해킹을 막을 수 없고, 생각도 없다면 익숙해지는 방법이 있어

간단한 엑셀과 수작업으로 해보는 행동 분석

[보안뉴스 문가용] 작년 한해, IT 업계에 웨어러블에 대한 기대치가 한껏 상승했었다. 그러나 미지근한 물 부어놓은 컵라면마냥 약 올리는 스프 냄새만 흐느적한 김에 섞여 올라올 뿐 도대체 배를 직접 불릴 수 있는 면발은 익을 기미가 없었다. 손목시계 같은 것들이 깨작깨작 나오나 싶더니 결국 여러 외신에서 업계에 일어났던 일 중 가장 실망스러웠던 10가지 중 하나로 꼽히는 불명예를 안았다.

내심 다행스러웠다. 웨어러블을 비롯한 사물인터넷 시대를 맞이하기에 아직 준비가 안 되었기 때문이다. 불길한 소식은 도처에 깔렸다. 아직 다 막을 수 없는 해킹, 아직 어떻게 공유해야 할 줄도 모르는 위협 첩보, 아직 불완전하기 짝이 없는 빅 데이터, 아직 널리 쓰이는 단순 암호 시스템, 아직 보안은 귀찮은 거라는 인식... 그런데 해커들이 먹음직스러워 할 만한 것들을 우리는 끊임없이 만들어내고 있었다. 행동 패턴 수집을 통한 식별법, 네트워크에 연결된 감시 카메라, 각종 가정 자동화 시스템 등이 그것이다.

걱정한다 한들 시대의 흐름을 막을 수 없다는 ‘쿨’한 얼리어답터들의 속 없는 말도 틀리진 않으나 보안업계에서만큼은 우려의 목소리가 더 많았고, 지금도 그렇다. 본격적인 사물인터넷 시대가 오기 전인 이 시점에서도 각종 해킹 범죄에 속수무책으로 당하고 있고, 이미 여러 나라에서 신상정보 혹은 개인정보는 공공재 취급을 받고 있는데, 이런 상태에서 하나 둘 사물인터넷 기기를 들여다 놓는 건 그냥 사비 들여 해커들을 초대하는 것이나 다름이 없다.

가장 안타까운 건 그래도 어쩔 수 없다는 인식이 대부분 사용자의 인식에 뿌리 깊이 박혀 있다는 것이다. 아무리 사고가 터져도, 아무리 보안교육을 해도 이를 바꾸기는 힘들어 보인다. 그래서 기자는 제안한다. 아예 자신에 대한 정보를 미리 만들어 해킹하기 좋은 시스템에 담아놓는 방법을 말이다. 해킹에 면역될 수 없다면 최소한 익숙해지기라도 해야 하지 않겠는가. 방법을 간략히 소개한다. 크게 어렵지 않다.

1. 엑셀 파일을 연다. 정품 오피스를 사용해도 되지만 업데이트나 보안 패치가 되었을 가능성이 현저히 낮은 불법 복제판이 해킹의 가능성을 높인다.

2. 표를 만드는데, 가로방향으로는(x축) 오늘부터 시작해서 매일의 일자를 기입한다. 예) 2월 10일, 2월 11일, 2월 12일...

3. 세로방향으로는(y축) 0시부터 24시까지 쭉 적어 넣는다. 예) 0시, 1시, 2시...

4. 두 축 사이의 빈 칸에 자신이 1시간 동안 했던 일을 기록한다. 이것은 생활계획표가 아니라 생활기록표이므로 할 일이나 하고 싶은 일이 아니라 했던 일을 기록해야 함을 명심하자.

5. 회사 업무일지 적듯이 한꺼번에 몰아서 적지 말고 매 시간 기록하는 걸 권장한다. 그래야 기록의 정확도가 올라간다. 또한 ‘학교’, ‘회사’로 적는 것보다는 ‘인터넷 서칭’, ‘0000 커뮤니티에 글 게시’, ‘여자친구와 카톡’ 등 상세하게 적어보자. 그래야 해커에게 나를 더 잘 알릴 수 있다.

6. 하루가 끝난 후 기록표를 보자. 어떤 활동에 가장 많은 시간을 할애했는가?

7. 어떤 자료이든 샘플이 많으면 많을수록 해석과 분석이 정확해지는 법이다. 일주일, 한 달, 6개월 동안 기록을 모아보자. 어떤 활동에 가장 많은 시간을 할애했는가? 하루에서 일주일 치의 기록으로는 부정확할 수 있지만 3개월쯤 모았다면 가장 많은 시간을 할애한 그 활동이 바로 당신이라는 사람에 대해서 말해주는 지표라고 봐도 된다.

8. 기록을 두리뭉실하게 했다면 학교, 회사, 학원 등이 주로 가장 많은 시간을 할당 받았을 것이다. 그러면 크게 의미가 없다. 이러면 당신도 모르게 보안의식 철저한 사람이 되는 것이다. 지금 우리는 해킹 당하는 것에 익숙해지기 위해서 이런 수고를 아끼지 않는 것임을 명심하자.

9. 학교에 있어도 온종일 여자친구와 카톡을 한 사람이 있는가 하면, 회사에 있어도 하루 종일 취미활동 카페에서 시간을 보낸 사람도 있을 것이다. 기록은 정직하다. 적어도 기록이 진행되는 기간 동안 당신은 여자친구의 충실한 애인으로서 살고 있었고, 혹은 취미활동에 빠져있던 사람이었던 것이다. 즉, 이는 마치 구글애드처럼 당신이 제일 좋아하고 신경을 쓰는 것들에 대한 상당히 정확한 지표가 된다. 또한 ‘내 여자를 위해 공부도 제쳐버리는 로맨티스트’라던가 ‘내 열정을 위해 업무 시간도 희생시키는 열혈아’와 같은 성향도 어느 정도는 드러난다.

10. 파일 이름을 ‘고객 정보 목록’이라든지 ‘주민번호 수집 결과’ 등으로 저장한다.

나라는 사람을 말해주는 것이란 의외로 사회적 지위나 업적과 같은 굵직한 것들이 아니다. 대수롭지 않게 흘리는 자투리들을 모았을 때에야 나라는 사람이 진짜에 가까운 모습으로 불거져 나온다. 똑같지는 않지만 행동 분석이라는 것도 본질적으로는 이런 자투리 모으기에 불과하다. 그러나 자투리의 무서움을 안다면 기계가 수행하는 행동 분석이 마냥 신기하고 반갑지만은 않을 것이다.

마치 흔한 이메일 사이트 들어가 ID와 암호를 쳐서 로그인을 하듯, 내가 주로 일어나는 시간, 내가 주로 좋아하는 온도, 내가 주로 출퇴근하는 경로, 내가 스마트폰을 터치하는 세기, 방향 등 어떻게 보면 거의 무의식적으로 하는 행동들을 정보화시켜 저장한 후 그걸 ‘나’라는 사람을 알아보는 데에 사용한다니, 기기 안에 나도 모르는 내가 세포분열 일으키듯 하나하나 쌓여서 한 페르소나가 만들어지는 것 같다. 이게 그냥 마냥 신기하고 기대되기만 하는 일일까, 아니면 기자가 구식인 것일까.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>