속수무책에 가까운 해킹 대책

신제품이 나와야 보안 업데이트되는 스마트폰의 특성상 인터넷뱅킹 해킹을 막을 뚜렷한 대책 없어

해킹은 이제 현실과 동떨어진 사이버 세상에서나 있을 법한 일이 아니다. 지난 4월 농협 금융 전산망 마비 사태는 해킹이 얼마나 우리 삶에 깊이 들어와 있는지를 보여줬다. 막대한 사회적 비용을 치렀음에도 보안 전문가들은 여전히 정부의 해킹 대책이 충분치 않다고 입을 모은다. <한겨레> 김명진 기자

‘스마트플랫폼보안 보안기술연구소’ 유동훈 소장은 최근 스마트폰을 제작·공급하는 여러 대기업을 방문했다. 가장 먼저 돌아오는 대답은 이랬다.

“지금 애플리케이션(앱) 보안도 제대로 안 되는 상황에서 해커의 침입을 막는 보안을 한다는 것은 어렵습니다.”

현재 보안 수준은 악의적인 앱 공급자가 앱에 악성코드를 심어 내려받게 해놓고 개인정보를 탈취하거나 폰을 장악하는 일을 막는 데 주력하고 있다. 피해 우려는 인정하지만 가장 기본적인 피해도 막지 못하는 상황에서 해커를 상대하기 버겁다는 것이다.

스마트폰 회사 협력체가 있어도

이유는 무엇일까. 스마트폰이 컴퓨터라고 전제한다면, 현재 우리나라 PC 상당수의 운영체제인 윈도의 경우 특별한 상황이 벌어지지 않는 한 월 단위로 보안 업데이트를 하고 있다. 하지만 같은 컴퓨터 체제임에도 스마트폰은 신규 제품이 나왔을 때 일괄적인 펌웨어 업그레이드(버전 업그레이드)를 한다. 월 단위로 업데이트하는 PC에서도 악성코드로 개인정보 유출 등 문제가 수시로 발생하는 상황에서 수개월 또는 1년 단위인 신규 제품 생산이 보안에 유효할 것이라고 보는 전문가는 없다. 유 소장이 “(스마트폰은) 사실상 보안 업데이트가 존재하지 않는다고 보면 된다”고 말할 정도다.

제조사에 보안 책임을 물어 보안 대책을 세우더라도, 아이폰과 달리 안드로이드폰은 생산 과정에서 연결 사업 주체가 다양해 모두가 협력해야 한다. 예를 들어 ‘스마트폰 벤더’로 불리는 구글(안드로이드)에서 스마트폰 보안 업그레이드 프로그램을 내놓더라도 제조사인 삼성이나 모토롤라, 또는 통신사가 그 프로그램의 생산과 배포에 협조해야 사용자가 보안 프로그램을 설치해 업그레이드할 수 있다. 그 과정에서의 비용 문제 등 상충하는 이해관계는 사업 추진을 더디게 한다. 유 소장은 “미국에서도 제조사가 만들어도 통신사가 제공하지 않아 3개월 이상 업데이트되지 않은 사례가 있었다”며 “공공기관의 조율과 강제로 사업주체 사이에 협력기구를 만들어야 한다. 빨리 나서지 않으면 우리가 모르는 사이에 피해가 발생할 수도 있다”고 말했다.

협력체제가 생기면 모든 것이 해결될까. 회의적이란다. 유 소장은 “현재는 ‘화이트’ 해커들만 스마트폰과 관련해서 관심을 가지는 게 다행이라면 다행”이라고 말했다. 한국뿐만 아니라 중국·미국 등에서 스마트폰을 이용한 금융 서비스가 정착돼 보편화되면 금전적 이득을 노리는 악의적 해커들이 스마트폰 해킹에 관심을 가지게 되고, 그렇게 되면 개인정보뿐만 아니라 금융 피해 등 직접적 피해가 급속히 증가할 수 있다는 우려다.

해결책이 필요하다. 우선 금융 서비스 절차를 더 복잡하게 만들어야 한다고 유 소장은 말했다. 현재는 편의성을 위해 아이디와 패스워드, 공인인증서만으로 금융거래를 할 수 있다. 해커가 간단한 조작만으로 쉽게 빼낼 수 있는 정보다. 따라서 한 단계 더 높은 보안 패치를 요구해야 한다. 불편을 감수해서 금융거래 절차를 좀더 복잡하게 만드는 게 한 방법이다. 하지만 이것도 폰이 장악된 상태에서는 대안이 되지 못한다. 스마트폰으로 금융거래를 할 때 매번 다른 방식으로 본인 확인을 할 수 있는 방법을 찾아야 한다고 유 소장은 말했다.

해킹이 인권침해할 우려도

일부 단체의 우려는 한 단계 더 나아간다. 장여경 진보네트워크센터 활동가는 현재의 해킹이 수사기관의 인권침해로 이어지지 않을지 우려했다. 장 활동가는 “최근 독일 헌법재판소에서는 해킹이 수사 기법으로 이용된 사례와 관련해 개인정보 보호에 기본권 개념을 도입하는 것이 필요하다는 판결을 했다”며 “우리도 그런 논의가 필요한 시점”이라고 말했다.

하어영 기자 haha@hani.co.kr