2023년에 소환된 ‘다이하드 4.0’의 사이버 테러, 픽션 아닌 다큐가 되다

카카오 데이터센터 화재로 공황 상태 경험...다음엔 화재 아니라 사이버 공격일 가능성 제기
16년이 지난 영화 ‘다이하드 4.0’이 그려낸 사이버 테러, 언제든 현실화 될 수 있어
보안 뚫기 위해 더 치열하게 고민하는 해커들, 과연 우리가 해야 할 일은?

[보안뉴스 박은주 기자] 오늘날 사이버 공간과 현실을 구분 짓는 건 무의미하다. 4차 산업혁명 이후, 사이버 세계도 사람이 살아가는 공간이 됐다. 현실과 사이버공간은 긴밀하게 연결되어 있다. 최근 일부 사이버 공간의 마비가 현실의 재난을 불러일으켰다. 그 재난은 경기도 판교의 한 데이터센터에서 피어난 불꽃에서 시작됐다.

▲영화 ‘다이하드 4.0’ 스틸컷[이미지=네이버 영화]

데이터센터 화재로 카카오 서비스가 먹통이 됐다. 카카오톡 장애로 연락이 단절됐고, 교통과 결제, 전자상거래 등 카카오가 운영하는 여러 서비스를 사용할 수 없었다. 소상공인들과 시민들이 큰 불편을 겪어야 했다. 사건 발생 10시간이 지나서야 모바일 메신저 일부가 복구됐다. 일시적인 공황 사태였다. 사이버 공간의 마비가 일상생활에 어떤 혼란을 일으키는지 카카오 사태가 보여줬다. 이번 사고의 원인은 화재였지만, 앞으로는 사이버 공격이 될 가능성이 높다는 지적이다. 화마가 데이터센터를 마비시켰듯 사이버 공격이 데이터센터를 마비시킬 수 있다는 얘기다.

지금으로부터 16년 전인 2007년 개봉한 액션 영화 ‘다이하드 4.0’에선 사이버 공격으로 공황에 빠진 사회 모습을 그려냈다. 영화 속 해커집단은 파이어 세일(Fire Sale)이라는 사이버 공격을 감행한다. 공격은 총 3단계로 이어진다. 1단계 교통 시스템 마비. 교통 시스템이 파괴돼 도로 곳곳에서 교통사고가 발생한다. 2단계 금융·통신망 마비. 백악관이 폭발하는 조작 영상과 탄저균이 유출됐다는 허위 경보로 사람들을 패닉에 빠트린다. 3단계 가스·수도·전기·원자력 시스템 마비. 국가기반시설을 위협해 결국엔 국가의 통제권을 손에 쥐려 한다. 영화처럼 극단적인 수준은 아니지만, 비슷한 양상을 띠는 사이버 범죄는 이미 여러 차례 벌어졌다.

한국에 큰 충격을 준 사건은 2013년 3월 20일에 벌어진 3.20 사이버 테러다. KBS, MBC, YTN과 농협, 신한은행, 제주은행, 우리은행 등 방송국과 금융시설이 사이버 공격을 당했다. 각 기관의 메인 서버와 직원 PC가 한날 한시에 모두 다운됐다. 조사결과 최소 1년 전부터 치밀하게 준비한 APT(Advanced Persistent Threat) 형태의 공격으로 밝혀졌다. 사건의 배후는 북한의 해킹 집단 ‘라자루스’로 드러났다.

해외에선 콜로니얼 파이프라인(Colonial Pipeline) 사태가 대표적이다. 2021년 미국 동부 지역의 석유 45%를 공급하는 콜로니얼 파이프라인 회사가 랜섬웨어 공격을 당했다. 시스템이 마비돼 콜로니얼 파이프라인은 5일 동안 모든 시설 운영을 중단했다. 그 결과 미국 내 기름 공급에 차질이 생겼다. 휘발유 가격이 오르고, 주유소 앞에는 주유를 하지 못한 차의 행렬이 이어졌다. 이처럼 사이버 테러가 국가기반시설에 타격을 주고 우리 삶에 막대한 피해를 끼친다는 사실은 이미 경험했다.

공상은 때때로 현실이 된다. ‘다이하드 4.0’이 개봉한 지 올해로 16년이 지났다. 영화의 사이버 공격은 더 이상 픽션이 아니다. 오늘날 보안위협 상황에 비춰 봤을 때 현실을 그려낸 다큐멘터리에 더 가깝다. 사이버 공격은 IT 기술이 발전한 만큼 더욱 고도화됐다. 대상에 따라 수단과 방법을 교묘하게 바꿔 공격하기도 한다.

다가오는 설날에 발생할 수 있는 다양한 사이버 공격에 조심해야 하는 이유다. 보안의 중요성은 날로 커지지만, 아직까지 보안수칙을 실천하는 일조차 쉽지 않다. 어쩌면 해커들이 보안을 뚫기 위해 더 치열하게 고민하고 있을지 모를 일이다. 이러한 무차별적인 사이버 공격에 각종 데이터와 개인정보를 스스로 지켜야 한다는 인식이 필요하다. 사이버 테러는 우리 일상에 성큼 다가왔다. 현실과 영화의 흐려진 경계 속 보안의 가치는 높아져 간다.
[박은주 기자(boan5@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)