"당신이 어제 산 물건까지 안다"…대기업 해킹 정보가 만든 '맞춤형 지옥'

지난해 주요 대기업과 공공기관을 겨냥한 대규모 사이버 침해 사고가 잇따르며 국민들의 불안감이 고조된 가운데, 유출된 정보가 피싱 범죄의 정교한 '설계도'로 악용되고 있다는 충격적인 분석이 나왔다.

인공지능(AI) 보안 기업 에버스핀이 자사의 악성 앱 탐지 설루션 '페이크파인더' 데이터를 분석한 결과에 따르면, 지난해 악성 앱 탐지 건수는 92만 4,419건으로 전년 대비 약 11% 감소했다. 표면적으로는 범죄 시도가 줄어든 것처럼 보이지만, 전문가들은 이를 '위협의 고도화'라는 더 큰 위기 신호로 해석하고 있다.

과거 해커들이 불특정 다수에게 무차별적으로 악성 링크를 뿌리는 '양적 공세'를 펼쳤다면, 이제는 해킹으로 확보한 이용자의 실명, 전화번호, 심지어 상세 구매 이력까지 동원해 특정 대상을 정밀 타격하는 '질적 타격'으로 전환했기 때문이다.

실제로 전통적인 수법인 '전화 가로채기'(정상 번호로 전화를 걸어도 사기범에게 연결되는 수법)는 24.1% 감소했고, 기관 사칭 앱 설치 유도 역시 30% 줄었다. 반면, 스마트폰 내의 문자, 연락처, 사진첩 등 민감 정보를 통째로 털어가는 '권한 탈취형' 악성 앱 설치 시도는 전년 대비 무려 53%나 급증했다.

에버스핀 관계자는 "지난해 발생한 대규모 해킹 대란은 해커들에게 '어떤 앱을 만들어야 범죄가 성공할지' 알려준 완벽한 가이드라인이 되었다"며 "이미 유출된 정보를 바탕으로 피해자의 일상에 깊숙이 침투하는 것이 요즘 피싱의 핵심"이라고 경고했다.

"악성 앱 유포만으로도 쇠고랑"…진화하는 범죄 앞 가로막는 법의 방패

범죄 수법이 은밀하고 정교해짐에 따라 사법부와 입법부의 대응도 한층 날카로워지고 있다. 과거에는 실제 금전적 피해가 발생해야 처벌이 용이했으나, 이제는 악성 프로그램을 유포하는 행위 자체만으로도 엄중한 처벌을 받게 된다.

대법원은 악성프로그램 전달·유포 행위가 실제 피해 발생 여부와 상관없이 그 자체로 범죄가 성립된다고 판시한 바 있다(대법원 2020. 10. 15. 선고 2019도2862 판결). 특히 스마트폰 권한을 장악해 정보를 빼가는 행위는 정보통신망법 제48조 위반으로 7년 이하의 징역 또는 7천만 원 이하의 벌금형에 처해질 수 있다.

법적 대응의 주요 쟁점은 다음과 같다:

• 우회 기술 차단(2024 신설): 정당한 사유 없이 보안 절차를 우회하는 프로그램이나 장치를 설치·유포하는 행위를 금지하는 조항이 신설되어 기술적 변칙 공격에 대응하고 있다.

• 기업의 책임 강화: 대법원은 해킹 사고 시 기업이 당시 보편적인 기술 수준에 맞는 보안 조치를 다했는지를 엄격히 따진다(대법원 2018. 1. 25. 선고 2015다24904 등 판결). 의무를 저버린 기업은 매출액의 3% 이하에 달하는 과징금을 부과받을 수 있다.

• 조직적 범죄 엄단: 보이스피싱 조직을 단순히 사기범으로 보지 않고, 체계적인 위계질서를 갖춘 '범죄단체'로 규정해 가담자 전원을 무겁게 처벌하는 추세다(대법원 2017. 10. 26. 선고 2017도8600 판결).

국경 없는 해킹, '사후 약방문' 입법 한계 넘어서야

하지만 법조계 안팎에서는 여전히 "법이 기술의 속도를 따라가지 못한다"는 우려가 적지 않다. 해커들이 새로운 보안 취약점을 찾아내 공격하면 법은 사후적으로 이를 보완하는 '추격자' 입장에 머물기 때문이다(대법원 2015. 2. 12. 선고 2013다43994 판결).

특히 해외에 거점을 둔 조직의 경우 국내법의 효력이 미치기 어려워 국제 공조와 범죄인 인도 조약의 실효성 확보가 시급한 과제로 꼽힌다. 또한, 이미 유출된 정보가 2차, 3차 범죄로 이어지는 것을 막기 위해 금융권과 통신사 간의 실시간 정보 공유 체계를 의무화해야 한다는 목소리도 커지고 있다.

전문가들은 "앱마켓 사업자의 사전 심사 의무를 법제화하고, AI를 활용한 실시간 탐지 시스템 도입을 서둘러야 한다"며 "범죄가 정교해지는 만큼 법제도 역시 사후 처벌 중심에서 사전 예방과 기술적 차단 중심으로 완전히 체질을 개선해야 한다"고 입을 모았다.