱이라는 게 형식상 모든 비밀번호를 적은 장부를 대여금고에 넣어두는 듯한 꼴이라, 금고가 털리면 어쩌나 하는 걱정이 있는 것도 사실이다. 물론 저장할 때 암호화가 되어 데이터가 유출되어도 해석이 불가능하다는 게 기술적인 설명이지만, 불안감을 완전히 씻어버리지는 못하고 있다. 그래서 남에게 추천하지도 않는다. 추천했다가 무슨 일이라도 생기면 책임질 수도 없는 노릇이니.

(멍청한 법률과 잘못된 표준안이 세상의 모든 보안을 망친다)

아무튼 작정하고 대작업을 한 덕분에 나의 인터넷 보안 상황은 확실히 나아졌으나, 문제는 부모님이었다. 나의 부모님도 여느 현대인처럼 괴이한 비밀번호 정책에 시달려 비밀번호를 이것저것으로 바꿔대다 결국 제대로 기억하는 게 별로 없는 상황인지라 무슨 방법이든 쓸 필요가 있었는데, 삼성 스마트폰에서 지원하는 삼성 패스는 뜰 때도 있고 안 뜰 때도 있어서 별로 신뢰할 수 없었던 탓이다. 이것은 삼성의 잘못이아니라 비밀번호 영역을 표준에 맞춰 설정하지 않은 앱 제작사측 잘못이겠지만, 앱마다 따져서 고치라고 할 수도 없는 노릇이니, bitwarden처럼 자동 입력이 더 잘 되는 앱을 쓰는 게 나을 터였다.

그래서 어느날은 작심하고 어머니 폰에 bitwarden을 설치하고 설명할 궁리를 해보았는데…… 오래지 않아서 포기하고 말았다. 나는 습관이 되어 잘 인식하지 못하고 있었는데, 자동 입력이 잘 뜨지 않는 경우에는 뜨게 하려고 여기저기를 반복해서 눌러대는 과정을 거치고 있었다. 게다가 새 비밀번호를 생성해서 자동완성할 경우 비밀번호 재입력 칸에 아이디를 입력하는 등 문제가 일어날 때도 적지 않았으니, 이런 귀찮은 문제를 극복하고 잘 익혀서 쓰시라고 설명할 자신이 눈곱만큼도 생기지 않았다. 비밀번호를 잘 설정해서 보안성이 높아질 때마다 누가 얼마씩 준다면 또 모르겠지만, 그냥 하던 대로 편하게 살아도 아무 문제도 일어나지 않은 마당에 그런 짓을 하시라고 설득할 합리적인 이유가 부족했다.

정말이지 보안이란 잘 챙길수록 불편하기만 하고, 티는 나지 않는 분야다. 하다못해 백신만 해도 뭘 잡았다고 보고를 하니 쓰는 보람이 있고, 안전 대책도 큰 부상을 막아준다는 인식이 있는데, 보안은 정말로 무슨 일이 터져도 알기 힘들 뿐더러, 기업에서 뭐가 털리든 말든 실질적 손해도 그에 따른 보상도 받는 일이 없으니 누가 신경 쓰겠는가?

그리하여 나는 비밀번호 관리 앱 추천을 포기하고, 외우기 쉬운 비밀번호 만들기 방법을 알려드려 보았다. 대강 이런 식이다. 항상 쓰는 단어의 앞이나 뒤에, 가입할 사이트 주소의 첫 번째 알파벳을 대문자로 붙이고 특수문자를 하나 추가하는 것이다. 요컨대 비밀번호를 모두 다르게 만들되, 구분되는 요소는 따로 기억할 필요없이 사이트에서 얻는 셈이다. 이렇게 하면 한 곳이 털려도 추가 피해를 막을 수 있다. 물론 누가 작정하고 노려서 비밀번호를 알아낸 다음, ‘여기는 이런 방식으로 알파벳을 넣었으니까 저기는 이거겠군!’하고 털어버린다면야 막을 수 없겠지만, 비밀번호를 아무렇게나 돌려 쓰는 사람이 수도 없이 많은 마당에 그렇게까지 공을 들일 해커가 있을 것 같지는 않다.

그러나 그런 방법을 알려드려도 뭐 하나 변한 것은 없었다. 나는 지금까지 하던 대로 부모님의 비밀번호도 따로 적어두게 되었다. 사실 말하면서도 별로 기대하진 않았다. 내 주변에서 그 방법을 들은 사람 중 그 누구도 감탄해서 바로 써먹어야겠다고 한 사람이 없었기 때문이다. 하기야 귀찮기만 하고 아무 보상도 없는 일을 누가 하겠는가? 내가 생각하기로는 어느 악의 무리가 준동해서 수만 명의 돈을 털어버리는 사고가 일어나, ‘내 친구도 오천만 원이 날아갔다더라’하는 등의 흉흉한 얘기가 나돌아야 인식이나 관행이 바뀔 것 같다. 안전 규정은 피로 쓰여지고, 보안 규정은 돈으로 쓰여지기 마련이다.

그나저나 비밀번호 말고 스마트폰 보안도 좀 개선되었으면 하는 바람이다. 요즘 기기들을 보면 몇 년 전이 약간 나았다는 생각이 들 때가 적지 않다. 특히 갤럭시는 예나 지금이나 지문 인식을 참으로 못하는데, 지문 인식을 화면으로 하게 된 뒤로는 한층 더 짜증이 치밀곤 한다. 어머니도 내 친구 하나도 지문이 옅은 탓에 불편해졌다고 호소한다. 지문 인식 버튼이 따로 있거나 홍채 인식을 지원하던 시절이 지금보다 나았다. 아버지도 버튼이 없으니 성가시다며 잠금을 아예 안 쓰고 있는데, 나로서도 잠금을 꼭 하시라고 설득할 의지가 생기지 않는다. 솔직히 나도 예전이 편했기 때문이다. 화면이 넓고 배터리가 오래 가는 것만이 스마트폰이 추구해야 할 가치는 아닐 테니, 낡은 기술이라고 무조건 갖다버리지 말고 신뢰도를 좀 고려해줬으면 하는 바람이다.