스파이, 그들이 온다 - 피트니스 앱이 암살자 불렀다 

센서, 통신기술 내장 IoT 기술확산 
군기지, 병력이동 상황 노출 위험
사이버 토막정보도 철저히 관리를

전 세계에서 달리기, 사이클링, 하이킹 등 스포츠를 취미로 하는 사람들이 가장 많이 사용하는 스포츠 앱 스트라바(STRAVA)가 지난달 한국 시장에서 서비스를 중단했다. 스트라바는 스마트폰에 내장된 위성위치확인시스템(GPS)을 활용해 특정 구간별로 이용자 순위표를 알려준다.

또 동일 구간에서 자신의 현재·과거 기록뿐만 아니라 비슷한 위치에서 운동한 다른 사람들의 기록을 비교할 수 있는 앱이다. 운동 관련 정보를 주고받는 커뮤니티 또한 대규모로 형성돼 세계 1억3000만 명이 사용할 만큼 인기 있는 앱이다.

이번 철수 결정은 스트라바 앱이 사용자의 동의를 받지 않고 마이크 등 휴대전화의 일부 기능에 접근하는 것에 대해 방송통신위원회와 한국인터넷진흥원(KISA)이 보안상 문제를 지적하며 시정을 요구하자 스트라바 측이 시장 규모를 고려해 개선보다는 철수를 택한 데 따른 것으로 알려졌다.

단순히 운동을 돕는 피트니스 앱의 보안이 정말로 중요한 것일까? 스트라바의 보안 문제는 세계적으로 여러 차례 이슈화된 적이 있다. 2018년에는 이라크·시리아에 주둔하던 미군기지 위치와 장병들의 활동반경이 스트라바의 ‘히트맵(사용자들이 운동한 위치정보를 지도상에 표시해 주는 서비스)’을 통해 노출돼 안보상 위험을 초래했다는 논란이 있었다. 이를 계기로 미군은 피트니스 트래커(휴대전화와 연동한 웨어러블 기기) 사용을 제한하는 규정을 만들기도 했다.

2023년 7월에는 스트라바를 애용하던 러시아 해군 퇴역 장교 스타니슬라프 르지츠키가 조깅 도중 암살됐는데, 암살자가 스트라바의 위치 정보를 활용한 것으로 알려져 충격을 주기도 했다. 르지츠키는 2022년 7월 순항미사일로 우크라이나 빈니차 도심을 공격해 많은 민간인 사상자를 낸 잠수함 크라스노다르함의 전임 함장이다. 평소 스트라바에 자신의 달리기 기록이 공유되도록 설정했고, 암살자는 이를 통해 그의 새벽 조깅 코스를 알아내 현장에서 대기하다 권총 7발을 발사했다.

피트니스 앱이 표적의 정확한 위치와 이동 경로를 예측할 수 있도록 암살자를 도운 것이다. 암살을 기획한 것으로 추정되는 우크라이나 국방정보국(GUR)의 의도는 보복에 대한 두려움으로 러시아군 주요 인사를 심리적으로 위축시키고, 장병들의 사기를 떨어뜨리는 데 있었을 것이다.

한편 프랑스 르몽드지는 지난해 10월 주요 인사 경호원들의 스트라바 사용 기록을 추적해 2023년 바이든 대통령이 시진핑과 회담 시 샌프란시스코에서 묵었던 호텔, 푸틴 대통령이 보스토치니 우주기지에서 김정은을 만나기 직전 인근에서 운동한 사실, 2021년 마크롱 대통령이 휴양지 옹플뢰르에서 비공개로 주말을 보냈다는 것 등을 알아낼 수 있었다고 보도하기도 했다.


사물인터넷이 위험하다 

사물인터넷(IoT)은 각종 기기에 센서와 통신기술을 내장해 인터넷으로 연결, 기기들이 서로 정보를 주고받으며 작동하는 것을 말한다. 미래 사회를 상징하는 키워드 중 하나로, 이미 우리 생활 깊숙이 자리 잡고 있으며, 무서운 속도로 확산 중이다.

첨단기술 관련 조사기관으로 널리 알려진 ‘ABI리서치’는 전 세계 IoT 연결기기 수가 2026년까지 700억 개에 달할 것이라고 예상했다. 미래학자 제러미 리프킨은 “2030년쯤에는 100조 개의 센서가 세상을 읽고 기록할 것”이라고 주장했다. 이미 컴퓨터·전화기뿐만 아니라 TV, 냉장고, 스피커, 청소기 등 가전기기와 개인용 웨어러블 기기 및 자동차 등이 인터넷에 연결돼 더 많은 콘텐츠, 더 편리한 서비스를 제공하고 있다.

하지만 이들 기기는 데이터 저장과 계산 능력의 제한, 소프트웨어 업데이트 등을 위해 클라우드 환경에서 중앙 집중식으로 관리되고 있다. 편리해진 것은 사실이지만 이를 누리기 위해서는 더 많은 정보를 이들 시스템에 제공해야 하며, 때로는 이것이 우리를 위험에 빠뜨릴 수 있다.

휴대전화를 해킹해 통화 내용과 저장된 정보를 빼내는가 하면 TV를 통해 실내 대화 내용을 도청할 수 있다. 거실의 월패드나 로봇 청소기의 카메라가 촬영한 영상이 유출돼 심각한 문제를 일으키기도 한다. 자동차의 경우는 더 심각하다. 자율주행 기능이 급속히 확대되는 가운데 미국 라스베이거스와 독일 베를린에서는 원격으로 운전하는 텔레드라이빙 기술이 상용화돼 렌터카를 무인 배송해 주고 있다고 한다. 이들 커넥티드카는 카메라·레이다·라이다·초음파 등 각종 센서를 통해 사용자 위치 정보와 민감시설의 영상 정보를 수집할 수 있고, 심지어 사고를 위장해 탑승자를 살해할 수도 있다.

2015년 미국 자동차회사 크라이슬러는 16㎞ 거리에서 자사 자동차가 해킹되는 것을 확인하고, 140만 대를 자발적으로 리콜하기도 했다. 2023년 캐나다에서 열린 해킹대회에서는 주행하는 테슬라 자동차의 도어와 트렁크를 2분 만에 열기도 했다. 특히 스마트 워치, 스마트 밴드 등 피트니스 목적의 웨어러블 기기들은 건강관리에 매우 유용하지만 배터리 수명·성능을 위해 하드웨어 사양이 제한돼 강력한 암호나 보안 기능을 적용하기 어렵기에 더욱 취약할 수밖에 없다.

더군다나 같은 종류의 운동을 하는 사람들끼리 경쟁심을 유발해 더 열심히 하도록 운동 내용과 장소·성과 등을 공유하는 기능은 정확한 위치 정보, 이동 경로까지 지도에 표시해 거주지까지 추정할 수 있게 해 준다. 더 큰 문제는 중요한 군사기지 위치, 장병들의 순찰로, 병력 이동 상황까지 노출될 위험이 있다.


안전한 연결을 위해 사이버 보안이 중요 

기술 진보에 따라 모든 사물이 연결되는 세상은 편리함을 추구하는 인간의 욕구를 충족시키기 위해 거스를 수 없는 대세인 것이 맞지만, 안전을 위해서는 적절한 보안 대책이 필요하다. 더 많은 기기가 인터넷에 연결된다는 것은 더 많은 내 정보가 수집되고 있다는 것을 의미하기 때문이다. 그런데도 사이버 보안을 위한 관심과 노력은 기술 발전을 따라가지 못하고 있는 것 같다. 세계적으로 가장 많이 사용되는 비밀번호가 아직도 ‘123456’이라는 것이 이러한 인식을 잘 보여주는 사례다.

누구나 알고 있고 쉬운 일이지만 잘 실천하지 않는 것이 비밀번호 설정과 주기적인 관리다. 컴퓨터에 비밀번호를 설정하듯이 IoT 기기들을 사용할 때는 판매 시 기본 세팅된 비밀번호를 바꿔야 한다. 인터넷 공유기를 설치하고 초기 비밀번호를 바꾸지 않으면 외부에서 접속해 사용자의 정보를 빼내 갈 수 있다.

데이터 암호화, 주기적인 소프트웨어 업데이트를 통한 취약점 보완 등도 필요하다. 사물인터넷을 통해 유출되는 정보는 매우 단순하고 사소한 것에 불과하다고 생각할 수 있지만 인공지능(AI) 출현으로 상황은 심각해졌다. AI의 도움으로 더욱 정교한 해킹이 가능해졌고, 인간의 힘으로는 분석 불가능한 다양한 형태의 방대한 데이터를 AI로 분석해 중요한 정보를 추출할 수 있기 때문이다.

표적 인물을 찾아내 신원과 동향을 수집할 뿐만 아니라 일반 국민의 성향과 여론 등 영향력 공작에 사용될 만한 정보도 분석이 가능하다. 파편화된 개인정보도 모이면 국가 전략정보가 될 수 있는 시대임을 고려해 중요 기관이나 군에서는 구성원이 개인정보를 더 철저히 관리하도록 교육과 홍보에 각별한 신경을 써야 할 것이다.