모든 것이 서로 연결되는 시대에 사이버 위협 갈수록 커져…AI로 인격까지 도용되면 파국 올 수도

최근 트위터·페이팔·에어비앤비를 비롯해 미국의 주요 업체 웹사이트 수십 개가 해킹 공격으로 차단되기 일주일 전 몇몇 대기업 지도자들과 사이버 위협을 논의하는 비공식 회의에 참석했다. 그곳에 모인 CEO들은 제2차 세계대전 때 노르망디 해안으로 접근하는 상륙선을 탄 군인처럼 암울한 미래를 운명으로 받아들이는 듯했다. 그들 전부는 아니라고 해도 대다수는 엄청난 피해를 가져올 공격을 피할 수 없다고 체념하는 듯했다. 그들은 스스로, 또 서로에게 안타까움을 느꼈다.

게다가 대다수는 피해가 얼마나 심할지 상상조차 못하는 것 같았다. 지니 로메티 IBM 회장은 현재 글로벌 비즈니스의 가장 큰 위협이 사이버 범죄라고 말했다. 해킹이 핵전쟁이나 기후변화, 또는 외계인 침공보다 더 큰 위협으로 생각한다는 뜻이었다.

우리는 지금 세상을 바꾸는 ‘기술의 경이’ 시대를 살아간다. 자율주행차, 인공지능(AI), 비트코인 등의 디지털 화폐, 가상현실(VR), 인간보다 더 정확한 음성 인식 등. 우리는 ‘사물인터넷(IoT)’이란 이름 아래 모든 것에 마이크로칩을 장착하고 소프트웨어를 깔아 그 전부를 글로벌 네트워크에 연결시키고 있다. 사람과 장소, 사물의 거대한 ‘벌집’이 만들어지는 것이다. 그에 따라 우리 삶은 더 편하고 안전해지며 대다수는 더 큰 번영을 누린다. 그러나 기술 자체에는 도덕 관념이 없다. 따라서 사악한 의도를 가진 나쁜 사람은 어떤 기술적 발명도 자신의 목적을 이루는 데 이용할 수 있다. 최신 등장한 ‘스마트 변기’는 괜찮다고? 절대 안심할 수 없다. 곧 어느 해커가 그 기기를 사용해 당신을 공격할 것이다.

세계가 디지털화될수록 해킹은 수익성이 더 좋아지고 파괴력도 더 커진다. 갈수록 교묘해지는 해킹을 어떻게 막을지 아무도 모른다. 어떤 연구소도 획기적인 해법을 찾지 못했다. 해커의 침투가 불가능한 소프트웨어를 만들 수 있는 보안업체도 없다. 반면 사이버 범죄는 호황을 누리는 산업으로 자리 잡아 간다. 기업화된 해커들은 해킹 툴을 판매한다. 신용카드만 있으면 인터넷에 접속해 열 받게 하는 업체를 공격할 수 있는 해킹 툴을 구입할 수 있다. 금융 전문 소프트웨어 업체 인터내셔널 디시전 시스템의 CEO 마이크 캠벨은 올해 초 만난 자리에서 “사이버 위협이 워낙 크기 때문에 우리 모두 한시도 마음을 놓아선 안 된다”고 말했다.

지난 10월 21일 다인 DNS[인터넷 호스팅업체 다인(Dyn)의 도메인 네임 서비스를 뜻한다]를 표적으로 한 해킹 공격은 우리 모두에게 최악의 시나리오가 어떤지 잘 보여줬다. 한 해커가 일명 ‘미라이’ 봇을 이용해 인터넷에 연결된 웹카메라, 베이비모니터(아기의 활동을 원격으로 볼 수 있는 장치), DVR 등 취약한 기기 수백만 대를 찾아냈다. 그 다음 미라이 봇이 그 기기를 장악해 다인의 서버(여러 인기 웹사이트의 교환대 역할을 한다)에 끊임없이 신호를 보내도록 지시했다. 교환대가 쏟아져 들어오는 신호를 처리하지 못하면서 다인이 서비스하는 웹사이트들이 하나둘씩 마비됐다.

아침 7시 10분부터 미국 동부 지역 대부분에선 페이팔·아마존·레딧·깃허브·뉴욕타임스·트위터·넷플릭스·스포티파이 등 우리 일상생활과 떼려야 뗄 수 없는 수많은 웹사이트에 접근할 수 없었다. 같은 공격이 두 차례 더 이어지면서 그 대부분의 사이트는 오후 늦게까지 작동하지 않았다.

그날 공격의 다른 쪽에 있었던 일반 인터넷 사용자들은 기이한 느낌을 받았다. 나는 그날 아침 일찍 뭔가 잘못된 것을 직감했다. 친구에게 빌린 돈을 갚으려고 페이팔에 접속해 송금하려 했지만 화면엔 아무 것도 뜨지 않았다. 트위터를 열어도 마찬가지였다. 다른 사이트 두 개의 주소를 치자 그것들은 제대로 작동 됐다. 그러나 일하면서 배경 음악을 틀어 놓으려고 스포티파이를 클릭하자 클라우드 서버 연결이 끊어지면서 화면이 얼어붙었다.

나는 다운로드 받는 음원 구입을 수년 전에 중단했다. 따라서 스트리밍이 불가능하다면 내 머리를 맴도는 피츠앤 탠트럼스(인디 팝밴드)의 노래를 들을 방법이 없다. 그때야 내가 이런 웹 서비스에 얼마나 의존하는지 깨달았다. 예를 들어 이렇게 가정해 보자. 러시아가 미국 대선 결과에 불만을 품고 대대적인 사이버 공격을 개시해 모든 웹사이트를 수일 동안 마비시킨다면 그때 느낄 수 있는 공황 상태가 어떨지 짐작이 갔다. 그럴 경우 나는 인터넷을 사용할 수 없어 일도 못하고 놀 수도 없을 것이다. 그럴 땐 뭘 할까? 몸을 웅크리고 누워 고양이가 자는 모습이나 구경할 수밖에.

다인 서버 공격으로 피해를 입은 업체들은 사업의 일시적인 마비로 수백만 달러의 손실을 기록했을 것이다. 아직 공식 집계를 찾을 순 없지만 보험회사 런던 로이즈의 추정에 따르면 세계 전체로 따져 기업체가 사이버 공격으로 입는 피해는 연간 4000억 달러에 이른다. 게다가 고객의 신뢰 상실부터 기업들이 해커로부터 시스템을 보호하려고 ‘군비경쟁’을 벌이는 데 드는 비용까지 더하면 피해 규모는 상상을 초월할 정도다.

다인 서버 공격 같은 것이 사이버 악당들의 유일한 활동도 아니다. 예를 들어 해커들은 야후에 침투해 2억 명 사용자의 이름과 비밀번호, 생년월일 등 개인정보를 훔쳤다. 신용도둑들에게 팔기 위해서였다. 타겟, 홈디포, PF창도 시스템을 공격당해 고객의 신용카드 번호가 유출됐다. 북한 해커들은 영화 ‘더 인터뷰’의 배급을 막기 위해 소니 영화사를 해킹해 임원들의 이메일을 폭로했다고 알려졌다. 북한의 ‘존엄’ 김정은 노동당 위원장을 무능하고 어리석은 인물로 희화화하고 그의 암살을 소재로 한 영화라는 게 이유였다.

북한과 러시아, 중국은 국가가 지원하는 국제 해킹의 최전선에 자리하는 듯하다. 러시아 해커들은 미국 대선에 영향을 주려는 목적으로 힐러리 클린턴 민주당 후보 캠프의 컴퓨터에 침투했다. 사이버 보안의 선구자인 존 매카피는 외국 해커단이 미국 인터넷의 약점을 찾으려 하면서 최근 들어 DNS 서버 공격이 증가했다고 믿는다. 인터넷 전체를 한꺼번에 망가뜨리는 방법을 알기 위해서다. 매카피는 지난 10월 뉴스위크에 “그들이 다인 서버 공격을 분석한 뒤 나중에 더 강한 공격을 시도할 게 분명하다”며 “이번 공격을 아주 효과적으로 써먹을 것으로 예상된다”고 말했다.

가장 위협적인 새로운 해킹 트렌드는 랜섬웨어의 부상이다. 해커가 특정 회사 시스템에 악성 코드를 삽입해 그 회사의 데이터를 인질로 잡고 ‘몸값’을 지불하지 않으면 데이터를 파괴하겠다고 위협하는 것이다. 미국 연방수사국(FBI)은 지난해 랜섬웨어 해커들에게 10억 달러 이상이 지불됐다고 밝혔다.

그러나 데이터 ‘납치’는 머지않아 사소한 장난처럼 보일 수 있다. 우리가 필수적인 기기나 기계, 로봇을 인터넷에 더 많이 연결할수록 랜섬웨어는 더 위협적이 된다.

사이버 위협을 논의하는 회의장에서 내가 앉은 테이블엔 렌터카 대기업 중 하나의 임원들이 있었다. 발제자 중 누군가가 앞으로 6년 안에 차량 대부분이 서로 연결될 것이라는 점을 지적했다. 그럴 경우 차량을 제어할 수 있는 해킹에 취약해진다. 예를 들어 중국 인터넷 기업 텐센트 산하 킨보안연구소 팀은 미국 전기차 테슬라의 원격 해킹을 시연했다. 공개된 영상에 따르면 연구팀이 테슬라 모델S 차량을 해킹한 뒤 근처에서 노트북으로 조작하자 아무도 타지 않은 차량의 창문이 열리거나 좌석이 움직이고 문 잠금이 해제됐다. 또 주행 도중에도 트렁크가 열리고 사이드미러가 접히며 심지어 급제동도 가능했다. 솜씨 좋은 해커단이 한 회사의 모든 렌터카(그중 다수는 고속도로를 질주하고 있을 게 뻔하다)를 장악해 10억 달러를 지불하지 않으면 전부 추돌시키겠다면 어떻게 될까? 내 옆에 앉은 렌터카 임원들은 그냥 멍하게 서로 쳐다봤다. 그들은 거기까진 생각하지 않은 게 분명했다.

지난 한해 동안 존슨앤존슨은 자사 제품인 인슐린 펌프가 해킹당할 우려가 있다고 경고했다. 또 한 사이버 보안업체는 의료기기회사 세인트 주드 메디컬의 심박조율기도 해킹에 취약하다고 밝혔다. 사악한 해커가 수많은 이런 의료기기에 동시에 소프트웨어 ‘시한폭탄’을 심는 방법을 알아내면 살해 위협으로 몸값을 요구할 수 있을 것이다.

그뿐이 아니다. AI를 생각해 보라. 자가 학습이 가능한 소프트웨어를 말한다. 사이버 보안 전문가가 우려하는 가장 섬뜩한 시나리오는 AI 기반의 해킹으로 해커가 다른 누군가가 되는 방법을 학습할 수 있다는 것이다. 예를 들어 AI 봇이 누군가의 이메일, 일정표, 검색 이력, 페이스북 페이지, 음악 서비스에 침투해 그를 흉내 낼 수 있을 정도로 그에 관해 충분히 배울 수 있다. 그럴 경우 해커는 AI 봇을 이용해 그의 이름으로 자신이 이메일을 작성하거나 그의 상사나 어머니와 채팅할 수 있을지 모른다. 우린 이미 신원 도용에 관해 잘 안다. 하지만 AI 해킹은 그보다 훨씬 더 개인적이고 섬뜩하다. 신원만이 아니라 그 사람의 인격과 생활 전부를 훔치기 때문이다. 신용카드 번호를 훔치는 것은 그에 비하면 아무 것도 아니다. 침투자가 개인의 대인 관계를 파괴하겠다고 협박할 수 있다면 그건 훨씬 강한 정신적 타격이 된다.

예를 들어 ‘인격 도용 해커’는 돈을 지불하지 않으면 결혼생활을 망가뜨리겠다고 협박할 수 있다. 또는 중요한 인물로 대신 행세하며 더 큰 이권을 노릴 수도 있다. 사이버 보안에서 가장 확실한 진리는 가장 취약한 고리가 언제나 사람이라는 점이다. 보안 소프트웨어는 컴퓨터 시스템 주변에 자물쇠와 장벽을 설치한다. 해커가 침투하려면 노력과 비용이 많이 들도록 만드는 것이다. 해커는 그것을 아주 싫어한다.

그러나 만약 누군가를 속여 비밀번호나 인증 코드를 알아낼 수 있다면 해커는 노력과 비용을 들일 필요 없이 넓게 열린 문을 통해 시스템에 쉽게 들어갈 수 있다. AI 봇이 사람을 그대로 흉내 낼 수 있다면 그것을 이용해 누군가를 속여 시스템 문을 여는 열쇠를 얻을 수 있다. (예를 들어 AI 봇이 이렇게 말할 수 있다. “이봐, 메리. 어젯밤 공연장에서 함께 좋은 시간 보냈어. 너무 고마워. 근데 그후 술 몇 잔 했더니 뇌세포가 다 망가졌나봐. 미사일 발사 코드를 잊어버렸지 뭐야. 네가 좀 알려줘.”)

그에 비하면 누군가 해킹으로 전력망을 차단하거나 댐의 수문을 열지 모른다는 우려는 호랑이 담배 피우던 시절의 얘기처럼 들린다.

이처럼 해커들의 나날이 발전하는 기술이 우리 생활방식에 위협이 되는 건 분명하다. 하지만 그렇다고 우리가 불행한 결말을 맞을 수밖에 없다는 얘기는 아니다. 핵폭탄이 개발됐어도 아직 문명이 끝장나지 않았듯이 말이다. 세계 각국의 기업과 정부는 보안 소프트웨어와 전술에 모두 합쳐 연간 약 1500억 달러를 지출하면서 해커들보다 한발 앞서고 만약 공격 받았을 경우 그들을 찾아내 기소하기 위해 최대한 노력한다. IBM과 마이크로소프트 같은 대기업만이 아니라 다크트레이스와 재스크 같은 중소기업의 연구원들도 해킹을 막는 새로운 방법을 끊임없이 개발한다.

최첨단 사이버 보안 기술은 시스템에서 정상적인 활동을 학습할 수 있는 AI에 의존한다. 학습이 잘 된 AI가 자신이 아는 ‘정상’에서 벗어난 활동을 인식하면 시스템을 곧바로 차단할 수 있다. 또 이제 기업들은 모든 데이터를 한곳에 저장하지 않고 분산해 보호한다. 대기업이나 정부기관의 시스템은 하루에 적으면 수천 번, 많으면 수백만 번 해커의 공격을 받는다고 알려졌다. 그러나 사이버 방어 수단으로 그런 공격 거의 전부를 막아내고 피해를 최소화할 수 있다.

하지만 그로써 충분하진 않다. 어떤 공격이든 엄청난 피해를 입힐 수 있다. 가장 위험한 해커는 언제나 방어 기술보다 한발 앞선다. 완벽한 해결책은 없다. 지난 10월의 다인 DNS 서버 공격은 해커가 언제나 가장 취약한 부분을 찾아내 그곳을 공격한다는 사실을 확인시켜준 사례였다. 기업들은 수십억 달러를 써가며 거대한 데이터 센터를 철저히 보호하지만 해커는 툭하면 익성 코드 조각을 네트워크에 연결된 DVR이나 베이비모니터에 침투시켜 인터넷의 많은 부분을 어둠 속에 빠뜨린다. 우리가 더 많은 사물을 인터넷으로 연결할수록 해킹엔 더 취약해진다.

뻔한 소리지만 최악의 사태는 아직 일어나지 않았다. 마지막으로 한 마디하자면 사물인터넷에 연결된 ‘스마트 변기’는 제발 구입하지 마라.

- 케빈 메이니 뉴스위크 기자

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지