정보 유출 사고에 대한 세 가지 오해

안녕!

테크를 가장 날카롭고 가치 있게 읽어주는 더테크엣지 아빠들이야.

새해를 맞아 처음 쓰는 편지에 어떤 주제를 담을까 많이 생각했어. 그런데 한 달이 쥐도 새도 모르게 지나가버렸지 뭐야. 고민의 시간이 조용히 흘러가는 동안 누가 재촉하지도 않아, 옆에서 잔소리를 하는 것도 아니다 보니 ‘내가 고민을 하고 있다’는 것 그 자체가 쓰지 않는 것의 핑계가 되어버렸던 거야. 차라리 누가 시끄럽게 닥달했다면 이렇게 늦어지지 않았을 테지. 아무 일도 일어나지 않는 것처럼 보이는 거짓 평화 속에서 사실은 소중한 한 달을 낭비했다는 것, 뼈 아픈 교훈이야.

그런 반성 속에서 한 가지 주제가 떠올랐어. 그저 누가 잔소리 하지 않는 것일 뿐인데 그걸 고요한 평화라고 혼자 오해하고 시간을 낭비한 것처럼, 우리도 각종 해킹 사고와 피해에 대해 오해하는 것들이 있다는 것이 퍼뜩 생각난 거야. 그 오해 속에서 우리는 피해를 불필요하게 늘리기도 하고, 입지 않아도 될 손실을 입기도 하지. 그래서 해킹 사고, 특별히 정보가 도난 당하는 ‘정보 유출 사고’에 대한 세 가지 오해를 적어볼게.

1. 고요함에 대한 오해

비밀번호같이 소중한 정보가 유출되면 어떤 일이 일어날까? 그 즉시 경고가 울리고 보안이나 IT 담당자들이 이 방 저 방 뛰어다니면서 컴퓨터 전원을 내릴까? 곧이어 경찰들이 들이닥치고, 모든 컴퓨터가 꺼지며, 방화벽이 내려오고, 뉴스 캐스터들이 방송을 준비할까? 전혀 아니야. 99.9%의 경우, 정보 침해가 발생해도 사람이나 시스템이나 평소의 고요함을 유지해. 아무도 무슨 일이 난지 모른 채 평소의 생활을 이어갈 뿐이야.

비밀번호를 탈취한 해커들은 어떨까? 축제를 벌이고, 그 비밀번호로 은행과 각종 인터넷에 로그인 할까? 그래서 뭔가 비싼 물건을 피해자 명의로 구매하는 등 수익 극대화를 위해 발빠르게 움직이기 시작할까? 아니야. 그들 스스로도 제대로 작동하는 비밀번호를 훔치는 데 성공했다는 사실을 뒤늦게 파악할 때가 많아. 빠르게 알게 됐더라도 충분한 수의 비밀번호가 추가적으로 모일 때까지 움직이지 않는 게 대부분이야. 그러므로 해커 쪽도 조용할 때가 많아.

‘고요함’에 대해 우리는 오해하는 경우가 많아. ‘아무 일도 없다’거나 ‘평화롭다’고 말이야. 하지만 고요에는 ‘폭풍전야’도 있고, ‘침묵하는 다수’도 있어. 뭔가 밑에서 부글부글 끓고 있는데, 그래서 폭발하기 직전임에도 당장은 겉으로 드러나지 않을 뿐인 ‘고요함’도 있다는 것이지. 정보 유출 사고도 이런 종류의 고요함을 특징으로 가지고 있어.

심지어 해커들이 훔쳐낸 정보를 가지고 움직이기 시작할 때도 이 고요함이 유지되는 게 보통이야. 이들은 무척 영리해. 손에 쥔 것을 가지고 다짜고짜 움직이지 않아. 천천히, 그리고 조용히, 시험부터 해 보지. 비밀번호를 가져갔다면 그 비밀번호가 어디에 통하는지 확인해. 신용카드 정보를 가져갔다면 그게 너무 오래돼서 이제는 써먹을 수 없는 건 아닌지를 확인해. 개인정보를 가져갔다면, 조용히 그 개인에 대해 조사를 하거나 그 정보를 사갈 사람을 찾아. 이 중 소란을 일으킬 건 아무 것도 없어. 고요하지만 평화로운 건 아니야.

소리는 어디서부터 날까? 피해자가 우연히, 혹은 아주 꼼꼼한 검사를 통해 피해 입은 사실을 알아채고 그 사실을 경찰에 신고할 때야. 하지만 여러 가지 이유로 피해자가 자발적으로 신고하는 사례는 그리 많지 않아. 이쪽에서 나는 소리는 간헐적이고, 끊기기 십상이지. 정말 큰 소리는 공격자에게서부터 나와. 정보를 다 확인하거나 충분한 수를 확보하고 슬슬 본격적으로 움직일 때지. 자기 수중에 있는 비밀번호로 대형 은행에 접속할 수 있다는 사실을 확인하고서, 혹은 신용카드 정보로 실제 물건 구매가 가능하다는 걸 파악하고서, 혹은 개인정보를 큰돈 주고 살 사람을 확보했을 때라는 것이지. 그리고 이런 소리들은 보통 기자들이 먼저 알아듣고 세상에 알려.

이게 무슨 뜻인 거 같아? 우리가 듣는 사고 관련 소식은 대부분 ‘뒷북’이라는 거야. 고요함을 지나 소란함에 닿았을 땐, 이미 한참 늦은 때야. 해커들은 이미 우리 비밀번호로 다른 중요한 서비스에 접속해 돈을 인출했거나, 비싼 물건을 샀거나, 중요한 기업 비밀을 가져갔거나, 개인정보를 누군가에게 팔아 넘겼다는 거지. 우리에게 남은 건 책임자를 찾아 처벌하는 것 뿐인데, 그렇기 때문에 해킹 공격을 허용한 기업이나 기관이 보통 욕을 먹지. 진짜 해커는 이미 어디론가 숨은 뒤니까.