스마트폰을 이용한 새로운 서비스가 다양화되고 증가하는 가운데 이러한 서비스에서 발생하는 우리의 정보는 더욱 통제하기 어려워지고 있다. 불과 몇 년 전만 하더라도 질적으로나 양적으로 상상하기 어려운 정보의 유통이 이루어지고 있지만 그 정보의 질과 양은 기존 개인정보를 뛰어 넘어 개인의 아이덴티티를 결정할 수 있는 수준까지 발전했다. 이에 그 서비스에 대한 특성을 우리 스스로 이해하고 통제를 강화할 수밖에 없는 상황이다.

올 여름 인터넷을 달군 한편의 영화가 개봉되었다. 인터넷에서 해석하기를, 생각하기에 따라 결말이 무려 7가지가 나오는 오랜만에 지적 유희를 즐길 수 있는 영화였다. 영화의 내용이 머리를 복잡하게 함에도 불구하고 500만 명 이상의 많은 관객을 동원한 올 해 최고의 히트작중 하나이다. 바로 ‘인셉션’이란 영화다. 이 영화의 내용을 간단히 설명하면 이렇다.

아주 가까운 미래, 드림머신(PASIV : Portable Automated Somnacin Intra Venous)이라는 장비를 이용하여 다른 사람의 꿈에 들어가 무의식 상태에 놓여진 대상의 중요한 정보를 훔쳐나올 수 있다. 이러한 일련의 작업을 수행하기 위해 현실과 구분 불가능한 가상의 꿈을 정교하게 건축하고(현실과 구분 가능한 상태로 만들면 상대방이 꿈이란 걸 알아채고 꿈을 깨 버리므로 임무를 실패한다), 미리 건축한 꿈속 가상세계에서 그 대상과 함께 꿈을 꾸며 대상은 무의식적으로 정보를 흘리지만 주인공에게는 꼭 필요한 정보를 획득해서 나오는 것이다.

주인공은 드림머신을 이용하여 주로 기업의 비밀을 보유하고 있는 사람의 꿈에 침투하여 비밀을 훔쳐 파는 최고의 ‘꿈 추출자’였으나 여러 음모에 걸려 꿈을 빼오는 것을 넘어 상대방의 무의식 저변의 생각을 변화시켜 그 미세한 무의식의 변화가 꿈을 깬 후 본인도 모르게 생각의 변화를 일으키게 하는 작업을 지시받는다. 그 무의식의 생각을 심는 과정이 바로 ‘인셉션’이라 불린다.

꿈이라는 과정을 통해 무의식과 의식의 세계, 꿈속에서 또 꿈을 꾸게 만드는 과정, 꿈과 현실의 모호성 등 내용이 매우 흥미로웠으나 필자의 관심을 끄는 부분은 바로 꿈을 통해 한 개인이 소중하게 생각하고 있는 정보를 빼오는 설정이었다.

꿈! 꿈이야 말로 바로 궁극의 개인정보인 것이다. 어느 누구도 내 꿈을 들여다 보는 것을 원치 않을 것이다. 더구나 무의식의 저변에서 나만이 기억하고 싶은, 나만이 가지고 있는, 어쩌면 한 개인을 특정지을 수 있는 하나의 아이덴티티가 노출되는 것은 어느 누구도 원치 않을 것이다. 하지만 그것이 내 맘대로 될까?

SNS에서의 무의식적인 정보유출

최근엔 스마트폰이 일반화되고 이를 이용한 다양한 서비스가 매일같이 출시되고 있다. 하지만 스마트 폰이 이전과 다르게 더 강력한 위협이 되는 이유는 컨버전스에 의한 복잡도의 증가 때문이다. 컨버전스 과정을 통해 디바이스(USIM, GPS, USB 등), 플랫폼(MAC OS X, Android, Symbian 등)과 네트워크 인프라(3G, Wi-Fi, WiBro, 소셜네트워크 서비스 등)등 모바일 서비스뿐 아니라 거의 무한정에 가까운 애플리케이션의 배포 등 다양한 요소가 내재되어 있다.

소셜 네트워크 서비스가 나오기 전 하드웨어 네트워크와 연결되는 동적 네트워크의 진수를 보여주는 듯 했다. 그러나 소셜 네트워크가 활성화된 지금 하드웨어 네트워크는 오히려 정적으로 보일 정도이며 소셜 네트워크는 마치 살아 움직이는 듯한 동적 네트워크의 전형을 보여주는 듯 하다. 이렇게 네트워크의 특성이 변함에 따라 기존의 정보유출 과정과는 전혀 다른 새로운 위협이 나타나고 특히 위치정보기반 서비스나 소셜 네트워크 서비스가 결합할 경우 이러한 위협은 더욱 가중된다.

새로운 서비스들은 기존의 특성과 전혀 궤를 달리하여 위협에 대한 대응이 점차 어려워지고 있는데 기존 서비스와 신규 서비스에서 유통되는 개인정보의 특징은 표 1과 같이 크게 5가지 정도로 구분할 수 있다.

첫째, 새로운 형태의 개인정보는 기존 자료중심의 정형화된 형식에서 벗어나 형태를 규정할 수 없는 새로운 행위, 행태중심으로 변경되고 있다. 즉 기존에 비해 시시각각으로 그 내용이 바뀌는 동적인 정보의 형태로 바뀐 것이다. 지금까지는 주민등록번호나 개인의 정적인 정보가 유출·유통되어 왔다. 상대적으로 이에 대한 대응은 주민등록번호의 형태의 경우 xxxxxx-yyyyyyy, 전화번호의 경우 xxx-yyyy-zzzz 등 어느 정도 특정 형식을 가지기 때문에 대응의 정도가 무척 쉬워 인터넷상의 모든 관련 정보에 대해 동시에 대응이 가능했다. 하지만 행위, 행태 중심은 그것이 불가능하다.

두 번째, 링크 역할측면에서 보면 기존에는 데이터를 위한 연결성만 제공했지만 최근에는 링크 자체가 서비스이자 정보인 상황으로 바뀌었다. 링크의 연결을 검사하다 보면 어느 한 개인이 누구와 관계가 있고 링크의 연결 강도가 누구와 더 가까운지가 표현이 된다. 소셜 네트워크의 동적 연결에서 그 연결 강도를 손쉽게 수집할 수 있다. 더구나 소셜 네트워크 사업성의 성공 유무가 얼마나 많은 유사 연결성을 제공하느냐에 달린다고 봤을 때 후발 업체가 선발 업체를 극복하기 위해서는 연결 강도를 좀 더 강화하는 서비스를 개발할 것으로 판단된다.

세 번째, 사용자의 서비스 가입의지는 개인정보 노출의지의 한 표현이 되었다. 트위터, 페이스 북, 포스퀘어 등 신규 서비스에 가입하는 것 자체가 누구에겐가 나의 정보를 노출하고자 하는 자유의지이다. 따라서 이전의 서비스에서는 누군가가 나 몰래 개인정보를 유출·수집·배포하였을 경우 그 자체가 범죄 요건이 되므로 사법적인 처벌이 가능하였지만 스스로 개인정보에 대한 노출의지가 있는 신규 서비스는 그것조차 애매한 상태가 되어 버렸다.

또한 누구나 조금만 관심을 기울인다면 어느 한 개인의 정보를 수집하는 것이 이전보다 훨씬 쉬워졌다. 가장 큰 문제는 자신의 노출의지로 인해 자신도 모르는 사이에 새로운 사회공학적 공격 시발점이 될 수 있다(사회공학적 공격이 사회적인 연결성을 이용하는 공격이다).

이러한 서비스가 동시에 사용될 경우에는 더욱 문제가 심각해진다. 기존에는 어느 주요 기관에 다녀왔다고 블러그 등에 글을 올렸을 경우 그러한 사실만이 유통되었는데 반해 지금은 그 위치가 동시에 유통이 될 수 있다. 자기도 모르는 사이에 국가 주요 기관의 위치 등이 노출될 수 있는 것이다.

네 번째, 연결의 상태측면이다. 기존 서비스 및 네트워크는 상태가 지극히 정적이다. 상태가 정적이므로 이를 막기 위한 대응 또한 기술적인 범위 내에서 가능했다. 침입차단시스템, 침입탐지시스템, PMS 등 기존에 우리가 알고 있는 각종 기술적 장비가 그것이다. 이러한 장비들은 고정된 IP 주소, 서비스 주소, 어느 정도 갱신 주기가 보장된 위협에는 잘 동작하지만 시시각각으로 변하고 주로 내용에 기반하는 신규 서비스에 적용하기에는 기존 기술적 장비는 전혀 개념이 틀리다.

마지막으로 파급성이다. 신규 서비스들은 신속성을 생명으로 뉴스보다 빠른 속보를 보내기도 하고 기자가 갈수 없는 어떠한 장소에서도 사건 내용을 보내기도 한다. 멀리는 2009년 초 발생한 CNN보다 더 빨랐던 허드슨강의 비행기 추락사고 전파, 가까이에는 부산 해운대 화재 사고 전파 등 그 순기능은 이루 말할 수도 없다. 하지만 사회 유명인 도용, 잘못된 정보, 악의적인 내용의 전파는 그 순기능을 상쇄하고도 남는다. 더구나 이러한 잘못된 내용의 전파는 한번 발생하는 순간 그 통제가 거의 불가능하기 때문에 사회적 영향력이 훨씬 크다 하겠다.

무엇이 문제인지 스스로 인식해야…

국외에는 SMS 송수신 내용, 수ㆍ발신 전화번호, 통화시간, 실시간 위치를 추적하는 SpyBubble이라든지, 모든 메시지를 가로채주는 SMS Replicator 등 점차 우리를 옭아매는 앱들이 나오고 있다. 몇 주 전 국내에서도 ‘오빠 믿지?’라는 앱이 나와 사회적인 논란이 있었다. 만일 이 앱을 이성 친구를 의심하는 앱이 아니라 자식의 안전을 확인하기 위한 ‘우리 애들 어디 있니?’ 라는 앱으로 발표되었다면 어땠을까? 이것이 새로운 서비스들이 가지는 바로 다양성, 변형성의 한 예이다. 같은 앱이라 할지라도 사용되는 목적에 의해 전혀 다른 가치를 생성하는 것이다.

표 1에서와 같이 새로운 서비스에서 발생하는 우리의 정보는 점차 통제하기 어려운 상태로 가고 있다. 몇 년 전만 하더라도 질적으로나 양적으로 거의 꿈같은 정보의 유통이라 할 만하지만 이러한 정보의 질과 양은 기존 개인정보를 뛰어 넘어 개인의 아이덴티티를 결정할 수 있는 수준으로까지 발전했다.

내년에는 사용하는 사람의 모든 행태를 자동으로 알아서 처리해 준다는 ‘슈퍼 애플리케이션 인공지능 ’이 출현할거라는 보도도 있다. 하지만 이러한 기술적 발전에 대한 제도적 대응은 아직 요원한 상태이다. 제도·정책적 대책이 느린 것이 아니라 기술적 발전이 너무 빠르기 때문이다.

따라서 아직까지는 새로운 서비스가 행위 중심, 링크 자체가 정보 그 자체인 점, 노출에 대한 자유의지, 파급성 등 그 서비스에 대한 특성을 우리 스스로 이해하고 통제를 강화 할 수밖에 없다. 바로 우리의 아이덴티티를 인셉션 당하지 않기 위해서 말이다.

<글 : 노병규 한국인터넷진흥원 전문위원실장/공학박사(nono@kisa.or.kr)>

[월간 정보보호21c 통권 제124호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>