얼마 전, 영국의 유튜버 Zac Alsop이 충격적인 실험을 공개했다. 전직 범죄자와 화이트 해커에게 자신의 신원을 도용해보라고 의뢰한 것이다. 결과는 상상을 초월했다. 불과 며칠 만에 해커들은 그의 이름으로 은행 계좌를 만들고, 대출을 받고, 암호화폐로 자금을 세탁한 뒤, 해외에 부동산까지 구매했다. 정작 본인은 자기 명의의 집이 해외에 생겼다는 사실을 실험이 끝난 뒤에야 알았다. 남의 이야기처럼 들릴 수도 있겠지만, 이 실험이 보여주는 위험은 스마트폰과 소셜 미디어를 사용하는 우리 모두에게 해당된다.
이 실험에서 가장 주목할 점은 해킹의 시작이 고도의 기술이 아니었다는 것이다. 해커들이 가장 먼저 한 일은 사무실 건물 밖 쓰레기통을 뒤진 것이었다. 거기서 파쇄되지 않은 은행 명세서, 전화번호가 적힌 메모, 이메일 주소가 인쇄된 서류가 쏟아져 나왔다. 보안 전문가들이 “덤스터 다이빙”이라 부르는 이 원시적 수법은 디지털 시대에도 여전히 가장 효과적인 정보 수집 방법 중 하나다. 우리가 아무렇지 않게 버리는 종이 한 장이 범죄의 출발점이 된 셈이다. 실제로 전 세계 신원 도용 범죄의 상당수가 이처럼 디지털이 아닌 물리적 경로에서 시작된다는 점은 시사하는 바가 크다.
물론 쓰레기만으로 신원 도용이 완성된 것은 아니다. 해커들은 링크드인과 인스타그램 같은 소셜 미디어에서 직장 정보와 생활 패턴을 파악했고, “와이파이 파인애플”이라는 장비로 가짜 무선 네트워크를 만들어 통신을 엿들었다. 이후 사무실 건물에 물리적으로 침입하여 은행 카드와 계약서까지 탈취했다. 그리고 결정적으로, 유튜브에 공개된 영상을 인공지능에 학습시켜 Zac의 얼굴을 실시간으로 합성하는 딥페이크를 완성했다. 이 가짜 얼굴로 은행의 비대면 본인 확인 절차를 거뜬히 통과한 것이다. 디지털 공격과 물리적 침입이 결합된 치밀한 작전이었다.
여기서 우리가 직시해야 할 현실이 있다. 이 모든 과정에서 사용된 정보는 피해자가 스스로 세상에 내놓은 것들이었다는 사실이다. 인스타그램에 올린 사진, 링크드인에 기재한 경력, 파쇄하지 않고 버린 서류, 유튜브에 업로드한 영상. 개별적으로는 무해해 보이는 이 정보 조각들이 전문가의 손에 한데 모이면 한 사람의 정체성을 통째로 복제할 수 있는 열쇠가 된다. 보안 전문가들은 이를 두고 “정보의 파편성은 안전을 보장하지 않는다”고 경고한다.
그렇다면 평범한 개인이 할 수 있는 일은 무엇일까. 첫째, 개인정보가 담긴 서류는 반드시 파쇄기로 처리한 뒤 버려야 한다. 은행 명세서, 택배 송장, 병원 영수증 모두 해당된다. 둘째, 공공장소에서 출처가 불분명한 와이파이에 접속하지 않아야 한다. 카페나 공항에서 아무 생각 없이 연결하는 그 무료 와이파이가 해커의 함정일 수 있다. 셋째, 소셜 미디어에 올리는 정보의 범위를 스스로 점검해야 한다. 생일, 출신 학교, 근무지, 반려동물 이름 등은 모두 신원 도용의 기본 재료가 된다.
비밀번호에 대한 상식도 바꿀 때가 되었다. 2003년 미국 국가표준기술연구소(NIST)의 빌 버라는 직원은 대문자, 숫자, 특수문자를 섞고 90일마다 비밀번호를 바꾸라는 유명한 지침을 만들었다. 하지만 그는 훗날 인터뷰에서 “내가 했던 것의 상당 부분을 후회한다”고 고백했다. 사람들은 복잡한 규칙 앞에서 “aaa1”을 “aaa2”로 바꾸는 식의 꼼수만 부렸고, 정작 보안은 나아지지 않았기 때문이다. 이후 NIST는 2017년 지침을 전면 개정하여, 짧고 복잡한 비밀번호 대신 길고 기억하기 쉬운 문장형 암호를 사용하되, 자주 바꿀 필요는 없다는 방향으로 전환했다.
디지털 시대의 보안은 비밀번호 하나로 완성되지 않는다. 내가 무심코 세상에 흘리는 정보의 총합이 곧 나의 보안 수준이다. 쓰레기통에 버린 종이 한 장, 소셜 미디어에 올린 사진 한 장이 누군가에게는 당신의 인생을 훔치는 열쇠가 될 수 있다. 신원 도용은 당한 뒤에 수습하기가 극도로 어렵다. 피해를 입증하고 이를 원상 복구하는 데 수개월에서 수년이 걸리기도 한다. 오늘 집에 돌아가면 파쇄기부터 꺼내보자.