[뉴스워커_신지영 기자] 어나니머스, 디도스 공격, 랜섬웨어 등등 모두 컴퓨터 해킹과 관련된 단어들이다. ‘익명’이라는 뜻의 “어나니머스”(anonymous)는 전 세계에 점조직으로 번져 있는 해커들의 집단을 말하며, 컴퓨터 해킹을 투쟁수단으로 사용하는 새로운 형태의 행동주의자들로 간주된다. 내전의 참상을 감추기 위해 인터넷을 차단한 시리아 정부에 사이버 전쟁을 선포하고, 팔레스타인 가자 지구에 군사 행동을 한 이스라엘의 700여 웹 사이트를 공격하기도 했다.
“디도스(DDoS) 공격”은 ‘분산서비스거부(Distribute Denial of Service)’의 다른 말로, 수십 대에서 많게는 수백만 대의 PC를 원격 조종해 특정 웹사이트에 동시에 접속시킴으로써 단시간 내에 과부하를 일으키는 행위를 뜻한다. 디도스 공격의 목적은 자료를 유출하거나 삭제하는 것 아니라 단순히 서버를 마비시키는 것이지만, 지속적인 서비스 운영이 필수인 인터넷 쇼핑몰이나 관공서 웹사이트는 서버가 단 몇 시간만 마비돼도 치명적인 피해를 입을 수 있다. 또한 디도스 공격의 특성상 초기 진원지를 추적하기가 어려워 재발 가능성이 있다는 점에서 더 위협적이다.
그리고 최근 빈번하게 들려오는 “랜섬웨어”는 몸값(Ransom)과 소프트웨어(Software)의 합성어로, 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤, 이를 인질로 금전을 요구하는 악성 프로그램을 일컫는다. 과거에는 공격자가 걸어놓은 암호화 수준이 낮아 복호화 방법을 통해 쉽게 데이터를 복구할 수 있었다.
그러나 2013년에 강력한 암호화 알고리즘 기술을 적용한 랜섬웨어 ‘크립토락커’가 등장하면서 관련 피해가 급증하고 있는 추세다. 전세계 랜섬웨어 피해 규모도 가파르게 커져서, 2015년 3억 2,500만 달러에서 2017년 50억 달러로 2년 동안 약 15배 증가했다.
이러한 사이버 범죄에 대해 반드시 경각심을 가져야 하는 이유는, 더 이상 컴퓨터와 우리 생활을 분리해서 생각할 수 없기 때문이다. 누군가의 스마트폰과 컴퓨터를 망가뜨리면 그 사람의 일상과 업무를 거의 마비시킬 수 있다고 해도 과언이 아닌 세상이 지금이다. 기기의 물리적 훼손은 수리하는 기간 동안의 불편으로 끝나지만, 정보들이 유출되고 악용될 경우 그 피해의 확대는 쉽사리 예측하기도 어렵다.
향후 2021년까지 전 세계적인 사이버 범죄 피해는 약 6조 달러에 달할 전망이다. 게다가 한국은 정부기관, 지자체, 주요 기업 등에 하루 평균 약 140만 건의 사이버 공격이 발생해 ‘일상적 사이버범죄 발생 국가’라는 부끄러운 꼬리표까지 달고 있어 더욱 불안할 수밖에 없는 상황이다.
◆ 4차 산업혁명과 사이버 범죄의 위협
사물인터넷, 로봇, 인공지능 등 ICT 기술을 통해 사물을 지능적으로 제어하고 온라인과 오프라인을 통합하는 4차 산업혁명. 사람과 사람, 사람과 기기, 기기와 기기는 모두 네트워크로 연결된다. IT업계에 따르면, 오는 2020년 무렵에는 전 세계 약 40억 명이 온라인으로 연결된다고 한다. 그리고 온라인 네트워크의 확대는 그만큼 사이버 공격의 범위가 넓어질 수밖에 없다는 것을 의미한다. 융합과 초연결의 사회는 편리함과 효율성을 가져다주지만, 네트워크가 공격을 당할 가능성과 그로 인한 피해 역시 함께 증가하게 된다. 그만큼 사이버 보안이 중요해지는 것은 당연한 결과다.
시장조사 전문업체 가트너에 따르면, 사이버 범죄의 증가로 제품 및 서비스에 대한 사이버보안 투자가 2016년 800억 달러를 넘은 것으로 나타났으며, 앞으로도 관련 투자는 크게 성장할 것으로 예측되고 있다. 그동안 주로 핀테크와 온오프연계(O2O) 서비스를 중심으로 성장하던 스타트업 생태계가 사이버보안 영역으로 확장되고 있으며, 벤처캐피탈(VC) 조사업체 CB인사이트에 따르면 지난해 전 세계적으로 VC의 투자를 받은 사이버보안 스타트업은 279개로, 투자된 총 액수는 31억달러(한화, 3조5510억원)에 달한다. 2010년(11개, 883만 달러)과 비교했을 때 사이버보안이 얼마나 가파르게 성장하고 있는지 알 수 있는 대목이다. 최근 회계컨설팅업체 KPMG가 발간한 '2017 글로벌 사이버 보안' 보고서에서는 전 세계 1300명의 글로벌 기업 CEO를 대상으로 '기업을 위협할 가장 큰 리스크'를 질문한 결과, 응답자의 30%가 사이버 보안이라고 답한 것으로 나타났다.
또한 전 세계적으로도 국가 차원의 중장기적 사이버 안보대책이 수립되고 있다. 미국의 경우 올해 정부예산의 0.45%인 약 22조원을 사이버 보안에 투자했고, 보안 전문가에게 높은 연봉을 제공하면서 실력 있는 화이트 해커들을 적극적으로 양성하고 있다. 영국도 0.25% 수준인 약 2조 3,000억원을 정보보안 예산으로 책정했다. 그러나 안타깝게도 우리나라는 아직 초라하다. 올해 정부는 국가 성장의 원동력으로 4차 산업혁명을 꼽으면서도 정보 보안을 위해 국가 전체 예산의 0.088% 수준인 약 3,500억원을 책정하는 데 그쳤다. 국내 우수 인력들이 미국 기업 보안 전문가의 평균 연봉인 약 1억3,200만원의 3분의1 수준인 낮은 임금과 처우로 해외로 유출되고 있는 등 기업과 국가 차원의 인식 전환이 시급하다는 지적이 나오는 상황이다.
◆ 아직까지 미흡한 '핀테크와 보안'
4차 산업혁명은 금융의 판도를 근본적으로 바꾸고 있다. 국내 금융소비자의 80∼90%는 모바일뱅킹 또는 인터넷뱅킹 등 비대면 거래를 선호하고, 국내 첫 인터넷전문은행 K뱅크는 예상을 뛰어넘는 성공을 거두며 기존 은행들을 긴장하게 만들었다. 특히 K뱅크는 스마트폰, 비대면, 24시간 운영 등 핀테크(금융+IT)의 장점을 극대화시킴으로써 순식간에 고객을 흡수했다. 점포나 많은 직원이 필요 없으므로 다른 은행에 비해 예금 금리는 높고 대출 금리는 낮아 가격 경쟁력까지 갖췄다.
또한 비대면 거래가 확대되면서 고객의 신용과 관련된 각종 빅데이터의 중요성이 높아졌다. 인공지능은 대출ㆍ연체ㆍ카드 정보 등 금융 정보 외에도 다양한 비금융 정보들을 모두 취합하고 분석하여 고객의 신용을 평가한다. 이러한 빅데이터 기반 신용 분석을 통해 기존 대출의 사각지대에 놓여있던 공백을 보완함으로써 금융 소비자들이 받을 수 있는 혜택도 확대되고 있다. 뿐만 아니라 인공지능이 고객의 투자 성향 등을 면밀히 분석하여 맞춤형 자산관리를 해 주고, 친구처럼 대화를 하고 상담 업무까지 처리하는 메신저도 등장했다.
하지만 핀테크와 관련된 보안의 중요성에 대한 인식은 아직까지 미흡한 실정이다. 간편결제나 간편송금 서비스는 첫 거래 시 본인인증 절차를 마치면 추후 거래 시 별도 본인인증 없이 비밀번호 하나만으로 거래가 가능하다. 이런 편리함을 악용해, 개인정보를 탈취한 사기범이 가짜 신분증을 만들고 대포폰을 개통해 본인인증 후 간편결제로 상품권을 구매하는 전자금융 사기가 발생했다. 명심할 것은, 우리가 금융 거래를 간단하게 이용하는 만큼 범죄자가 접근하기도 쉬워진다는 점이다. 편리함과 안전성을 함께 강화시키기 어려운 이유다.
갈수록 비대면 거래가 활성화되고, 사용자의 일거수 일투족이 반영된 모든 데이터가 활용되는 시대에 사이버 보안은 한층 강조될 수 밖에 없다. 은행에 직접 가지 않고 본인임을 확인하기 위해서는 철저한 인증 기술이 필수적이고, 인공지능의 오류나 빅데이터의 손실, 대규모 해킹 사고를 방지하기 위해서는 고도의 암호기술이 반드시 뒷받침되어야 한다.
예컨대 미국의 간편 결제 서비스 “페이팔”은 ‘FDS(Fraud Detection System, 금융거래 차단시스템)’를 구축해 운영한다. 페이팔은 별도의 소프트웨어를 설치할 필요 없이 본인 아이디와 비밀번호만 입력하면 결제가 가능한데, 2001년 국제 해커가 페이팔 계정에 침투, 다수의 계정에서 소액을 이체해 간 일이 있었다. 이를 해결하기 위해 페이팔에서 독자적인 탐지 시스템을 구축한 것이 바로 FDS다. FDS는 전자금융거래 접속정보, 거래 내역 등을 종합적으로 분석해 평소의 패턴과 다른 거래가 발생했을 때 사전에 차단하는 시스템으로, 직전에 서울에서 사용된 카드가 1시간 후 뉴욕에서 결제되는 경우처럼 이상 징후를 포착해서 거래를 막는다. 이와 같은 방식은 거래 정보의 수집과 효과적인 관리, 빅데이터에 기반한 정밀한 거래 패턴 분석, 전자 금융 거래 업무에 대한 정확한 이해 등이 바탕이 돼야 한다. 페이팔에는 20개국에 500여 명의 정보유출방지 인력이 배치돼 있으며, 보안관련 인력은 7천여 명에 달한다고 한다.
이러한 인증이나 암호기술 등의 기본적인 금융 보안 인프라가 구축되지 않은 상황에서 갈수록 비대해지는 정보와 자금의 이동은 재앙에 가깝다. “사이버 공간의 안전성을 도모할 수 있는 방안을 수립하지 않으면 기술 진보는 퇴색할 수밖에 없다”는 안드레아스 랩토풀로스 매터넷 최고경영자(CEO)의 지적처럼, 핀테크 시대에 ‘보안’의 중요성은 아무리 강조해도 지나치지 않다.
※ 다음 호에는 4차산업과 금융 ⑤보안 편 下 ‘주목받는 보안 기술’에 대해 보도합니다.