해커가 UCC 사이트에 '마빡이' 동영상 파일을 올린다. 국가기관 보안담당자가 호기심에서 동영상을 다운받아 이를 클릭하는 순간 해커의 PC가 피해자의 PC에 바로 연결된다.

27일 국가정보원이 '사이버안전의 날' 행사의 일환으로 마련한 해킹 시연. 참관자들은 사이버 공격자와 피해자, 단계별 피해상황을 보여주는 3대의 대형 컴퓨터를 보며 입을 다물지 못했다.

마빡이 동영상에는 이용자의 PC에 몰래 접속해 통제할 수 있는 악성코드가 숨겨져 있었던 것. 이를 통해 해커는 피해자의 PC에 접속해 'FTA 협상전략'과 '외국 대통령 방문시 경호시스템 운영계획'을 순식간에 빼냈다.

만약, 해커가 이 정보를 외국 테러조직에 넘길 경우, 방한중인 외국 대통령의 이동경로가 확보돼 물리적 테러에 악용될 수도 있다고 국정원측은 지적했다.

물론 이날 이뤄진 해킹은 실제가 아닌 가상 상황이다. 그러나 결코 현실상황과 다르지 않다는 게 문제다. 동영상 파일에 악성코드를 숨겨놓는 방법은 해커들 사이에 일반화된 지 오래다.

실제 세계적인 동영상 사이트 '유튜브닷컴'에 올려진 동영상 UCC에서 악성코드가 잇따라 발견되면서 충격을 안겨줬다. 국내 상황도 다르지 않다. 굳이 동영상 UCC는 아니지만 중국의 한 해커가 국내 게임이용자의 정보를 빼내기 위해 플래시 파일속에 악성코드를 교묘히 숨겼던 사례도 적발됐다.

UCC 열풍을 타고 하루에도 수만개씩 올라오는 동영상 UCC가 이미 사이버 범죄의 주된 수단으로 악용되고 있다는 얘기다. 만약 국가기관의 주요 당직자가 한순간 방심할 경우, 이번 해킹시연처럼 대형 테러로까지 확대될 수 있다는 게 보안 전문가들의 한결같은 지적이다. 개인 이용자나 기업들도 마찬가지다. 동영상 UCC 하나로 소중한 개인정보나 기업 기밀정보가 통째로 빠져나갈 수 있다.

그럼에도 불구하고 아직까지 UCC나 UCC사이트를 악용한 사이버 범죄에 대한 근본적인 예방책은 논의조차 이루어지지 않고 있다. UCC 붐과 맞물려 수십수백여개의 UCC 서비스들이 등장하고 있지만, 이용자들에 대한 보안대책을 내놓는 업체는 거의 전무한 실정이다.

"제2의 1.25대란은 UCC를 통해 이루어질 것"이라는 일부 보안전문가들의 경고가 조만간 현실화되는 것 아니냐는 기자의 우려가 기우이길 바랄 뿐이다. 무엇보다 서비스 설계부터 보안에 대한 충분한 숙고가 이루어질 수 있는 근본적인 제도책 마련이 시급해 보인다.
성연광기자 saint@
<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이>