과학기술이 발전하면서 인류의 생활은 훨씬 편리해졌지만 남이 나의 이야기를 엿들을지 모른다는 불안감도 함께 커졌다. 통화나 대화의 내용을 가로채는 ‘도청’ 때문이다.
TV 드라마에서는 비밀이 새어 나가는 것을 막기 위해 탁 트인 공원 벤치를 찾아 정보를 교환하는 장면이 종종 등장한다. 집 전화나 휴대전화가 아닌 공중전화로 통화하라는 지시를 내리기도 한다. 이렇게만 하면 외부로부터의 도청을 막을 수 있을까.
결론부터 말하자면 ‘아니오’다. 기술은 가만히 멈춰 있지 않고 발전을 계속하므로 어떠한 방법도 ‘완벽하다’고 말할 수는 없다. 오늘은 성공적으로 막아냈다 하더라도 내일이면 또 다른 기술이 등장할 것이다. 게다가 도청은 당사자들이 모르는 사이에 은밀하게 진행되기 때문에 대비할 여유를 가지기가 어렵다.
도청을 차단하기 위한 방법은 많다. 전파도 레이저도 통과할 수 없도록 수십 센티미터 두께의 납을 상자처럼 만든 방에 들어가면 된다. 그러나 정상적인 활동도 불가능하다. 외부와 연락을 하려고 통신망을 구축하는 순간부터 또 다시 도청의 위험에 노출된다. 도청을 막는 최선의 방법은 조심성과 더불어 2중, 3중의 다각적인 대비책을 갖추는 것이다.
∎파악에서 방지까지 다단계의 대비책을 실행하라
도청 대비책은 파악 → 점검 → 탐지 → 처리 → 방지의 5단계로 나누어 진행한다. 현존하는 도청 기술을 파악하고 자신의 취약점을 분석한 후 주변을 탐지해 도청장치를 처리하고 재발을 방지하는 순서다.
첫 번째 단계는 현재 어떠한 도청 기술이 존재하는지 ‘파악’하는 것이다. 도청은 크게 직접도청, 유선도청, 무선도청, 인터넷도청, 원격도청으로 나뉜다. 직접도청은 사람의 몸이나 특정 물건에 마이크를 부착시켜 음성대화를 녹음 또는 전송하는 방식이다. 이를 제외한 나머지 방식은 간접도청이라 불린다.
간접도청 중 유선도청은 통신선으로 연결된 유선전화의 내용을 가로채며 가정, 사무실, 기업과 같은 정해진 장소의 정보를 빼낼 때 이용한다. 무선도청은 휴대전화 또는 무전기 등 암호화되지 않은 주파수를 이용하는 통신매체를 공격한다.
인터넷도청은 음성통화가 아닌 컴퓨터나 전자기기를 통해 오가는 정보를 탈취해 해독하는 방식이다. 컴퓨터에 악성프로그램을 심어 직접 빼내거나 무선인터넷의 전파를 들여다보며 필요한 정보를 골라내기도 한다. 휴대전화를 놓고 나왔다며 남에게 잠시 빌리고 도청용 프로그램을 심는 사례도 있으므로 모르는 사람에게는 개인 스마트폰을 건네주지 않는 것이 좋다.
원격도청은 통신망이 연결돼 있지 않은 상태에서도 대화나 정보를 빼내는 기술로 최근 개발되기 시작했다. 대표적으로는 적외선 레이저를 발사해 음파의 변화를 측정하는 원격 음성도청이 있다. 눈에 보이지 않는 적외선 레이저를 500m 이상 떨어진 곳에서 발사하기 때문에 도청 여부를 알아내기가 쉽지 않다.
한편으로 컴퓨터의 본체와 모니터에서 발생하는 전자파를 감시하는 원격 영상도청도 있다. 템페스트(TEMPEST)라 불리는 프로그램을 이용하면 레이저 도청처럼 수백 미터 떨어진 곳에서도 목표 위치의 모니터 화면을 그대로 재생시킬 수 있다. 내 화면에 뜨는 모든 내용이 길 건너 사무실에서도 동시에 나타난다는 뜻이다.
결국 어디에서 대화를 나누든 어떠한 통신매체를 이용하든 도청의 위험에서 벗어날 수 없다. 우리의 상상을 뛰어넘는 수준의 기술들이 개발된 만큼 이미 곳곳에서 사용되고 있을 가능성이 높다. 다만 내가 가진 정보의 값어치를 기준으로 실행 가능한 도청 기술의 범위를 좁힐 수는 있다. 별 것 아닌 정보를 캐내기 위해 고가의 장치를 사용하지는 않을 것이기 때문이다.
두 번째 단계로는 내가 사용하는 방식에 어떠한 취약점이 있는지 ‘점검’하는 것이 있다. 집이나 사무실의 유선전화는 도청이 용이하므로 민감한 내용은 이야기하지 않는 편이 좋다. 암호화돼 있지 않은 주파수를 사용하는 무선장치도 마찬가지다. 휴대전화는 일반인들이 도청하기 어렵지만 특수 장비를 사용한다면 불가능한 것만도 아니다. 비밀번호 등 중요한 사항은 음성이 아닌 글자로 전송하는 것이 비교적 안전하다.
악성프로그래밍이 설치돼 있다면 스마트폰이나 컴퓨터 모두 도청의 위험이 있다. 컴퓨터용 백신이나 탐지 프로그램을 실행해서 누군가 내 정보를 빼내지 않는지 주기적으로 점검해야 한다. 무선인터넷을 사용할 때는 공유기에 반드시 비밀번호를 설정하되 보안등급이 높은 방식을 사용해야 한다.
1234 또는 abcd처럼 단순한 비밀번호를 사용하면 낯선 사람이 접속해서 나의 정보를 들여다볼 수 있다. 문자와 숫자를 섞어서 설정하는 것이 좋지만 너무 복잡하면 다른 곳에 글자로 적어두었다가 노출될 수 있다. 개인적인 추억이 얽혀서 쉽게 떠올릴 수 있는 문자와 숫자를 하나로 뒤섞어 결합시키는 것도 방법이다.
∎도둑을 잠시 지체시킬 뿐 완벽히 막을 수는 없다
세 번째, 나의 주변에 도청장치가 있는지 ‘탐지’한다. 직접도청 여부를 알아낼 때는 레이더를 활용한 전파탐지기를 이용한다. 특정한 전파를 발사해서 벽이나 물체에 부딪혀 되돌아오는 신호만을 감지하는 것이다. 특히 전자제품에 쓰이는 반도체를 검출하는 전파를 발사하면 벽 뒤에 카메라나 마이크가 있는지 쉽게 알아낼 수 있다. 레이더가 아닌 엑스선을 이용하기도 한다.
유선도청에 대해서는 기기가 주고받는 전자신호의 스펙트럼을 분석해 다른 곳으로 정보가 새지 않는지 점검한다. 무선도청 여부를 알아내려면 주파수 탐지기를 이용해 현재의 위치에서 오가는 모든 주파수를 스캔해 도청장치에 전달되는 신호를 찾아낸다. 인터넷도청에 대해서는 인터넷망에 연결된 기기 자체를 점검하는 방식이 일반적이다.
네 번째, 장치가 작동하지 못하도록 무력화시켜 ‘처리’한다. 유선도청이나 무선도청을 막을 때는 암호로 이루어진 비밀코드를 부여해 음성을 변조시키는 비화기(통신 기기에서 나오는 전송 신호를 다른 사람이 해독하지 못하도록 암호화하는 장치)를 장착한다. 메시지를 받는 쪽에서도 비화기를 설치해야만 암호화된 내용을 풀 수 있으므로 비화기의 내부 코드가 누설되지 않는 한 웬만큼 방어는 가능하다.
인터넷도청은 좀 더 복잡하다. 수많은 정보가 동시에 다량 전송되기 때문에 그 중에서 도청 신호만을 골라내기가 어렵기 때문이다. 가장 손쉬운 방법은 인터넷을 사용하는 컴퓨터와 스마트폰에 점검 프로그램(안랩 V3, 네이버 백신, Microsoft Security Essentials 등)을 설치하고 중요한 정보는 암호화된 이메일로 보내는 것이다.
스마트폰에서 많이 사용하는 메신저 프로그램은 보안에 취약하므로 비밀을 유지하기가 어렵다. 심지어 중고로 구입한 스마트폰에서 이전 주인의 사진이나 메신저 대화내용을 복원하는 일도 불가능하지 않다. 이 때문에 기업과 기관에서는 업무 전용 스마트폰을 지급하고 반납된 기기는 완전히 파쇄한다.
원격도청은 특수 장비를 갖춘 별도의 공간을 마련해서 막아낸다. 오바마 미국 대통령은 해외순방 때마다 도청 방지용 특수천막을 설치해 회의를 진행한다. 얼마 전에는 박원순 서울시장이 집무실에 도청방지 처리를 하기도 했다.
마지막 단계는 앞의 단계를 주기적으로 반복해 도청 위험을 ‘방지’하는 것이다. 방지 기술이 발전하면 금세 새로운 도청 기술이 등장하기 때문에 원천적으로 막아내는 것이 불가능하다. 남이 캐낼 만한 가치가 있는 정보는 음성통화나 메신저 대화를 통해 이야기하지 않고 파일로 작성해 별도의 암호를 걸어 전송하는 것을 추천한다.
도둑을 막는 완벽한 방법은 없다. 다만 여러 겹의 자물쇠를 채워 시간을 지체시킬수록 발각되거나 체포될 확률도 높아지므로 도둑의 침입을 줄일 수는 있다. 이렇게 보안이 강화될수록 주인의 생활도 불편해지기 마련이다. 하지만 귀찮고 번거롭다는 이유로 보안장치를 허술하게 해 놓아서는 안 된다. 컴퓨터를 켤 때나 인터넷 접속할 때 사용하는 비밀번호가 유출되지 않도록 하고 가치 있는 정보를 주고받을 때는 다단계의 보안 대책을 반드시 거쳐야 후회가 없다.
글 : 임동욱 과학칼럼니스트
'KISTI와과학' 카테고리의 다른 글
몸안에 숨겨진 지방을 찾아라 (KISTI) (0) | 2014.03.02 |
---|---|
뚱뚱한 사람, 미세먼지도 많이 먹어 (KISTI) (0) | 2014.03.01 |
감기전염, 재채기보다 콧물을 조심하라 (KISTI) (0) | 2014.02.27 |
버려지는 태양에너지, 전기로 생산 한다 (KISTI) (0) | 2014.02.26 |
비트코인의 암호화 원리 (KISTI) (0) | 2014.02.25 |