얼마 전 산업체 병역특례제도를 이용해 사이버 보안업체에서 근무하던 해커를 만난 적이 있다. KAIST의 해커동아리 회장을 맡았을 만큼 해커 세계에선 실력자로 소문났던 친구였다. 자기 실력을 과장하고 싶은 마음에서 그랬겠지만, 그는 “국내에서 나 정도의 실력만 있으면 뚫지 못할 곳이 없다”고 호언장담을 했다. 최근 첨단 보안체계를 갖춰놓았던 현대캐피탈 전산망이 해킹당한 것을 보면서 이 말이 허풍으로만 느껴지지 않는다. 해킹 기술은 언제나 보안 기술보다 빠르게 발전하기 때문이다.
대부분 해킹 사건의 경우, 해커가 시스템 침입에 성공하면 운영체제(OS)의 취약점 등을 악용해 관리자 권한을 획득하고 해킹 사실 은폐를 위해 접속기록인 로그기록을 지운다. 웹서버의 관리자 권한을 확보하면 ID와 패스워드를 확보하고 사내 네트워크까지 침입하게 된다. 해커는 다음번 침입을 쉽게 하기 위해 별도의 뒷구멍(backdoor)을 만들어 두기까지 한다. 그 다음에는 자신의 컴퓨터처럼 마음대로 접속해 이용하면 되는 것이다.
컴퓨터가 인터넷 등 통신망에 연결돼 있지 않으면 안전하다고 생각할지 모른다. 그래서 중요 정보를 다루는 곳에서는 실제로 외부와의 네트워크를 아예 차단한다. 그러나 컴퓨터 스크린에서는 일정한 전자파가 발생한다. 그래서 어느 정도 거리가 떨어져 있어도 컴퓨터 스크린에서 발생하는 전자파를 안테나로 잡아 이를 증폭한 뒤 다른 컴퓨터 스크린에 나타내는 것이 가능하다. 이른 바 템페스트라고 불리는 기법이다. 실제로 미 연방수사국(FBI)이 중앙정보국(CIA) 요원 앨드리치 에임스(Aldrich Ames)의 간첩행위를 적발할 때 사용했다.
물론 날고 기는 해커라 하더라도 아무 데나 다 뚫을 수 있는 것은 아니다. 웬만큼 보안관리가 돼 있는 곳이라면, 영화에서 보는 것처럼 몇 분 안에 손쉽게 침입할 수는 없다. 템페스트와 같은 무선 감지 방식에 대한 대책도 있다. 선진국의 주요 정보를 다루는 부서에선 별도 건물을 세워, 건물 내부를 구리 등으로 감싸 전파가 외부로 새어나가지 못하도록 막고 있다. 또 외부에서 템페스트를 사용해 방사되는 복사 에너지를 도청하는 걸 막으려 특수 제작된 컴퓨터와 프린터·스캐너·마우스 등을 사용하게끔 한다.
문제는 사람이다. 우리는 보안 하면 첨단 장치와 기술을 떠올리는데 보안의 핵심은 사람이다. 보안전문가라면 누구나 수긍하는 사실이다. 기술도 장비도 모두 사람이 만들고 움직이는 것이다. 아무리 최첨단 보안장치를 갖춰도 사람 관리를 소홀히 한다면 별 소용이 없다. 퓰리처상을 받은 피트 얼리(워싱턴 포스트 기자)는 존 워커나 릭 에임스와 같은 유명한 스파이들을 취재한 뒤 “필요한 정보를 얻는 가장 확실하고 손쉬운 방법은 그 정보에 접근 가능한 사람을 포섭하는 것”이라고 잘라 말한다. 최첨단의 보안시스템도 시스템을 만들고 관리하는 사람까지 막기는 쉽지 않다. 회사를 출입할 때 머릿속에 들어 있는 정보까지 지울 수는 없어서다.
이번에 발생한 현대캐피탈 해킹이나 농협 전산망 마비 사건에서도 내부 공모 가능성이 계속 흘러나온다. 물론 농협의 경우 3개월에 한 번씩 전산망 계정 비밀번호를 변경해야 하는 금융감독원 규정을 무시한 채 무려 6년9개월이나 바꾸지 않았고, 주요 계정의 비밀번호를 ‘1’이나 ‘0000’같이 유추하기 쉬운 숫자를 사용했다. 내부 공모를 얘기하기에 앞서 기본적인 관리규정조차 지키지 않았다는 점에서 문제의 심각성이 더 크다. 이것 또한 기술과 장비의 잘못이 아니라 사람의 잘못이다. 소 잃고 외양간 고치기 식의 보안 사고가 계속 되풀이되는 근본적인 원인이다.
