역설적 상황은 인간 사회의 한 특징이다. 미국의 경우 총기 소지자의 범죄 사망률이 총이 없는 사람에 비해서 훨씬 높다고 한다. 총을 가지면 더 안전할 것 같지만 실상은 역설적이다. 총이 우리를 지켜주는 것이 사실이지만 그건 총과 주먹이 만날 때의 일이다. 총과 총의 만남은 보호 무기의 역설적 상황을 잘 보여주고 있다.
최근의 정보 유출 때문에 사회는 더 강력한 신기술을 요구한다. 그런데 기술적 문제로 생기는 보안 사고는 일부에 불과하다. 심각한 보안 사고의 대부분은 기술이 아니라 인간을 매개로 한 관리적 문제로 일어난다. 사람을 이용하는 사회공학(Social Engineering)이 최고의 해킹기술임을 전설의 해커 케빈 미트닉은 오래전에 이미 보여주었다. “말 한마디로 천 냥 빚을 갚는다”는 것만큼 사회공학을 잘 요약해주는 말은 없을 것이다. 타인의 마음을 움직이면 불가능한 것이 없다. 십만원짜리 재판에 수천만원을 아낌없이 퍼붓는 역설적 상황도 그것이 마음의 문제이기 때문에 일어난다.
12자리의 비밀번호라면 슈퍼컴을 동원한다고 해도 수십년이 걸리기 때문에 기술로 그것을 알아내는 것은 비현실적이다. 그러나 아무리 복잡하고 어려운 비밀번호가 있어도 그것을 관리하는 사람을 이해하고 그 마음에 침투하면 하루 만에도 알 수 있다.
사회공학 해커는 강아지 이름을 이용해서 애견가의 비밀번호를 뽑아내기도 한다. 오래된 일이지만 엄청난 보안시스템을 갖춘 은행에서 1000만달러를 뽑아낸 해커 마크 리프킨의 예를 보자. 문제의 은행에서는 보안 강화를 위해서 비밀번호를 매일 매일 바꾸었다. 매일 새 비밀번호가 시스템에는 안전했겠지만, 그걸 매번 확인해야 하는 인간에게는 꽤 귀찮은 일이었을 것이다. 이 경우 사람들은 자주 기억해야 하는 것을 벽에 붙여 두는데, 전기배선공으로 위장한 리프킨이 그것을 단번에 암기하고 나온 것이다.
요즘 성인들은 대략 10개 이상의 비밀번호를 관리한다. 안전을 위해서 이들을 모두 다르게 만든 뒤, 국가 보안규정대로 석 달마다 바꾸기란 쉽지 않다. 그래서 수첩이나 작업장 어디에 적어두거나, 또는 두 개의 비밀번호로 분기별로 돌려막기를 한다. 번호를 매일 바꿔도 2개로 돌려막기하면 보안성 강화에는 무용하다. 허접한 공짜 성인사이트를 통해 모은 비밀번호로 같은 사용자의 다른 사이트를 털어가는 수법은 자주 바뀌는 비밀번호의 허점을 이용하는 일종의 사회공학이다.
해킹을 막는 역설적 대응방법에는 가짜 만들기 수법이 있다. 즉 가짜 서버를 만들어 해커가 그 허수아비 시스템을 공격하도록 내버려둔 뒤 나중에 일망타진하는 것이다. 스릴러 영화에 보면 특정 죄수를 합법적으로 살해하기 위해 탈옥을 유인하는 것과 비슷하다. 이렇듯 사이버 시대에는 가공의 아바타가 중요한 역할을 한다. 페이스북과 같은 인터넷 서비스에서 가공의 인물들을 이용하는 사기수법이 최근 등장했다. 사기꾼 혼자서 50여명의 가짜 친목 모임을 만든다. 온화한 미소의 대학 은사가 안부를 묻고, 최근 결혼한 친구가 아기 돌잔치 사진까지 보내주는 페이스북 주인을 의심하는 사람은 거의 없다. 실존 인간인지 사이버상의 가공인물인지 그 구별이 갈수록 어려워질 것이다. 그런데 우리도 역설적 방식으로 해커를 공격할 수 있다. 자료가 털릴 것을 처음부터 예상하고, 데이터베이스에 가공의 인물을 잔뜩 넣는 것이다. 자료를 탈취해간 악당이 우리가 심어둔 가공의 인물을 사용할 때 그들을 유인해서 잡아들이는 꿀단지(honey spot)기법은 역설적 보안의 한 예다.
기술적 보안과 인적 보안 사이에 균형이 맞아야 한다. 초강력 티타늄 자물쇠를 창호지 문고리에 걸어놓는 꼴이 돼서는 곤란하다. 악당은 자물쇠가 아니라 문짝을 노린다. 대형 보안사고의 3분의 2 정도는 내부관계자와 연관된 것이다. 기술적 보안에 투자할수록 그 안도감으로 인해 인적 보안은 더 취약해지는 역설적 상황이 일어난다.
“아는 사람끼리 편리 좀 봐주는 것”, 이런 인간적 틈새를 사회공학 해커들은 노리고 있다. 일당 5억원짜리 노역을 선물한 법조인들의 자애로움과 인정스러움이 우리 사회에 용인되는 한 보안 사고는 계속 생길 수밖에 없을 것이다.
조환규 | 부산대 교수· 컴퓨터공학
'과학오디세이' 카테고리의 다른 글
| 2는 3보다 크다? (0) | 2014.04.13 |
|---|---|
| ‘도우미 로봇’이 두려운 이유 (0) | 2014.04.06 |
| 유전정보 공유와 사유 (0) | 2014.03.23 |
| 한국 아이들이 수학을 잘한다고? (0) | 2014.03.16 |
| 인간에 대한 과학적 탐구는 불온한가? (0) | 2014.03.09 |
