By 15 년쯤 전에 어떤 재미있는(?) 사이트가 커뮤니티에서 유행한 적이 있다. 모니터를 통해 사진을 찍어준다는 서비스였다. 단, 사진은 1 개의 점[픽셀]만 찍을 수 있다고 했다. 실제로 그 사이트에 접속하면 화면 한 가운데에 점이 하나 찍혔다. 흠.. 이 점의 정체는 무엇이었을까? 내 옆에서 컴퓨터를 같이 보던 초등학생 조카가 사진을 모니터로 어떻게 찍는 거냐고 물어봤다. 이게 실제로 그런 건지는 어떻게 알 수 있을까?
점들의 관계를 통해 의미가 생긴다.
실제로 점 하나가 출력된 것만 보고는 실제로 어떤 대단한 기술을 통해서 모니터로 사진을 찍은 건지, 또 다른 방법으로 색깔을 표현하는 건지 알 수 없다. 근본적으로 알고 싶으면 이것이 모니터에 출력되는 예시를 수만, 수십만, …. 수억 개를 모아서 통계적으로 분석해 봐야 한다. 그래도 알 수 있을지 없을지 알 수 없다. 다만, 우리는 원리적으로 모니터를 카메라로 쓰는 것은 불가능하다는 걸 알고 있다. (사실 답은 간단하다. 아마도 아무 색이나 대충 찍어 보여줬을 것이다.)
이 문제는 근본적으로 피싱 같은 정보통신을 이용한 범죄와 원리가 같다. (여러 가지 방법의 피싱과 스팸 등의 범죄를 이 글에서는 피싱으로만 부른다. 전화와 문자를 전송하는 유선전화국, 이동통신사, 각종 채팅업체 같은 정보처리업체는 전화국이라고만 하겠다.) 차이가 있다면 하나는 그냥 재미를 위해 구현된 것이고, 다른 하나는 남을 속이기 위해 구현된 것이다.
피싱은 간단하다. 무단으로 얻은 수십만, 수백만, 수천만 개의 개인정보를 이용해서 무작위로 연락한다. 그렇게 수백 ~ 수만 명에게 연락하여 피해자 한 명을 찾는다. 피해자가 유령계좌에 돈을 입금하면 성공이다.
정부는 이런 범죄를 막기 위해서 은행과 경찰의 협조체제를 구축했다. 문제는 이 협조체제가 잘못돼 있다는 것이다. 은행에 찾아가는 피해자는 앞에서 이야기했던 모니터로 사진을 찍어준다는 서비스에서 화면에 찍힌 점 하나와 같다. 그것 하나만으로는 아무것도 알 수 없다. 은행과 경찰은 아무것도 알 수 없으니까, 경찰의 신속대응 같은 뻔한 방법으로만 대응할 수밖에 없다. (이건 은행과 경찰의 잘못이 아니다.) 그럼 이 문제를 어떻게 극복할 수 있을까?
여기까지 이야기하면 내가 이미 이 글에서 답을 적어놨다는 걸 아는 분들도 계실 것이다. 방법은 대량의 데이터를 수집해서 사람들에게 접근한 범인의 흔적을 찾아내는 것이다. 그럼 어떻게 대량의 데이터를 수집할 수 있을까? 이미 알지 않은가?
피싱 사기범들은 전화통화나 전화문자로 피해자가 될 사람한테 연락한다. 수백 ~ 수만 명한테 연락하면 한 명 정도 피해자가 나온다. 따라서 데이터는 은행에 한 개 쌓일 때 전화국에 수백~수만 개가 쌓인다. 따라서 전화국이 전화통화와 전화문자를 분석해서 피싱과 스팸을 찾는 게 은행이 대응하는 것보다 훨씬 쉽다.
대량의 데이터에서 유의미한 무언가를 찾는 것을 ‘빅데이터’라고 부른다. 빅데이터가 예전에 사용되던 방법들과 다른 점은 표본이 아닌 전체 데이터를 분석한다는 것이다. 이것은 최근의 컴퓨팅파워가 강해지면서 가능해졌다.
빅데이터를 이용한 방어는 사실 아주 오래전에 구현되어 사용된 적이 있었다. 15 년 전에 블로고스피어에는 스팸댓글과 스팸엮인글이 쌓이는 고질적인 문제를 갖고 있었다. 블로그 운영자는 아침에 이것들을 지우는 일부터 시작해야 했다. 블로그 서비스 운영자들은 이걸 해결하기 위해서 블로그에 달리는 모든 댓글과 엮인글을 모아서 스팸인지 아닌지 분석하는 시스템을 만들었다. 공통점이 있는 댓글과 엮인글을 찾아서 스팸인지 아닌지 알아내는 것이다. 이 시스템은 만들어진 이후 딱 한 번밖에 뚤리지 않았다.
마찬가지로 전화국이 모든 문자와 전화를 분석해서 피싱인 것을 찾아내는 것은 그리 어렵지 않다. 아마 지금도 전화국이 마음만 먹는다면 일주일 안에 피싱을 찾아내는 시스템을 구축할 수 있을 것이라 생각한다. 그만큼 간단한 문제다. (운영의 노하우를 쌓는데 시간이 필요하긴 하다.)
그렇게 해도 범인이 뚫는 방법을 찾아내지 않겠느냐고 걱정할 수도 있다. 그러나 빅데이터 시스템을 뚫기 위해서는 엄청난 연구가 필요한데, 그 정도라면 피싱 조직이 유지될 정도로 수익이 나지는 않을 것이다.
이렇게 뚜렷한 방법이 있는데도 피싱을 막지 못하는 이유는 두 가지 문제가 있기 때문이라 생각한다.
- 개인정보 데이터를 처리할 방법이 없다.
개인정보는 개인정보 보호법으로 사업자가 활용하는 것을 엄격히 제한하고 있다. 지금의 법령으로 시스템 구축이 가능한지는 잘 모르겠다. 아무튼 전화국이 피싱을 분석하는 시스템을 만들기 위해서는 개인정보 보호법을 개정해야 할 필요가 있을 것이다. - 전화국이 피싱을 막을 의지를 갖기 힘들다.
전화국은 피싱을 통해 제공되는 전화통화와 문자조차도 수익이 된다. 누가 돈을 내는지는 모르겠지만….
따라서 전화국이 피싱을 막게 하기 위해서는 피싱으로 얻는 이득보다 더 많이 손해를 보게 만들어야 한다.
첫 번째의 개인정보 보호법 개정은 국회가 나서서 해줘야 한다.
두 번째의 전화국이 손해를 보게 만드는 방법은 사실 아주 간단하다. 피싱을 받은 사용자에게 사용요금을 돌려주도록 만들면 된다. 대략 한 건에 천 원이면 적당할 것이라 생각한다. 나는 한 달이면 수백 개의 피싱문자와 피싱전화를 받는다며 공짜로 쓰게 되는 거냐고 생각하시는 분이 계실지 모르겠지만, 사실 제대로 막기 시작하면 1 년에 하나 받기도 힘들어질 것이다. 그러니까 실제로 전화국 수익이 줄어드는 걱정은 하지 않아도 된다.
(그리고 아마 인터넷 사업자도 이런 시스템을 갖추도록 강제해야 할지도 모른다.)
3 comments on “피싱을 없애는 방법”