당신의 패스워드는안녕하신가요?

사이버 보안회사직원이해킹당한이야기#패스워드 편

해킹으로 온 집안이 발칵 뒤집히다

약 1년 전 남편을 사칭한 사이버 사기 사건으로 온 집안이 발칵 뒤집힌 일이 있었다.

이야기는, 평소에 연락이 뜸하고 남편이 어려워하던 처가 어르신으로부터 걸려온 한 통의 전화에서 시작되었다.

"야! 조서방~ 너 혹시 나한테 돈 빌려달라고 카톡 했냐?"

"안녕하세요 이모부님! 아.... 아뇨... 그런 일 없는데요?"

"그럼 이 카톡은 뭐냐~? 너한테 이상한 메시지 왔다!"

아니, 도대체 어떻게 이런 일이 일어난 것이지?

신랑은 사색이 되어 나에게 연락을 했고, 나는 명색이 사이버 보안회사에 다니는 사람답게 차분히 사건의 상황을 프로파일링 하기 시작했다.

상황을 정리해 놓고 보니, 사건의 전말은 너무나 간단했다.

범죄자는 남편의 네이버 계정을 해킹해 알아냈던 모양인데, 네이버로 로그인 한 다음 내부에 저장된 개인정보와 연락처 목록을 손에 넣었다. 그런 다음 범죄자는 대포폰을 이용해 카카오톡을 다운로드한 뒤 이름과 사진을 남편의 것으로 바꾸고 해킹한 연락처를 핸드폰에 등록하여 마치 남편인 것처럼 피해자들에게 접근하는 방식이었다.

하지만 이 범죄자가 어떻게 우리 가족 관계를 훤히 다 알고 있었을까? 

정말 기가 막힐 노릇이었다. 이모부 말에 따르면 이 사기꾼은 너무나 공손하게~  안부도 묻고~ 농담도 하고~ 정말 신랑인 것처럼 행동했다는 것이다.

혹시 남편한테 원한을 가진 사람인가? 별의별 생각이 다 들었다.

하지만.... 알고 보니 꼼꼼한 남편이 남겨 놓은 힌트를 범죄자가 이용한 것이었다. 남편은 모든 연락처에 '사랑하는아내', '장모님', '첫째이모부', '막내쌍둥이삼촌1', '처남', '셋째이모부' 이런 식의 직관적인 명명으로 주변 연락처를 관리하고 있었다. T.T

구체적인 연락처명과, 해킹당한 서비스 내의 개인정보들(성별, 나이 등)이 있으니~ 사기꾼은 나름 주어진 정보들을 조합해 자연스럽게 가족들에게 접근할 수 있었던 것이다.

금전을 요구하는 과정도 물 흐르듯 자연스러웠다. 처음에는 안부를 묻는 척하면서 대화를 나눈 뒤, 핸드폰이 파손되었다거나 갑자기 작은 사고를 당해 돈이 필요하다는 이유로 급전을 가족들에게 요구했다.

핸드폰이 해킹당한 것도 아닌데,  어떻게 이 모든 연락처가 범죄자의 손에 넘어갔을까?

네이버 아이디와 패스워드는 어떻게 해킹당한 것일까?

이 난감한 상황을 어떻게 다 수습하지?

이런 상황이 다시 일어나지 않게 하려면 어떻게 해야 할까?

패스워드는 어떻게 털리나?

오프라인 세상의 서비스들이 대부분 온라인으로 전환되면서, 우리는 서비스 사용자로서 수시로 온라인 서비스에 접속한다. 은행/쇼핑/서점/음식배달/게임/음악/영화/사회관계망 등의 다양한 사회 서비스가 온라인으로 펼쳐져 있으니, 숨을 쉬듯이 사이버 세상에 입장을 하게 된다. 그리고 그 세상에 입장하기 위해서는 반드시 아이디&패스워드가 필요하다. 물론 다양한 인증 방식이 존재하고 있지만, 아이디와 패스워드는 모든 서비스에서 필수적으로 요구되는 인증 정보다.

문제는 온라인 서비스가 너무 많다는 것이다. 즉, 필요한 아이디와 패스워드도 그만큼 많아야 한다. 내가 갖고 있는 아이디&패스워드 쌍이 몇 개나 될까? 10개? 20개? 대충 어림잡아 보아도 100개는 족히 넘는 것 같다. 이 많은 계정들을 각각 다르게 만들고 외울 수는 없으니, 나를 포함해 많은 사람들이 동일한 아이디와 패스워드를 사용하고 있다. 바로 이 것이 재앙의 발단이다.

일반적으로 범죄자가 개인의 아이디&패스워드를 해킹하는 방식은 세 가지가 있다.

첫째, 피싱(Private Data Fishing의 약자)이라 불리는 사이버 사기에 의한 개인정보 유출이다.

피싱은 전화나 이메일 등을 통해 접근해 사용자의 개인 정보를 입력하도록 유도하는 사기인데, 많은 사람들이 피싱사기에 속아 개인 정보를 빼앗긴다. 최근에는 교묘한 사회 공학적인 기법까지 동원되어, 보안 전문가들 조차 구별하게 어려운 피싱 사기들이 판을 치고 있다.

위의 이미지는 이메일을 통해, 해외에서의 로그인 차단 안내를 하는 척하며 개인정보를 입력하도록 유도하는 화면이다.

이 이미지는, 위쪽 이미지의 하단에 있는 "아니오" 버튼을 눌렀을 때 이동하는 화면이다.

* 위의 두번째 이미지는 범죄자가 교묘 하게 만들어 놓은 피싱 사이트이다. 

* 처음에는 네이버 정상 이메일로 온 이메일 내용을 보고 의심 없이 메일 내용의 버튼을 클릭할 수 있다. 하지만 그 버튼을 클릭해 이동되는 URL 주소를 자세히 보면 , NAVER 공식 사이트가 아닌 것을 확인할 수 있다. 

* 하지만 도메인 이름이 너무 교묘해 쉽게 속을 수 있는 상황이다. 여기에 아이디와 패스워드를 입력하는 순간, 개인 정보는 범죄자의 손에 넘어간다.

둘째, 다크웹(DarkWeb)이라 불리는 특수한 네트워크망에서 개인정보가 판매되는 경우다.

다크웹은 TOR라고 불리는 특수한 브라우저를 통해서만 접근이 가능한데, 컴퓨터 전문가가 아닌 일반인들은 쉽게 접근하기 힘든 곳이다. 마약거래/아동성매매/청부살인/무기거래/장기매매와 같은 매우 특수한 범죄들이 이곳에서 이루어지는데, 아동 성매매의 경우 매스컴에서 최근 크게 이슈가 되기도 했었다. 근래에는 랜섬웨어 조직이 매우 활발하게 활동 중이며,  다양한 개인정보나 기업정보들도 거래되고 있다. 커피 몇 잔 값이면 몇만 건의 아이디&패스워드를 이곳에서 쉽게 구매할 수 있다.

2021년 8월 12일, 해커가 다크웹에서 판매 중인 개인정보의 샘플 이미지이다. 이런 식의 판매 글들이 다크웹 내에 하루가 멀다 하고 포스팅되어 올라온다.

셋째, 보안이 취약한 서비스가 해킹당해 개인정보가 유출되는 사례다.

규모가 큰 포털이나 서비스의 경우 보안전문가들이 관리하기 때문에 쉽게 해킹당하지 않는다. 물론 아무리 규모가 있고 전문가들이 상주하는 회사라 해도, 몇 년에 걸쳐 준비한 조직적인 해킹 범죄는 막을 수 없다. 인터파크, 네이버, 링크드인, 페이스북과 같은 엄청난 IT회사들이 개인정보 해킹 사고를 당해 종종 언론 보도되는 이유다.

하물며, 중소 규모의 서비스는 어떨까? 아마 악의적인 해커들의 놀이터 일지도 모른다. 작은 의류 쇼핑몰이나 사용자가 많지 않은 운동 예약 서비스를 생각해보자. '이런 소규모 서비스에 있는 계정이 털리면 뭐 좀 어때?'라고 생각할 수도 있겠다. 그 자체로는 크게 위험한 것은 없을 테니까~

하지만 이곳에서 유출된 아이디&패스워드가  네이버나 카카오 계정과 동일하다면 이야기가 다를 수 있다. 해커들은 많은 사람들이 동일한 아이디&패스워드를 사용하고 있는 걸 알기 때문에, 작은 곳에서 해킹한 정보를 이용해 더 큰 한방을 노릴 수 있다.  내 남편이 당한 것처럼 말이다.

패스워드.... 어떻게 해야 할까?

이쯤 되면, 박하사탕 영화 주인공이 외친 '나 돌아갈래~~!!!'를 외치며 오프라인 세상으로 돌아가고 싶을 수도 있겠다. 이런 위험천만한 온라인 세상에서 어떻게 산단 말인가?

하지만 우리는 돌아갈 수 없다. T.T 웹으로 연결된 온라인 세상을 넘어 메타버스 세상을 이야기하고 있는 마당에 오프라인으로 돌아가자고? 우린 이미 미래로 가는 편도 기차를 탔다. 되돌아갈 수 있는 방법은 없다.

피할 수 없다면? 어쩌겠는가... 관리할 수 있는 방법을 찾아야 한다.

이 골치 아픈 패스워드를 어떻게 관리하면 좋을까? 몇 가지 원칙을 제시한다.

첫 번째로 가장 중요한 원칙은, '동일한 패스워드를 절대 사용하면 안 된다'이다.

사이버 범죄자는 다양한 루트를 통해 얻은 개인정보로, 다른 곳에서의 큰 한방을 노린다. 만약 동일한 패스워드를 사용하고 있다면, 그건 만능열쇠를 만들어 범죄자에게 주는 것과 같을 수 있다. 하나가 털리면, 다른 모든 서비스가 털린다고 봐야 하기 때문이다.

이런 상황을 막으려면, 패스워드를 모두 다르게 만들고 관리해야 하는데, 이게 현실적으로 가능할까? 하지만 실제로 많은 사람들이 서로 다른 패스워드를 만들어 관리하고 있다.

여기에는 그들만의 특별한 노하우가 있는데, 가장 많이 사용되는 방법론이 다음과 같다.

첫째는 패스워드 관리 툴을 사용하는 것이다.  한 사람이 외울 수 있는 숫자나 단어에는 한계가 있다. 수십 개가 넘는 패스워드를 각각 다 관리하고 외운다는 것은 쉽지 않다. 따라서 이를 해결해주는 다양한 솔루션들이 있는데 바로  '1Password,  Lastpass,  Enpass' 와 같은 서비스들이다. 이 서비스들은  패스워드를 손쉽게 저장하고 관리해 준다. 저렴한 가격으로 기능을 사용할 수 있을 뿐 아니라 자동으로 다른 온라인 서비스들과 연동하는 기능을 제공하기 때문에 매우 편리하여 많은 사람들이 애용하고 있다.

하지만.... '만약 패스워드 관리 툴의 패스워드를 잊어버리거나 해킹된다면?' '만약 이 서비스가 해킹을 당해 정보가 유출된다면?' 어떻게 해야 하나..... (방법은 없다. 즉... 이것도 위험할 수 있다.)

개인적인 의견일 수 있으나, 이런 툴들이 아무리 편리하다고 해도 누군가의 DB(DataBase)에 나의 중요한 개인정보들을 맡긴다는 게 선뜻 내키지 않는다. 오히려 저렴한 가격을 보면 더 불안하다. 그 회사가 망하기라도 하면 어쩐단 말인가?

그래서, 생각할 수 있는 두 번째 방법은 패스워드의 패턴(규칙)을 이용해 각각 다른 패스워드를 만드는 것이다. 이것이 내가 개인적으로 현재 사용하고 있는 방식이다.

예를 들어, 아래와 같은 패턴을 하나 만들어 외운 뒤, 각 서비스별로 패스워드를 다르게 설정하는 것이다.

패턴 예제 :  ${그해의동물}{서비스의앞글자대문자}{그해의나만의숫자}@{서비스의앞글자소문자}

사용 예제 :  NAVER : $thN1996@n, KAKAO : $thK1996@k, Facebook : $thF1996@f

매 년 혹은 매 분기별로 나만의 문구나 구호를 사용해 주기적인 업데이트를 할 수도 있고, 나만의 특별한 숫자를 넣어 패턴을 만들 수도 있다.

위의 것은 예제이기 때문에, 개인별로 좀 더 단순하게 혹은 좀 더 복잡하게 설정을 할 수 있을 것이다.

물론, 악의적인 해커가 이 패턴을 알아낸다면?이라고 질문을 할 수도 있겠다. 하지만 지능화되지 않은 봇(프로그램)에 의한 공격이라면 하나의 서비스 계정이 털려서 다른 서비스들이 줄줄이 털리는 사태는 막을 수 있다. 그리고 큰 원한을 가지지 않는 한, 이 패턴을 알아낼 만큼 노력하는 범죄자는 많진 않을 것이다. 내가 그만큼 중요한 인물일 리도 별로 없으니 말이다.

그리고 꼭 기억해야 할 다른 하나는 '이중 인증'과 같은 추가 인증 설정을 꼭 해야 한다는 것이다. 대형 IT서비스 회사들은 여러 번 개인정보 유출 사고를 겪었기 때문에 다양한 보안 설정 기능들을 갖고 있다. 페이스북, 인스타그램, 트위터, 네이버, 카카오, 구글 등은 모두 2단계 인증과 다양한 인증 보완 기능을 제공한다.

대표적으로 네이버를 예를 들자면, 아래 그림과 같이 계정 보안을 위한 다양한 기능을 갖고 있다.

네이버 계정의 보안설정 화면이다. 다양한 인증 보완 기능을 제공한다.

만약 여기에서 제공하는 보안 기능을 모두 사용한다면 가장 안전하게 계정을 보호할 수 있을 것이다. 특히 로그인할 때마다 일회용 로그인(OTP) 앱으로 번호 받아서 넣는 방식은 조금 번거롭기는 하지만 패스워드보다는 안전한 방식으로 알려져 있다.

(보안 전문가들 입장에서 강력 추천하는 '보안키'와 같은 비싼 방식이 있다. 하지만 일반인들 입장에서는 너무 불편하고 비용이 드는 방법이라, 이런 단계까지 사용하는 것은 비현실적이라 본다.)

하지만, 나의 경우는 하루에도 수십 번 온라인 서비스에 로그인을 한다. 그때마다 이중 인증을 걸어 APP으로 허락을 받거나, OTP 번호를 받아 입력해야 한다면 너무 번거로운 일이다. 아이디&패스워드도 브라우저에 저장해 자동 로그인을 하는 마당에 이중 인증이라니~  언감생심이다.

따라서 나는, '해외 로그인 차단'과, '새로운 기기 로그인 알림'정도로 인증 보완 방식을 사용하고 있다. '해외 로그인 차단'의 경우는, 사이버 범죄자들이 주로 다른 나라의 IP를 경유해서 공격을 하기 때문에 접근을 막기 위한 것이다. '새로운 기기 로그인 알림'의 경우 내가 평소에 사용하지 않는 컴퓨터로 로그인이 된 경우 알림을 받아 이를 차단할 수 있는 기능이다. 만약 내가 사용하는 노트북 PC나 모바일폰이 아닌 곳에서 로그인이 된다면 이를 다 막을 수 있기 때문에 매우 안전하다.

맺음말

온라인 상에서 편리함을 누리는 만큼, 알아야 할 것이 많아지는 것 같아 조금은 머리가 아프다.

패스워드는 패턴을 만들어 관리하더라도 주기적으로 업데이트해줘야 하기 때문에 번거로움은 여전히 존재한다. 패스워드 인증 방식을 보완하는 이중 인증이나 그 밖의 다양한 보안설정도, 서비스별로 기능은 비슷하지만  메뉴나 UX가 각각 다르므로 신경 써서 별도의 설정을 해줘야 한다.

하지만, 더 넓고 다양한 세상을 안전하게 누리고 경험하기 위해서는 이 정도 수고를 할 가치는 있진 않을까? 우리는 더 이상 송금을 위해 은행 지점을 방문하지 않는다. 또한 배달의 민족과 같은 배달앱을 통하면 손가락 몇 번 까딱하면 한식/중식/일식 등 원하는 스타일의 음식을 언제든 먹을 수 있다. 음악을 듣기 위해 CD를 구매하기 보다는, 다양한 음원 온라인 서비스를 이용한다. 사회생활은 어떤가? 이미 많은 사람들이 오프라인보다는 페이스북, 인스타그램과 같은 SNS를 통해 소통하고 있다. 또한 최근에는 COVID-19로 인해 제한된 오프라인 사회생활을 대체해 다양한 만남 모바일 애플리케이션들이 큰 인기를 끌고 있다.

참여와 공유의 세상을 넘어(Web 2.0), 개인화되고 AI가 지배하는 세상도 넘어(Web 3.0), 이제 완전한 가상의 세계를 살게 되는 메타버스를 인류는 꿈꾸고 있다. 온라인 서비스에 필요할 때마다 입장하는 것이 아니라, 아예 내가 그 서비스 안으로 들어가 사는 삶을 말이다.

이런 세상에서는' 진짜 나'를 가상의 세계에서 인증하는 것은 더더욱 중요해질 수밖에 없다.

패스워드는 인증의 기본이다.

이 패스워드를 안전하게 관리하는 것이 어쩌면 그런 세상에 살기 위한 기본 소양이 아닐까? 생각이 든다.

조금은 번거롭더라도,  한 번쯤은 깊이 생각해 봐야 하진 않을까?

당신의 패스워드는 안녕하신가요?

P.S

사건이 터진 뒤 남편이 일을 수습하면서 알게 된 사실인데, 사이버 범죄자는 셋째 이모부뿐 아니라 장모님과 처남 등 열명 이상의 친지들에게 메시지를 보내 급전을 요구했다는 것이었다. 이상하다는 낌새를 느꼈기에 돈을 송금한 사람은 다행히 없었다.

하지만 남편은 연락처에 있는 수백 명의 사람들에게 양해 메시지를 보내고, 사기 메시지를 받은 사람들에게는 일일히 전화로 상황을 설명하느라 한 동안 진땀을 빼야 했다.

남편은 네이버 연락처 앱과 연동된 포탈 내의 모든 연락처를 즉시 삭제하고, 포탈의 보안 설정에 이중 인증과 인증 보완 기능들을 추가했다. 다른 서비스들도 마찬가지로 보안설정을 이중 삼중으로 점검을 하고 나서야 이 모든 사건이 마무리되었다.