제4차 산업혁명이 진행됨에 따라, 개인과 기업의 자료는 이미 회사 내부의 PC나 서버를 떠나 클라우드에 저장되고 있다. 클라우드 매체는 가격이 저렴하고 확장성이 뛰어나다. 하지만, 제3자가 계정과 비밀번호를 알아낼 경우 물리적으로 접근을 차단하는 것이 쉽지 않고 회사 내부의 서버보다는 침입 탐지도 어렵다.
시장조사기간인 미국의 가트너에 따르면 5년 전인 2013년 세계인구의 3분의 1인 26억개의 사물이 인터넷에 연결되었는데, 2년 후에는 세계인구의 3배가 넘는 260억개의 사물이 인터넷에 연결된다고 한다. 이제는 컴퓨터와 스마트폰만, 스마트와치만 인터넷에 연결되는 것에 떠나서, 자동차, 냉장고, 생명유지장치, 웨어러블 기기까지 모두 인터넷에 연결된다. 사물인터넷 기술의 진화로 보안이 해제되면 단순히, 개인의 사생활의 평온이 침해되는 것을 넘어 생명이나 신체까지 위험한 상태에 빠지게 된다.
독일군이 사용한 ‘수수께끼’라는 뜻을 가진 에니그마라는 기계는 18억개가 넘는 자체적인 상태를 가질 수 있었다. 하지만, 영국의 튜닝은 이것을 계산해내는 초기의 컴퓨터를 만들어서 복잡한 보안을 뚫었다. 이러한 사례는 완벽한 보안 체계를 만드는 것이 결코 쉽지 않음을 보여준다. 그런데, 한국에서의 정부나 기업체의 보안의식은 비교적 취약하다. 국방망을 비롯하여, 국회, 한국수력원자력과 서울교통공사의 전신인 서울메트로의 컴퓨터도 이미 해킹을 당한 것이 아닌가하는 의혹이 제기되었다. 이 글에서는 제4차 산업혁명의 진행으로 증가하는 보안위험에 대하여 알아보고, 관련 대책에 대하여 간략히 살펴보고자 한다.
사물인터넷 발전에 따른 개인정보 유출
사물인터넷의 장점은 눈에 잘 보이지 않는 센서들이 구석구석에 위치하면서 인간에게 각종 편의를 제공하는 것이다. 이 기술은 적은 전력과 적은 비용으로 이용자의 신체, 행동패턴 뿐만 아니라, 이용자들의 주변에 놓인 데이터를 끊임없이 수집한다. 사물인터넷과 인공지능의 유용함은 임신한 여성의 색상이나 미각에 대한 섬세한 변화를 추적하여 육아용품 카탈로그를 발송하거나, 주문하지도 않은 물건을 예측하여 미리 배송을 시작하고, 전기 사용량 등을 파악하여 노인이나 복지 취약계층의 활동량과 위험징후까지 추적하는 것에서 찾아볼 수 있다.
하지만 사물인터넷기술의 발달로 개인정보의 누출과 사생활의 비밀유지는 새로운 관심사로 등장하고 있다. 각국의 개인정보보호 관련 법제는 대개 사물인터넷 관련 정보의 이용에 사용자의 사전 동의를 요구하고 있다. 하지만 깨알 같이 글씨로 어려운 법률 용어로 작성되었거나, 바빠서 충분히 내용을 읽고 설명을 이해하지 못하기 때문에 대부분의 사용자들은 부지불식(不知不識)간에 개인정보 제공에 대한 동의를 하게 되고, 개인의 소중한 정보는 서비스 공급자들에게 손쉽게 노출된다.
홈플러스는 2011년부터 2014년까지 ‘깨알글씨로 개인정보 이용을 고지’하고 경품행사로 모은 개인정보를 보험회사에 판매했다. 지난달 서울중앙지방법은 홈플러스가 피해자 1인당 5~20만원을 배상하라고 판결했다. 사회적으로 큰 파문을 일으켰지만 홈플러스에 대한 배상액은 소송에 참가한 사람들이 적어 8,000만원에 지나지 않았다. 이 사건은 한국내에서 개인정보 관리의 중요성을 일깨워준 소중한 사례 중 하나이다.
사물인터넷의 발달로 컴퓨터시스템은 인간의 행동 패턴을 넘어, 인간의 생각과 사고까지 읽어낸다. 극단적인 경우에는 컴퓨터 시스템은 사생활의 평온을 침해할 수 있고, 심지어 인간이 기계에 감시받는 환경까지 만들 수 있다. 유럽국가들이 스마트TV 등의 빅데이터를 유럽외로 반출을 금지한 것도 이러한 이유에서이다. 한국의 한 해커는 작년 숫자, 문자, 기호를 무작위로 대입해 비밀번호를 찾아내는 '브루트포스' 공격으로 1,700대의 IPTV를 몰래 엿보아 사회적인 충격을 주었다. 이 사건은 자녀와 동물의 안전한 관리를 위해 설치한 IPTV나 CCTV가 사생활 침해에 악용될 수도 있다는 사실을 단적으로 보여준다. 페이스북의 창업자 마크 주크버그가 몇 년전 인스타그램에 올린 사진이 화제가 되었는데 맥북프로 노트북의 마이크나 카메라를 이미 테이프로 가린 상태였다.
랜섬웨어의 진화
작년 5월 '워너크라이'라는 랜섬웨어는 전세계 150개여국 수십만대의 PC를 감염시켰다. 워너크라이는 해독을 하기 위해서는 사용자들이 7일 이내에 비용을 지불하라고 협박을 하였고 실제로 일부 사람들이 돈을 지불했다. 과거에는 랜섬웨어가 파일을 암호화하여 돈을 요구했다면, 사물인터넷의 발전으로 랜섬웨어는 인류에게 실질적으로 물리적인 위해를 가할 수도 있다.
찰리 밀러와 크리스 발라섹은 2015년 크라이슬러의 지프 '체로키'를 실제로 해킹하여 운행 중인 차량을 공격자가 원하는 방향으로 주행시켰다. 미국은 2009년부터 공대지 미사일을 발사할 수 있는 무인기 '프레데터'을 운영하였는데, 이라크 반군들은 26달러짜리 해킹 프로그램을 구입하여 프레데터의 영상을 가로채거나 오작동 하도록 만들었다. KAIST의 연구팀은 시중에서 3천원이면 살 수 있는 적외선 레이저로 약물주입기의 센서를 해킹하고 오작동을 유발할 수 있음을 증명했다. 이러한 사실은 이제 보안에 문제가 생기면 정보가 유출되고, 경제적인 피해를 입는 것에서 벗어나 생명까지 잃을 수 있다는 사실을 알려준다.
핀테크의 발전과 새로운 유형의 피해
최근 발전하는 핀테크기술은 소비자들에게 새로운 피해 가능성을 증가시켰다. 가상화폐 거래소인 빗썸은 작년 2건의 해킹 공격을 받아 3만여건에 달하는 개인정보가 유출되었다. 거래소 유빗은 해킹을 당해 172억원 상당의 피해를 입었고, 코인이즈는 21억원을 도둑 맞았다. 해외의 경우 가상화폐 거래소의 피해는 더욱 크다. 일본의 가상화폐 거래소 '코인체크'는 지난달 약 5,600억원 상당액이 증발하는 피해를 입었다. 이탈리아의 가상화폐 거래소인 비트그레일은 이번달 '1,850억'에 달하는 피해를 입었다. 가상화폐 거래는 수많은 PC가 거래내역에 관한 원장을 나누어서 점검하기 때문에 거래내용을 부인하기 어렵다는 장점이 있다. 하지만, 정작 전자지갑이나 암호화 화폐거래소의 계정이 해킹당하면 탈취자로부터 피해를 회복하기가 상당히 어렵다.
필자는 가상화폐 채굴 프로그램을 이용하여 가상화폐를 채굴해보았는데, 채굴 프로그램은 일반적으로 CPU나 GPU의 사용량을 늘렸다. 최근에는 다른 사람의 PC에 채굴프로그램을 몰래 설치하여 원격으로 가상화폐를 채굴하는 기법까지 등장했다. 물론 흔하지는 않겠지만 컴퓨터의 속도가 뚝 떨어졌다면 가상화폐 채굴에 이용되지 않는지도 확인해야할 필요성까지 생겼다.
양자컴퓨터의 등장과 암호화의 해제
미국의 국가안보국은 2015년 기존의 슈퍼컴퓨터가 풀지 못했던 문제를 양자컴퓨터가 쉽게 풀어낼 경우 현재의 암호체계가 심각하게 위협을 받을 수 있다고 경고했다.
기존의 컴퓨터가 0과 1로 사물을 나누어 처리한다면 양자컴퓨터는 00, 01,10,11 상태를 표시할 수 있으며, 비트가 아닌 큐비트로 성능을 표시한다. 이러한 양자컴퓨터는 기존 컴퓨터보다 수백만배에서 1억배 정도로 빠른 것으로 알려져 있다.
현재 보안관련 주요 통신기술 중 하나는 공개된 암호키와 공개되지 않은 복호화키를 사용하는 ‘RSA’ 방식이다. RSA방식은 공개된 암호키의 해독에 소인수분해를 주로 사용된다. 과거의 수퍼컴퓨터로 300자리 정수의 소인수 분해를 진행하면 1년 이상이 걸렸기 때문에, 관련 기술을 이용한 암호화는 상당히 안정적인 방식이라고 여겨졌다. 하지만 이제는 상황이 바뀌고 있다. 양자컴퓨터는 슈퍼컴퓨터가 1년간 진행하던 계산을 30분내에 가능할 정도의 탁월한 성능을 가졌기 때문이다. 양자컴퓨터로도 AES, 3DES와 같은 일부 암호화는 풀기가 어렵겠지만, RSA나 ECC와 같은 암호화방식은 사용에 대한 신중한 검토가 필요하다. 양자컴퓨터 관련 기술은 가상화폐의 암호화시스템도 무력화될 수 있다는 경고까지 나오고 있으므로, 적절히 대비하여야 한다.
한편 양자기술을 이용한 통신은 도청방지를 독특한 장점으로 가진다. 양자통신에서는 중간에 누군가가 통신내용을 가로채면 상이 바뀌어 화자나 청자가 이를 알 수 있다는 것이다. 이러한 장점을 이용한다면 원격지간의 화상회의도 도청의 위험이 없이 보다 안전하게 진행할 수 있게 된다.
제4차 산업혁명으로 보안 위험은 지속적으로 증가하고 있다. 그런데 대부분의 기업들이 보안에 투자하는 금액은 IT 관련예산에서 5%를 넘지 않는다. 북한 등의 해킹공격은 연례 이벤트를 넘어 이미 일상화가 되었다. 이럴 때일수록 보안관련 예산을 늘리고, 인증체계를 더욱 정교하게 구축해야 한다. 정기적으로 직원들에게 가짜 메일과 가짜URL을 보내 대응방법을 훈련하여, 보안에 대한 인식을 개선할 필요도 있다. 냉장고. 보일러, 홈오토메이션 등 IOT관련 기기를 제조하는 회사들은 관련 제품의 보안취약점을 수시로 파악해서 문제점을 지속적으로 보완해야 한다. 보안 침해사고의 피해는 소잃고 외양간 고치는 정도가 아니다. 특정 기업의 경우 파산으로 이어질 수 있으므로, 섬세한 주의와 대응이 필요하다.
여정현
- 서울대학교 법과대학 졸업
- 대우그룹 회장비서실
- 안양대학교 평생교육원 강사
- (주)명정보기술 산호세법인 근무