로그인|회원가입|고객센터
Top
검색버튼 메뉴버튼

심리전의 달인, 사회공학 해커

박용 | 80호 (2011년 5월 Issue 1)


현대캐피탈이 얼마 전 해커에게 협박을 받고 있다는 사실을 전격 공개해 충격을 줬다. 범인들은 해킹을 통해 42만 명의 고객정보를 빼돌렸으며, 이를 미끼로 현대캐피탈 측에 거액을 요구했다. 이 사건의 충격이 채 가시기 전에 농협 전산망이 석연치 않은 이유로 무너졌다. 고객 서비스가 중단됐으며, 농협 고객은 물론 농협도 막대한 피해를 봤다.

두 사건은 국내에서 가장 우수한 정보보호 인프라를 보유하고 있는 것으로 알려진 금융권에서 일어났다. 이는 해커가 마음만 먹으면 다른 업종의 기업도 언제든지 침투해 전산망을 망가뜨리고 중요 정보를 빼낼 수 있다는 걸 보여준다. 당장 해킹 피해를 보지 않았다고 해서우리는 안전하다고 말할 수 없다는 뜻이다.

정보통신 기술의 확산은 양날의 검이다. 기술이 주는 편익만큼 해커들이 파고들 개인과 기업의 허점도 커진다. 경찰청 사이버테러대응센터에 따르면 사이버테러 범죄가 2009 1 6601건에서 2010 1 8287건으로 증가했다고 한다. 해킹을 하고 돈을 요구하는 협박 범죄나 이권을 노린 청부 해킹까지 벌어지고 있다.

사고가 빈발하자 금융기관 정보보호 인력이 적다거나, 비용 절감을 위해 전산 업무를 아웃소싱하면서 취약성이 커졌다는 등의 원인 분석이 쏟아졌다. 금융보안 전문기관을 설치해야 한다는 주장도 나온다. 하지만 기다렸다는 듯이 터져 나오는 사후약방문식 처방이 마뜩잖다. 기술과 돈이면 모든 것이 해결된다는 식의 해법도 미덥지 못하다. 이렇게 해서 최고경영자(CEO)를 설득하고 정보보호 예산과 인력을 늘릴 수는 있겠지만, 근본적으로 위협을 막을 수는 없다. 해커나 사이버 범죄자들이 그 정도의 대응을 예상하지 못할 만큼 단순하지도, 어수룩하지도 않다. 정보보호 시스템과 기술에 막대한 투자를 하는 기업이 잇따라 해커의 먹잇감이 되거나 세계적인 보안회사의 정보망이 뚫리는 것만 봐도 그렇다.

진짜 문제는 기술이 아니라 우리 내부에 있다. 해커들은 기술적 해킹을 시도하기 전에 사람의 심리를 교묘하게 이용해 원하는 정보를 빼낸다. 이른바사회공학(Social Engineering)’ 기법이다. 세계적인 보안 기술을 자랑하던 RSA도 이렇게 당했다. ‘2011년 채용계획이라는 이름의 첨부파일이 담긴 e메일이 보안권한을 가진 내부 직원에게 전송됐는데, 이 첨부파일에는 시스템 관리자 계정을 빼내 시스템에 접근할 수 있는 악성코드가 몰래 심어져 있었다. 이 관리자가 무심코 클릭한 e메일 한통이 철통같던 보안을 무장해제시켜 버렸다. 해커는 목적을 달성하기 위해 아마도 권한을 가진 관리자가 누구인지, 그의 e메일 주소가 무엇인지부터 파악했을 것이다.

해커들은 심리전의 전문가다. 정글의 포식자가 먹잇감을 발견한 다음 오랜 시간 관찰하며 상대의 약점을 찾듯이 이들은 타깃 기업의 임원 등 핵심관계자를 파악하고 사회공학 기법을 동원해 장기간에 걸쳐 치밀하게 정보를 빼낸다. 그런 다음 해킹 툴을 활용해 본격적인 공격을 감행한다. 이런 식으로 당하면 언제 어떻게 뚫렸는지도 파악하기 어렵다. 게다가 요즘에는 트위터, 페이스북 등 소셜미디어가 확산되면서 정보 공유와 확산 속도가 빨라졌다. 해커들은 이 순간에도 소셜미디어를 돌며 먹잇감을 찾고 사람들이 흘린 개인 정보와 기업 정보를 빼내고 있을지 모른다.

하지만 한국은사회공학 해킹의 위험에 둔감하다. 많은 사람들이얼마나 어수룩하면 그런 피해를 당하느냐고 대수롭지 않게 여긴다. 대표적인 사회공학 기법의 하나인 전화를 이용한 보이스피싱이 창궐하는 것만 봐도 알 수 있다. 이들은 경찰청, 우체국, 농협, 검찰청 등 공공기관을 사칭해 사람들의 심리적 약점을 노린다. 수법이 얼마나 교묘했으면 해커를 상대하던 공공기관의 전직 간부나 법원장까지 당했을까.

전설적 해커인 케빈 미트닉은 저서속임수의 예술(The Art of Deception)’에서 정보보호의 가장 위험한 고리는 조직 구성원의 부주의이며, 아무리 훌륭한 정보보호 기술도 인간에 의해 무력화될 수 있다는 점을 경고했다. 3중 성벽을 갖춘 난공불락의 요새였던 비잔틴제국의 수도 콘스탄티노플이 오스만투르크에게 함락된 결정적 계기는 성벽의 작은 쪽문을 잠그지 않았던 누군가의 작은 실수였다. 보안은 그런 것이다.

  • 박용 박용 | - 동아일보 기자
    - 한국전자통신연구원(ETRI) 부설 국가보안기술연구소(NSRI) 연구원
    - 한국정보보호진흥원(KISA) 정책연구팀 연구원

    이 필자의 다른 기사 보기
인기기사