가치를같이읽다

# 질문 하나를 해보자. 텔레그램을 통해 아동 성착취물이 유통된 N번방 사건은 어떻게 시작됐는지 아는가. 답은 간단하다. 누군가 아이들의 휴대전화로 알 수 없는 문자를 보내 휴대전화 속 개인정보를 탈취한 게 사건의 시작점이다. 

# 질문 하나를 더 해보자. 그럼 비슷한 사건이 일어나지 않도록 하려면 어떻게 해야 할까. 답은 이 역시 간단하다. 정보 탈취, 이를테면 해킹을 막아야 한다. 그런데 어찌 된 일인지 정부와 국회는 이를 막을 방법을 고민하지 않는다. N번방 사건이 터졌을 때도 ‘해킹 방지’보단 ‘성 착취’ 쪽에 초점을 맞췄다. 

# 이를 두고 혹자는 “해킹은 전문가들의 영역 아닌가”라고 물어볼지 모른다. 그렇지 않다. 해킹 프로그램으로 다른 이를 공격하는 행위는 이제 중학생, 아니 초등학생도 할 수 있는 시대가 열렸다. 해킹 프로그램이 놀랄 만큼 정교해진 데다, 그 프로그램을 손쉽게 구할 수 있어서다. 

# 이는 과한 이야기가 아니다. 해킹 프로그램을 이용한 사이버범죄에 빠져든 이들 중엔 어린아이들이 숱하다. 더스쿠프가 광범위하게 유통되고 있는 해킹 프로그램의 위험성을 취재한 이유도 여기에 있다. 

# 그 단초를 제공한 건 유튜브 계정을 해킹당해 큰 손해를 입은 A였는데, 그는 놀라운 말을 취재팀에 던졌다. “제 유튜브 계정이 디도스 공격을 받아 큰 손해를 입었다. 우여곡절 끝에 범죄자를 만났는데, 고작 14세 소년이었다.” 더스쿠프가 교활하게 진화한 해킹 프로그램을 열어봤다. 

2020년 초, 세간을 떠들썩하게 했던 ‘N번방 사건’을 기억하는가. ▲범죄자들이 ‘스미싱(smishingㆍ문자메시지에 해킹 프로그램을 심어 개인정보를 탈취하는 범죄행위)’을 이용해 개인정보를 빼내고 ▲그 개인정보로 어린 여자아이들을 협박해 성착취 영상을 찍거나 스스로 찍도록 만들고 ▲텔레그램 채팅방에 해당 영상을 공유해 금전적 이득을 취했다는 게 N번방 사건의 개요다.

범죄자들은 경찰과 화이트해커(악의적 해킹을 막는 해커), 대학생 기자단과 일부 언론사의 끈질긴 추적 끝에 검거됐다. 최근엔 이 내용을 소재로 삼은 다큐멘터리 영화도 나왔다. 

정부와 국회도 다양한 재발 방지책을 내놨다. 이 사건을 계기로 국회에서 개정된 법률만 해도 형법, 성폭력처벌법, 범죄수익은닉규제법, 전기통신사업법, 아동청소년성보호법, 초ㆍ중등교육법, 정보통신망법, 방송통신위원회법 등으로 숱하다. 심의를 기다리는 또다른 법률 개정안들도 있다. 

제2의 N번방 막을 수 있나 

그렇다면 우리 사회는 N번방 사건이 재발하는 걸 막을 수 있을까. 결론부터 말하면 그러지 못할 가능성이 높다. 좀 더 냉정하게 평가하면 ‘아동 성착취물 유통 범죄’는 어느 정도 막을 수 있을지 몰라도 유형을 달리한 제2ㆍ제3의 N번방 사건을 예방하기는 어렵다.

N번방 사건 이후 다양한 법과 제도가 정비됐다지만, 사건의 단초를 제공한 스미싱과 같은 해킹 공격을 막는 대안은 논의된 적 없어서다. 이는 N번방 사건의 초점이 ‘해킹 프로그램’보단 ‘성착취물의 유포ㆍ유통’에 맞춰졌기 때문이다. N번방 사건을 들춰낸 건 긍정적이지만, ‘해킹’이란 근본적 원인을 제거하진 못했다는 얘기다. 

이 때문인지 스미싱을 이용한 사기 피해가 심각한 금융권에서조차 “모르는 번호로 온 문자를 읽지 마라” “인터넷주소(URL)를 함부로 클릭하지 마라” 등의 일반적인 캠페인만 펼칠 뿐, 근본적으로 피해를 막을 대책은 내놓지 못하고 있다.

[※참고: 이쯤에선 한 해킹 전문가의 반문反問을 소개해야겠다. 그는 이렇게 되물었다. “기술적으로 해킹 공격을 막는 건 사실상 불가능에 가깝다고 생각하지 않는가. 거의 모든 사람이 모바일과 컴퓨터를 사용하고 있고, 인터넷으로 광범위하게 연결돼 있기 때문에 해킹에 취약할 수밖에 없다.” 그의 주장은 틀린 말이 아니다. 하지만 정부는 최소한 피해를 줄일 대안이라도 내놔야 한다. ‘해킹을 막을 수 없다’는 이유로 손을 놔선 곤란하다. 방법이 없는 것도 아니다. 이는 기사 끝부분에 설명했다.]

문제는 정부와 국회가 해킹 피해를 막을 근본 조치를 내놓지 않은 탓에 해킹 공격이 더 활개를 치고 있다는 점이다. 국민의 피해를 막을 의무가 있는 공공기관과 경찰은 “방법이 없다”면서 손을 놓는 경우도 적지 않다. 

사례 하나를 보자. 지난 5월 유튜브에서 게임 채널을 운영하는 A는 생방송 중 온라인 참여자 B로부터 카톡 메시지를 받았다. 카톡을 읽었더니 B는 A에게 “당신의 아이피(IPㆍ인터넷상의 주소)를 얻었다”면서 “이 아이피 주소로 디도스(DDOSㆍ용량을 초과하는 정보를 한꺼번에 보내 과부하를 일으키는 행위) 공격을 하겠다”고 말했다.

장난인 줄 알았던 이 협박은 아내 현실이 됐다. A가 진행하던 게임방송은 디도스 공격으로 인한 과부하로 중단됐다. 유ㆍ무선 인터넷이 모조리 끊기는 일까지 터졌다. 유튜브가 생업인 A는 이날 방송을 접어야 했다. 

A는 이날의 사건을 녹화해 자신의 유튜브 채널에 올렸다. B는 A의 채널을 다시 방문해 “해당 영상을 삭제하지 않으면 또다시 공격하겠다”면서 으름장을 놨다. 어쩔 수 없이 A는 “B로부터 협박과 함께 해킹 공격을 받았다”면서 이 사건을 수사기관에 신고했지만, 경찰은 움직이지 않았다. 

경찰(사이버수사팀) 관계자의 말을 들어보자. “B의 말은 협박이 아닌 요청으로 보인다. 더구나 B는 IP를 우회하는 방법을 쓰고 있어 잡기도 어렵다.”

고육지책으로 A는 해킹의 확산을 방지하는 업무를 담당하는 한국인터넷진흥원에 도움을 요청하려 했지만 이 역시 여의치 않았다. 한국인터넷진흥원은 해킹 공격의 원인 분석이나 방지, 피해구제 등의 업무를 하고 있지만 대부분 ‘웹사이트를 운영하는 기업’에 무게를 두고 있었다.

한국인터넷진흥원 관계자는 “직접 웹사이트를 운영하지 않는 개인사업자인 유튜버의 경우, 진흥원 차원에서 도울 수 있는 일은 별로 없어 보인다”고 답했다. 

끝이 보이지 않던 이 사건의 실마리가 풀리기 시작한 건 ‘뜻밖의 인물’이 경찰에 자수를 하면서였다. 그는 B와 함께 해킹 공격을 단행했던 C였는데, C를 직접 만난 A는 깜짝 놀랐다. C가 14세 중학생에 불과한 데다 “해킹 공격을 한 건 그저 장난이었다”고 진술했기 때문이었다.

게다가 C가 해킹 프로그램을 잘 다루는 것도 아니었다. C는 “해킹 프로그램은 인터넷에 널려 있기 때문에 맘만 먹으면 구할 수 있다”면서 “돈만 있으면 정교한 공격이 가능한 프로그램까지 구입할 수 있다”고 털어놨다. 

이 지점에서 누군가는 이렇게 물을 수 있다. “14세에 불과한 중학생이 해킹을 해봤자 얼마나 위험하겠는가. 그저 불장난에 불과하지 않았겠는가.” 

과연 그럴까. 대규모 화이트해커 집단을 보유한 정보보안기업 관계자의 설명을 들어보자. “A의 경우 카톡을 읽는 과정에서 IP가 유출됐고, 접속 과부하로 게임이 중단됐으며, 인터넷이나 와이파이가 멈췄다. 해킹 기법이 다른 각각의 공격이 이뤄졌는데, 이는 굉장히 숙련된 해커가 아니면 할 수 없다.”

이 답은 중요한 의미를 갖고 있다. 언급했듯 A를 공격했던 사람은 전문 해커가 아닌 중학생 C다. 이를 감안하면 C가 활용한 해킹 프로그램이 상당히 정교하다는 얘기가 된다. “해킹 프로그램을 구입하는 건 너무나 쉽다”는 14세 중학생 C의 실토가 섬뜩해지는 이유다. 여기까진 약과다. 정말 심각한 문제는 지금부터다. 

정보보안기업 관계자의 말을 더 들어보자. “해킹 프로그램을 내려받은 이가 중학생 C라고 했는가. 그럼 C 역시 해커의 공격을 받았을 가능성이 높고, C가 사용하는 컴퓨터는 ‘좀비 PC’가 됐을지 모른다. 예상대로 그렇게 됐다면 정말 큰일이 벌어질 수도 있다.” 

대체 ‘좀비 PC’가 뭐기에 난리법석을 떠는 걸까. ‘좀비 PC’는 해커가 원격조종할 수 있는 컴퓨터를 말한다. 어린 학생들도 쉽게 구할 수 있을 정도로 ‘해킹 프로그램’이 광범위하게 퍼져 있다면, ‘좀비 PC’ 역시 우리 아이들을 파고들었을 가능성이 있다.

그 수가 얼마만큼인지는 가늠하기 어렵지만, 해커집단이 특정 목적을 갖고 좀비 PC를 조종한다면 공공기관이나 기업을 쉽게 공격할 수도 있다. 당연히 개인정보 유출의 가능성도 배제할 수 없다.

그러면 N번방 사건의 원인이었던 ‘스미싱’의 위험성이 재연될 것이다. 제2ㆍ제3의 N번방 사건 혹은 그보다 더 위험한 사건이 별것 아닌 줄 알았던 아이들의 ‘불장난’에서 시작될 수 있다는 거다. 

그럼 우린 이제 어떻게 해야 할까. 해킹은 막기 어렵다는 이유로 ‘해킹 프로그램’이 자유롭게 유통되는 걸 바라만 봐야 할까. 

몇몇 전문가는 “그러니까 수사기관의 의지가 중요한 것”이라고 말한다. 의지만 있으면 해킹 프로그램의 유통을 단속할 수 있다는 거다. 옳은 말이긴 하지만 현실을 반영하지 않은 주장이기도 하다.

4차 산업혁명기에 접어들면서 해킹 사건은 눈에 띄게 늘어났고, 검거율은 2016년 83.5%에서 2020년 67.5%로 16%포인트나 떨어졌다. 이는 허약한 수사의지뿐만 아니라 전문 수사인력이 부족하다는 점도 영향을 미쳤다.

[※참고: 전문 수사인력이 부족하다는 건 개선해야 할 점이다. 다만, A의 사례에서 보듯 수사 의지가 없다면 해킹 사건은 줄어들지 않을 게 분명하다. 익명의 해킹 전문가는 “경찰에선 늘 사이버범죄 가해자를 잡기 힘들다고 토로하지만 꼭 그렇지만은 않다”면서 “단발성으로 범죄를 저지르는 이들은 잡기가 어려울 수 있지만, 상습적인 범죄자들의 경우엔 특정할 수 있는 범위를 좁혀나가는 방식으로 충분히 잡아낼 수 있다”고 말했다.]

또다른 한편에선 “해킹 범죄를 엄벌로 다스려야 한다”는 주장도 내놓는다. 하지만 이 역시 현실적으로 어려운 측면이 있다. 무거운 형량이 범죄를 줄이는 데 의미 있는 영향을 미치려면 ‘죄를 지으면 반드시 잡혀서 벌을 받는다’는 공감대가 형성돼야 하지만, 지금처럼 뚝 떨어진 사이버범죄 검거율로는 어림도 없다. 

이런 한계 때문인지 ‘범정부 차원’에서 해킹 프로그램의 유통을 단속해야 한다는 주장에 힘이 실린다. 송봉규 한세대(산업보안학) 교수의 주장을 들어보자.

“사이버범죄로 개인정보가 유출되면 그 위험성은 불법 대출, 불법 취업, 도박, 마약 등으로 연결될 수 있다. 정부 부처로 보면 기획재정부, 고용노동부, 문화체육관광부에 모두 연관된다. 그러니 행정안전부 소속의 경찰에만 떠맡길 수 없다. 사이버범죄를 막으려면 모든 부처를 아우르는 컨트롤타워가 필요하다는 얘기다. 이를 통해 사이버 순찰이 수시로 이뤄져야 한다.”

사이버범죄가 터지면 우리는 ‘전문 해커’를 떠올려왔다. 하지만 우리가 모르는 사이 ‘해킹 프로그램’은 눈부시게 진화했다. 그런 탓에 그 프로그램만 있으면 누구든지, 손쉽게 ‘해킹’을 할 수 있는 시대가 됐다.

그 범주엔 중학생, 아니 초등학생도 포함된다. 지금 집에서 스마트폰으로 게임을 즐기는 당신의 평범한 자녀가 ‘스미싱’ 범죄의 주동자일 수도 있다는 얘기다.

이래도 강 건너 불구경만 하고 있을 텐가. 한껏 정교해진 해킹 프로그램은 이미 학생들의 세계를 지배하기 시작했고, 제2ㆍ제3의 N번방 사건은 여기저기서 꿈틀거리고 있다. 이를 예방할 골든타임은 어쩌면 얼마 남지 않았다. 

김정덕 더스쿠프 기자
juckys@thescoop.co.kr