「핸드폰, 이메일, 와이파이, 사물인터넷 연결된 모든것이 위험하다」
부제목은 「핸드폰, 이메일, 와이파이, 사물인터넷 연결된 모든것이 위험하다」 이다.
책이 2019년에 출간된지 몇 년이 되었지만, 해킹에 관한 문제는 아직도 진행 중이다. 보이스피싱이 사회 취약계층에 파고들어 피해를 주고 있다.
범죄자들의 사기 수법은 날이 갈수록 복잡해지고 그들의 목표는 점점 ‘흔적을 최소한으로 남기기’가 된다. 해킹의 불법성을 더욱 강화한 것이 비트코인이다. 정부의 지원을 받는 국가 주도 해킹 집단이 있다. 공개적으로 적국의 컴퓨터에 침입해 혼란을 일으키는 것은, 이제 일종의 새로운 국가 무기가 되었다.
‘전화로 하는 낚시’라고 해서 ‘피싱’이라고 하는 정보 탈취 행위가 있다. 피싱은 엄밀히 말해서 해킹은 아니었다. 피싱은 사라지지 않고 지금까지 계속되고 있다. 2015년까지 매일 1억 5,100만 건의 피싱 메일이 발송되어 그중 1,600만 건은 받은 편지함에 도착하고 그중 800만 건은 사람들이 실제로 열어보고 있다. 전체로 보아 약 0.05%의 성공 확률이지만 건수로 8만 건에 육박한다.
2015년 1월 힐러리 대선 캠프 이메일이 해킹당했다. 이메일 피싱의 시사점.
절대로 화면에 나타난 링크를 그냥 클릭해서는 안 된다. 대중의 관심을 받는 사람은 개인 계정이든 업무 계정이든 2단계 인증을 설정해야 한다. 휴대폰 문자 메시지 인증 시스템을 믿어서는 안 된다. 복제된 심카드나 전화번호를 이용해 누군가 당신의 메시지를 가로챌 수 있기 때문이다. 이메일 계정에 비밀번호를 적어 두면 안 된다. 가능한 이메일은 사용하지 않는 편이 좋다.
어나니머스는 해킹 집단이다. 다양한 사이트에 침입하여 각종 영상을 유포하고 사이트까지 마비시킨다. 이들은 미국 보안업체를 공격했다. HB개리 공격 사건이다. 시사점은 비밀번호를 동일하게 설정하면 안 된다. 이메일 및 기타 시스템에서는 2단계 인증을 사용해야 한다.
2014년 11월 전 세계 소니픽처스 사이트가 다운되는 사건이 있었다. 이 사건은 북한의 김정은을 희화화한 〈디 인터뷰〉라는 영화 방영을 앞두고 발생한 해킹 사건이다. 2011년 3월 4일 전 세계의 컴퓨터가 디도스 공격을 한국에 퍼부었다. 정부 웹사이트와 주한미군이 운영하는 네트워크에 대한 대대적인 공격이었다. 이들은 돈을 목적으로 하는 해킹 집단이 아니었다. 감염된 컴퓨터들을 또 다른 해킹을 위해 사용할 수 있게 유지하고자 했다. 북한의 해킹 팀이 국제 사이버 전쟁 무대에서 점점 공격력을 갖추고 새로운 기반을 마련하고 있다.
2013년 한국이 방송사 3곳과 은행 2곳이 공격을 받아 수천수만 대의 PC에서 데이터 삭제가 일어난 해킹과 동일한 단체의 소행이다. 이 그룹의 핵심 목표는 대한민국 국방부를 목표로 하는 군사 스파이 활동이라고 했다. 김정은이 사이버 해킹을 핵무기와 함께 ‘마법의 무기’로 지칭했다. 북한은 다른 나라와 교역이 원천적으로 봉쇄되어 있기 때문에 스위프트 해킹, 위조지폐 발행, 랜섬웨어 배포 등으로 외화벌이를 하고 있다. 라고 추정한다.
워너크라이는 매우 정교한 소프트웨어로 라자루스 해킹 집단에서 최초 시작됐을 것이다. 영국 컴퓨터 보안 당국은 라자루스 그룹의 국적은 북한이라고 확인했다. 미국 침해대응센터도 같은 생각이다. 미국에서는 북한에 의해서 수행되는 모든 악성 사이버 활동을 히든 코브라라고 부르고 있다.
랜섬웨어 사건의 시사점.
랜섬웨어 변종 버전의 수가 놀라운 속도로 증가하고 있다. 구식 소프트웨어를 탑재한 낡은 기기를 사용하는 건 랜섬웨어를 두 손 들고 환영하는 것이다. 사용자에 대한 교육이 필요하다. 백업은 필수다. 상업용 백신 소프웨어라고 해도 모든 형태의 랜섬웨어를 막을 수 없다.
사물인터넷 기기도 모두 소프트웨어로 동작한다. 세상의 모든 소프트웨어는 필연적으로 완벽할 수 없다. 사물인터넷 기기는 우리의 삶을 편리하게 하지만 동시에 우리를 크게 위협할 수 있다. 사물인터넷 기기의 가장 큰 문제는 대량 생산의 편의를 위해 비밀번호를 대부분 동일하게 설정해서 출고한다. 이런 사물인터넷 기기들은 하나의 작은 서버나 마찬가지다. 인터넷이 있으면 전 세계 어디에서나 이런 기기들을 원격 조종할 수 있다. 주변을 돌아보면 보안에 취약한 사물인터넷 기기들이 정말 많다. 2017년 한 해커는 인터넷에 연결된 제록스 프린터의 인터페이스를 원격으로 작동시켜 전 세계 15만 대 프린터를 조작하는 방법을 알아냈다.
비밀기업들이 전 세계 정부를 상대로 제로데이 공격의 표적이 되지 않도록 비밀리에 조언하며 돈을 벌고 있다. 제로데이는 공개되지 않는 것이 대부분으로 취약한 소프트웨어를 사용하는 회사조차 모르고 있는 경우가 태반이다. 이제는 해커들이 범법을 저지르지 않고 돈을 벌 수 있는 합법적 사업 모델이 됐다.
정부 기관들이 단골인 이스라엘의 한 보안업체는 아이폰에 조용히 접근해 들여다볼 수 있는 제로데이 공격을 제공하며 돈을 벌고 있다.
스마트폰 운영체제에 대한 관리자 권한을 비교적 낮은 단계로 설정하고 있기 때문에 바이러스 백신 기업들은 이 시장에 별로 관심을 두지 않았다. 하지만 이제는 안드로이드 휴대폰 사용자 10억 명에게 기업들이 백신 프로그램을 제공하는 등 이 시장도 성장해 가고 있다. 랜섬웨어, 와이파이 해킹, 미라이, SQL 주입, 피싱 공격 등이 사례에서처럼 해킹에 취약한 부분은 갑자기 생겨난 게 아니다. 공격을 당한 시스템의 결함으 수십 년 동안 방치된 것이다.
나도 모르게 작동하는 기계.
현관문에 ‘스마트 락’이 설치되어 있는데 어느 날 TV 소리를 높였는데 문이 열렸다. 초음파로 음성 명령을 내려 전화를 걸거나 웹사이트를 여는 등 일반적으로 스마트 기기로 사람들 하는 활동을 할 수 있다. 옆에 놔둔 스마트폰이 갑자기 활성화하면서 핸드폰을 망가뜨리는 제로데이 공격 대상이 될 수 있다. 안드로이드 스마트폰의 음성 지원 기술을 해킹에 이용한 것이다. ‘오케이 구글’이 TV 방송 광고에서 나오자, 수백만 가정의 스마트폰이 즉각 활성화 되었다.
스스로 살아남기.
2단계 인증 설정. 백업. 최신 백신 프로그램 유지, 업그레이드. 사물인테넷 연결 시 신중한 검토 등.
21세기 사이버 세상을 살아간다면 해킹과 피싱을 제대로 알고 있어야 한다. 사이버 세상에서는 피해를 당하는 것보다 사전에 예방이 중요하다.
책 소개
『해킹사회』 찰스 아서 지음. 유현재, 김지연 옮김. 2019.04.23. 미래의창. 351쪽. 17,000원
찰스 아서. Charles Arthur. 프리랜서, 저널리스트. 영국 《가디언》의 과학기술 에디터로 활동했다.
유현재. 경북대 경영학부 졸업, 카이스트에서 IT와 경영으로 석사학위. 한국거래소에서 자본시장 IT 시스템을 수출하는 업무 및 프로젝트 관리 담당.
김지연. 고려대 경영학부 졸업. 경북대 법학전문대학원에 진학 변호사. 한국거래소 입사, 국제부 및 유가시장본부 채권시장부에 근무하고 있다.