어느덧 우리에게 중요한 키워드가 되어버린 보안에 대한 이야기를 영화라는 매개체를 통해 좀 더 쉽고 재미있게 다뤄보고자 한다. [편집자말]

진실에 접근해야 하는 기자들의 활약상을 다룬 영화들도 첩보영화 못지않게 보안과 관련 된 장면들이 자주 등장하곤 한다. 그래서 오늘은 한 편의 미디어 무비를 통한 보안이야기를 해보고자 한다. 다루고자 하는 작품은 영화 <특별시민>을 연출했던 박인제 감독의 영화 <모비딕>이다. 배우 황정민, 진구, 김민희, 김상호를 주연으로 내새운 이 영화는 2011년 6월에 개봉해 당시 43만 관객을 동원했다.

영화 <모비딕>은 1990년 보안사 소속으로 근무했던 윤석양 이병이 정부가 1303명의 민간인을 대상으로 불법사찰을 실시하고 있다고 양심선언을 했던 실화를 모티브로 하고 있다. 당시 보안사가 민간인 사찰을 목적으로 운영하던 위장카페의 이름이 '모비딕'이었는데, 이를 그대로 영화의 내용과 제목으로 차용했다.

<모비딕>은 유명한 향유고래의 이름으로 영화 속에선 실체를 가늠하기 힘든 거대한 존재를 뜻하기도 한다. 충무로 최초의 음모론을 소재로한 신선함은 물론, 1990년대 향수를 불러일으키는 시대적 공기를 잘 담아내고 있다. 또한 취재과정의 사실적 묘사를 통한 투철한 기자정신을 느낄 수 있는 작품이기도 하다. 영화는 개봉 당시에 MB정권의 불법사찰과 맞물려 관심을 받기도 했다.

투철한 기자정신으로 진실을 파헤치는 이들


영화는 '1994년 서울 근교에 위치한 발암교 폭파 사건을 간첩이 주도했다'는 정부의 발표에 의문을 품은 사회부 기자들이 사건을 조작하는 알 수 없는 세력을 추적하는 이야기를 담고있다. 발암교 폭파사건이 터진 직후 열혈 사회부 기자 이방우(황정민)에게 고향 후배인 윤혁(진구)이 찾아와 발암교 사건이 조작됐다며 결정적 증거인 플로피 디스크를 전달해준다.

하지만 암호가 걸린 플로피 디스크는 무용지물일뿐이다. 네 자릿수 암호일지라도 키보드 자판으로 만들 수 있는 암호의 경우의 수는 무려 167만 개에 달한다. 결국 방우는 베테랑 기자 손진기(김상호), 후배기자 성효관(김민희)과 함께 특별 취재반을 꾸려 맨몸으로 발암교 사건의 진실을 파헤치기 시작한다.

하지만 기자들은 정체를 알 수 없는 조직에게 끊임없이 도청을 당하며 취재에 어려움을 겪는다. 그렇지만 '이에는 이'라고 성효관의 기지로 그들의 아지트를 도청하는 데 성공한다. 도청된 음성 녹음테이프를 돌려 듣던 이방우는 카세트 너머로 들려오는 희미한 자판소리 소리를 감지한다. '딱.따닥.딱' 바로 패스워드를 치는 소리였다.

이 소리를 통해 이방우와 성효관은 패스워드의 2, 3번째 글자가 동일하단 걸 알게 된다. 사실상 암호는 네 자릿수가 아닌 세 자릿수가 되었고, 만들어질 수 있는 경우의 수가 167만 개에서 4만 개로 급감하게 된다. 4만 개도 결코 적은 숫자가 아니지만 그들은 '1223' 같은 패턴으로 패스워드를 대입해보기 시작한다. 그들은 결국 며칠 밤을 새워 암호를 알아냈고, 사건의 진실을 파해 칠 수 있는 정보를 입수하게 된다.

기자들의 진실을 향한 집념이 돋보이는 이 장면을 통해 나는 패스워드에 대한 보안이야기를 꺼내보고자 한다. 영화 속에서 패스워드를 알아내는 방식이 참으로 무식해 보이지만 실제로 해커들이 사용하는 방식이다. 보안분야에서는 이런 해킹수법을 '무작위 대입 공격(brute force attack)'이라고 한다. 21세기에도 많은 사람들이 보안유지를 위해 중요문서에 암호를 설정하고 있다.

무식하게 대입하는 방법, 지금도 유효하다

기술만큼 암호해제 툴이 발달하여 '무작위 대입 공격'은 사람이 아니라 암호해제 프로그램이 대신하고 있다. 무작위 대입공격은 파일의 암호를 알아내는 것뿐만 아니라 온라인사이트의 계정 암호를 알아낼 때도 많이 쓰이고 있다. 하지만 2000년대 중반 이후 많은 대형 사이트들은 이러한 보안문제를 해소하기 위해 로그인에 대한 몇 가지 보안조치를 실시하고 있다.

첫째는 '패스워드 입력 횟수 제한'으로 일정 횟수(보통 5회) 이상 입력이 잘 된 경우 계정을 잠가버리거나 접속에 제한을 두는 조치이다. 둘째는 로그인에 실패 했을 경우 ID와 패스워드 중 어떤 항목이 틀렸는지 불명확하게 알려주는 것이다. (예. "아이디 또는 패스워드가 정확하지 않습니다") 셋째는 사용자에게 좀 더 복잡한 패스워드 설정을 요구하는 것이다. 숫자, 영문, 특수기호 포함한 10자리 이상을 설정하게 한다. 넷째는 일정 기간(보통 3개월)이 지나면 패스워드를 변경하게 요구하는 것이다.

당신의 암호를 보호하고 싶다면


그렇다면 지금도 무작위 대입 공격이 온라인 사이트에서도 유효할까? 놀랍게도 지금도 온라인 사이트에서도 이런 기초적인 구닥다리 공격이 아직도 유효하다. 아직도 많은 사이트들이 이런 조치를 하고 있지 않기 때문이다. 대표적인 사건으로 2014년 8월에 벌어진 아이클라우드 해킹 사건이 있다.

당시 주요 피해자는 미국 최고 여성 스타들로 배우 제니퍼 로렌스를 비롯해 아이돌 가수 빅토리아 저스티스, 유명 모델 케이트 업튼, 팝 가수 아리아나 그란데 등이 아이클라우드에 저장해 놓은 누드 사진이 해킹 당해 소셜미디어로 확산되었었다. 이 해킹이 아이폰에 탑재된 '내 아이폰 찾기(Find My iPhone)' 서비스의 취약성에서 비롯됐다. 당시 내 아이폰 찾기 서비스는 무차별 대입공격(brute force attack) 취약점에 노출된 것이 드러났다.

사건 전까지 애플 내 아이폰 찾기 서비스에 틀린 암호가 여러 번 입력돼도 계정이 정지되지 않았던 것이다. 애플은 사건 이후에야 뒤늦게 해당 조치를 취했었고 이 사건은 보안에 자부하던 애플의 명성에 큰 흠집을 냈었다.

현재도 대형 포탈 사이트가 아닌 웹사이트들에서 부실한 로그인 보안을 발견 할 수 있다. 사용자는 내가 이용하는 사이트의 보안상태를 100% 신뢰할 수 없기 때문에 우리 스스로 패스워드 관리에 신경을 써야 한다. 몇 가지 안전한 패스워드 설정을 안내하자면 아래와 같다.

첫번째, 암호 설정은 최소 10자리 이상으로 한다.
두번째, 영문과 숫자 그리고 특수 기호를 반드시 모두 포함한다.
세번째, 연속된 문자를 사용하지 않는다. (예. abcd,1234)
네번째, 연속된 자판으로 만들지 않는다. (예. 1qaz2wsx, 1q2w3e)
다섯번째, 유추될 수 있는 영단어는 사용하지 않는다.

간단하게 당신이 사용하는 패스워드가 풀리는데 걸리는 시간을 측정하는 사이트가 있다. 바로 "HOW SECURE IS MY PASSWORD?"(https://howsecureismypassword.net/)란 사이트로 당신이 사용하는 패스워드를 기입하여 안전도를 측정할 수 있다.

필자가 사용하고 있는 12자리 암호(영문, 숫자, 특수기호 포함)는 이 사이트 결과에 의하면 무려 2000년이 걸린다. 당신이 산업보안 담당자라면 직원들에게 한 가지 더 당부할 사항이 있다. 바로 개인적으로 사용하는 패스워드와 회사 내부시스템의 패스워드를 다르게 설정하게 하는 것이다. 직원의 개인 계정정보가 탈취되어 회사 내부시스템까지 위험에 처하는 일은 막아야 할 테니 말이다.