공개 음성채팅방에서 이야기하던 중 셉은 "우리가 맥심을 괴롭히던(bullying) 때 기억하냐?"고 장난처럼 얘기했다. 그 말을 들은 맥심은 셉의 장난스러운 의도를 알면서도 시무룩한 목소리로 "어, 그때 진짜로 슬펐지. 그때 니들이 가장 친한 친구들이었는데.."

친구들: "아냐, 우리는 그렇게 심하게 괴롭히지는 않았어. 니가 (한다고 해놓고) 안 해서 그런 거지."
맥심: "내가 그때 하던 게 바보 같은 짓인 건 알고 후회하기는 하는데..."
친구들: "너, 그때 자살한다는 거짓말을 한 열두 번은 했잖아." "멍청한 짓 했지"
맥심: "항상 말만 한  건 아니었고, 몇 번은 정말로 (자살을) 시도했어. 멍청한 짓을 했다는 건 알아. 그때는 내가 저능아처럼 굴었으니까. 지금은 후회하고."
친구들: "지금은 괜찮잖아."
맥심: : "지금이 그때보다는 낫지. 다 지나간 일인데. 우리는 가난한 해커였다가 돈 많은 머저리로 바뀌었던 거지."
친구들: "대략 그렇지."
맥심: "한심하지. 슬프지 않냐?"

이 대화를 들은 지 얼마 되지 않아 제작진은 음성채팅방에서 쫓겨났다.

이렇게 맥심과 친구들의 정체를 파고들어 가던 제작진은 자신들이 위험한 작업을 하고 있다는 사실을 인식했다. 마음만 먹으면 사람들의 개인정보를 마음대로 볼 수 있는 해커들을 취재해서 공개했다가는 그들의 분노를 살 것이고, 제작진의 신상도 안전하지 않을 것이었기 때문이다.

이런 위협은 절대 가볍지 않다. 독싱(doxing)이라 불리는 개인정보 불법 공개에서 안전한 사람은 없다고 해도 과언이 아니다. 2015년에는 미국 중앙정보국(CIA) 국장의 개인정보가 털린 사건이 있었다. 그때 해커들이 사용한 방법은 맥심이나 워디 같은 해커들이 사용하는 방법과 비슷하다. 국장이 사용하는 통신사(버라이즌)의 고객 서비스를 통해서 그의 AOL 계정에 들어가는 방법이었다. 보안 업계에서는 해킹 방법 중에서도 이렇게 사람과의 상호작용에서 그들의 감정이나 약점, 습관 따위를 이용해 정보를 얻어내는 방법을 '소셜 엔지니어링(social engineering)'이라고 부른다. 보안에서 흔히 "인간이 가장 약한 고리(weakest link)"라고 한다.

제작진 중에서도 가장 위험할 수 있다고 판단한 사람은 탐사 취재를 맡은 알렉스 골드먼(Alex Goldman) 기자였다. 문제는 그가 도대체 얼마나 큰 위험에 노출되어 있는지 알 수 없다는 것이었다. 만약 맥심 같은 해커가 작정하고 덤벼들면 골드먼의 개인 정보 중에서 어떤 것들이 공개될 수 있을까? 그는 보안 전문가에게 의뢰해서 이를 확인하기로 했다.

마이클 바젤(Michael Bazzell)이라는 이 전문가는 미국 연방수사국(FBI)에서 사이버범죄 태스크포스로 일했고, 현재는 보안 컨설턴트로 일하고 있다. 이 글을 준비하면서 그의 사진을 구하려고 했지만 쉽지 않았다. 이 분야에서 책도 썼고, 활발한 활동을 하는 사람이라 사진이 찍힐 일이 많을 텐데도 이를 잘 숨기고 있는 듯하다.

그 이유는 곧 알게 된다.

골드먼 기자는 우선 마이클 바젤이 해커인 맥심의 정체를 추적할 수 있는지 확인해 봤다. 바젤은 일반인이 사용하는 것보다 훨씬 많은 정보를 검색할 수 있는 방법을 동원해서 골드먼이 준 맥심의 소셜미디어 계정과 이메일을 찾아보고 별도의 데이터베이스들을 뒤졌지만, 아무런 정보도 얻을 수 없었다. 맥심의 친구 에반과 셉에 대한 정보도 마찬가지였다. 맥심과 친구들은 자기 정보를 숨기는 데 상당히 능숙한 것 같다고 했다.

맥심의 정체를 확인하는 게 쉽지 않자, 골드먼은 자기가 두려워하는 상황을 이야기했다. 맥심은 13만 5천 개의 계정을 턴 해커인데, 그를 취재하고 있으니 벌집을 쑤시고 있는 셈이었다. 문제는 벌에 쏘이겠느냐가 아니라, 얼마나 심하게 쏘이겠느냐였다. 바젤은 그 말에 동의하면서 "그 해커들은 기자님을 독싱할 겁니다. 집 주소 같은 개인 정보가 공개될 거고요. 그러니 그걸 기정사실로 인정한 상태에서, 밝혀지면 가장 난감할 정보가 어떤 것인지 확인해 보세요. 그걸 막을 방법이 있는지도 좀 보시고요."

해커들이 리지의 스냅챗 계정을 해킹했을 때 리지가 가장 두려워했던 건 "민감한 사진"의 존재 여부였다. 바젤은 골드먼 기자에게 그런 게 있는지, 있으면 어떤 것들인지 확인하는 게 좋다고 제안한 거다. 골드먼의 허락을 받은 바젤은 화이트햇 해커(white-hat hacker)가 되어 골드먼의 정보를 해킹하기 시작했다.

바젤: "패스워드 중에 golgo13이라는 걸 사용한 적 있어요?"
골드먼: "아, 그거 옛날에 쓰던 거예요. 이제는 안 써요."
바젤: "아, golgo12!이라는 것도 있네요. 세상에, 바꾸라고 하니까 느낌표 하나 더 붙였어요?"
골드먼: "네, 하지만 그것도 이제는 안 써요."
바젤: "사회보장번호(SSN)가 XXXX로 끝나나요?"
골드먼: (잠시 침묵) "네."

미국에서 보안과 관련해서 신분을 확인할 때 가장 자주 묻는 질문이 SSN의 마지막 네 자리다. 즉, 여기까지 해킹한 것만으로도 바젤은 소셜 엔지니어링을 사용해 골드먼의 개인정보에 아주 가깝게 다가간 것이다.

바젤: "텍사스주에서 운전면허증 발급 받은 적 있어요?"
골드먼: "네."
바젤: "딜런(Dylan)이라는 이름을 가진 동생이 있죠?"
골드먼: "네."
바젤: "기자님의 아내 사라(Sarah)의 생년월일과 SSN, 기자님의 부모님 성함도 찾았습니다."

심지어 바젤은 골드먼의 두 번째 미들네임도 찾았다. 워낙 특이한 이름이라 아무에게도 말하지 않는 이름이었는데 어떻게 알아냈을까? 골드먼은 "이제까지 옷을 잘 챙겨입고 있다고 생각했는데, 알고 보니 뒤가 트여서 알몸이 드러나 있다는 사실을 깨달은 기분"이라고 했다.

바젤이 이런 정보를 알아내는 데 얼마나 걸렸을까? 1단계 11분, 2단계 20분, 3단계 18~20분. 도합 한 시간이 채 걸리지 않았다. 바젤은 이렇게 경고했다. "저는 해킹 실력이 좋은 편이 아니에요. 기자님의 정보를 캐낼 사람은 저보다 훨씬 실력 있는 해커일 겁니다."

자신의 정보가 이렇게 쉽게 드러난다는 사실을 알게 된 골드먼 기자는 대책을 강구해야 했다. 자기의 안전만 문제가 되는 게 아니라, 아내와 아이들의 개인정보도 노출될 것이었기 때문이다. 심 카드나 은행 계좌는 문제도 아니었고, 드문 경우지만, 해커들은 개인정보를 모두 캐내어 피해자의 집을 뺏은 사례도 있었다. 그럼, 골드먼은 어떤 대책을 마련해야 할까?

우선 전화번호부터 바꿔야 했다. 그리고 새로 받은 번호로는 아무에게도 전화를 걸면 안 된다고 했다. 그 번호로 지인에게 전화를 걸면 그 지인이 폰에 골드먼 기자의 이름과 번호를 저장하는 걸 막을 수 없다. 그런데 그 지인이 실수로 흔하게 돌아다니는 불법 발신자 확인 앱(caller ID app, 안드로이드 폰에 흔하다)을 실수로 다운로드하는 순간 골드먼의 새 번호는 골드먼과 연결되어 해커들의 데이터베이스에 올라갈 수 있다. 골드먼은 13년 넘게 사용한 전화번호를 포기했고, 대학 졸업 이후로 사용하던 이메일 주소도 바꿔야 했다. 작정하고 덤벼드는 해커들로부터 개인정보를 보호하는 대가는 그렇게 컸다.

전화 통화는 어떻게 해야 할까? 기존 번호를 통해 구글 보이스(Google Voice) 번호를 부여받은 후 구글 보이스 전화번호를 사용하면 된다. 그렇게 하면 구글 보이스 번호를 거쳐서 통화를 하거나 메시지를 주고받을 수 있지만, 그 번호는 골드먼 폰에 들어있는 (통신사에서 새로 받은 번호의) 심 카드와는 무관하다. 골드먼은 그렇게 해서 해커들의 심 스와핑 시도를 차단했다.

이 과정에서 골드먼 기자가 알게 된 건, 휴대폰의 등장 이후 사회 전체가 전화번호를 개인을 인식하는 번호, 더 나아가 일종의 패스워드처럼 사용하고 있다는 사실이다. 온라인 보안과 관련한 많은 문제가 여기에서 출발한다. 비밀번호, 패스워드는 복잡하고 너무 많아 사람들은 그걸 항상 잊는다. 그런 상황이 발생하면 기업들은 그냥 전화번호를 사용해서 사용자의 신원을 확인한다. 즉, 전화번호가 새로운 SSN, 혹은 주민등록번호가 된 셈이다. 문제는 SSN이나 주민번호와 달리 우리가 전화번호를 숨기지 않고 사람들에게 마구 나눠주고 알린다는 데 있다.  

그 밖에도 바젤은 골드먼에게 패스워드 관리자 프로그램과 유비키(Yubikey, 한국에서 은행 거래에 사용하는 OTP와 비슷하다)를 사용하라고 했고, 신용 조사 기관들에 전화해서 아무에게도 정보를 제공하지 않도록 단속하게 했다. (이 경우 금융거래에 많은 불편이 따르지만, 제공하기 전에 당사자에게 직접 연락해서 확인하게 된다.) 그리고 해커들이 뒤지는—온라인 전화번호부처럼 개인 정보를 가지고 있는—웹사이트 80개를 주고, 그곳들에 있는 개인정보를 없애는 방법을 알려줬다.

바젤은 마지막으로 골드먼에게 지역 경찰서에 가서 자기가 스와팅(swatting) 당할 위험이 있음을 알리라고 했다. 스와팅은 미국 게이머들 사이에서 일어나는 장난으로, 원한을 가진 상대 게이머의 주소를 알아내 그곳 경찰에 총기를 가진 테러리스트가 있다고 허위신고를 하는 일이다. 경찰은 총기를 가진 용의자를 체포할 때는 특수부대(SWAT, Special Weapons and Tactics)를 보내는데, 그 과정에서 경찰이 게이머에 총격을 가하는 일이 발생한다. 이런 사고가 자주 발생하자, 비슷한 일을 당할 위험이 있는 사람들이 미리 경찰서에 전화해서 허위신고 가능성을 알리고 있다. 경찰이 특공대를 보내기 전에 그 주소가 리스트에 있는지 확인하게 된다.

이렇게 대비를 마친 제작진은 드디어 리지의 스냅챗 계정을 훔친 범인을 찾아낼 수 있었다. 그런데 놀랍게도 범인은 맥심도, 맥심의 친구도 아니었다.

마지막 편, '계정 해커 이야기 ④'로 이어집니다.