2014년 3월 18일 화요일

해커의 경고 "전 국민 누구든 신용불량자 만들 수 있다"


신용카드 3사에 이어 KT에서 민감한 개인정보가 대량 유출된 이후 해커 친구와 서너 차례 만났습니다. 충격적인 얘기를 많이 들었습니다. “국가비상사태”라고 해도 과언이 아니겠다 싶었습니다. 정부 대응과 언론 보도는 너무 한가했습니다. 전량 회수했다고 하질 않나… 2차 피해 사례가 없다고 하질 않나… 책임 회피와 사태 축소에 급급한 모습이었습니다. 지금은 언제 유출됐느냐, 추가로 유출됐느냐는 중요하지 않습니다.

친구와 저는 몇 차례 망설였습니다. 이번 사태가 왜 “국가비상사태” 운운할 정도로 위험한지 밝혀야 하나? 사법당국 허가를 받아 해킹을 시연하고 기사를 쓸까? 고민을 많이 했습니다. 신문에 어설프게 썼다간 악용하도록 부추기는 결과만 낳을 수도 있어 망설였습니다. 결국 한 가지만 쓰기로 했습니다. 전 국민 누구든 신용불량자 만들 수 있다, 청부해킹이 정치나 사업에 악용될 위험이 매우 커졌다. 이 얘기만 하려고 합니다.

암시장에서 사고 파는 개인정보는 이름, 주민등록 번호, 휴대폰 번호, 이메일 주소 등 4가지가 기본이죠. 이 기본정보 값이 한두 해 전 건당 100원이었는데 최근 5원까지 떨어졌답니다. 이 정도는 가치가 없다고 할 정도로 흔해빠졌다는 얘기겠죠. 해커들은 이 정보를 토대로 ‘살’을 붙여 나갑니다. 이 과정은 경우에 따라 시일이 한참 걸리기도 합니다. 그런데 이번 개인정보 대량 유출로 이런 과정이 거의 불필요해졌습니다.

지금까지 털린 정보가 악의를 품은 해커 손에 들어가면 “거의 모든 것이 가능하다”고 합니다. 특정인을 신용불량자로 만들 수도 있고요. 포털 사이트 패스워드 알아내는 것은 논외로 칩니다. 일단 특정인의 이메일, 컴퓨터, 클라우드 저장공간 등을 털겠죠. 여기에는 여권사본, 통장사본, 운전면허증사본… 심지어는 보안카드 난수표도 있고, 사이트 아이디/패스워드도 있고… 컴퓨터에 공인인증서를 저장해둔 사람도 있죠.

중국사이트에서검색할수있는한국신분증.png

이것으로 무엇이 가능할까요?

첫째, 신분증 위조가 가능합니다. 얘기를 들어 보니 아주 쉽더군요.

둘째, 대포폰도 얼마든지 만들 수 있습니다. 누군가 A씨를 해코지하려고 하면 A씨 몰래 A씨 이름으로 대포폰을 만든 다음 한 달에 수백만원어치 요금이 부과되게 해놓고 폰을 버립니다. 요금은 A씨한테 부과될 테고… A씨는 요금을 내야 합니다. 내지 않으려면 자신이 사용한 게 아니라는 것을 본인이 입증해야 합니다. 하지만 애시당초 입증이 불가능해서 요금을 물든지 신용불량자가 되든지 해야 합니다.

셋째, 해코지 대상자 A씨 이름으로 거액을 대출받은 다음 잠적해 버리면 A씨는 졸지에 신용불량자가 될 수 있습니다. 합법적인 사채업자 중에는 전화상담만으로 대출을 해 주는 곳도 있다고 합니다. 위조한 신분증을 사용해 대포통장을 만들고 그 통장으로 거액을 대출받은 뒤 인출하고 잠적해 버리면… 한 단계 나아가 KT ENS 경우에서 봤듯이 금융기관 내부자와 작당하면 대규모 대출사기도 가능해집니다.

이것이 왜 위험할까요?

예를 들겠습니다. 정치인 B씨는 라이벌 C씨만 정계에서 사라져 준다면 탄탄대로가 열릴 것 같다고 판단합니다. 그래서 해커한테 거액을 쥐어주고 C씨를 신용불량자로 만들어 달라고 요청할 수 있습니다. 이른바 ‘청부해킹'입니다. 착수금으로 얼마를 주고, 일이 끝나면 잔금을 치르는 식이겠죠. 이런 식으로 정적을 제거할 수 있습니다. 기업은 경쟁사 대표를 신용불량자로 만들어 입찰에서 쉽게 낙찰받을 수도 있겠죠.

이런 일이 가능하다면 ‘신용사회’는 끝입니다. 전 국민 누구든 신용불량자가 될 수 있는 위험을 안고 살아야 합니다. 안방에 시한폭탄 설치돼 있다면 누가 두 다리 뻗고 잘 수 있겠습니까. 언제든지 ‘보이지 않는 손’이 내 목을 조를 수 있다면 이런 사회는 그야말로 지옥입니다. 그런데… 민감한 개인정보 신용정보가 대량으로 유출됨에 따라 “모든 것이 가능한” 상황이 되고 말았습니다. 그런데, 이게 전부가 아닙니다.

확보한 개인정보로 이메일 뒤지고, 클라우드 저장공간 뒤지고, 컴퓨터까지 뒤지는 게 어렵지 않게 됐다면 국가안보도 심각한 위기에 처할 수 있습니다. 적국 해커들이 산업기밀을 훔쳐가고, 국가기밀도 훔쳐가는 게 훨씬 쉬워집니다. 전에는 한 달 동안 작업해야 했던 일을 하루 이틀만에 할 수도 있을 테고… 그렇다면 국내 기업이나 정부에서 하는 일을 경쟁국이나 경쟁사가 손바닥 들여다보듯 알 수 있다는 얘깁니다.

미국 NSA가 무슨 짓을 했는지 잘 알지 않습니까. 중국 인민해방군 산하에 정부가 조정하는 해커 집단이 있다는 기사도 나왔지 않습니까. 북한 해커들이 중국에서 연중무휴 해킹한다는 얘기도 들었지 않습니까. 해킹 세상에서는 우방국이 없습니다. 모두 적입니다. 그러니 온 국민의 개인정보가 모두 털렸다는 것은 국가안보 상 매우 위험합니다. 보안 전문가들이 “큰일 났다"며 한숨을 몰아쉬는 것은 이 때문입니다.

지금 쉬쉬 한다고 해결될 일이 아니기에 일부만 말씀드렸습니다.

마지막으로 해커 친구가 당부한 걸 전해 드립니다.

1. 여행사에 이메일로 여권사본 보내지 마십시오.
   보낸 적이 있다면 모두 삭제하고 컴퓨터에서도 삭제하십시오.

2. 이메일, 컴퓨터, 클라우드에 저장된 위험한 정보를 삭제하십시오.
  여권사본은 물론 통장사본, 운전면허증사본, 보안카드 사본…
  아이디/패스워드 메모해둔 것도 삭제하십시오.
  그리고 다시는 이런 식으로 저장하지 마십시오.
  차라리 수첩에 메모해 자신만이 아는 곳에 숨겨두십시오.

3. 모든 신용카드를 폐기하고 다시 발급받아야 합니다.
  정부가 신용카드 재발급을 강제하는 게 맞다고 봅니다.

4. 통장도 모두 새로 만들어야 합니다.
   귀찮더라도 기존 통장 폐기하고 새로 만들어 달라고 해야 합니다.

5. 가입된 사이트의 패스워드를 모두 바꾸고 각기 다른 걸 써야 합니다.

6. 새로 만든 계좌와 신용카드로 공인인증서도 새로 발급받아야 합니다.

소액결제피해사례.png

저는 보안 전문가는 아닙니다. 기자로서 오래 전부터 해커들한테 얻어들은 게 있어서 몇 자 적었을 따름입니다. 신용카드사와 KT의 개인정보 유출 사태를 지켜보면서 몹시 답답했습니다. 조금 안다는 분 중엔 “그런 것은 전에도 가능했다. 좀더 쉬워졌을 뿐이지"라고 말하는 분도 있습니다. 전에도 뚫렸는데 더 뚫린 게 뭐가 대수냐? 이젠 통째로 뚫려도 된다? 복장 터질 노릇입니다. 이미 청부해킹은 시작됐습니다. [광파리]