CBS 라디오 '시사자키 정관용입니다'
■ 방 송 : FM 98. 1 (18:20~19:55)
■ 방송일 : 2020년 2월 6일 (목요일)
■ 진 행 : 정관용 (국민대 특임교수)
■ 출 연 : 김승주 (고려대 정보보호대학원 교수)
◇ 정관용> 국내 최대 포털사이트인 네이버. 지금 가입자만 무려 4200만 명입니다. 그런데 단돈 800원만 내면 다른 사람의 네이버 ID를 30분 만에 받을 수 있다 이런 보도가 나왔어요. 그래서 이메일이나 클라우드 자료 같은 것 인적사항, 각종 개인정보가 유출될 수 있다는 건데요. 고려대학교 정보보호대학원 김승주 교수 연결해 봅니다. 김 교수님, 나와계시죠?
◆ 김승주> 안녕하세요.
◇ 정관용> 안녕하세요. 800원만 주면 네이버 ID랑 비밀번호를 살 수 있다 이게 사실이에요, 어떻게 이게 가능한 겁니까?
◆ 김승주> 사실은 이런 일이 이번에 기사화가 돼서 그렇지 사실 ID와 비밀번호를 몰래 사고파는 일은 굉장히 흔한 일이라고 보시면 되고요. 사실은 ID나 비밀번호를 탈취하는 방법은 굉장히 여러 가지가 있습니다. 그런데 고전적이지만 가장 효과적으로 이용되는 것 중의 하나가 회사를 사칭해서 가짜 메일을 보내는 겁니다. 그러면 당신의 어떤 계정이 침해된 정황이 있으니까 이 사이트 들어가서 확인해 보십시오 이렇게 가짜 메일을 보내는 거죠. 그럼 사용자가 ID하고 비밀번호를 치면 그걸 해커가 가져가는 겁니다. 실제로 이런 가짜 메일을 보내는 수법으로 몇 년 전에 할리우드 유명 배우의 클라우드 계정이 털렸던 적이 있습니다. 그래서 사진이 다 노출됐던 적이 있고요. 또 최근에는 집 안에 있는 무선공유기 자체를 해킹하는 경우도 있습니다.
◇ 정관용> 무선 공유기.
◆ 김승주> 요새 무선 공유기를 통해서 여러 가지 기기들을 인터넷에 연결시키기 때문에 이 무선 공유기를 해킹해서 해커가 만들어놓는 가짜 사이트로 접속을 유도하는 겁니다. 그다음에 ID와 비밀번호를 알아내는 것도 굉장히 흔한 방법입니다.
◇ 정관용> 그렇게 확보해낸 ID와 비밀번호를 돈 받고 파는 거군요?
◆ 김승주> 그렇죠. 보통 일반적인 곳에서 이루어지는 건 아니고요. 우리가 이제 다크웹이라고 하는 것이 있습니다. 다크라고 하는 건 어둡다는 뜻이죠. 이 다크웹이라고 하는 건 뭐냐 하면 우리가 인터넷을 서칭할 때 어떤 특정 사이트에 들어가서 검색어를 치고 쭉 사이트들이 나오면 그걸 클릭해서 들어가지 않습니까? 그런데 이런 정상적인 검색엔진으로는 검색이 안 되는 사이트들이 있습니다. 이걸 다크웹이라고 그러고요. 이 사이트에 접속을 하려면 특정한 웹브라우저를 설치하셔야 됩니다. 보통 이런 다크웹은 추적이 안 되기 때문에 이런 다크웹에 사이트를 만들어서 어떤 개인정보를 사고파는 일들을 합니다.
◇ 정관용> 그럼 여기에 돈을 내고 다른 사람의 ID랑 비밀번호를 사는 사람들의 목적은 뭐예요? 왜 사는 거예요?
◆ 김승주> 일단은 이렇게 ID하고 비밀번호를 알아내면 보통 이제 이용자 여러분들이 귀찮으니까 ID 비밀번호 똑같은 것을 여러 사이트에다 쓰는 경우가 있습니다.
◇ 정관용> 맞아요, 맞아요.
◆ 김승주> 그럴 경우에는 다른 사이트에 접속을 해서 거기에 있는 개인정보를 다 가져갈 수도 있고요. 예를 들어 요새는 또 클라우드에 개인정보들이 업로드되지 않습니까? 이것들도 다 가져갈 수가 있고요. 또 이 ID랑 비밀번호를 통해서 도용해서 얻어낸 개인정보를 가지고 사기 문자를 보낸다든가 아니면 사기 전화를 걸어서 2차,3차 피해를 야기하는 것도 있습니다.
◇ 정관용> 그런데 제가 ID랑 비밀번호를 돈 800원을 주고 샀어요. 그런데 그게 고려대학교 김승주 교수님 거라는 건 제가 전혀 모르고 사는 거잖아요. 제가 고려대학교 김승주 교수님을 노리고 그분의 클라우드에 들어 있는 사진이나 이런 걸 노리고 살 수 있는 방법은 없는 거 아닌가요?
◆ 김승주> 크게 방법이 두 가지가 있는데요. 해커들이 사고파는 그 데이터가 얼마나 잘 정제돼 있느냐에 따라서 가격이 다 다릅니다.
◇ 정관용> 그렇겠죠?
◆ 김승주> 예를 들어서 ID와 비번이 있고 이것이 어떤 사람의 것이다라고 다 표시되어 있으면 이건 굉장히 고가에 팔리는 거고요. 그런 정보 아무것도 없이 ID하고 비밀번호만 있으면 그건 상대적으로 가격이 좀 낮다라고 생각하시면 되고요.
그런데 그럼 일반분들은 ID와 비밀번호만 가지고는 그게 누구건지를 어떻게 알고 2차, 3차 피해를 야기시키지 이렇게 또 생각하시잖아요. 해커들이 이제 프로그램을 만듭니다. 그럼 이 프로그램에다가 이제 자기가 탈취할 ID하고 비밀번호를 이렇게 쭉 입력해 놓는 겁니다. 그럼 이 프로그램이 자동으로 여러 사이트들에 접속을 하면서 무작위로 ID하고 비밀번호로 넣어보는 겁니다. 이게 프로그램이 자동으로 하면서 체크를 하기 때문에 일반인들도 당할 수가 있죠.
◇ 정관용> 그럼 우리 김승주 교수님 ID와 비번까지가 되면 고가로 살 수도 있겠네요?
◆ 김승주> 그게 저라는 거가 알려지면.
◇ 정관용> 그러니까요.
자료사진 (사진=게티이미지뱅크 제공/연합뉴스)
◆ 김승주> 그럴 수도 있겠죠.
◇ 정관용> 그럼 아까 외국의 연예인 얘기했습니다마는 얼마 전에 우리 배우 주진모 씨도 클라우드 해킹 피해를 이야기하지 않았습니까? 그런 것도 다 이런 경로를 통해 나간 거라고 봐야 되나요?
◆ 김승주> 그렇죠. 그러니까 특히 연예인분들이 페이스북이든 트위터든 간에 이게 해킹당했다 이렇게 얘기하시는 경우가 굉장히 많아요. 그런데 실제로 사이트가 해킹을 당했으면 피해 범위가 굉장히 광범위하게 일어나야 됩니다. 그런데 특정분들에 한해서만 제한적으로 피해가 일어나는 건 그냥 ID, 비밀번호 관리 소홀로 인한 계정 도용이라고 보시면 되고요. 실제 국내 보안업체가 조사를 해 봤더니 지난해에 아까 제가 말씀드린 다크웹이라고 하는 그런 곳에서 사고파는 그런 한국인 계정 정보가 1008만 건에 달한다라고 조사된 바 있습니다.
◇ 정관용> 어마어마하군요.
◆ 김승주> 5분의 1 정도 되는 거죠.
◇ 정관용> 나의 그런 계정이 도용됐는지를 본인이 알 수 있는 방법이 있나요?
◆ 김승주> 사실 요새 국내 유명 포털사이트들도 그렇고 외국의 유명 사이트들도 그렇고 여러 가지 안전장치를 제공해 놓고 있습니다. 예를 들면 이번에 문제가 된 네이버 같은 경우에는 내 활동기록 보기라는 게 있습니다. 이거를 클릭해서 들어가시면 실제로 언제 어느 나라에서 내 계정에 접속했는지가 다 나옵니다.
◇ 정관용> 그래요?
◆ 김승주> 그래서 것들을 통해서 확인하실 수 있고요. 이런 서비스는 사실은 다른 사이트들에서도 제공합니다. 또는 이중인증이라고 해서 비밀번호 말고도 이렇게 SMS 문자메시지도 확인해야 된다든가 이중, 삼중의 보안장치를 해 놓을 수 있도록 전부 다 돼 있습니다. 그런데 문제는 이제 사용자들이 가셔서 그걸 온(ON)시키셔야 됩니다.
◇ 정관용> 해 봐야 된다는 거죠. 당장 그러면 내 활동기록 보기를 봐서 내가 (접속) 안 한 게 딱 나오면 내 ID가 털렸구나라는 걸 알게 되고 비밀번호를 바꾸면 되는 거네요?
◆ 김승주> 그렇죠. 의심하셔야 되죠. 그런데 그것마저도 사실은 귀찮으시면 사실은 요새는 구글도 그렇고 페이스북도 그렇고 이중인증을 사용하세요라는 캠페인을 굉장히 많이 벌입니다. 그걸 하시는 게 사실은 굉장히 안전하기는 합니다.
◇ 정관용> 그건 그냥 한 번 접속할 때마다 또 문자를 받고 또 뭘 쳐넣고 이게 참 귀찮잖아요, 더.
◆ 김승주> 물론 그런데 내가 자주 이용하는 PC에서는 그 이중인증 기능을 선택적으로 끌 수도 있거든요. 그래서 생각보다 그게 그렇게 불편하지는 않았습니다.
◇ 정관용> 알겠고요. 이렇게 내 ID나 비번이 도용됐다는 그것만으로 해당 사이트에 손해배상을 청구할 수도 없다면서요?
◆ 김승주> 사실은 해당 사이트가 직접 해킹을 당했다라면.
◇ 정관용> 그게 아닌 거죠, 이거는.
◆ 김승주> 그렇죠. 해당 사이트가 어떤 관리 소홀이 있으니까 관리 소홀의 책임을 물어서 처벌할 수가 있겠으나 이건 그냥 개인이 ID하고 비밀번호를 잘못 관리한 거거든요.
◇ 정관용> 알겠습니다.
◆ 김승주> 그렇기 때문에 처벌이 좀 어려울 것 같습니다.
◇ 정관용> 아까 고전적 방법이라고 말씀하신 그 회사를 사칭해서 이메일 보내서 ID랑 비번을 탈취해 가는 이것도 결국은 본인의 잘못이네요. 거기에 넘어간 게.
◆ 김승주> 그게 이메일 주소가 좀 이상하다든가 이런데 일반적으로 포털사이트나 애플이나 구글이든 이메일을 통해서 무슨 계정을 바꿔라 이런 메시지는 주지를 않았습니다.
◇ 정관용> 그런데도 속아넘어가는 거죠. 이런 범죄자들 잡기 어렵나요?
◆ 김승주> 그게 일단은 법상으로는 처벌할 수 있는 법들은 있습니다. 예를 들어 타인의 비밀을 침해하거나 누설한다든가 아니면 타인을 속여서 개인정보를 수집하면 5000만 원 이하의 벌금이나 5년 이하의 징역을 내릴 수 있도록 법은 돼 있거든요. 그런데 문제는 일단 범인을 잡아야 되는데 이 범죄자들이 다크웹을 통해서 거래를 하고 또 돈을 직접 주고받는 게 아니라 암호화폐를 사용합니다. 비트코인 같은 거요. 그러다 보니까 추적이 사실 굉장히 어려운 그런 문제는 있습니다.
◇ 정관용> 주로 해외에 있어요, 이런 범인들이?
◆ 김승주> 해외에 있는 해커들한테 의뢰를 하기도 하고요. 사실은 인터넷 연결만 되어 있으면 어디서든 이런 작업을 할 수 있기 때문에 사실 잡는 게 그렇게 쉽지는 않습니다.
◇ 정관용> 피해방지하려면 자기 비번을 자꾸 변경시키고 이거밖에 없겠군요?
◆ 김승주> 그렇죠. 그리고 아까 말씀드렸듯이.
◇ 정관용> ‘내 활동기록 보기’
◆ 김승주> ‘내 활동기록 보기’를 가끔은 들여다보시는 게 좋을 것 같습니다.
◇ 정관용> 고맙습니다.
◆ 김승주> 고맙습니다.
◇ 정관용> 고려대학교 정보보호대학원 김승주 교수였습니다.