Cover Story
그래픽=김하경 한국경제신문 기자
그래픽=김하경 한국경제신문 기자
자고 일어나면 해킹 사건이 터져 나옵니다. 지난 4월 SK텔레콤 가입자 2300만 명의 유심(USIM, 통신사 인증을 포함한 개인정보를 담은 작은 칩)과 단말기 정보가 해커에 대거 유출되는 사고가 발생해 큰 충격을 줬죠. 통신 회사를 돌아가며 해킹 사건이 벌어지는 건지, 이번엔 KT에서 불법 펨토셀(초소형 기지국) 문제가 불거졌습니다. 소액결제 피해와 개인정보 유출로 이어진 대표적 네트워크 장비 해킹 사례입니다. 최근엔 롯데카드 회원의 3분의 1가량인 297만 명의 개인정보가 유출되는 일이 벌어졌습니다.

흔히 ‘정보화 사회의 그늘’이라고 하지만, 해킹 사건은 요즘 부쩍 늘어난 느낌입니다. 물론 B2C(기업-소비자 간) 영역인 통신 회사와 소액결제, 신용카드 회사에서 사고가 터져 체감상 그럴 수 있습니다. 하지만 보안패치, 주요 정보의 암호화, 계정 관리 등을 소홀히 한 게 문제의 심각성을 더 키웠습니다. 이미 사용자 피해가 벌어지고 있는데 상황 파악도 못 한 경우가 있어요. 비단 이들 회사만의 문제도 아닙니다. 다른 통신 회사나 금융회사들의 정보보호 사고, 개인정보 유출 문제는 끊임없이 이어지고 있습니다.

해킹과 관련한 기술적 내용은 이해도 어렵고, 이 글에서 탐구하고자 하는 주목적도 아닙니다. 해킹의 역사와 진화 양상, 국내 해킹 사건의 공통적 문제점을 살펴보고 해킹은 과연 범죄인지, 필요악인지도 4·5면에서 생각해보겠습니다. 랜섬웨어, 디도스 공격, 웜GPT…
AI 만난 해킹, 경제·안보에 큰 위협
Getty Images Bank
Getty Images Bank
해킹이란 다른 사람이나 조직의 컴퓨터 하드웨어·소프트웨어, 네트워크, 웹사이트 등에 무단 침입해 시스템이 본래 의도하지 않은 동작을 하게 만들거나, 주어진 권한 이상으로 정보를 열람·복제·변경하는 등의 행위를 뜻합니다. 단순 침입을 넘어 정보 유출, 서비스 방해, 데이터 위·변조 등 다양한 부정행위를 하는 것을 일컫습니다.

보안 중요성, 최근에야 인식

해킹(Hacking)의 어원은 ‘거칠게 자르다’, ‘헤집다’라는 뜻의 영어 단어 ‘hack’입니다. 현대적 의미의 해킹은 1960년대 미국 매사추세츠공과대(MIT) 동아리 학생들이 복잡한 전자기기를 창의적으로 개조하거나 조작하는 행위에서 출발했습니다. 원래는 기계나 시스템의 효율을 높이려는 시도였죠. 그런데 1980년대 들어 개인용 컴퓨터가 급속히 보급되면서 돈을 요구하는 등 악의적 목적의 사이버 공격과 바이러스 제작, 불법 소프트웨어 복제가 늘어나기 시작했습니다.

1988년의 모리스 웜(Morris Worm) 사건이 대표적입니다. 웜은 감염시킨 컴퓨터 안에서 자동으로 자신을 복제해 네트워크 내 다른 장치로 퍼져나가는 악성코드입니다. PC 한 대만 감염돼도 시스템 안에 있는 수백~수만 대의 컴퓨터가 연쇄 피해를 당하게 되죠. 이 웜을 만든 사람 이름을 딴 모리스 웜 때문에 당시 미국 인터넷 시스템의 10%가량이 중단 사태를 맞았습니다. 2013년 발발한 야후 해킹 사건은 30억 개 이상의 사용자 계정 정보가 유출된 세계 최대 규모의 데이터 유출 사건이었습니다. 이를 계기로 개인정보보호와 데이터 보안의 중요성을 제대로 인식하게 됩니다.

교묘해지는 해킹 기법

해킹 기법은 갈수록 교묘해지고 있습니다. 이는 인터넷과 네트워크의 발달 때문이긴 한데요, 새로운 해킹 사고와 용어가 쏟아져 나옵니다. 2017년엔 ‘워너크라이’라는 랜섬웨어(Ransomware)의 공격이 세계를 뒤흔들었습니다. 랜섬웨어는 사용자의 데이터나 시스템 파일을 암호화해 접근을 차단한 뒤, 이를 정상화하는 대가로 금전을 요구하는 악성코드입니다. 당시 영국 국민보건서비스(NHS) 등 기관의 인프라가 심각한 피해를 입었습니다. 흔히 피싱(Phishing)으로 알려진 ‘사회공학(Social Engineering) 공격’도 있습니다. 이는 사람의 심리, 신뢰 관계 등을 이용해 정보를 탈취하고 시스템에 접근하려는 시도입니다. 알려지지 않은 취약점을 이용하는 ‘제로데이(Zero Day) 공격’은 방어체계가 마련되기 전, 손쓸 겨를도 없이 당한다는 뜻에서 이름 붙었습니다. 이 밖에 컴퓨터 여러 대를 동원해 특정 웹사이트나 서버를 방문하고 수많은 요청을 보낸 다음, 그 사이트나 서비스를 마비시키는 ‘분산 서비스 거부(DDoS) 공격’도 등장했습니다.

AI, 해킹 위협 더 키워

본격적으로 개화하고 있는 인공지능(AI) 기술도 해킹의 위험성을 높입니다. 예를 들어, AI는 해커가 공격을 준비·실행하는 과정을 자동으로 할 수 있게 해줍니다. 그러면 공격 속도가 훨씬 빨라지고 규모도 더욱 커지죠. 일부 해커는 웜GPT나 프로드(Fraud)GPT 등 AI 특화 모델을 사용해 1시간 이내에 대규모 사이버 공격을 준비합니다. 1초에 수만 건의 공격이 가해진 사례도 보고되고 있습니다.

AI는 또 사회공학 공격을 더욱 정교하게 만들 수 있습니다. 즉 AI는 특정인의 온라인 행태와 개인정보 등을 분석해 매우 설득력 있고 인간적인 느낌의 피싱 메일이나 딥페이크 영상 등을 만들 수 있습니다. 이런 해킹 기술이 AI 모델 자체를 공격할 경우 심각성은 더해집니다. AI 시스템의 학습 과정과 모델에 악의적 내용을 입력해 성능 저하, 오작동 등 문제를 일으키는 일명 ‘적대적 AI 공격’을 말합니다. 만약 이런 공격이 개인과 기업을 넘어 전력망, 의료·교통 관련 네트워크, 금융 등 사회 핵심 인프라를 대상으로 한다면 해킹은 국가안보에 치명적 위협이 될 것입니다. NIE 포인트 1. 자신이 당한 해킹 피해 사례를 친구들과 공유해보자.

2. 해킹이 어떤 피해를 낳는지 범주를 나눠보자.

3. AI 시대 해킹의 위험성이 얼마나 큰지 구체적 사례를 찾아보자. 범죄인가, 필요악인가…양면성 가진 기술
"화이트 해킹은 혁신 촉진" 긍정 효과 살려야
Getty Images Bank
Getty Images Bank
해킹은 인류 사회에 해악만 끼치는 존재일까요? 꼭 그렇지만은 않습니다. 다른 사회현상과 마찬가지로 해킹 문제도 일부 긍정적 측면이 있습니다. 새로운 해킹 기법이 출현하면 이를 방어하기 위한 데이터 보안 기술의 발전이 뒤따릅니다. 해킹이 개인정보 도용, 금전 손실 등 개인과 기업에 심각한 피해를 초래하지만, 이전엔 모르던 보안의 취약점을 발견하고 개선하는 과정에서 시스템 보안이 강화되는 거죠.

‘화이트 해커’를 아시나요

주목할 부분은 ‘선의의 해커’를 뜻하는 화이트 해커(White Hacker)의 존재입니다. 이들은 조직이나 시스템의 소유자에게 정식 허가를 받은 뒤, 일부러 그 시스템에 침입해 보안상의 취약점을 찾는 사람들을 말합니다. 이런 활동을 펜테스팅(penetration testing의 약자), 우리말로는 침투 테스트 또는 보안 테스트라고 부릅니다. 해킹 대응책을 마련하려면 펜테스팅은 거의 필수입니다.

세계 주요 국가에서는 화이트 해커 양성을 국가안보 전략의 하나로 삼고 추진합니다. 우리나라의 경우, 2010년대부터 정부 주도로 ‘화이트 해커 5000명 양성’ 목표를 세웠고, 지난 대선에선 야당인 국민의힘이 화이트 해커 1만 명 양성을 공약으로 내걸기도 했습니다. 화이트 해커는 인공지능(AI) 시대에 더욱 중요합니다. 이제 누구나 다크 앱 등에서 해킹 도구를 구입할 수 있고, 전문 지식이 없는 초보자도 AI의 도움을 받아 해킹 도구를 쉽게 사용하고 공격할 수 있기 때문입니다. 잠재적 해커가 크게 늘어나는 만큼, 방어 측면에서 화이트 해커의 역할도 더욱 중요해지고 있습니다.

공리주의는 뭐라고 할까

해킹의 양면성은 경제·경영학, 윤리학 등의 관점에서 바라볼 수도 있습니다. 경제학적 사고가 들어간 ‘범죄 수요-공급 이론’, ‘범죄 시장론’에 따르면 해커도 자신의 행위에 대한 비용과 편익을 따져 해킹할 것인지 최종 결정을 내립니다. 일반 억제이론(General Deterrence Theory)은 해킹의 심각한 피해를 알리고 강한 처벌을 내림으로써 해킹 사고를 줄일 수 있다고 봅니다. 해킹의 비용이 편익보다 훨씬 크다고 평소 느끼게 해야 한다는 얘기입니다. 경영학은 화이트 해킹에서 힌트를 얻어 체계적으로 위험을 시험·측정하는 경영관리 기법을 발전시켜왔습니다. 또한 화이트 해킹은 혁신을 촉진하는 효과가 크다고 봅니다.

마지막으로 칸트 윤리학 등 전통적 윤리학은 악의적이고 파괴적인 해킹이 사회규범에 반하는 비윤리적 행위라고 낙인찍을 겁니다. 이에 반해 공리주의는 화이트 해커가 전체 사회와 조직에 긍정적 결과를 많이 가져온다면 해킹 기술의 활용을 허용하고 장려해야 한다는 입장입니다.

기술의 변화가 해킹 부른다?

국내에서 벌어진 해킹 사건은 이런 논의 수준에 올리기 민망할 정도입니다. 공통적으로 인재(人災)의 성격이 강했습니다. 시스템 보안과 관련한 관리·운영상의 기본기를 지키지 않았고, 좀 더 투자하고 주의를 기울였다면 막을 수 있었던 사태였습니다.

하지만 해킹 사건이 빈발하는 것은 우리나라뿐만이 아닌데요, 보안상의 취약점 외에 기술과 비즈니스 환경의 변화가 원인이라는 지적도 있습니다. 첫째로는 블록체인 기술이 확산되기 전 개인정보를 확보하려는 경쟁 때문이란 시각입니다. 블록체인은 거래 내역을 여러 서버에 분산 저장해 해킹의 피해를 줄일 수 있고, 개인정보 보관 방식도 암호화와 분산이 기본이기 때문에 앞으로 대량의 정보 유출이 어려워질 것이라는 전망이 나옵니다. 이 때문에 대규모 해커 집단이 기존의 개인정보를 최대한 빨리, 그리고 많이 확보하려 경쟁하고 있다는 거죠.

다음으로 클라우드와 모바일 중심으로 시스템이 재편되면서 과거와 같은 보안관리 체계로는 신속 대응이 어렵다는 설명입니다. 더욱이 재택근무, 모바일 인증, 외부 연계 서비스가 생활화되며 회사 내부 데이터를 안전하게 지키기 쉽지 않습니다. 다양한 사업자가 개인정보를 대량으로 보유하는 요즘 비즈니스 환경도 문제입니다. NIE 포인트 1. 화이트 해커를 다룬 영화가 있다면 찾아서 보자.

2. 경제나 사회 분야에서 펜테스팅이 활용되는 사례를 살펴보자.

3. 국내 해킹 사고의 문제와 ‘안전불감증’ 사이엔 어떤 관계가 있을까?

장규호 한경 경제교육연구소 연구위원 danielc@hankyung.com