멀웨어, 손실만 입힐 뿐 사실 파괴적이진 않아 프라이버시가 없으면 더 파괴적인 현실 맞이해야 하는데

 
[보안뉴스 문가용] 세상에는 지금 멀쩡히 잘 돌아가는 우리 컴퓨터를 망가트리기 위한 목적으로 제작된 프로그램들이 떠돌아다닌다고 많이들 알고 있는 거 같은데, 이게 도대체 무슨 황당한 소리인가? 멀웨어가 뭔데? 바이러스? 트로이목마? 웜? 물론 데이터는 조금 손상이 간다. 바이러스며 트로이목마며 데이터를 지우고 롬 바이오스를 오버라이트할 수는 있다. 그런데 모니터 액정에 금이 가게 한다든지, 하드드라이브를 벽돌로 만들어버린다든지, 그래서 컴퓨터를 쓰레기통에 던져 넣을 수밖에 없는 상태로 ‘망가트리는 건’ 아니다. 그 어떤 멀웨어도 그러지 못했고 앞으로도 그러지 못할 것이다.
 


멀웨어가 정말 파괴적이야?
간혹 멀웨어에 감염되었다는 이유로 컴퓨터를 새로 구입한 사람이 있을지도 모른다. 그러나 그건 장담컨대 그 사람의 실수지 멀웨어의 파워가 대단했던 건 아니었을 것이다. 멀웨어가 하드웨어를 물리적으로 파괴하는 일은 절대로 일어날 수 없기 때문이다. 어디선가 그런 멀웨어가 있더라는 소문을 들었을지는 모르지만, 지금 여기서 다시 한 번 확실히 하자. 그.런.멀.웨.어.는.없.다. 미래의 일이야 함부로 장담하는 건 아니라고는 하지만, 난 솔직히 미래에도 그런 일은 안 일어날 것이라고 본다.

또 한 가지. 지금 당신 컴퓨터에 안티바이러스 프로그램이나 안티멀웨어 프로그램이 하나쯤은 설치되어 있을 건데, 이 둘에는 큰 차이점이 존재하지 않는다. 기능도 거의 겹친다. 정확히 바이러스만 혹은 멀웨어만 가려내서 막아주는 프로그램은 세상에 존재하지 않는다. 최초의 백신 프로그램이라는 것도 트로이목마나 웜을 잡는 기능을 가지고 있었는데, 이 둘도 엄밀히 말하면 바이러스는 아니다. 현대 안티바이러스 제품들이 잡아내는 건 바이러스가 아닐 때가 훨씬 많다. 바이러스는 결국 멀웨어라는 전체 항목의 극히 작은 일부만을 차지할 뿐이다.

결국 안티바이러스건 안티멀웨어건 이 프로그램들이 갖고 있는 목표는 세상 모든 멀웨어를 잡아내는 것이다. 제품 이름이 뭐인지는 전혀 중요하지 않다. 구분할 필요도 없다. 어차피 개발자가 상품에 이름을 직접 붙이는 것도 아니고 말이다. 사용자들의 불필요한 까다로움(바이러스 vs. 멀웨어)이나 부족한 이해는 오히려 마케팅 팀의 중요한 공략 포인트만 될 뿐이다. 사용자에게 이런 것들을 똑바로 인식시키고 교육시키는 건 오히려 ‘난 안티바이러스가 있으나 이번엔 안티멀웨어를 사야 돼’라는 구매 이유를 하나 삭제시키는 것일 뿐이다.

멀웨어란 과연 무엇이며, 하는 일은 무엇일까? 멀웨어는 악성 프로그램이며 사용자가 절대로 원할 리가 없는 소프트웨어다. 이걸 사용하는 사람은 다양하며 사용하는 목적도 다양하다. 화면에 텍스트를 남길 수도 있고 그림을 그릴 수도 있다. 흔치않지만 데이터를 지우는 것도 가능하다. 암호를 훔칠 수도 있고 신용카드 번호를 베낄 수도 있다. 혹은 컴퓨터 로그인 암호를 알아낼 수도 있다. 그렇게 데이터에 접근하여 당신과 당신 주변의 많은 것들을 알아낸다.

혹은 요즘 해커들 사이에서 유행하는 것처럼 그저 본 무대를 시작하기 위한 예비 장치일 수도 있다. 위에 열거한 공격들을 하기 위한 예비 움직임이 되는 경우를 말한다. 본 프로그램이든 예비 프로그램이든 멀웨어는 하여간 좋지 않은 것이다. 지금까지 말한 것 말고도 멀웨어가 좋지 않은 이유를 천 가지는 더 댈 수도 있다. 그 기능이 무엇이든 막긴 막아야 한다는 것이다. 그런데 멀웨어가 내 시스템에 침투하는 것보다 더 무서운 일이 있으니 바로 프라이버시를 잃는 것이다.

우리가 현재 알고 있는 프라이버시란 굉장히 최근에 생긴 인류 발전의 결과물이다. 그 전에는 당신의 일거수일투족을 모든 이가 알 수 있었다. 왜냐하면 사실상 당신을 숨길 수 있는 장치란 게 없었거나 굉장히 허술했기 때문이다. 식구는 많고 모든 사람이 가난했고 집은 좁았다. 아웅다웅 살거나 옹기종기 살았다. 그럼에도 우리는 이미 수세기 전부터 천부적 권리로서 프라이버시를 알고 있었다. 시민권, 공민적 자유의 개념은 너무나 소중한 것이었다. 인간에게 있어 자유란 그 어느 것보다 소중한 가치라는 믿음을 저버리지 않았다. 태어나면서 누구나 가지고 있는 인간 고유의 권리, 자유. 미국의 독립선언문이 표현한 것처럼 말이다.

시간이 지나면서 자유에 관한 천부적 권리에 다른 권리들이 따라붙기 시작했다. 혼자 있어도 안전을 보장받을 권리가 한 예다. 평등권도 있다. 하지만 이런 권리들은 결국 프라이버시가 보장되어야만 존재할 수 있는 것들이다. 프라이버시가 없다면 세상에는 주류만 존재할 수 있게 되고 그 주류에 반하는 소수는 있을 곳이 없어질 것이며, 이는 평등과는 거리가 먼 얘기다. 소설 하나만 펼쳐보자.

공상과학
윌리엄 깁슨(William Gibson)의 카운트 제로(Count Zero)라는 책은 감시를 피하기 위해 별별 수단을 다 써야만 하는 세상을 그리고 있다. 그 세상에서 사람들은 핀(Finn)이란 사람들을 고용해 그 어떤 감시수단도 뚫지 못하도록 전류가 흐르는 회로망 안에 자신들을 가두도록 한다. 주인공은 이런 세상에 반항하는 주적으로, 철로 만들어진 우리 안에서 산다. 그래서 어떤 전기 수단도 그에게 다다를 수 없다. 그런데 이게 소설에서만의 일일까? 이런 우리가 현실에서 이미 존재하고 있다. 파라데이(Faraday)라고 하는데, 아주 다양한 곳에서 이미 활용하고 있다(우리 F-Secure의 경우에도 파라데이가 있는데, 무선 멀웨어를 실험할 때 주로 사용한다. 파라데이 밖에서 실험하다가는 사무실에 있는 엉뚱한 모바일 기기들이 감염될 수도 있으니까)

이는 무슨 말인가? 프라이버시가 훼손되면 훼손될수록 우리는 점점 감옥 안으로 몰리는 것과 다름이 없게 된다는 것이다. 하지만 프라이버시를 지키자고 24시간 우리 안에만 있을 수는 없다. 밖에도 나가야 하고 거리를 걸어야 한다. 그리고 무엇보다, 우린 어떤 채널로든 연결이 되어 있을 수밖에 없는 시대에 있다. 우리 밖은 곧 ‘접속’이다. 어쩌면 당신의 매 걸음이 어디에선가 기록되어 있을 지도 모른다. 당신만 모를 뿐. 잘 둘러보면 세상은 감시도구 투성이다. 우리 손에 있는 전화기를 보라. 어떤 정보를 모으는가? 이메일, 문자메시지, GPS 위치 정보, 웹 방문 기록, 사진, 수신 목록, 주소록 등 끝도 없이 많다. 그렇다고 전화기 제조사들이 당신의 프라이버시를 노리는 나쁜 놈들인가? 그렇지 않다. 그들은 그저 시장의 요구를 따를 뿐이다.

그렇게 연결이 된 상태에서 갑자기 우리가 가지고 있는 프라이버시의 보호막이 다 무너지면 어떻게 될까? 전세 대출이 막히거나 자동차를 할부로 살 수 없게 될 지도 모르며 직장에서 쫓겨날 지도 모른다. 학교나 직장에서 인사고과 점수가 형편없이 떨어질 수도, 갑자기 의료보험비가 자기도 모르는 가족 병력 때문에 올라갈 수도 있다. 선거 때 누굴 찍었는지 주위 모든 사람들이 다 알 수도 있다. 다시 말하지만 이는 멀웨어가 생겼을 때가 아니라 프라이버시가 없어졌을 때 이야기다. 이유도 모른 채 그동안 해왔던 모든 것들에서부터 떨어져나갈 수도 있다. 누가 따로 기록하고 알려주지 않아도 프라이버시가 없어지면 우리는 벌거벗고 다니는 것이나 다름없게 된다.

난 바이러스 때문에 벌벌 떨어본 적이 단 한 번도 없다. 데이터를 잃을까봐 혹은 신용카드 정보가 유출될까봐 전전긍긍했던 기억도 없다. 데이터는 다시 복구하거나 만들면 그만이고 신용카드는 다시 발급받으면 된다. 돈이 없어진다 해도 더 벌면 된다. 조금 귀찮고 짜증이 나긴 하겠지만 어떻게든 메우는 게 가능하다. 하지만 프라이버시를 잃으면 다시 찾는 게 불가능에 가까워진다. 그래서 전문가들이 가상 사설 네트워크(VPN)을 사용하라고 하는 것이다. 프라이버시와 자유가 모든 것을 해결해주지는 않지만 적어도 내일은 안심하고 맞이할 수 있게 해준다.

그러므로 우리가 켜야 할 건 안티바이러스나 안티멀웨어가 아니라 ‘자유’와 ‘프라이버시’에 대한 경각심이다.

글 : 데이비드 페리(David Perry), F-Secure 위협 전략가
출처 : F-Secure 위협 보고서 H2 2014
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>