PC방에 한 남성이 들어왔다. 컴퓨터에 앉아 본체를 켜고 무언가를 꽂자 순식간에 모니터 화면이 꺼진다. 이 남성은 자리를 옮겨가며 같은 행동을 반복했다. 주변 다른 PC방에도 비슷한 차림의 남성이 나타나 USB 단자에 무언가를 꽂았다 뺀 뒤 사라졌다. 그런데 이 남성이 건드렸던 컴퓨터는 하나같이 메인보드가 망가져 있다. 컴퓨터 전원은 켜지지도 않고 아무것도 되지가 않는다.

멀쩡한 소프트웨어 제품이나 절차에서 사용되는 합법적인 인증서를 해킹하거나 손상시키는 것은 보안커뮤니티에 상당히 까다로운 영향을 미친다. 이러한 경우, 문제가 되는 것은 인증서 존재 자체가 합법적이고 신뢰할 수 있다는 것을 말해주는 부분이기 때문이다. 인증서는 어떻게 보면 여권이나 주민등록증과 같다. 인증서는 소프트웨어 제작자가 그들의 코드에 서명하고 인증하는데 사용된다. 웹 브라우저나 운영체제는 이러한 인증서를 보고 신뢰할 수 있는지를 사용자에게 알린다. 그러나 이러한 신뢰할 수 있는 인증서를 해킹하여 공격자가 자신의 악성코드에 사용하면 얘기가 달라진다. 어떻게 보면, 이러한 부분이 인증서의 부정적인 결점 중 하나이지 않을까 생각된다. 최근 국내 대표 그룹웨어 기업인 핸디소프트의 전자인증서가 해킹당하여 인증서가 유출되는 사건이 있었다.

애플의 보안 정책은 날이 갈수록 강화되어 최근에는 아이폰에서 사용자의 흔적을 찾기란 쉬운 일이 아니다. 미국 동부 샌 버나디노에서 발생한 총기 사건의 용의자 사예드 파룩은 사건 현장에 아이폰을 남겼다. FBI는 사건현장에서용의자의 아이폰을 찾아 증거를 확보했지만 막상 아이폰을 둘러싼 3대 방패막이 때문에 FBI도 아이폰을 어떻게 하질 못했다. 이 때문에 FBI는 애플에게 자신들이 아이폰을 분석할 수 있는 방안을 달라 요청하였지만 애플은 이러한 요청을 거절했다. 결국, FBI는 용의자의 아이폰을 전문 포렌식 업체에 맡겨 아이폰의 보안을 해지하는 데 성공했지만 FBI의 능력에 대한 위상은 곤두박질쳤다. 이와 반대로 아이폰을 만들어낸 애플의 위상은 높아졌고 아이폰을 둘러싼 보안정책이 다시 한 번 이슈가 되었다.

보안에 종사하고 있는 사람들이라면 IT 기술 발전에 따라 보안도 그에 못지않게 발전하기를 기대한다. 하지만 기대와 달리 많은 기업은 보안에 투자하기보다는 화려한 기술 개발에 더 많은 투자를 하고 보안은 남는 잉여 자금이나 법의 수준에 맞춘 적정 가이드라인만 따라가고 있는 것이 현실이다. 몇몇 기업들이 보안의 중요성을 인지하고 자신들의 고객들과 자신들을 위해 보안에 관심을 두고 적용하려 한다는 것이 그나마 안도의 한숨이 내쉬어지는 상황이다. 이렇게 보안 컨설팅을 거쳐 다행히도 최근 시장에는 간간이 방패막이를 장착하고 나온 여러 기기가 보인다. 이러한 기기들과 함께 보안의 대표적인 아이콘으로 불리는 것이 애플의 모바일 기기 ‘아이폰’이다.

여러 사람의 개인 정보 보호를 위한 일과 범죄 용의자나 테러리스트를 잡는 일 중에 무엇이 중요한지 말하기 어렵다. 아마도, 자신의 사생활 보호에 깊은 중점을 두고 있는 사람이라면 전자를, 공익을 위하여 그 정도의 피해는 감수하겠다고 생각하는 사람이라면 후자를 선택할 것이다. 필자로 말할 것 같으면 두 말다 맞는 말이지만 아무래도 전자에 조금 더 손을 들어주고 싶다. 2016년 10월, FBI와 Apple의 공방은 이러한 논쟁의 씨앗을 터트린 사건으로 사람들에게 여러 가지를 생각하도록 만들었다.

멕시코의 유명한 마약 조직 중 하나인 로스 제타스(Los Zetas)와 어나니머스(Anonymous)가 서로 맞붙었던 적이 있다. 제타스는 그들의 주업인 마약 밀매를 비롯하여 살인, 강탈, 납치, 인신매매 등 여러 분야에서도 악명이 높다. 그들이 하는 일이 법으로 금지되어 있고 좋지 못한 것도 사실이지만 그들의 높은 악명에 가장 큰 이유는 그들이 무척이나 잔인하고 폭력적인 것으로 유명한 집단이라는 것이다. 그런 의미로 제타스는 멕시코의 군사, 정부, 타국까지 수 많은 적이 존재한다. 특히나, 그들의 수많은 적들 중 눈길을 끄는 것은 그 중 해커 집단 ‘어나니머스’가 있다는 것이다.

며칠 전, 인터파크 개인정보 유출 사건에 대한 판결이 났다. 이 판결은 솜방망이 판결만 봐왔던 이전에 비해 전례 없던 무거운 판결로 인터파크와 몇몇 기업들은 이 판결에 대해 내키지 않은 기색이다. 당시 역대 3위 안에 드는 규모의 개인 정보가 유출되었고 허술한 보안관리, 한 달이나 늦어진 해킹사고 발표는 이러한 판결의 이유로 충분했다. 더불어 계속되는 개인정보 유출 사건에 대해 그때만 고개를 숙이는 기업의 뻣뻣한 목에 뿔이 난 몇몇 이들은 빠르게 소송을 준비해나갔다. 가뜩이나 여러 사이버 사고가 터지면서 이번만큼은 보안에 대한 인지도가 달라질 수 있는 판결이 나올지 많은 이가 주목하고 있었다.

지난 2016년 7월 25일, 인터넷 쇼핑몰 인터파크는 익명의 해커 조직에 해킹당하여 약 1,030만 명의 개인정보가 외부로 유출되었다는 내용의 글을 홈페이지에 공지했다. 해커 조직은 5월 3일부터 약 3일 동안 컴퓨터 내부를 드나들며 데이터를 탈취하였고 자신들이 탈취한 정보를 외부에 알리고 싶지 않으면 비트 코인 30억을 보내라는 협박 메일을 관계자한테 보냈다. 인터파크가 개인정보 유출에 관하여 확실하게 확인한 시기는 7월 11일이었고 경찰에 신고한 후 이를 외부에 알리기까지는 2주의 시간이 더 늦어졌다. 결국, 사건은 7월 25일 홈페이지에 해킹당한 사실을 공지하면서 인터파크 해킹 사고의 서막이 본격적으로 올라갔다.

2016년 11월 13일, 아주 민감한 성인 엔터테이먼트 웹 서비스를 제공하는 FriendFinder가 해킹을 당한 사실이 leakedsource 사이트에 올라왔다. 작년 불륜 권장 사이트 애슐리 매디슨이 해킹당하면서 많은 이의 계정이 탈취당해 네트워크에 뿌려졌다. 이 사건에 후폭풍이 대단했던 것처럼 이번에도 그 못지않은 후폭풍이 있지 않을까 사람들은 조심스레 예측했다. 애슐리매디슨 해킹 당시 유출된 회원정보 때문에 회원이었던 이를 협박하여 금전적으로 갈취하거나 이 사건으로 자살하는 이들도 나왔다. 이렇든 민감한 개인정보가 해킹을 당하면 신용카드나 다른 사이트의 계정은 물론 유출된 회원이 받는 이들은 굴욕과 창피함을 얻기도 하다.