자고 일어나면 해킹 사건이 터져 나옵니다. 지난 4월 SK텔레콤 가입자 2300만 명의 유심(USIM, 통신사 인증을 포함한 개인정보를 담은 작은 칩)과 단말기 정보가 해커에 대거 유출되는 사고가 발생해 큰 충격을 줬죠. 통신 회사를 돌아가며 해킹 사건이 벌어지는 건지, 이번엔 KT에서 불법 펨토셀(초소형 기지국) 문제가 불거졌습니다. 소액결제 피해와 개인정보 유출로 이어진 대표적 네트워크 장비 해킹 사례입니다. 최근엔 롯데카드 회원의 3분의 1가량인 297만 명의 개인정보가 유출되는 일이 벌어졌습니다.
흔히 ‘정보화 사회의 그늘’이라고 하지만, 해킹 사건은 요즘 부쩍 늘어난 느낌입니다. 물론 B2C(기업-소비자 간) 영역인 통신 회사와 소액결제, 신용카드 회사에서 사고가 터져 체감상 그럴 수 있습니다. 하지만 보안패치, 주요 정보의 암호화, 계정 관리 등을 소홀히 한 게 문제의 심각성을 더 키웠습니다. 이미 사용자 피해가 벌어지고 있는데 상황 파악도 못 한 경우가 있어요. 비단 이들 회사만의 문제도 아닙니다. 다른 통신 회사나 금융회사들의 정보보호 사고, 개인정보 유출 문제는 끊임없이 이어지고 있습니다.
해킹과 관련한 기술적 내용은 이해도 어렵고, 이 글에서 탐구하고자 하는 주목적도 아닙니다. 해킹의 역사와 진화 양상, 국내 해킹 사건의 공통적 문제점을 살펴보고 해킹은 과연 범죄인지, 필요악인지도 4·5면에서 생각해보겠습니다.
랜섬웨어, 디도스 공격, 웜GPT… AI 만난 해킹, 경제·안보에 큰 위협

해킹이란 다른 사람이나 조직의 컴퓨터 하드웨어·소프트웨어, 네트워크, 웹사이트 등에 무단 침입해 시스템이 본래 의도하지 않은 동작을 하게 만들거나, 주어진 권한 이상으로 정보를 열람·복제·변경하는 등의 행위를 뜻합니다. 단순 침입을 넘어 정보 유출, 서비스 방해, 데이터 위·변조 등 다양한 부정행위를 하는 것을 일컫습니다.
보안 중요성, 최근에야 인식
해킹(Hacking)의 어원은 ‘거칠게 자르다’, ‘헤집다’라는 뜻의 영어 단어 ‘hack’입니다. 현대적 의미의 해킹은 1960년대 미국 매사추세츠공과대(MIT) 동아리 학생들이 복잡한 전자기기를 창의적으로 개조하거나 조작하는 행위에서 출발했습니다. 원래는 기계나 시스템의 효율을 높이려는 시도였죠. 그런데 1980년대 들어 개인용 컴퓨터가 급속히 보급되면서 돈을 요구하는 등 악의적 목적의 사이버 공격과 바이러스 제작, 불법 소프트웨어 복제가 늘어나기 시작했습니다.
1988년의 모리스 웜(Morris Worm) 사건이 대표적입니다. 웜은 감염시킨 컴퓨터 안에서 자동으로 자신을 복제해 네트워크 내 다른 장치로 퍼져나가는 악성코드입니다. PC 한 대만 감염돼도 시스템 안에 있는 수백~수만 대의 컴퓨터가 연쇄 피해를 당하게 되죠. 이 웜을 만든 사람 이름을 딴 모리스 웜 때문에 당시 미국 인터넷 시스템의 10%가량이 중단 사태를 맞았습니다. 2013년 발발한 야후 해킹 사건은 30억 개 이상의 사용자 계정 정보가 유출된 세계 최대 규모의 데이터 유출 사건이었습니다. 이를 계기로 개인정보보호와 데이터 보안의 중요성을 제대로 인식하게 됩니다.
교묘해지는 해킹 기법
해킹 기법은 갈수록 교묘해지고 있습니다. 이는 인터넷과 네트워크의 발달 때문이긴 한데요, 새로운 해킹 사고와 용어가 쏟아져 나옵니다. 2017년엔 ‘워너크라이’라는 랜섬웨어(Ransomware)의 공격이 세계를 뒤흔들었습니다. 랜섬웨어는 사용자의 데이터나 시스템 파일을 암호화해 접근을 차단한 뒤, 이를 정상화하는 대가로 금전을 요구하는 악성코드입니다. 당시 영국 국민보건서비스(NHS) 등 기관의 인프라가 심각한 피해를 입었습니다. 흔히 피싱(Phishing)으로 알려진 ‘사회공학(Social Engineering) 공격’도 있습니다. 이는 사람의 심리, 신뢰 관계 등을 이용해 정보를 탈취하고 시스템에 접근하려는 시도입니다. 알려지지 않은 취약점을 이용하는 ‘제로데이(Zero Day) 공격’은 방어체계가 마련되기 전, 손쓸 겨를도 없이 당한다는 뜻에서 이름 붙었습니다. 이 밖에 컴퓨터 여러 대를 동원해 특정 웹사이트나 서버를 방문하고 수많은 요청을 보낸 다음, 그 사이트나 서비스를 마비시키는 ‘분산 서비스 거부(DDoS) 공격’도 등장했습니다.



