[데스크칼럼] 사이버보안 최고의 방패는 '투명성'과 '소통'

명진규 AI부장

SK텔레콤 해킹 소식을 보도한 뒤 스마트폰을 열어봤다. 아이클라우드와 G메일에 저장된 연락처가 3370개, 아이클라우드에 저장된 3년치 사진, 구글포토에 저장된 20여 년간의 사진과 동영상을 더해 보니 수만장에 달한다. 일정 앱에는 일단위, 시간 단위로 누구와 무슨 일로 만났는지 기록돼 있다. 메모 앱 업노트에는 최근 수년간 읽은 책, 영화, 생각날 때마다 끄적인 메모들이 빼곡하다. ‘건강’ 앱에는 수년간 언제 어디서 걷고 뛰었는지 기록돼 있다. 점심 먹고 사무실 의자에서 잠깐 눈 붙였던 시간까지 기록돼 있다. 어느 날 나도 잊고 있던 내 생일을 아는 지인의 ‘생일 축하해’ 카톡 메시지에 나와 연결된 모든 이들에게 내 생일을 알리고 있다는 점도 별것 아니지만 놀랍다.

몇 가지 되지 않는 쇼핑앱에는 내가 사고 먹은 것과 함께 살까말까 고민했던 상품까지 데이터로 남아있다. 친구들과 수년 전에 주고받은 카톡 메시지, 이메일에 남아 있는 전 회사 월급 명세서와 당시 행사 기획안, 스마트폰 속에는 나도 모르는 ‘나’, 현재가 아닌 과거와 미래의 ‘나’ 자신이 투영돼 있다. 익숙하지만 생경한 스마트폰 속의 ‘나’는 그래서 두렵다. 

전 국민이 태어나면 출생신고를 하고 주민등록번호를 받는다. 이사를 하면 전출입 신고를 당연하게 한다. 민감한 개인정보를 국가에 의무로 알리다 보니 기업들이 원할 때도 별 생각 없이 적는다. 우편으로 고지서를 보내지 않는데 이동통신사에 왜 집주소를 알려줘야 하는지 누구도 궁금해하지 않는다. 

10여 년전 미국 유통업체 타깃(Target)의 개인정보 유출은 최악의 해킹 사고로 기록되고 있다. 1억명 이상의 고객 정보가 유출됐다. 유출된 빅데이터를 통해 특정 고객의 임신 여부를 정확히 판단할 수 있었다는 점을 감안하면 개인 스마트폰의 정보가 유출될 경우 어떤 일이 벌어질지 상상하는 것은 어렵지 않다. 

거대 통신사들의 해킹 소식은 그래서 공포로 다가온다. 관계 당국에 따르면 SK텔레콤을 공격한 이들은 유심카드 키값을 탈취했다. 이름, 전화번호 등 민감한 개인정보들은 유출되지 않았다지만 이용자들을 더 불안하게 만든다. 3천만명에 달하는 가입자 중 누구의 심카드를 복사한다 해도 시간과 노력만 있다면 그 사람의 인생을 복제해낼 수 있다. 구글 로그인 번호 하나만 알아내도 수많은 사이트들의 아이디와 비번을 확인할 수 있다. 앱스토어나 구글플레이에 로그인 하면 어떤 앱을 사용하는지 알 수 있고 해당 앱을 설치하면 클라우드에 남아 있는 정보가 그대로 새 스마트폰에 복제된다. 

SK텔레콤이 전 가입자들의 유심카드를 무료 교체하겠다며 나선 것도 이 같은 이유 때문이다. 문제는 돈이다. 가입자가 3천만명이 넘으니 돈이 많이 든다. 유심 복제의 현실화 가능성을 고려한다면 모든 가입자의 심카드를 교체하는 것이 낭비라는 전문가도 있다. 하지만 소 잃고 외양간 고치느니 소부터 지키는 것이 낫다. 가입자들의 불안을 없애고 사고를 미연에 방지하려면 당연 해야 할 일을 했다. 

아무리 뛰어난 방어체계를 마련해도 사이버 공격은 이를 우회하거나 돌파해낸다. 과거와 달리 인공지능(AI)이 가세하며 네트워크 상의 모든 취약점을 테스트하고 취약점을 찾아낸다. 해킹을 원천 차단하는 방법은 존재하지 않는다. 근본적인 방어가 안 된다면 인재를 막는 것이 최선이다. SK텔레콤이 법으로 정한 24시간 이내 해킹 신고를 하지 않았다는 점에서 적잖이 실망했었다. 시간이 더 지났더라면 은폐하려는 생각이 아니었을까 의심했을지도 모른다. 어려울 때 고객과의 신뢰는 시험 받는다. 잘못 꿴 첫 단추를 고쳐 맸지만 아직 시험은 끝나지 않았다. 투명성과 소통이 SK텔레콤이 준비한 방패이기를 바란다.