추측과 실수와 공격적 의도만 난무한 사이버 공간

[보안뉴스 문가용 기자] 하루 종일 온 나라 네티즌들 속이 시원치 않다. 네 개의 자음 때문이다. 한 국회의원이 시민에게 보냈다던 ㅅㄱㅂㅊ. 도대체 무슨 뜻일까. 와글와글 모여 각자의 추측을 비교해보고, 가장 그럴 듯한 걸 뽑아보기도 했지만, 어디까지 추측일 뿐 당사자가 제대로 밝히지 않으면 이 답답함은 가실 길이 없다. 그러나 ‘좋지 않은 뜻’일 거라는 짐작은 모두가 하고 있다.


답도 모르면서 ‘좋지 않은 뜻’일 거라는 결론은 어떻게 나왔을까? 여러 정황 정보가 있기 때문이다. 먼저는 그 초성 앞에 욕설임이 분명해 보이는 또 다른 네 개의 모음들이 있다는 게 가장 결정적이다. 또한 먼저 온 문자에 대한 대답으로서 여덟 개의 모음이 발송됐는데, 당사자는 그 문자가 “문자폭탄”인 줄 알고 “고통” 속에 “순간의 불찰로” “적절치 못한” 대응을 했다고 밝히기도 했다. 욕을 했다는 표현은 없지만 자신이 했던 선행을 두고 ‘기분이 나빠 실수를 저질렀다’고 표현하는 경우는 없다. 또한 아직까지도 ㅅㄱㅂㅊ의 풀이를 해주지 않는 것 또한 이 ‘좋지 않은 뜻’일 거라는 추측에 힘을 더한다. 하지만 결정적 증거는 없고, 답은 모른다.

이런 답답함. 보안 업계에서 포렌식 전문가 혹은 분석 전문가들이 자주 겪는 증상이다. 사건이 있고 피해자가 있는데, 그에 대한 정황 증거도 즐비한데, ‘결정적인 증거’가 없어 범인을 바라만 봐야 하는 경우가 여긴 정말 다반사다. 게다가 그 유력한 용의자가 “증거 대봐!”라고까지 하면(대체적으로 그렇게 대응한다) 답답함은 울화로 바뀌기도 한다. 코흘리개 친구들끼리 서로 툭툭 쳐놓고 ‘너가 그랬지?’라고 하면 ‘증거 있어?’라고 되묻는 것 같은 아련한 유치함. 믿기 어렵겠지만 국가의 수장급 어르신들이 사이버 공간에서 자주 하는 놀이다.

그럼에도 심심찮게 범인들이 체포되고, 사이버 범죄에 활용했던 인프라가 폐쇄된다는 소식이 들려온다. 어찌된 일일까? 범인들이 실수로 증거를 흘리기 때문인 경우가 많다. 그게 아니면 아주 오랜 기간 사법기관 등에서 함정을 파서 실수를 유도하거나. 재미있는 건 실제 벌어지고 있는 각종 해킹 사고나 해킹 범죄 역시 ‘실수’로 인해 촉발되는 경우가 대부분이라는 것이다. 담당 직원이 실수로 기밀을 적절치 못한 사람에게 발송하거나, 클라우드 계정 설정을 잘못하여 온 세상 사람에게 공개하거나, 비밀번호를 123456으로 설정하거나. 영화에서처럼 천재들의 머리싸움이 난무한 게 아니라 실상은 누가 누가 실수하나 대전이다.

그렇다고 이걸 두고 멍청이들의 멍청한 싸움이라고 비하할 이유는 없다. 각종 스포츠 대결에서도 드러나지만 정말 고차원적인 수준에서의 시합은 ‘누가 실수를 하지 않는가’로 결정되기 때문이다. 그래서 당일 컨디션이 중요하다고 하고, 그래서 프로들은 평소부터 컨디션 조절에 목숨을 건다. 최상위급 선수나 아티스트들 중 금욕적인 생활을 하는 사람들을 찾는 게 그리 어렵지 않다. 정보보안에서 다루는 모든 사건이 ‘컨디션 조절’과 비슷한 개념인 ‘보안 위생 관리’나 ‘보안 실천 사항 준수’로 귀결되는 것도, 지금 사이버 공간에선 ‘실수 대전’이 벌어지고 있기 때문이다.

그런데 실수를 거의 하지 않는 부류들이 있다. 위생이 철저하다. 프로 선수들 중에서도 최상위 층에서 주로 금욕적인 태도를 지닌 사람들이 나타나듯, 최상위 해커 혹은 최상위 보안 전문가들은 실수가 드물다. 이들은 주로 국가를 등에 업고 활동하는 부류들이다. 흔히 말하는 ‘해킹 부대’의 요원들인 경우가 많다.

NSA에서 근무했던 천재 해커 중 한 명인 스노든(Snowden)의 폭로 과정을 그린 영화 시티즌포를 보면 그가 비밀번호를 입력할 때마다 이불을 뒤집어쓰는 걸 볼 수 있다. 프로의 극단적인 컨디션 조절이다. 국가를 대신하여 혹은 국가를 위하여 해킹하는 이들은 거의 반드시라고 할 만큼 ‘우회 공격’을 해서 정체를 숨기거나 ‘분석 방해 도구’를 활용한다. 잘 하는 해커일수록 추적을 어렵게 만드는 게 기본이다. 그러니 중국이나 북한, 러시아 등이 ‘증거 대봐’라고 당당히 말 할 수 있는 것이다.

그렇기에 사이버 공격에 있어서 국가가 다른 국가를 공식적으로 ‘범인’이라고 지정하는 건 극히 드문 일이고, 누가 봐도 인정할만한 증거가 그러한 발표에 동반되지 않았다면, ‘역시 그 나라가 범인 맞았어’라는 것 이상의 공격적인 의도를 읽어내야 한다. 여기서 공격적인 의도라 함은 ‘너가 범인’이라고 손가락질 한 나라의 것을 말한다. 코흘리개 꼬마들로 치면 툭툭 치고 증거대보라 하는 얄미운 친구 놈 얼굴에 주먹질 한 것이나 다름없다. 그것도 ‘이제 너랑 친구 안 해도 상관없고, 학교에서 벌을 받아도 괜찮아’라는 의도를 담뿍 담아서.

최근 미국은 북한이 워너크라이라는 전 세계적인 사이버 공격의 범인이라고 정조준해서 발표했다. 보안 업계는 ‘그것 봐라, 북한 맞잖아’라는 의견과 ‘증거는 어디 있어?’라는 부류로 갈렸다. ‘지목’은 있었지만 ‘누구나 납득할 만한 결정적인 증거’는 부재한 것이 사실이었다. 무슨 뜻인가? 미국 정부로서는 북한을 나쁜 놈이라고 정의하는 데에 있어 더 이상 누군가를 설득할 필요가 없어졌다는 의미가 된다.

그러므로 그날 그 발표는 북한이 정말 워너크라이를 했건 안 했건, ‘진범 색출의 문제’를 부차적인 것으로 만들어버렸다. 미국이 다른 나라를 – 그것도 우리나라 지척에 있는 곳 – 나쁘다고 말하는 데에 있어서 아무런 눈치도 보지 않겠다고 선포한 것이기 때문이다. 보안 업계 내 사건이 우리 모두의 문제가 되어버린, 발표 그 자체로 하나의 사건이 되어버린 일이다. 북한이 쏴대는 미사일과, 트럼프가 쏴대는 트위터 만큼 충격적인 일이다.

하지만 ‘우리 모두의 일’이 되어버렸다는 것은, 불행인지 다행인지, 이 국가적 차원의 일에 일반인들도 할 수 있는 일이 있다는 뜻이다. 그것은 바로 ‘컨디션 조절.’ 실수하지 않는 최상위 프로들이, 민간인 비전문가들의 ‘실수’ 및 컨디션 난조를 노려 치고 들어오고 있다. 내가 오늘 저지른 실수 하나, 아무렇게나 남긴 디지털 족적 하나가 외교적 사건의 빌미가 되고, 그 때문에 누군가의 공격적인 트윗이 작성되며, 그에 반발한 미사일 실험이 앞당겨지거나 한 번 더 추가될 수 있다. 이게 비약이 아닌 것이 요즘 세상이고 사이버 공간이다. 보안 실천 사항들을 지킨다는 건, 이런 때에 알맞은 프로가 된다는 뜻이다. 거창하게 말하면 ㅅㄷㅈㅅ?

뭐, 거기까지 갈 필요는 없다. 사이버 보안을 통해 보는 인터넷 공간은 총성이 시도 때도 없이 울리는 할렘가이며, 전쟁터 한 복판이다. 게다가 사이버 공간에서의 공격으로 물리적인 피해를 촉발하는 데에까지 점점 발전하고 있는 추세이기까지 한 걸 감안하면, 보안업계가 강조하는 작은 실천 사항들을 지키며 산다는 건, ㅅㄷㅈㅅ이라기보다 ㅅㅈ ㅂㄴ에 더 가까울 것이다. 살려는 의지 자체를 원초적으로 발동시켜야 할 때다. (답 : 시대정신 / 생존 본능)
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>