[기자수첩] '로그'는 말했지만 '기억'으로 남기지 못한 이들

SKT와 금감원의 사후약방문 대응 로그는 있었지만, 해석 철학 없어 해커는 무너진 시스템을 찾았을 뿐

2025-05-24     이상헌 기자
인간은 시간–의도–맥락으로 사고하지만, 로그는 시간–이벤트–코드라는 기계적 구조로 나열된다. 인간은 ‘이상하다’는 감각이 있어야 로그를 들여다보지만, 로그는 처음부터 끝까지를 차분히 기록할 뿐이다. /여성경제신문DB

# 기억은 언제나 그 자리에 살아 있다. 다만 대부분은 들여다보려 하지 않는다. 의미는 늘 눈앞에 있지만 꺼내어 볼 줄 아는 이는 매우 드물다. 모든 기억은 이런 식으로 사라진다. 해커들의 로그 역시 기록은 있었지만 누구도 그 흔적을 읽어내려는 시도조차하지 않았다. 결국 정적이 말보다 먼저 스며들었고 시스템은 조용히 무너졌다.

2025년, 법인보험대리점(GA) 유퍼스트와 하나금융파인드에서 발생한 해킹 사고는 관리와 감시의 부재가 빚은 개인정보 대참사였다. 14개의 관리자 계정이 한 대의 개발자 노트북에 무방비로 집중 저장돼 있었고 외부 접속 시도와 이상 징후는 사고 수주 전부터 로그에 또렷이 기록돼 있었다. 그러나 기록은 남았을 뿐, 누구의 눈에도 포착되지 않았다.

국가정보원이 최초로 인지한 GA 해킹 사고는 ‘일반 검색엔진으로는 접근 불가’한 수준의 폐쇄형 웹사이트에서조차 기초 보안이 무너져 있었다는 점에서 충격적이다. 국정원이 뒤늦게 침해 사실을 통보받고 GA(법인보험대리점) 시스템을 점검했을 때는 이미 다수의 접속 흔적과 계정정보 유출 정황이 명확히 확인됐다.

이런 사고는 어느 날 갑자기 일어나지 않는다. 시스템은 먼저 알아차리고 조용히 경고한다. 또 그 흔적은 ‘로그’에 고스란히 남는다. 문제는 누구도 그 경고를 해석할 생각이 없었다는 점이다. 로그는 말하고 있었지만 아무도 듣지 않았다. 이후 "문자 클릭을 주의하세요"라는 금융감독원의 조치는 무의미한 제스처에 불과했다.

로그는 단순한 기록이 아니다. 그것은 보이지 않는 행동의 궤적이며 시스템 내부의 진실을 말하는 유일한 증언자다. 하지만 인간들은 로그를 ‘남기기 위한 절차’로만 여긴다. 어디엔가 저장을 하지만 분석하지 않고, 이상 징후를 감지해도 해석하지 않는다. 한국을 덮친 사이버 위기는 로그를 뚫고 온 게 아니라 로그를 무시한 인간 사이를 침투했다.

SK텔레콤 유심(USIM) 사건은 그 결정판이다. 무려 3년에 걸친 은닉 침투, BPF 도어라는 고도화된 해킹 기술. 모든 흔적은 로그에 남아 있었다. 그러나 중앙 관제 시스템은 ‘정상’으로 분류했고, 이상 패턴은 필터링되었다. 로그는 분명 ‘말하고’ 있었지만 아무도 그 지도를 펼쳐보지 않았다. “라자루스 가능성은 아직 확인되지 않았다”는 수사 당국의 주장은 사실상 너무 깊숙이 침투당해 정상과 이상을 구별할 수 없는 상태임을 인정한 말이다.

BPF도어는 흔적 없이 침투해 ‘매직 패킷’이라는 신호가 오기 전까지는 잠복하는 고도화된 해킹 수법이다. 별도의 리슨 포트를 열지 않기 때문에 대부분의 보안 시스템은 이를 ‘정상’으로 간주했고, 감염된 서버조차 스스로 이상 징후를 감지하지 못한 채 수년간 악성코드를 품은 채 작동했다.

유심정보 유출 사태를 수습 중인 SK텔레콤이 해외 로밍 고객을 포함한 전체 사용자의 유심 보호 서비스 가입을 완료했다고 발표한 14일 서울 시내 한 SKT 매장에 유심보호서비스 관련 안내문이 표시돼 있다. /연합뉴스

SK텔레콤 유심 사태가 장기간 감지되지 않았던 배경에는 이 침묵형 도어의 존재가 있었고 해커의 조용한 침투는 매일같이 시스템 로그에 기록되고 있었다. BPF도어는 실제로 일반적인 서버용 백신이나 EDR(엔드포인트 위협 대응 솔루션)으로도  탐지는 가능하다. 그럼에도 통신 시스템 장애 우려, 서비스 중단 리스크, 운영 안정성이라는 이름 아래 보안은 나중에 해도 되는 일로 밀려났다.

특히 로그가 5개월밖에 보관되지 않는다는 사실은 인간의 기억력보다 못한 시스템 설계의 결과다. 수십억 원을 들여 보안 인프라를 구축하면서도 정작 ‘기억을 얼마나 유지할 것인가’에 대한 철학은 없었다. 결국 기록은 남았지만, 시간이 허락하지 않았다. 로그는 흔적을 남지만 기억은 5개월 뒤 자동으로 사라졌다. 

결국 잃어버린 기억을 찾아 헤매는 습관은 고쳐지지 않았다. 너도나도 부랴부랴 시스템 점검과 로그를 찾아 나섰지만 정작 로그는 이미 지워진 뒤였다. 로그인과 로그아웃은 누가, 언제, 어디서 시스템에 접근했는지를 파악하는 기록의 출발점이다. 해킹 역시 ‘로그인 시도’나 ‘비정상 로그아웃’ 같은 형태로 흔적이 남아 침투 행위를 분석할 때 가장 먼저 추적하는 정보다. 금융감독원이 통합관제시스템을 만들겠다는 건 "이제라도 제대로 로그인 기록 좀 들여다보겠다"는 뜻이지만 이미 터진 사고에선 너무 늦은 반응이다.

라자루스가 오기도 전에 이미 문은 열려 있었다. 해커들은 흔적을 안 남기는 게 아니다. 기록을 조작하고 스스로 지운다. 또한 로그는 인간의 언어로 구성돼 있지 않다. 인간은 시간–의도–맥락으로 사고하지만, 로그는 시간–이벤트–코드라는 기계적 구조로 나열된다. 인간은 ‘이상하다’는 감각이 있어야 로그를 들여다보지만 로그는 처음부터 끝까지를 차분히 기록할 뿐이다. 그래서 기억하는 자만이 로그를 다시 여는 열쇠를 갖는다.

결국 문제는 인간이다. 인간은 항상 사건 ‘이후’에만 움직인다. 분석은 늦고 반응은 느리며 책임을 전가한다. “비밀번호를 바꾸세요”, “스미싱에 주의하세요”라는 경고 자체가 사후 약방문이다. 기업들은 보안 솔루션을 도입하고, 정부는 대책회의를 연다. 그러나 로그에 대한 지속적이고 유기적인 해석이 이뤄지지 않는다면 악순환은 반복된다.

여성경제신문 이상헌 기자 
liberty@seoulmedia.co.kr