방식만 바뀌지 본질은 ‘여전한 공격 방식’, 해커들도 마찬가지

정보보안 업계, 알면 알수록 사람의 본질에 닿을 수밖에 없어

* ‘보안도시락’은 보안 비전문가들을 위한 코너로 전문적인 내용은 최대한 지양하고 있습니다.

[보안뉴스 문가용] 기자라는 직업상 기사를 읽기 위해 인터넷 검색을 하루 종일 하는데 가끔 인터넷 최고의 거짓말이라는 ‘ㅋㅋ’를 연발케 하는 기사들이 있다. 이번 주에는 그런 일이 두 번 있었다. 미인계에 당했다는 시리아 반군의 이야기와 페이스북에 멀웨어를 싣고 돌아다닌 포르노 영상 링크가 단 이틀 만에 11만 명의 사용자를 덮쳤다는 소식이었다.

아니, 지금이 어떤 시댄데 미인계라니! 그거 삼국지에나 나오는 이야기 아냐? BC가 AD로 바뀌면서 사라진 고리타분한 전략이잖아! 내전도 불사할 정도로 목숨도 아깝지 않은 신념의 전사들이, 아휴, 음흉들도 하셔라(ㅋㅋ x 100). 뭐라고? 페북에 뜬 가짜 포르노 영상에 낚인 사람이 11만 명이라고? 그것도 단 48시간 만에? 현실감이라고는 티끌만큼도 고려하지 않고 해피해피, 블링블링 바이러스 가득 담아 각도 좋은 셀카만 모아 전시하는 사용자들께서, 아휴, 음흉들도 하셔라(ㅋㅋ x 100).

혼자만 웃을 수가 없었다. 메신저를 켜서 평소 웃긴 말을 주고받는 이들에게 이 음흉한 것들의 실체를 봐라, 하면서 ‘ㅋㅋ’의 따발총을 싸댔다. 그런데 지인들의 반응이 별로다. 나의 ‘ㅋㅋ’에는 진심이 꼬리 길게 담겨져 있는데 돌아오는 반응들은 짧고 단호한 단 두 개의 거짓 ‘ㅋㅋ’였다. 뭐야, 이 사람들, 당신들도 그 11만 명 중 하나 아니야? 이 엄청난 아이러니가 우습지 않다니, 사람 무안하게. 일이나 하자.

기자라는 직업의 장점은 일의 시작을 거의 항상 자신의 궁금함을 충족시키는 이기에서부터 시작할 수 있다는 것이다. 이 두 번의 기사를 접하고 나서 처음 드는 궁금증은 음흉함의 끝이 도대체 어디인가였다. 그 뻔하디 뻔한 미인계에 걸려 넘어간 남자들의 역사를 파보았다. 그랬더니 삼국지에서 종말을 맞은 고리타분한 전략이 전혀 아니었다. 비교적 가까운 2차대전 때도, 심지어 38선을 사이에 둔 최전방의 남북한 군들도 미인계를 사용했다. 남남북녀라고, 아리따운 북한의 응원단도 미인계의 일부라는 분석도 있었다. 유명한 영국의 과학자는 미스 비키니 월드에 빠져 마약 운반책이 되었다가 아르헨티나 교도소에 갇히기도 했단다.

그러고 보니 본지에서 로맨스 스캠에 대한 기사를 진행한 적이 있다. 소셜 네트워크를 통해 사랑의 감정을 싹 틔운 후 돈을 훔쳐 달아나는 사기수법의 일종이었다. 연말에는 몸캠 사기가 잠깐 유행했고, 전화로 음란한 내용의 대화를 주고받다가 그 장면을 녹화/녹음 당해 그걸 빌미로 협박을 받은 청년이 자살하기도 했었다. 찾고 보니 이거 생각보다 굉장히 잘 먹히는 전략이었다. 그것도 유사 이래로 계속해서 말이다.

모든 사기가 그렇지만 유독 미인계 유사 혹은 파생 사건들에서는 당하는 사람들이 ‘나는 안 당한다’는 자기신뢰가 너무 강하다 못해 당하고 나서도 ‘난 아직도 그 사람에 대한 애틋한 감정이 있다’는 류의 미련을 계속 가지고 있는 경우가 많다. 지구 거의 대부분의 땅이 오염될 정도로 오밀조밀 모여 사는데도 우리 굉장히 외로운 존재인걸까, 하는 생각이 들었다.

보안 분야에 있다 보면 가장 많이 말하고 듣는 단어가 ‘취약점’이다. 한국의 도시락 반찬에 비유하자면 김치 같은 존재. 중국집 배달 음식에 비유하자면 단무지 같은 존재다. 각종 소프트웨어와 시스템에서 하루에도 수십 개씩 취약점이 발견되고 수정된다. 어도비 플래시에서 제로데이 취약점이 한 주에 세 번이나 발견되는 것도, 작년부터 터진다 터진다 경고와 같은 예고가 있었음에도 아니나 다를까 의료계에서 대형 사고가 터진 것도(앤섬 유출사건) 다 결국은 취약점들이 우리 주위에 항상 산재해 있다는 뜻이다. 그리고 이 지겨운 싸움은 줄어들 기미가 없고, 아무도 그럴 거라고 희망하지도 않는다. 취약점의 근원에는 몇 천년 동안 똑같이 미인계에 당하고 또 당하는 외로워 죽을 거 같은 사람이 있기 때문이다.

선풍기 틀고 자면 죽는다는 괴담을 도시전설(Urban Legend)이라고 부르는데, 보안업계에도 이런 허무맹랑한 도시전설이 있다. 해커들이 매우 창조적이라는 것이다. 실제 공격의 방법이 하루가 다르게 진화하는 것처럼 보이기도 한다. 하지만 깊이 들어가 보면 이들의 공격방식이라 하는 것들은 대부분 피해자의 ‘협력’을 요한다. 피싱 메일을 클릭하거나, 악성 앱을 설치하거나, SNS에서 친구가 되는 단계 없이는 공격이 성립하지 않는 경우가 대부분인 것이다(이건 사업기밀일 수도 있는데, 새로운 수법이 등장했다는 기사의 90%는 그 끝에 ‘하지만 사용자가 메일이나 문서를 열어보지 않는다면 미연에 방지가 가능하다’는 구문이 있다).

호기심을 못 이겨, 혹은, 아휴, 음흉들도 하셔서 메일을 클릭하고 동영상을 재생하고 앱을 깔지 않는다면 우린 대부분의 공격을 막을 수 있다는 의미다. ‘너희가 나빠서 당하는 거야’가 아니다. 순진할 정도로 착하고 친절해서 사기를 당하는 사람도 많다. 우리가 가진 의도의 좋고 나쁨은 전혀 상관이 없다. 우리 대부분은 그냥 처음부터 취약하다. 그리고 그 취약점은 날마다 새로워지는 게 아니라 늘 그 모습 그대로다. 세 살 버릇 여든까지 가는 게 뼈를 깎는 노력 없이는 진리로 남아있는 이유다. 그러므로 해커들은 창조적인 부류가 아니라 어제 공략했던 취약점을 오늘도 내일도 지치지 않고 계속 공략하는 부지런한 부류일 뿐이다.

취약한 건 생각보다 뻔하고 변함이 없다. 다만 반복적으로 나타난다. 가만히 보면 지각도 했던 사람이 자주 하고 거짓말도 했던 사람이 다시 한다. 사기도 당한 사람이 또 당하고 나쁜 사람만 만나는 기자 주위 여자들은 계속 나쁜 사람만 만나더라. 사람에게 갱생의 가능성이 없는 건 아니지만 이는 어떤 이유에서건 굉장히 어려운 일이다. 미인계가 현대전에도 여전히 먹히는 게 그 증거고 음란 동영상에 걸어놓은 멀웨어는 아마 거의 항상 최고로 빠른 속도로 배포될 것이다.

기자에게 과도한 리액션을 보이지 않았다는 이유로 잠깐 ‘음란 동영상 눌러본 11만명 중 하나’라고 오해를 받았던 지인들 생각이 났다. 그래, 당신들도 그냥 어쩔 수 없는 사람일 뿐이야, 라고 혼자 미안해하면서 열었던 대화창들을 하나하나 닫았다. 그러다 화들짝 놀랐다. 전혀 깨닫지 못하고 있었는데 평소 농담 따먹기 하는 이들이 죄다 이성이었던 것이다.

아효, 혼자서 건전하기도 하셔라.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>