누가 우리의 미래를 훔치는가
저   자 : 마크 굿맨(역:박세연)
출판사 : 북라이프
출판일 : 2016년 07월

도서정보

■ 책 소개
발전하는 과학기술 뒤에 가려진 미래 범죄의 진실을 파헤치는 책. 빛의 속도로 발전하는 기술을 타인의 삶을 위협하는 범죄 도구로 악용하는 범죄 조직과 해커, 사악한 정부 그리고 테러리스트에 관한 이야기다. LAPD와 인터폴, FBI에서 근무한 저자는 자신이 경험하고 수집한 수백 가지의 사례를 들어 기술사회가 가져올 충격적인 미래 범죄의 실태를 파헤친다.

 

이미 수시로 우리를 위험에 빠뜨리는 인터넷과 스마트폰, 페이스북을 이용한 범죄는 물론, 인터넷 안의 무법지대인 딥 웹과 다크 넷에서 발생하는 잔혹 범죄, 자동차·텔레비전·냉장고 등 모든 것을 하나로 연결하는 사물인터넷의 위협, 바이오공학과 DNA를 이용한 생물학 범죄 등 지금까지, 그리고 앞으로 등장할 모든 과학기술이 범죄와 연결돼 있다. 나날이 진화하는 범죄 집단은 정부와 기업보다 한발 앞서 이 모든 과학기술을 받아들여 활용하며 새로운 전쟁을 예고하고 있다.

 

■ 저자 마크 굿맨
세계적인 국제 안보 전문가이자 컨설턴트, FBI 상임 미래학자. 브렌다이스 대학에서 학사 학위, 하버드 대학에서 행정학 석사, 런던 정경대학에서 정보시스템관리학 석사를 받았다. 스탠포드 대학 국가안보협력센터 연구원이자 싱귤래리티 대학 정책 법률 윤리학 학과장이다. 지난 20년 동안 LA 경찰국, NATO에서 현장 경험을 쌓고 FBI 수석 고문으로 폭넓은 범죄를 접했다. 특히 갈수록 관심이 높아지는 사이버 범죄, 사이버 테러, 정보 전쟁 등 다가올 보안 위협에 대한 연구를 일찌감치 시작해 지금은 사이버 범죄 분야에서 세계 최고의 권위자로 인정받고 있다.

 

지금까지의 경험을 바탕으로 전세계 70여 개국의 경영자와 보안 관리자, 정책 결정자를 대상으로 미래 범죄, 사이버 위험을 알리고 정보를 안전하게 보호하는 법 등을 강연했다. 『하버드 비즈니스 리뷰』, 『애틀랜틱』, 『포브스』, 『이코노미스트』 등 언론 매체에 관련 글도 꾸준히 기고해왔으며 기술 발전에 따른 새로운 위협을 더 많은 사람에게 알리고 연구하기 위해 ‘미래범죄연구소’Future Crimes Institute를 설립했다.

 

『누가 우리의 미래를 훔치는가』는 마크 굿맨이 2012년 TED에서 ‘미래의 범죄에 대한 통찰’을 주제로 한 강연에서 시작되었다. 강연은 100만 회 이상 조회될 만큼 큰 호응을 얻었다. 이 책에서는 개인 정보 유출, 전세계 테러집단의 기술 발전, 해커와 핵티비스트의 쫓고 쫓기는 사이버 전쟁, IoT 기술과 로봇 시대, 생명공학 범죄에 이르기까지 미래에 다가올 모든 유형의 범죄 사례를 깊게 다뤘다. 막연한 두려움 대신 목적에 맞는 기술 활용을 위해 지금부터 어떤 준비가 필요한지 알려주고 범죄에 대한 대처 방안도 함께 기술하고 있다.

 

■ 역자 박세연
고려대 철학과를 졸업하고 글로벌 IT 기업에서 마케터와 브랜드 매니저로 일했다. 현재 파주 출판 단지 번역가 모임인 「번역인」의 공동 대표를 맡고 있다. 옮긴 책으로는 《죽음이란 무엇인가》, 《디퍼런트》,《이카루스 이야기》, 《플루토크라트》, 《똑똑한 사람들의 멍청한 선택》, 《와이 넛지?》 등이 있다. 

 

■ 차례
프롤로그 | 모든 것이 연결되면서 모두가 위험해졌다

 

제1부 폭풍전야

제1장 서로 연결되고 의존적인 그리고 위태로운
연결된 세상의 가능성과 위험성 | 관할권을 잃어버린 경찰 | 바이러스의 숙주가 되다 | 폭발적으로 늘어나는 악성코드 | 보안이라는 이름의 환상

 

제2장 시스템이 멈춘 디스토피아
위태로운 글로벌 정보망 | 누가 데이터를 훔치는가?

 

제3장 무어의 법칙
위협에도 적용되는 기하급수의 원칙 | 12억 명의 피해자 | 코드를 지배하는 자, 세상을 지배하리라

 

제4장 우리는 고객이 아니라 제품이다
구글은 잊지도 지우지도 않는다 | 소셜 네트워크의 상품은 바로 우리 | 우리가 흘리고 다니는 데이터의 가치 | 공짜 점심은 없다 | 약관으로 위장한 노예계약서 | 스마트폰=디지털 스파이 | 데이터를 훔치기 위한 앱 | 나는 네가 어디에 있는지 알고 있다

 

제5장 감시 경제
해커보다 위험한 데이터 브로커 | 온라인 발자국을 쫓는 기업들 | 숨길 게 없다는 위험한 판단 | 위험해진 개인 정보와 불편한 진실들 | 시도 때도 없이 열리는 판도라의 상자 | 조지 오웰이 옳았다

 

제6장 빅데이터, 빅리스크
세상을 지배할 새로운 석유, 데이터 | 악몽의 시작, 페이스북 | FBI와 CIA 국장도 털렸다 | 너무 쉽고 너무 치명적인 SNS의 함정 | 불법 데이터: 신분 도용의 원천 | 스토커와 악당 그리고 옛 애인들 | 당신의 아이가 위험하다! | 온라인에서 시작된 증오 범죄 | 페이스북으로 빈집털기 | 지목된 사기와 지목된 살인 | 정부의 데이터 유출과 스파이 활동 | 온라인 계정을 만들지 않는다면 안전할까? | 나를 사랑한 스파이

 

제7장 세상에서 가장 작은 스파이
주머니 속의 고자질쟁이 | 모바일로 이동한 트로이의 목마 | 손전등 앱은 왜 주소록을 요구하는가? | 모바일 데이터는 나만의 것이 아니다 | 모바일 결제 해킹 | 우리가 있는 곳이 범죄 현장이다 | 양날의 칼, 클라우드 서비스 | 빅데이터, 그리고 빅브러더 | 빅데이터의 그림자

 

제8장 우리가 믿는 스크린
디지털 속임수의 시대 | 조작이 판치는 세상 | 1억 4천만 명의 가짜 친구 | 치명적인 시스템 오류 | 보이는 게 전부가 아니다 | 치명적인 한 번의 클릭 | 조작당한 주식 상황판

 

제9장 더 많은 스크린, 더 많은 위험
스마트폰 스크린 조작 | 로스트 인 스페이스: GPS 해킹 | 중식당 메뉴로 기업을 해킹하다 | 선거 결과를 뒤바꾼 해킹 | 정부가 벌이는 디지털 연막작전 | 그럼에도 우리는 스크린을 믿노라

 

제2부 범죄의 미래

제10장 범죄 주식회사
사이버 소프라노스 | 범죄 주식회사의 조직도 | 범죄 린 스타트업 | 세분화된 범죄 매트릭스 | 범죄 세계의 명예: 범죄 윤리학 | 범죄 대학교, 검은 기술의 전파자 | 지하 세계의 혁신 | 크라우드소싱에서 크라임소싱으로

 

제11장 디지털 지하 세계 안에서
다크 웹 세상의 여권 | 구글 500배 규모의 검은 인터넷 | 악마의 화폐, 다크코인 | 서비스형 범죄 | 크라임존닷컴 | 악성코드 산업 단지 | 봇넷 좀비의 공격 | 자동 범죄 시스템

 

제12장 모든 것이 해킹 가능할 때
세상을 지배할 사물인터넷 | 사물인터넷의 장밋빛 미래 | 불안전하게, 모든 것을 연결한 세상 | 개인 정보 지우기 | 네트워크를 해킹하는 전기 주전자 | 더 많은 연결, 더 큰 위험

 

제13장 홈 해킹 홈
당신을 훔쳐보는 시선 | 카재킹을 너머 카해킹으로 | 스마트 홈? 해킹 홈! | 스마트 계량기가 말해주는 것 | 비즈니스 테러와 빌딩 해킹 | 스마트 도시 운영 시스템

 

제14장 당신을 해킹하다
이제 우리는 모두 사이보그다 | 웨어러블 컴퓨팅의 세계 | 몸속을 해킹하다: 삽입형 컴퓨터의 위험 | 아이언맨이 바이러스에 걸리면? | 신분 도용 위기: 생체인식 기술 해킹 | 믿을 수 없는 지문 | 비밀번호? 얼굴에 다 나와 있어 | 움직임도 정보다: 행태인식 기술 | 또 다른 3차원 세계: 증강현실 | 아바타의 현실화, 호모 버추얼리스

 

제15장 기계의 역습
로봇, 가상의 경계를 넘다 | 산업용 로봇과 군사용 로봇 | 집과 사무실을 돌아다니는 로봇 | 일자리를 빼앗긴 인간 | 로봇의 권리 그리고 사생활 | 폭증하는 로봇 사고 | 로봇 해킹, 최강의 산업 스파이 | 게임 오브 드론 | 심장 없는 테러리스트 | 드론의 역습 | 자율 로봇에 붙잡힌 미래 | 국경을 무너뜨린 3D 프린터

 

제16장 사이버 세상은 시작에 불과하다
인간에 가까운 지능 | `제 대리인과 얘기하시죠 | 알고리즘은 중립적이라는 착각 | 알-고리즘 카포네와 범죄 봇들 | 왓슨이 범죄로 눈을 돌릴 때 | 인류의 마지막 발명: 인공 일반 지능 | 인공지능 종말론 | 두뇌를 만드는 방법 | 우리를 천재로 만드는 기술 | 두뇌 스캔과 신경 해커 | 생물학은 IT다 | 바이오컴퓨터와 DNA 하드 드라이브 | 현실로 등장한 쥐라기 공원 | 바이오 도둑들의 공습 | 바이오 카르텔의 등장 | 생명 소프트웨어 해킹 | 최후의 경계: 우주, 나노, 양자

 

제3부 진보와 생존

제17장 되돌아갈 길은 없다
작은 버그의 혹독한 대가 | 최악의 면죄부 | 데이터 오염을 줄여 사생활 되찾기 | 비밀번호 죽이기 | 암호화 자동 설정 | 교육만이 유일한 열쇠 | 답은 인간에게 있다 | 인간 중심적 보안 설계 | 인터넷 면역 시스템 구축 | 21세기 치안 | 사이버 위생의 필요성 | 연결된 세상을 위한 세계보건기구

 

제18장 앞으로 걸어가야 할 길
기계 속의 유령 | 자동 방어 기능과 선을 위한 발전 | 새로운 정부 구축하기 | 의미 있는 공공-민간 협력관계 | 위 더 피플 | 시스템의 게임화 | 상금을 놓고 벌이는 글로벌 보안 경쟁 | 사이버 세상의 맨해튼 프로젝트

 

에필로그 | 아직 완전히 끝난 것은 아니다
부록 | 우리가 할 수 있는 것

감사의 글
주석
찾아보기

 

도서요약

누가 우리의 미래를 훔치는가


폭풍전야

우리는 고객이 아니라 제품이다

소셜 네트워크의 상품은 바로 우리

우리를 광고주에게 팔아넘기는 비즈니스 모델을 추구하는 기업은 구글 외에도 많이 존재하며 페이스북을 포함해 이들과 똑같은 일을 하는 기업이 전 세계적으로 수천 개나 더 있다.


2004년 마크 저커버그가 하버드 기숙사에서 설립한 페이스북은 실리콘밸리의 상징적인 성공 신화다. 지금까지 등장한 소셜 네트워크 중 가장 거대한 규모로, 매월 12억 명이 넘는 사용자가 활동한다. 페이스북은 예전에 상상하지 못한 새로운 방식으로 사람들이 자기 자신에 대해 기꺼이 털어놓도록 자극해 큰 성공을 거두었다. 성적 취향, 인맥, 학교, 가족, 친구, 나이, 성, 이메일 주소, 고향, 새로운 관심사, 업무 경력, 좋아하는 것, 종교, 정치적 입장, 소비, 사진과 동영상 등 그야말로 마케터들에게 꿈같은 세상이다. 광고주는 페이스북 사용자가 최근에 겪은 일이나 사적인 정보를 알아내는 것은 물론 페이스북이 만든 소셜 그래프를 활용해 사용자를 위한 맞춤식 제품 홍보를 할 수 있다.


또한 페이스북은 '좋아요' 버튼을 포함해 사이트 전반에 걸쳐 사용자를 추적할 수 있는 다양한 방식을 개발했다. 물론 '좋아요'를 클릭하는 것은 친절한 행동이지만 그것을 누를 때마다 어떤 데이터가 생성되는지 이해하는 사람은 없다. '좋아요'로 생성된 데이터는 전 세계 마케터와 데이터 브로커에게 넘어간다. 가령 스포티파이나 판도라 등의 웹사이트에 페이스북 범용 로그인 정보로 로그인하면 페이스북의 데이터마이닝 엔진은 여러분이 방문하는 사이트 중 페이스북 아이콘이 새겨진 모든 웹사이트를 추적해 여러분이 블레이크 셸턴보다 레이디 가가를 더 좋아한다는 사실을 알아낸다.


만일 우리가 자신의 이야기를 충분히 공유하지 않으면 페이스북은 적극적인 참여를 이끌어내기 위해 새로운 법칙과 룰을 추가로 만든다. 2012년 페이스북은 의무적 타임라인 '기능'을 선보였다. 이를 통해 광고주가 여러분의 삶을 언제라도 들여다볼 수 있는 역동적인 업데이트 창구를 마련했고 페이스북은 그들에게 팔아넘길 더 많은 먹잇감을 확보했다. 하지만 구글과 마찬가지로 페이스북 역시 개인 정보 보호, 아동 보호, 편파적 발언 등과 관련해 많은 비난을 받고 있다. 실제로 페이스북은 전 세계적으로 끊임없이 소송에 휘말리고 있으며 최근 캘리포니아 주 산호세 연방 법원에서 반복적, "체계적으로 사용자의 사적인 메시지를 가로채고... 그 데이터를 광고주 및 마케터와 공유한 혐의"로 재판을 받고 있다.


여러분의 사적인 데이터를 공개하도록 유혹해 데이터를 팔아넘기는 기업이 구글과 페이스북만은 아니다. 트위터, 인스타그램, 핀터레스트 등 수많은 기업 역시 이들과 똑같은 일을 벌인다. 예를 들어 우리가 애플의 인공지능 에이전트인 시리에 검색어를 말할 때마다 애플은 우리의 목소리를 분석해 적어도 2년 동안 보관한다. 알고 있었는가? 중요한 문제는 누가 그런 데이터를 보관하는가가 아니라(사실상 모두가 그렇게 하는 듯하다) 그들이 그 데이터로 무슨 일을 하는가이다. 우리가 파우스트처럼 맺은 거래가 훌륭한 서비스를 '무료로' 누리는 대가로 약간의 데이터만 제공하는 간단한 일이라면 아무 문제도 없다. 하지만 상황은 그리 단순하지 않다. 조만간 살펴보겠지만 긴밀하게 연결되고 의존적이며 위태로운 세상에서 방대한 양의 데이터를 저장 및 유지하는 기업이 이익을 추구하는 행동은 지금껏 상상하지 못한 방식으로 우리를 위험에 빠뜨릴 것이다.



우리가 믿는 스크린

치명적인 시스템 오류

우리는 지금 '우리가 신뢰하는 스크린' 세상에 살고 있다. 조언과 지침을 얻을 때 우리는 가장 먼저 컴퓨터로 시선을 돌린다. 해결책을 찾을 때 스크린에 의존하고 그 결과물을 의심하지 않는다.


하지만 프로그래밍이 허술하거나 기본적인 데이터가 정확하지 않으면 우리가 얻는 결과물에 그대로 반영된다. 쓰레기를 넣으면 쓰레기가 나온다는 말은 컴퓨터 과학 분야에서 아주 중요한 격언이다. 기술 의존도가 제한적이던 과거에는 많은 오류에서 보호받을 수 있었다. 이제 빅데이터 시대가 되면서 상황은 완전히 바뀌었다. 우리는 모두 다양한 방식으로 데이터베이스 오류의 영향을 받고 관련 사례는 날마다 증가하고 있다. 미국 연방거래위원회의 발표에 따르면 전체 소비자 신용 보고서 중 25퍼센트 가까이에 오류가 있고 액시옴 같은 데이터 브로커 기업 역시 그들이 보유한 개인 정보 중 30퍼센트는 정확치 않다고 인정한다.


이러한 오류로 4,000~5,000만 명의 미국인이 아파트 임대, 자동차 구매, 담보 대출, 취업에 앞서 다른 누군가의 실수가 자신에게 악몽이 될 수 있음을 경험했다. 여기서는 우리 모두 결코 예외가 아니다. 오늘날 수백만 건의 의사결정이 오류가 있는 불완전한 데이터를 기반으로, 더구나 추가확인 작업 없이 이루어지고 있다. 이 문제가 신용 보고서 관련 문제에서만 일어난다면 그나마 참을 만하다. '우리가 신뢰하는 스크린'의 세상에서 컴퓨터 오류는 재정 상태뿐 아니라 삶과 자유에도 중대한 영향을 미친다.


가령 제약 산업이 비용 절감, 효율성 향상, 질병 관련 빅데이터 기술을 활용하기 위해 환자의 기록을 서둘러 디지털화하는 가운데 의도치 않은 정확성 문제가 나타나고 있다. 수천만 건에 달하는 전자 의료 기록 속에는 환자에 대한 부정확한 정보도 있는데 이것이 컴퓨터 스크린상에 모습을 드러낼 경우 말 그대로 사람을 죽일 수도 있다. 잉글랜드 에섹스 지역에 살던 스물일곱 살의 개리 포스터가 런던의 한 대학병원에서 목숨을 잃은 이유는 병원 컴퓨터 시스템 오류로 자택에서 항암제를 과다 복용했기 때문이었다. 잘못된 처방전에 따라 약을 조제한 직원은 포스터의 고환암 치료를 위해 치사량에 달하는 약물을 제공했다.


컴퓨터 스크린을 지나치게 믿으면 사람의 생명뿐 아니라 치안에도 심각한 악영향을 미친다. 캘리포니아의 한 교도소에서는 시스템 오류로 450명에 달하는 매우 위험한 죄수들을 잘못 석방하는 일이 벌어졌다. 교도관들은 스크린에 뜬 잘못된 정보에 아무런 의심도 품지 않았고 덕분에 갱 조직원, 성폭력범, 무장 강도 그리고 '고위험군'으로 분류된 죄수들까지 유유히 바깥세상으로 걸어 나갔다.


실제로 범죄자의 재판 기록이 잘못되는 사고는 심심찮게 벌어지고 있고 이 오류는 죄수를 잘못 석방하는 한편 무고한 시민을 잡아들이게 한다. 영국의 범죄기록국은 데이터 오류로 2만 명 이상의 시민이 범죄자로 잘못 등록됐다는 사실을 인정했다. 경찰은 종종 "사람을 잘못 보신 것 같은데요."라는 항의를 듣지만, 억울하게 체포된 이들은 안타깝게도 데이터가 잘못된 정보로 밝혀질 때까지는 누명을 벗기 어렵다. 영국 전역에서 발생하는 이런 오류로 많은 피해자가 직장을 잃거나 봉사활동을 그만두며 사회적 명성에 치명적인 피해를 보고 있다.


오늘날 우리는 숱한 인간적인 혹은 기술적인 문제를 맞닥뜨리는데, 특히 이것이 하나로 결합되면 사회에 놀라운 위협을 가한다. 시간이 갈수록 우리는 기계가 가리키는 방향으로 무의식적으로 따라가며 이를 점차 편안하게 받아들인다. 쓰레기가 들어가면 쓰레기가 나온다는 말은 이제 쓰레기가 들어가도 복음이 흘러나온다는 말로 바뀌고 있다. 그만큼 우리는 컴퓨터의 말을 진리로 받아들인다. 그러나 전체 사회가 부정확한 데이터에 의존할 경우 이는 끊임없이 우리의 발목을 잡을 것이다. 필터 버블과 보이지 않는 검색 엔진 검열, 국가 차원의 방화벽, 잘못된 데이터는 스크린을 사이에 둔 우리가 세상을 바라보는 방식에 근본적인 결함이 있음을 의미한다.



범죄의 미래

범죄 주식회사

세분화된 범죄 매트릭스

조직화된 사이버 범죄 집단이 이노베이티브 마케팅처럼 협력을 기반으로 한 조직 형태인지, 아니면 보다 날렵하게 꾸린 자가 조합 그룹 형태인지와 상관없이 한 가지 사실만큼은 분명하다. 바로 상당한 세련된 모습으로 비즈니스와 고객에 접근한다는 점이다.


사이버 범죄 집단은 합법적인 첨단 비즈니스 전략을 활용하고 공급망 관리, 글로벌 물류, 창조적 파이낸싱, 적기 생산 방식, 직원 동기부여, 고객 수요 분석에 대단히 능통하다. 그 결과 현대적인 사이버 범죄 사업, 포괄적 편의를 제공하는 풀 서비스, 다양한 제품군, 모든 개인, 기업, 정부를 마음먹은 대로 공격하는 수익성 높은 글로벌 조직이 등장했다. 앞서 살펴봤듯 전 세계적으로 활동 중인 온라인 범죄 주식회사는 적어도 50곳이 넘는다.


나는 라틴아메리카에서 발생한 신용카드 도난 사건을 인터폴 및 브라질 연방 경찰과 함께 수사하는 동안 그러한 사실을 직접 깨달았다. 당시 사이버 범죄 조직은 브라질 리우데자네이루 외곽의 빈민가에서 수만 건에 달하는 신용카드 번호와 사용자 정보를 소프트웨어 프로그램으로 만들어 DVD로 판매했다. 이들은 DVD를 다른 범죄자들에게 판매하면서 대량 구매 시 할인 혜택까지 주었다. 또한 신용카드 정보의 80퍼센트 이상이 유효하지 않으면 환불을 보장하겠다는 서비스 차원의 계약 조건까지 내걸었다. 나아가 소프트웨어를 이용하면서 어려움을 겪는 범죄자들을 위해 기술 지원 서비스를 제공하는 전화번호까지 알려주었다.


'고객님, 컴퓨터를 한번 재부팅해보시겠습니까?'


일부 범죄 주식회사는 실제로 고객 관계 관리 소프트웨어로 고객의 요구에 부응해 범죄 고객들 사이에서 브랜드 로열티를 구축한다. 금융 트로이 목마 프로그램 시타델을 개발한 범죄 조직이 대표적이다. 악명 높은 제우스 트로이안의 변형인 이 악성코드는 범죄자들이 금융 정보를 훔치고 사용자 키보드를 추적하며 피해자의 기기에 여러 형태의 크라임웨어를 설치하도록 한다. 시타델의 해커들은 악성코드를 동료 범죄자들에게 판매하면서 고객 만족을 추구했다. 위대한 두 기업가 마셜 필드와 해리 고든 셀프리지의 사례에서 영감을 얻은 시타델 범죄 조직은 '우리의 제품은 고객의 바람에 따라 개선될 것입니다'라고 약속했고 그 말을 지켰다.


이들은 CRM 사용자 인터페이스를 통해 시타델 뱅킹 악성코드를 사용하는 동료 범죄자들에게 버그 리포트를 전송하고 다음 버전의 소프트웨어에 들어갈 새로운 기능을 제안 및 투표하도록 했으며, 심지어 개발자를 위한 장애 보고서까지 제출하게 했다. 이들의 기술 지원 서비스 ICQ나 재버상의 인스턴트 메시지로 이뤄졌고 장애 보고서에 대한 대책 마련은 즉각 이루어졌다. 그뿐 아니라 시타델 '범죄-기업가'는 자체적으로 소셜 네트워크까지 만들어 그들의 뱅킹 트로이안 제품을 사용하는 사람들이 '모두 관심을 보이는 프로젝트'에 대한 이야기를 나누도록 하고 있다.


범죄 주식회사는 낯설 만큼 합리적이고 이성적이며 경쟁 우위와 사업의 지속성을 확보하기 위해 검증된 전략을 활용한다. 디지털 지하 세계에서 이 말은 특히 법률 집행과 관련해 잠재된 비즈니스 위협 요인을 면밀히 감시한다는 뜻이다. 실제로 해커들은 경찰과 공무원의 활동을 감시하고 오픈소스 데이터를 모아 그들의 거대한 이익에 해가 될 수 있는 모든 위협 요인을 사전에 점검한다. 제트블루, 세븐일레븐, 제이시페니 그리고 나스닥 증권거래소를 해킹했다고 지목당한 한 사이버 범죄 조직은 '트립 와이어'라는 시스템을 개발해 범죄 행각이 드러나기 전에 미리 알려주는 조기 경보 시스템까지 가동한다.


특히 그들은 목표 피해자들에게 치밀하게 설정해둔 키워드로 다양한 형태의 구글 알리미를 가동하는데, 가령 '나스닥 해킹' 같은 표현이 담긴 게시글을 목표 피해자들이 올리면 경찰 추적이 시작되기 전에 즉각 빠져나간다. 이제 해커들은 획기적인 마피아 집단으로 거듭나고 있으며 점점 가속화하는 범죄의 산업화 및 전문화의 흐름에 힘을 보태고 있다.


당신을 해킹하다

신분 도용 위기: 생체인식 기술 해킹

우리는 자신의 얼굴과 눈, 목소리, 손가락, 심장박동, 다리, 손바닥을 모두 자신의 소유물로 여긴다. 과연 그럴까? 의식적이든 무의식적이든 우리는 자신의 물리적, 행동적 특질에 관한 정보를 다른 사람과 점점 더 많이 공유하고 있다. 이 같은 물리적 요소는 서로를 구별해주는 신체적 특성으로, 이중 가장 보편적인 것이 지문이다. 지문은 경찰이 125년 넘게 범죄자의 신원을 확인하는 데 사용해온 도구다.


지문 분석 작업은 한 세기 넘게 특별 훈련을 받은 전문적인 기술자만 수행해왔다. 이제는 데이터 처리 속도와 센서 기술의 급속한 진화로 컴퓨터가 생체인식을 통해 신분 확인 작업을 수행한다. 생체인식 시스템은 이미 보편화됐고 일상생활 속에서도 일반적인 현상으로 자리 잡았다. 운전면허증과 여권처럼 들고 다니거나 비밀번호, PIN같이 항상 기억해야 하는 기존의 신분 확인 도구와 달리 생체인식 방식에서는 여러분만 있으면 그만이다.


생체인식 시스템은 컴퓨터 센서를 이용해 지문의 패턴, 눈, 코, 입의 간격, 목소리의 톤과 음색 등의 요소를 측정한다. 그리고 이 모든 정보를 디지털로 전환해 비교, 저장, 재확인함으로써 여러 가지 특성의 조합을 다른 수억 명의 데이터베이스를 기반으로 몇 초 만에 분석한다. 덕분에 비용은 감소하고 기능은 향상되면서 생체인식 기술의 글로벌 시장 규모가 2019년까지 230억 달러에 이를 전망이며, 2018년까지는 잠재적으로 5억 개가 넘는 생체인식 센서가 사물인터넷 세상에 합류할 것으로 보인다. 생체인식은 앞으로 어디에나 존재하는 기술로 보편화될 것이며 그러한 움직임은 이미 시작됐다.


최근 24시간 내내 영업을 하는 브랜드 헬스클럽은 회원에게 지문을 통한 신분 확인 방식을 권한다. 또한 뉴욕 대학교 의료센터에 다니는 환자는 더 이상 의료보험 카드를 들고 다닐 필요가 없다. 그 병원은 현재 페이션트시큐어 시스템으로 12만 5,000명 이상의 환자 정보를 등록했는데, 이 시스템은 특별한 생체인식 스캐너 장비로 환자들 손바닥의 고유한 혈관 패턴을 측정해 신분 확인 수단으로 사용한다. 그러면 MRI 장비에 대한 악성코드 공격조차 막지 못하는 상황에서 병원은 어떻게 환자의 생체인식 정보를 보호할 것인가? 동네 헬스클럽 직원이 여러분의 지문 정보에 접근하도록 허용해도 괜찮을까?


『미션 임파서블』 같은 할리우드 첩보 스릴러 영화에 등장하는 생체인식 장비는 홍채 스캐너와 지문 인식기, 얼굴 인식 시스템 등 다양한 최첨단 기능을 내장했다. 이 같은 대중문화 속 이미지를 감안할 때 많은 사람이 생체인식 인증 시스템은 절대 공격당할 리 없다고 확신하는 이유를 이해하기란 어렵지 않다. 안타깝게도 생체인식 기술은 우리의 기대만큼 안전하거나 확실하지 않으며 2010년 미국 국립 연구 위원회는 한 보고서에서 이들 시스템에 '본질적으로 결함이 있다'는 결론을 내렸다.


특정 생체인식 기업의 제품은 쉽게 복제될 뿐 아니라 그들이 보유한 생체인식 관련 데이터베이스 역시 모든 데이터와 마찬가지로 공격당할 수 있다. 정부 및 민간 분야는 그 위험성을 뒷전으로 미뤄둔 채 보안 분야에서 최고 위치를 차지하고 사람들의 생체인식 정보를 수집해 경제적 이익을 도모하고자 치열한 경쟁을 벌이고 있다. 물론 사람들의 승인을 받지 않고 은밀하게 데이터를 수집한다.


오늘날 세계 최대 규모의 생체인식 데이터베이스는 인도 정부가 운영하고 있다. 아드하르는 12억 인구를 대상으로 지문, 사진, 홍채 스캔 데이터를 수집하려는 인도 정부의 야심찬 계획이다. 이미 5억 명 이상의 인도 국민이 아드하르 식별번호를 부여받았고 그들의 생체인식 데이터는 국가 데이터베이스에 보관되었다. 이에 질세라 미국 정부도 9/11 이후 국토안보부와 국방부, 사법부에 엄청난 예산을 지원해 방대한 생체인식 프로그램을 진행하고 있다.


정부 주도의 생체인식 데이터베이스 프로그램은 범죄자와 테러리스트를 색출하는 데 유용한 도구지만, 2011년 이스라엘 정부가 발견한 것처럼 개인 정보 보호와 보안 문제를 피해가지 못한다. 당시 이스라엘 당국은 국가의 생체인식 데이터베이스 전체를 도둑맞았다고 발표했는데 거기에는 900만 명에 달하는 이스라엘 국민의 이름과 생년월일, 사회보장번호, 가족구성원, 입양 기록, 이민 날짜, 의료 기록이 들어 있었다. 이는 이스라엘 정부의 한 계약 업체가 저지른 소행으로 드러났고 이들이 정보를 범죄 주식회사에 팔아넘기는 바람에 디지털 지하 세계에서 정보가 낱낱이 공개되고 말았다. 이처럼 사기, 신분 도용, 보안 허점 등 다양한 형태의 범죄 가능성이 분명하게 그 모습을 드러내고 있다.


시장조사기관 가트너는 2016년까지 기업들 중 30퍼센트가 직원을 대상으로 생체인식 신분 확인 시스템을 적용할 것으로 내다본다. 2015년 말까지 생체인식 센서는 대다수 고급형 휴대전화에 내장되고, 2018년까지는 34억 명의 스마트폰 사용자가 자신의 손가락이나 얼굴, 눈동자, 목소리로 휴대전화를 열어볼 전망이다. 한마디로 생체인식 기술은 신분 확인 및 보안, 인증 시스템의 미래다. 이 기술은 책 전반에 걸쳐 살펴본 것처럼 해킹이 쉽고 한꺼번에 수백만 건이 도난당할 수 있으며 유효 기간보다 훨씬 더 오래 살아남았던 비밀번호를 대체할 것이다.


생체인식 보안 기술에는 많은 장점이 있다. 비밀번호가 기억나지 않거나 운전면허증을 잃어버렸을 때 손가락만 대면 그만이다. 반면 생체인식 기술은 또 다른 문제를 양산한다. 지문은 영구적인 신분 확인 표식이기 때문에 일단 해커들의 손에 넘어가면 통제를 완전히 벗어난다. 헬스클럽과 휴대전화 생산 업체, 병원이 우리의 생체인식 정보를 보유한 상황에서 그들의 시스템이 해킹당하면(틀림없이 그런 일이 벌어질 테지만), 이 문제 해결이 불가능하지는 않아도 대단히 까다로울 것이다. 신분 확인의 미래가 생체인식 기술에 달려 있다면 신분 절도의 미래는 생체인식 기술을 공격하고 정보를 빼내는 기술에 달릴 수밖에 없다. 도둑과 사기꾼은 이미 생체인식 시스템을 교묘히 뚫고 들어갈 방법을 열심히 연구하고 있다.



진보와 생존

앞으로 걸어가야 할 길

자동 방어 기능과 선을 위한 발전

사이버 공격은 언제든 일어나게 마련이다. 그것을 완전히 없애기는 불가능하다. 여기서 가장 먼저 던져야 할 질문은 이것이다. 기술적 세상을 어떻게 공격에 보다 탄력적으로 대응하는 형태로 구축할 것인가? 시스템이 날로 복잡해지는 오늘날 이는 쉽게 대답할 수 있는 문제가 아니다.


'탄력적'이란 시스템 손상이 서서히 발생하고 이후 복원이 가능한 형태를 말한다. 이 경우 덜 중요한 다른 기능의 연결이 끊기고 작동이 멈출 때도 시스템의 탄력적인 핵심 기능은 변함없이 임무를 수행한다. 자연은 도마뱀에게 이처럼 탁월한 선물을 주었다. 포식자의 공격을 받거나 붙잡혔을 때 꼬리를 끊어버리고 달아나는 도마뱀은 덕분에 중요한 신체 기관을 안전하게 보호한다. 인터넷 혹은 기업 네트워크에서 도마뱀의 꼬리에 해당하는 부분은 어디인가? 아직 밝혀지지 않았지만 우리는 이를 확인해야 한다.


기술 제반시설에는 특정한 취약점이 있으며, 그중에서 가장 치명적인 부분은 전원이다. 전기가 없으면 인터넷도 없다. 수도 공급, 식량 생산, 금융 거래, 커뮤니케이션, 교통도 불가능하다. 우리는 이 취약점을 격리해 확산을 막고 정전 사태에 대비한 대체 전원 시스템을 마련해야 한다. 이는 전기 공급뿐 아니라 현대 문명이 돌아가게 해주는 모든 기술적 도구를 위한 것이다.


이 위험의 범위는 전력망을 넘어 보편적인 소프트웨어 시스템과 전반적인 인터넷 기반시설까지 포괄한다. 오늘날의 기술 세상을 지배하는 많은 도구는 본질적으로 단일 문화적이다. 이 말은 우리 사회가 동일한 취약성이 있는 비슷한 소프트웨어를 사용한다는 뜻이다. 농경문화와 마찬가지로 컴퓨터 단일 문화는 치명적인 붕괴 위험을 안고 있다.


CEO와 임원들은 자사가 얼마나 탄력적인지 확인해야 한다. '탄력적'이란 적의 치밀한 공격이 지속되는 상황에서도 비즈니스를 그대로 진행하는 능력을 말한다. 도마뱀처럼 꼬리를 내주는 한이 있더라도 조직은 계속 살아남아야 한다. 하지만 이런 일은 마술처럼 일어나지 않으며 사전 훈련과 연습이 필수적이다. 특히 사이버 탄력성을 높이려면 공격에 대응하는 능력, 손상된 기술적 역량을 신속히 복원하는 능력이 중요하다. 앞으로 공격당했을 때 얼마나 빨리 복구하는가는 조직의 번영과 몰락을 가르는 기준이 될 것이다. 그 대응책은 위기를 겪는 동안이 아니라 위기가 찾아오기 전에 내놓아야 한다.


탄력적 시스템은 반드시 처음부터 철저한 방식으로 설계해야 한다. 장비를 모두 갖춘 뒤 보안 기능을 사후적으로 추가하는 형태여서는 안 된다. 그리고 갑자기 붕괴되지 않고 서서히 손상되도록 시스템을 설계해야 한다. 시스템 전체가 한꺼번에 무너지는 일이 없도록 안전하고 신뢰도 높은 컴퓨팅이 기술적 미래의 기반이 되어야 한다는 얘기다. 사물인터넷과 로보틱스, 인공지능, 나노기술 같은 획기적인 기술이 발달할수록 이 말의 의미는 더욱 중요해진다. 이제 우리는 기술적 도구의 정책적, 법률적, 윤리적, 사회적 의미를 더 이상 무시할 수 없다. 우리는 우리가 만든 것에 대해 도덕적 책임을 져야 한다.


역사 속에는 재앙적 위험이 발생하기 전에 이를 미리 내다보는 통찰력을 발휘한 사례가 꽤 있다. 그중 하나가 1975년 캘리포니아 몬테레이의 아실로마 해변에서 재조합 DNA를 주제로 열린 아실로마 컨퍼런스다. 그 행사에는 140명의 생물학자와 법률가, 윤리학자, 의사가 모여 DNA기술에 따른 잠재적인 생물학적 위험성을 논의했고 그 과정에서 자발적인 안전 지침을 이끌어냈다. 이 컨퍼런스를 통해 과학자들은 서로 다른 유기체의 DNA를 조합하는 실험을 중단하기로 합의했다. 당시 이는 충분히 이해하지 못하는 상황에서 자칫 치명적인 결과를 낳을 수도 있는 급진적인 연구 분야였다.


아실로마 컨퍼런스의 교훈과 성공은 지금도 충분히 재현할만한 가치가 있다. 오늘날 신바이오, 인공지능, 집단 로보틱스, 나노기술이 빠른 속도로 진보하는 가운데 우리는 통제 범위를 벗어난 복제 기술의 위험성을 알리는 과정에서 자원을 투자해야 한다. 다행히 2009년 인공지능의 미래를 주제로 몬테레이의 해변에서 다시 회의가 열렸는데, 이런 모임은 급격하게 발달하는 기술을 바탕으로 한 우리 사회의 탄력성 강화 노력에서 대단히 중요한 역할을 할 것이다.


진보와 함께 우리는 사회의 안전과 보안을 강화하기 위해 또 다른 변화를 이뤄내야 한다. 우선 자동화된 범죄 해커 집단에 대처해야 한다. 우리는 사악한 자들이 공격 기술을 자동화하는 사례를 계속 목격한다. 이로 인해 범죄 세상에 패러다임 변화가 일어나고 있는데, 이는 일대일에서 일대다의 형태로 바뀌고 있다. 범죄 도구는 급속도로 확장되고 있지만 선을 위한 시스템은 그 속도를 따라잡지 못하고 있다. 우리의 방어 시스템은 글로벌 시스템 위협에 충분히 대처할 만큼 성장하지 못했고 이는 각국 정부가 심각하게 고민해야 할 사안이다.

* * *


본 도서 정보는 우수 도서 홍보를 위해 저작권자로부터 정식인가를 얻어 도서의 내용 일부를 발췌 요약한 것으로, 저작권법에 의하여 저작권자의 정식인가 없이 무단전재, 무단복제 및 전송을 할 수 없으며, 원본 도서의 모든 출판권과 전송권은 저작권자에게 있음을 알려드립니다.