정용환 기자
인터넷감시재단에 따르면 2019년 이후 전 세계에서 웹캠 같은 기기에서 제작된 성적 학대 이미지가 10배 증가하고 있다고 한다. 범죄자가 다양한 수법으로 아이 단말 웹캠에 액세스할 수 있게 되면 이를 통해 무단 녹화, 전달하는 게 가능하게 된다.
사이버 보안 연구를 통해 아동 웹캠에 침입하는 수법과 대책이 공개됐다. 먼저 13세 소녀로 꾸며 자동 채팅봇을 복수 만들어 아동이 자주 출입하는 다양한 채팅방에 범죄자용으로 봇을 뿌렸다. 이 봇은 먼저 절대로 대화를 시작하지 않고 18세 이상이라는 걸 확인한 사용자에게만 응답하도록 프로그래밍되어 있다.
봇은 연령과 성별, 거주지를 명기하고 대화를 시작하도록 프로그래밍되어 있다. 이는 채팅 문화 일반 관습이며 기록된 대화는 미성년이라는 걸 알면서 채팅하던 18세 이상 성인 것으로 확인됐다.
하지만 지금까지의 연구에서 범죄자는 실제 연령보다 어린 나이를 가장하는 게 많고 나이가 많다는 속이는 일은 거의 없었다고 한다. 이 연구용 채팅봇에서 13세 소녀와 대화하는 자칭 어른과의 대화를 953건 기록했다. 거의 모든 대화는 사실상 웹캠을 강조한 성적 내용이었다.
일부는 노골적으로 성적인 행위에 대한 영상에 돈을 지불한다는 사람도 있었다. 이런 수법 외에도 39% 대화에는 미승인 링크도 포함되어 있었다고 한다.
이런 링크 대상에 대한 포렌식 조사 결과 19%에는 악성코드가 내장됐고 5%에는 피싱 사이트, 41%는 노르웨이 기업이 운영하는 화상회의 플랫폼인 웨어바이(Whereby)와 관련이 있었다고 한다.
웨어바이 링크가 있는 대화 샘플은 13세 소녀를 초대해 부적절한 행위를 촉구하는 것으로 확인됐다. 온라인 범죄자는 멀웨어를 이용해 아동 컴퓨터에 침입해 웹캠에 원격 액세스한다. 피싱 사이트는 개인 정보를 수집하는데 사용된다. 예를 들어 피싱을 통해 범죄자가 자녀 컴퓨터 비밀번호를 얻고 웹캠에 액세스해 원격으로 조작할 수 있다.
물론 의문은 왜 웨어바이가 범죄 플랫폼으로 선호되고 있느냐다. 조사 결과 범죄자는 웨어바이 기능을 이용해 동의 없이 아동을 감시, 녹화하고 있을 가능성이 있다고 한다. 이 기술은 온라인 성적 학대를 단순화할 수 있다. 범인은 해킹 지식과 모집 기술을 습득할 필요가 없으며 웹캠에 액세스할 수 있다. 아동을 속이고 언뜻 무해 사이트에 액세스할 수 있으면 카메라를 제어 가능하게 할 수 있다.
카메라에 접근할 수 있게 된 범죄자는 동의 없이 카메라에서 아이를 보거나 녹화할 수 있다. 이런 프라이버시 침해는 온라인 성적 학대로 이어진다. 분석에 따르면 범죄자가 웨어바이를 이용해 선택한 웹사이트에 동영상 라이브 스트리밍을 삽입해 아동 웹캠을 제어할 수 있다고 한다. 소프트웨어 개발자에게 웨어바이 계정을 포함한 테스트를 수행하자 계정 호스트가 방문자 카메라를 켤 수 있는 코드를 포함할 수 있다는 게 입증됐다고 한다. 다시 말해 방문자가 모르는 사이 카메를 켤 수 있다는 얘기다.
또 줌이나 블루진, 웹엑스, 구글미트, 고투미팅, 마이크로소프트 팀즈 등 다른 화상회의 플랫폼에는 이런 악용 사례를 볼 수 없었다고 한다. 방문자 카메라와 마이크 제어는 웨어바이 플랫폼 내에서만 제한되며 카메라와 마이크가 켜져 있다는 걸 나타내는 아이콘이 표시된다. 하지만 아동은 카메라와 마이크 표시기를 인식하지 못할 수 있으며 웨어바이 플랫폼을 종료하거나 탭을 닫지 않고 브라우저 탭을 전환하면 위험에 처하게 된다. 이 상태에서 아동은 호스트가 자신의 카메라와 마이크를 제어하고 있다는 걸 알지 못한다. 다른 사람인 방문자가 카메라와 마이크를 가로챌 수 있는 건 웨어바이 뿐이다.
카메라와 마이크가 켜지면 표시기에 아이콘이 표시되지만 아동은 이를 깨닫지 않고 웨어바이를 닫지 않고 브라우저 탭으로 전환한다. 이를 통해 눈치 채지 못하고 카메라와 마이크를 들여다볼 수 있다.
물론 웨어바이 측은 사용자가 브라우저 권한을 이용해 명확한 권한 없이 사용자 카메라나 마이크에 액세스할 수 없다며 카메라가 켜져 있는지 여부도 언제든 확인할 수 있다고 밝혔다.
최근 연구에 따르면 아이는 새로운 미디어를 다루지만 안전이나 프라이버시 면에서의 디지털 리터러시는 부족하다고 한다. 캐시는 고급 안전과 프라이버시 기능이기 때문에 아이가 브라우저 캐시를 지우는 방법을 알고 있기를 기대해선 안 된다. 보호자나 정책 입안자에 대해서도 이를 인지하게 하고 화상회의 플랫폼 기업도 이런 악용 수법에 대해 대책을 세우게 해야 한다. 또 이용하지 않을 때에는 카메라는 항상 덮어두는 것도 중요하다. 아동 인터넷 활동을 모니터링하는 것 역시 필요하다. 소셜미디어와 채팅방에서의 익명성은 온라인에서 성적 학대로 이어질 수 있는 만큼 낯선 이들에 대한 위험성에 대해 아이에게 확실하게 인지시킬 필요가 있다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
이원영 기자
