[피플&포커스] 설마 내 계정도?… “해킹 피해, 인지하면 이미 늦었다”

[천지일보=박선아 기자] 최근 배우 주진모 등 연예인 해킹 문제로 인해 인터넷 보안에 대한 관심이 그 어느 때보다 크다. 우리는 하루 종일 인터넷과 스마트폰을 숨 쉬듯 사용하지만, 그에 비해 보안 의식은 취약하기 이를 데 없다. 철옹성 같은 보안도 개인의 작은 보안 의식 부제로 뚫리고 만다. 생각보다 작은 실천들이 해킹 전쟁에서 우리의 소중한 개인정보를 지키는 방패가 된다. 사이트마다 비밀번호를 다르게 설정하는 것 등이 그 예이다. 고려대학교 정보보호대학원 김승주 교수를 만나 자세한 이야기를 들어봤다. 다음은 일문일답.

- 연예인 해킹 피해, 최근 더 심해졌나.

최근에 이슈가 되는 것이라 보지 않는다. 연예인의 계정이 지금 털리는 것은 아니고, 연예인을 포함한 여러 사람의 개인정보가 이미 해킹된 것이다. 그중에서 연예인을 상대로 협박하는 사례가 없었다가 지금 나타나는 것이다.

연예인은 특성상 자신이 노출될 수밖에 없기 때문에 관리를 철저히 해야 한다. 소속사에서 연예인들에게 보안 강의를 해줬으면 좋겠다.

- 이번 유출이 클라우드 아이디, 비번 도용을 통해 이뤄졌다고 하는 이유는.

연예인들은 스마트폰이나 SNS 계정을 해킹당하면 늘 “사이트가 해킹당했다”고 주장해왔다. 그러나 그들 중 해당 회사로부터 손해배상을 받은 사람은 없다. 대부분 아이디, 비밀번호 도용 건이었다.

실제로 삼성 스마트폰, 트위터, 페이스북 등이 직접적 해킹을 당했다면 피해가 전 세계적으로 퍼졌을 것이다. 그러나 특정 군 소수의 피해라면 포털이나 SNS의 직접적인 결함을 이용한 해킹이라고 볼 수는 없는 것이다.

- 애플처럼 이중인증을 의무로 하는 것이 좋은가.

삼성처럼 구글, 페이스북, 트위터도 이중인증을 제공하지만 의무가 아닌 선택사항이다. 이는 사용 편리성의 차이지 이 부분을 두고 보안에 신경을 안 쓴다고 할 수 없다. 특히 애플은 팬덤이 강해서 조금 불편하더라도 사용한다는 특징이 있다. 강제화하지 않았다고 해서 보안성이 떨어진다는 것은 바보같은 지적이다.

- 해킹은 어떻게 이뤄지나.

방법이 워낙 많기 때문에 설명하기 어렵다.

제품을 완벽하게 만들면 좋지만, 제품에는 결함이 있다. 그 결함을 제조사가 빨리 찾으면 업데이트를 하는 것이고, 해커가 빨리 찾으면 ‘어떻게 하면 정보를 빼낼까’ 생각하는 것이다. 이를 '제로데이 취약점(신규 취약점)'이라고 한다. 현재까지 소프트 업데이트가 안 된 취약점을 말하는 것이다.

즉, 누가 빨리 찾느냐가 관건이다. 업체 입장에서는 제로데이 취약점을 빨리 고쳐야 사고가 안 생기므로 해커들에게 포상금을 주고 ‘버그 바운티(보안 취약점 신고포상제)’를 운영한다. 작년에 애플은 버그 바운티 가격을 올렸다. 아주 심각한 취약점인 경우 한 건에 100만불까지 준다.

삼성도 100만불까지는 아니지만 상당한 액수를 지불하고 있다. 이 제도를 일본 라인, 네이버와 금융기관 중에는 유일하게 카카오뱅크가 운영하고 있다.

- 왜 해킹 당하나.

먼저는 너무 쉬운 비밀번호를 쓰기 때문이다. ‘12345’는 전 세계에서 가장 취약한 비밀번호로 매년 언급된다. 생년월일 등도 취약한 비밀번호다. 두 번째는 다른 사이트에서 쓰는 비밀번호를 동일하게 쓰는 것으로 이 두 종류가 가장 많다. 제공한다면 이중인증은 가급적 켜둬라.

또한 웹캠 해킹이 워낙 많기 때문에 웹캠은 필요할 때만 쓰고 덮어 놓거나 불투명 테이프를 붙여 놓는 것이 좋다. 최근 반려견용 등 웹캠 사용이 많은 편이다. 웹캠 해킹 영상은 상당히 적나라해서 실제로 보면 웹캠을 사용하고 싶은 생각이 없으실 것. 추가로 블루투스, 와이파이는 사용하지 않는다면 끄는 것을 권장한다. 통신기능이 켜있다는 것은 해커가 들어올 통로가 된다는 것이다.

인터넷의 모든 사이트가 네이버처럼 보안 강화를 할 수 없기 때문에 사용자들은 어느 정도 보안 감각이 있어야 한다. 해킹을 인지하고 나면 이미 늦은 것이다. 주요 공공기관으로 봤을 때 해킹을 당했다고 인지하는 시간은 실제 해킹으로부터 205일 걸린다. 일반인은 이보다 더 걸린다.

- 사이트마다 비밀번호를 다르게 하기 어렵지 않나.

비번의 규칙을 정하면 된다. 예를 들면 비밀번호가 ‘백설공주와일곱난장이’라면 ‘백설’은 한국어로 ‘와’는 ‘&’로 ‘일곱’은 ‘7’로 치면 알파벳과 특수기호, 숫자가 다 들어간다. 그리고 이 어딘가에 내가 접속하는 사이트명을 집어넣게 되면 모든 사이트가 각각 다른 비밀번호를 가질 수 있다.

- 올해 보안 문제 전망은.

먼저 이번 연예인 해킹 사건의 모방범죄가 생길 수 있기 때문에 연예인들은 반드시 이중인증을 해야 한다.

이와 함께 최근 서비스가 종료된 ‘윈도우7’도 이슈가 될 수 있다. 되도록 윈도우7은 ‘윈도우10’으로 업데이트하는 것이 좋다. 업데이트가 늦어지면 취약점이 방치될 수밖에 없고 이를 노린 해킹이 이뤄질 수 있다. 또 업데이트를 사칭한 피싱 메일도 올 수 있다.

더불어 올해 반감기를 맞은 비트코인도 주의가 필요하다. 비트코인은 채굴할 때마다 인센티브를 주는데 4년을 주기로 인센티브가 떨어지는 반감기가 있다. 이때 비트코인의 희소가치로 인해 가격이 상승하기 때문에 투자를 유도하는 피싱 메일이 생길 수 있다.

또 선거가 있어 관련한 스미싱 문자도 올 수 있다. 주의하라고 말해도 스미싱 문구가 그럴듯하기 때문에 안 누르는 것이 어려울 수 있다. 그 때문에 항상 스마트폰에 운영체제와 앱을 최신 버전으로 업데이트하라고 조언한다. 스미싱 문자를 클릭해 해킹 프로그램이 설치됐다고 해도 취약점이 업데이트돼 있기 때문에 해킹이 안 될 확률이 높다. 몸이 건강하면 감기 바이러스가 들어와도 감기에 걸리지 않는 것과 같다.