▲ 손영동 사이버안보연구소장

모든 것이 연결된 디지털 사회로의 전환은 거스를 수 없는 시대의 흐름이지만, 이의 반작용이라 할 수 있는 기상천외한 사이버범죄로 말미암아 우리 사회가 몸살을 앓고 있다.

대담해진 보이스 피싱(voice phishing)에 모르는 전화가 걸려오면 일단 의심부터 해야 하는 안타까운 상황이다. 보이스 피싱이란 음성(voice)과 개인정보(private data), 그리고 낚시(fishing)의 합성어다. 전화를 통해 개인정보를 낚아올린다는 뜻으로 타인의 재산을 편취하는 일종의 특수사기범죄다.

아직도 많은 사람들이 보이스 피싱에 넘어가는 이유는 무엇보다 시민들의 개인정보 유출에 대한 인식 부족에 있다. 개인정보보호법이 개정되고 정보보호 관련법이 강화되는 등 법으로 강제하는 수밖에 없을 정도로 정보보호 의식이 일천한 것이 우리 디지털 강국의 현실이다.

그동안 유출된 개인정보를 이용해 중국 등에서 가짜 여권 사업이 성행하고 보이스 피싱과 사방에서 걸려오는 영업성 전화에 대한민국이 시달리고 있다. 보이스 피싱을 하는 이들은 대부분 중국·대만·필리핀 등 국경을 넘나들며 점조직으로 운영된다. 불법적인 경로로 우리의 개인정보를 입수해 현지에서 콜센터를 만들어 활동하기 때문에 해당국가와 공조수사를 하지 않는 한 추적 자체가 어렵다.

여기에 우리나라의 잘 갖춰진 금융인프라도 한몫을 하고 있다. 우리나라는 타행 계좌이체가 실시간으로 이루어진다. 반면 외국은 공인인증서 인프라가 제대로 구축되어 있지 않아 상대적으로 제한된 인터넷뱅킹 서비스만을 제공한다. 미국의 경우 대부분 은행에서 인터넷뱅킹 실시간 이체는 자행 계좌로만 가능하다. 타행 계좌이체는 2~3일 소요되고, 이체금액 또한 한 달에 1만 달러로 제한된다.

우리의 모바일뱅킹은 사용의 편리성과 다양한 부가기능으로 글로벌 선진사례로 꼽힐 만큼 진화와 발전을 거듭하고 있다. 그러나 스마트폰의 보안 취약성을 이용한 금융사기는 더욱 위험하다.

컴퓨터나 스마트폰을 악성코드로 감염시킨 후 금융정보를 빼내가는 파밍(pharming)은 정상 경로로 은행사이트에 접속해도 미리 준비된 가짜사이트로 연결된다. 문자메시지(SMS)와 피싱(phishing)의 합성어인 스미싱(smishing)도 극성이다. 스미싱은 무료쿠폰이나 보안등급 상향 등 문자메시지에 첨부된 인터넷 주소를 클릭하면 악성코드가 자동 설치되고 자신도 모르게 소액결제가 이뤄진다.

디지털과 네트워크의 발전이 우리 삶에 전반적인 변화를 가져오고 있는 만큼, 사이버범죄 역시 다양한 형태로 나타나고 있다. 사이버범죄 수법이 점차 경로의 다양화, 수준의 고도화·지능화·조직화 되면서 그 피해 범위와 규모도 점점 커지고 있다.

경찰청은 사이버범죄를 보이스 피싱·파밍과 같이 사이버공간을 범죄의 수단으로 사용하는 일반형 사이버범죄와 디지털 기술과 네트워크의 발달로 인한 새로운 형태의 공격인 테러형 사이버범죄로 구분하고 있다.

첫째, 일반형 사이버범죄는 전자상거래 사기, 프로그램 불법복제, 불법·유해 사이트, 명예훼손, 개인정보침해, 사이버스토킹 등과 같이 사이버공간이 범죄의 수단으로 사용되는 유형이다. 이런 유형의 범죄들은 기존의 범죄들과 비교해서 범행 장소와 수단이 다를 뿐 본질적으로는 동일하다. 단 사이버범죄는 피해속도와 범위가 빠르고 광범위하며 수사하는데 상당한 기술적, 심리적 지식을 필요로 한다.

둘째, 테러형 사이버범죄는 해킹·악성코드 유포와 같이 고도의 기술적인 요소를 이용한 네트워크 자체에 대한 공격행위를 통해 이루어진다. 산업기밀을 탈취하고 국가인프라를 위협하는 테러형 범죄는 그 피해규모를 가늠하기조차 힘들다. 보이지 않고 소리 없이 다가오는 사이버범죄는 사회질서를 흩뜨리는 선을 넘어 우리의 안전을 위협하는 지경에 이르렀다.

사이버범죄의 또 다른 심각성은 자신의 행위가 범죄라는 사실을 잘 인식하지 못하고 재발 가능성이 높으며 범죄를 저지르는 연령층이 갈수록 낮아지고 있다는 점이다. 전문가들은 상대적으로 사이버범죄에 관대한 사법체계의 문제를 지적한다.

사이버범죄는 기술적으로만 해결할 수 있는 문제가 아니다. 특히 내부 직원이 정보를 밖으로 유출할 경우 피해상황을 어느 정도 인지하기 전에는 사고 사실을 확인하기 어렵다. 사용자의 부주의나 유혹으로 인해 발생하는 비의도적인 결과도 간과해선 안 된다. 사이버범죄의 가장 취약한 부분은 정보시스템이 아니라 대부분 사람의 심성과 관련되어 있기 때문이다.