Prologue
사이버 범죄는 생각지도 못한 방법으로 우리의 일상을 위협한다. 작년 11월 한 해커가 전국 700여 개 아파트 단지 벽면에 달린 월 패드(주택 관리용 단말기) 카메라를 해킹해 촬영한 영상을 다크웹에 일부 공개했다. 이 사실이 알려지면서 많은 사람이 불안에 떨었다. 유출된 영상에는 일상뿐 아니라 알몸 사진, 성관계 장면도 포함돼 있었다. 사이버 공격이 기승부리는 요즘, 본지는 갈수록 악랄해지는 사이버 범죄와 그에 따른 예방 방법을 알아봤다.
광활한 범위의 사이버 범죄
사이버 공간은 하나의 퍼스널 스페이스(Personal Space)이자 무한한 교류의 장이 열리는 공간이다. 광범위한 교류가 열린다는 것이 장점이지만, 보이지 않는 범죄 또한 광활한 범위에서 발생할 수 있다는 문제가 있다. 이 공간에서 발생하는 범죄는 디지털 범죄, 하이테크 범죄, 컴퓨터 범죄 등으로 세간에서 다양하게 불리나 대체로 ‘사이버 범죄’로 통용된다.
사이버 범죄란 정당한 권한 없이 컴퓨터 혹은 정보통신망에 침입하거나 데이터 훼손, 멸실과 같이 장애를 일으킨 경우를 말한다. 이러한 디지털 공격은 크게 정보통신망 침해, 정보통신망 이용, 불법 콘텐츠 범죄로 분류된다. 해킹, 디도스(DDoS, 분산 서비스 거부 공격), 랜섬웨어부터 메신저 스미싱, 불법 촬영물의 유통과 사이버 성폭력까지. 다양한 유형의 사이버 범죄는 모두 증거 인멸이 쉽고 추적 및 발각이 어렵다는 특징을 가져 사이버 공간을 침해하는 큰 요소가 된다.
이 중 가장 잘 알려진 ‘해킹(Hacking)’은 본래 사이버 범죄를 지칭하는 용어가 아니었다. 애당초 해킹은 접근 허용이 불가한 컴퓨터에 잠입하는 행위 자체를 의미했다. 하지만 시간이 흐르면서 무단침입의 결과로서 상업적 이익을 취득한다는 뜻의 ‘크래킹(Cracking)’의 의미와 합쳐져 ‘해킹’으로 보편화됐다. 실제로 포털 사이트 계정을 해킹당한 적이 있다는 조유진(행정·4) 씨는 “사이버 범죄가 남의 일이 아니라는 것을 깨달았다”고 말했다.
그렇다면 해킹은 현대사회에 어떤 영향을 끼치고 있을까. 남미에서 활동 중인 신흥 해커조직 ‘랩서스(LAPSUS$)’는 최근 ‘삼성전자’, ‘LG전자’, ‘마이크로소프트’와 같은 글로벌 IT기업들을 짧은 기간에 해킹해 국제 이슈로 급부상했다. 밝혀진 이들의 범죄 수법은 기업 내부 전산망을 뚫고 중요 정보나 임직원과 고객층의 개인정보를 탈취하는 방식이다. 이들은 세계적 기업들을 연쇄적으로 해킹하고 금전을 요구했다. 이에 국내 수사가 시작됐으며 ‘국가정보원’은 21일 공공분야 사이버 위기 경보를 ‘관심’에서 ‘주의’ 단계로 상향했다.
현실까지 위협하는 디지털 성범죄
2019년 n번방 사건이 언론에 보도되며 디지털 성범죄가 수면 위로 떠 올랐다. 디지털 성범죄가 위험한 이유는 인터넷에 성 착취물이 한번 유포되면 걷잡을 수 없고, 인터넷상에서 정보를 완전히 삭제하기가 거의 불가능하기 때문이다. n번방 같은 디지털 성범죄는 소라넷, 웹하드 카르텔, 다크웹 등 이름만 바꿔가며 반복됐다.
‘디지털 성범죄’란 디지털 기기와 정보통신 기술을 매개로 온·오프라인 상에서 발생하는 젠더 기반의 폭력을 말한다. 예를 들어 ▲변형 카메라를 이용해 상대의 동의 없이 촬영하는 행위 ▲이를 유포하고 불법 촬영물로 협박하거나 금전을 요구하는 행위 ▲일상적 사진을 성적인 사진으로 합성하는 행위 등이 모두 디지털 성범죄에 해당한다. 흔히 ‘몰카’라고 부르는 몰래카메라는 초소형으로 제작돼 일상에서 흔히 사용하는 볼펜, 안경, 물병 모양으로 유통되고 있다. 누구나 쉽게 구매할 수 있으며 카메라 같지 않은 외형에 범죄로 악용된다.
대개는 공중화장실에 설치된 카메라를 걱정한다. 하지만 작년 9월 경찰청에서 발표한 「최근 3년간 몰래카메라 관련 범죄 발생 현황」에 따르면 5천762건 중 공중화장실에서 발견된 설치 카메라는 657건으로 5%도 되지 않는다. 대부분이 공중화장실의 설치 카메라가 아닌 휴대용 기기를 이용한 촬영이다. 평상시 우리도 모르게 찍히는 불법 촬영물이 더 많다는 얘기다. 몰래카메라는 찾아내기도 쉽지 않아 예방하기 어렵고 관련 처벌법이 부재해 디지털 성범죄가 끊이지 않고 있다. 언제 어디서 찍힐지 모른다는 불안감은 온·오프라인을 넘나들며 우리를 위협한다.
보이지 않는 전쟁
사이버 공격은 개인 대 개인의 문제가 아닌 국가 간에서도 만연하게 일어난다. 사이버 공간에서 벌어지는 전쟁을 ‘사이버 전쟁’이라고 하는데, 그 중요성은 현대에 접어들며 더욱 커지고 있다. 사이버 공격에는 ▲디도스와 같은 네트워크 취약점 공격 방식 ▲서버와 웹의 취약점을 공격하는 체계 취약점 공격 방식 ▲트로이 목마와 악성코드, 스파이웨어 등 바이러스를 이용한 방법이 있다.
사이버 공격의 유형도 여러 가지로 나눌 수 있다. ▲상대방의 중요 웹사이트의 접속을 마비시키는 유형 ▲상대방의 기밀 정보를 빼 오는 유형 ▲해킹을 이용한 선전 유형 등이 있다. 각 국가는 사이버 공격, 목표에 따라 다른 방식과 유형을 사용해 사이버 전쟁을 수행한다.
합동군사대 김진광 교수의 2020년 「북한의 사이버 공격 위협 분석 연구」 논문에 따르면, 우리나라를 향한 북한의 사이버 공격은 평균 월 1~2회씩 발생하고 있다. 북한이 가장 많이 사용하는 사이버 공격 방식은 APT(지능형 지속 공격)로, 계속해서 목표 대상을 관찰하고 분석하며 악성코드를 심어 감염시키는 방식이다. 웹사이트와 같이 불특정 다수를 대상으로 한 사이버 공격이 아닌, 특정한 목표를 끈질기게 공격한다는 것이 특징이다.
‘러시아-우크라이나’ 전쟁에서도 사이버 공방전은 계속 일어나고 있다. 익명의 해커 그룹 ‘어나니머스’는 지난달 24일 러시아에 대한 사이버 전쟁을 선포한 후 러시아 국방부 웹사이트를 마비시키고, 데이터베이스를 탈취하는 데 성공했다. 병력의 위치나 보급 상황, 군사 작전 등의 정보가 모두 데이터베이스에 기록돼 있는 경우가 많기에, 사이버 공격이 한 번이라도 성공한다면 꽤 치명적인 결과로 이어질 가능성이 크다. 이제 전쟁의 총성은 사이버상에서도 치열하게 울리고 있다.
사이버범죄에 맞서는 이들
‘해커(Hacker)’는 블랙 해커(Black Hacker)와 화이트 해커(White Hacker)로 나뉜다. 전자는 우리가 일반적으로 알고 있는 해커이며, 후자는 윤리의식에 따라 악의적인 해킹 공격을 하지 않는 ‘보안 전문가’를 말한다.
화이트 해커는 범죄 대응이 아닌 모의 해킹, 취약점 점검과 같은 보안 활동에 주력한다. 여기서 말하는 모의 해킹이란 블랙 해커의 침투 가능성에 대비해 사전에 선의의 해킹을 함으로써 보안 상태를 진단하는 행위다. 이를 통해 블랙 해커의 해킹 가능성이 발견되면 그 즉시 취약점을 점검하고 대응책을 마련한다. 이를 통해 국내 해커 기업 ‘스틸리언’에 재직 중인 화이트 해커 서영일(29) 씨는 ▲해킹 공격 방어 솔루션 개발 및 연구 ▲고객에게 제공하는 서비스 취약점에 대한 보안 컨설팅 ▲위협 정보 분석 등을 수행한다.
서 씨는 자신의 주력 업무인 정보보안에 대해 “사이버 공격 기술을 익히기 위한 해킹 기초 지식, 코딩 능력, 컴퓨터 구조에 대한 심도 있는 이해가 필요하다”고 조언했다. 또한 화이트 해커로서 윤리의식이 필수적이라며 “악용하면 많은 사람에게 피해를 줄 수 있기에 책임감이 중요하다”고 말했다.
우리도 예방할 수 있다
사이버 범죄를 예방하기 위해서 우리가 해야 할 일은 무엇일까. 가장 중요한 일 중 하나는 사이트마다 다른 비밀번호를 설정하고 주기적으로 변경하는 것이다. 보안이 취약한 사이트의 비밀번호가 유출될 시, 다른 중요 웹사이트의 비밀번호 또한 유출될 가능성이 높다.
주기적인 데이터 백업 또한 필요하다. 랜섬웨어와 같은 해킹으로 컴퓨터 내 파일이 삭제되거나 암호화됐을 때를 대비해 기존 파일을 인터넷 드라이브나 외장 디스크에 백업해 놓는 것을 추천한다. 랜섬웨어의 주 감염 경로가 출처 불명의 메일·링크·메시지 클릭인 만큼, 평소에 낚시성 메일이나 링크를 클릭하지 않는 습관을 갖는 것 또한 중요하다.
만약 악성코드가 내 컴퓨터에 들어왔다고 하더라도 최신 버전의 소프트웨어와 백신이 있다면 치료와 제거가 가능하다. 그러나 간혹 백신과 소프트웨어 프로그램을 업데이트하지 않는 경우가 있는데, 이는 매우 위험한 행위다. 바이러스나 악성코드가 새롭게 생겨나고, 계속해서 진화하기 때문에 백신과 소프트웨어 프로그램에 대한 지속적인 업데이트를 통해 사이버 범죄에 대비할 필요가 있다.
컴퓨터나 태블릿, 휴대전화 등 전자기기에 신분증, 금융 보안 카드와 같은 개인 보안 정보를 저장하는 행위도 자제해야 한다. 보안 카드나 신분증을 사본으로 만들어 개인 전자기기에 저장할 경우, 단순한 해킹에도 중요한 정보가 유출될 가능성이 높다. 개인 보안 정보는 금전적인 피해로 직결될 수 있기 때문에 더욱 철저한 대비가 필요하다.
Epilogue
딥페이크 기술의 발명과 동시에 이를 활용한 음란물이 등장한 것처럼, 기술의 발전은 사이버 범죄의 위협이 커지는 결과를 가져오기도 한다. 인터넷 특성상 모든 사람이 정보에 접근하기 쉽고 익명성이 보장되는 공간인 만큼 가해자를 특정하기 어렵다. 자신도 모르는 새 본인이 사이버 범죄의 피해자가 될 수도 있다. 누구에게나 일어날 수 있는 일임을 자각하고 미리 예방해야 한다.