어느덧 우리에게 중요한 키워드가 되어버린 보안에 대한 이야기를 영화라는 매개체를 통해 좀 더 쉽고 재미있게 다뤄보고자 한다. [편집자말]

2017년에 개봉한 블록버스터 중에 최고를 뽑으라면 개인적으로 <분노의 질주> 시리즈의 8번째 이야기 <분노의 질주: 더 익스트림>을 꼽고 싶다. 영화는 올해 4월에 개봉해 북미 박스오피스 3주 연속 1위를 차지하는 등 전 세계 박스 오피스를 강타하며 현재까지 전 세계 12억 달러가 넘는 극장수입을 기록했다. 국내에서도 개봉 당시 박스오피스 1위를 차지하며 365만 명의 관객을 동원했었다.

영화는 2015년 세상을 떠난 폴 워커의 부재가 아쉽지만, 시리즈의 또 다른 상징 빈 디젤을 비롯한 기존멤버들이 건재함을 과시한다. 특히 제이슨 스타뎀과 드웨인 존슨은 각자의 개성을 살리며 훌륭한 액션 케미를 선보인다. 여기에 커트 러셀과 샤를리즈 테론 등이 새로이 합류하여 영화를 보는 재미를 더했다.


무엇보다 <분노의 질주: 더 익스트림>은 2억5000만 달러에 달하는 제작비로 화끈한 물량 공세를 펼치며, 블록버스터의 품격을 제대로 보여주고 있다. 수백 대의 차량은 물론이고 잠수함에 비행기까지 그야말로 육·해·공 액션이 펼쳐진다. 영화는 초반부터 초대형 레킹볼로 차들을 초토화하는 위압적인 장면으로 블록버스터의 시작을 알린다. 그리고 스노모빌, 람보르기니, 탱크, 군용 SUV에 잠수함까지 뒤엉킨 빙하 위 추격전은 마치 사막이 아닌 설원에서 펼쳐지는 <매드맥스: 분노의 도로> 같은 느낌마저 들게 하며 한국어 부제에 걸맞은 '익스트림'의 정점을 보여준다.

무엇보다 이 영화의 백미는 뉴욕에서의 좀비카 장면인데, 신선하면서도 장관이다. 해커 사이퍼에 의해 해킹된 수십 대의 차량이 목표물을 향해 몰아치는 장면은 마치 <월드워Z>의 '크레이지 좀비'들을 연상시킬 정도이다. 여기에 자동차 투하 신은 좀비카 장면의 정점을 찍으며 탄성을 자아내게 한다. 좀비카 장면은 우리들의 편의를 위해 고도로 자동화된 IT 환경이, 우리의 제어를 벗어날 경우의 닥칠 위험을 여실히 보여주며 볼거리 이상의 메시지를 전달하고 있다.

'보안쟁이'인 내게 좀비카 액션시퀀스는 네트워크상에서만 벌어지기에 눈으로는 볼 수 없는 DDoS 공격을 시각화해 준 듯하여 좀 더 재미나게 즐길 수 있었다. DDoS 공격은 해커가 다수의 일반 PC들을 장악해 좀비 PC로 만든 뒤 그 PC들을 이용하여 타깃에 대량의 트래픽을 발생시켜 서비스를 중단시키는 공격이다. 대표적인 예로 2009년 7.7 DDoS 공격과 2013년 6.25 사이버테러 사건들이 있으며, 지금도 해커들에게 많이 사용되고 있는 공격이다.

아마도 영화 속 좀비카 장면은 실제 2015년 2명의 해커가 자율주행차량을 원격으로 모의 해킹을 했던 것을 기반으로 하고 있을 것이다.

지난 2015년 7월 당시 트위터의 보안 연구원 찰리 밀러 (Charlie Miller)와 IOActive의 차량 보안 연구 책임자 크리스 발라섹 (Chris Valasek)은 고속도로를 달리는 자동주행 차량을 원격으로 해킹하는 것에 성공했었다. 그들은 차량의 속도와 방향을 조정하는 것은 물론 차량 내 온도와 잠금장치 등 차량의 다양한 기능을 제어한 적이 있었다.


그럼 <분노의 질주: 더 익스트림> 속 좀비카 장면의 현실 가능성은 어떨까? 사실 현실성이 많이 떨어진다. 우선 영화에는 이미 상용화된 자율주행차량 테슬라S 모델이 아닌 일반 수동운전 차량까지 해킹되는 장면이 나오는데 이것은 기본적으로 불가능하다. 설사 모든 차량이 자율주행모드를 지원한다고 할지라도 한대를 원격으로 해킹해서 조종하는 것과 수 십 대를 해킹하여 DDoS처럼 타깃을 공격하는 것은 분명 다른 차원의 이야기다.

'사이퍼'(샤를리즈 테론)처럼 한 명의 해커가 수 십 대의 차량을 원격으로 제어하려면 우선 모든 차량이 자동주행이 가능해야 하며, 수많은 차량의 방대한 정보를 지니고 있어야 한다. 자동차들의 제조업체는 물론 모델 및 연식과 운영소프트웨어에 관련된 모든 정보를 포괄적으로 담은 라이브러리를 구축해야 한다.

설령 각 자동차의 운영소프트웨어 정보를 알고 있다 할지라도 개별 차량의 소프트웨어의 버전과 업데이트 수준이 모두 다를 수도 있다는 점도 고려해야 하므로 절대 쉽지 않다.

설사 다량의 차량을 해킹한다고 해도 네트워크상의 DDoS와 달리 공격을 수행하는 차들은 물리적인 장애물이 많은 입체적인 환경에 놓여있기 때문에 혼자 다수의 차량을 조정하는 데 분명 한계가 있다.

하지만 앞서 찰리 밀러와 크리스 발라섹이 입증했듯 차량에 대한 1:1 해킹은 얼마든지 가능하다. 따라서 다수의 해커가 다수의 차량을 해킹하여 목표물을 공격하는 것은 가능한 일이기 때문에 영화 속 장면을 주목할 필요가 있다.

세상은 어느덧 자율주행차량 시대를 앞두고 있다. 이미 미국의 자동차회사 테슬라는 자율주행 모드를 제공하는 테슬라S 모델을 출시하였고, 지난해 5월에 이미 역사적인 첫 자율주행차량 사망 사건까지 기록했다. 그리고 지난 10월 25일부터 독일의 소도시 '바트 비른바흐'에선 자율주행 버스가 시범운행 중이기도 하다.

우리나라도 경기도 화성에 110억 원을 들여 자율주행차량 실험도시(K-City)조성공사가 한창이며 2020년에는 상용화를 기대하고 있다. 또한, 현대자동차그룹은 이번 2018 평창올림픽에서 자율주행차량의 운영계획을 밝히기도 했다.

세계 유수의 자동차 회사들이 2020년 자율주행 자동차들을 내놓겠다는 계획을 발표하고 있다.

자율주행 자동차 개발에 당연히 뛰어난 기능과 안정성이 우선되어야 하겠지만, 개발사들은 절대 보안적인 문제를 놓쳐서는 안 된다.

자동차 해킹은 단순히 정보보안의 문제가 아니다. 탑승자가 있는 상태에서 차량이 탈취된다면 그것은 사람의 생명과 직결될 수 있기 때문이다. 영화 속 좀비카 장면이 현실에서 벌어진다면 그것은 끔찍한 테러와 다를 바가 없다.