영화 후 엠 아이 Who am I
해커로 풀어보는 사회공학적 기법(Social Engineering)
영화 후엠아이는 해커의 이야기를 다루고 있다. 2014년에 나왔는데 독일 영화다. 어떤 시스템도 안전하지 않다는 No System is Safe. 독일어로 Kein System ist sicher. 대사가 독일어라서 몇 마디만 겨우 알아듣는.. 독일어를 제2전공으로 했어도 독일어구나 정도만 알아듣는 수준이라니..
큰 줄거리는 유명한 해커에게 인정받고 싶어하던 초보 해커가 더 큰 해킹을 시도하면서 유명한 해커의 정체를 밝히게 되는 내용인데 사실 영화적으로는 크게 재밌지는 않다. 다만 해커와 해킹에 관한 것을 어렵지 않게 풀어서 설명하는 부분이 볼 만 하다. 해커들이 모이는 다크넷을 새로운 나로 변하는 곳이라며 지하철 내의 공간으로 보여주는 것이나, 가면을 쓴 사람들을 해커로 보여주는 것 등은 잘 모르는 사람들에게 오히려 개념적으로 이해하기 쉽게 보여준다. 유명한 해커를 잡기 위해서 안에 악의적인 행동을 숨긴 트로이목마를 건네기도 하고 상대방의 위치를 알아내기 위한 IP 추적을 하기도 하는데, 이러한 방법들도 현실에서 흔하게 이루어지는 해킹과 방어의 기술이기도 하다.
아래에는 후엠아이 영화에 나오는 몇 가지 대사들을 중심으로 해커의 이야기를 적어 보았다.
영화에서는 해커가 말하는 세 가지 법칙이 먼저 등장한다.
첫째, 뚫지 못하는 시스템은 없다 (No system is safe)
둘째, 불가능을 목표로 하라 (Aim for the impossible)
셋째, 사이버 공간, 현실세계 둘 다 접수하라 (Have fun in cyberspace and meatspace)
# 마술과 해킹의 공통점은 사람을 속이는 것이다.
흔히 마술을 트릭이라고 이야기 하는데, 사람들이 보이는 대로 믿고 싶어하는 심리를 이용하는 것이다. 영화에서 해킹은 신뢰하기를 좋아하고 갈들을 싫어하는 사람들의 본성을 이용하는 것이라고 하는데, 전문 용어로는 사회공학적 기법(Social Engineering)이라고 한다.
영화에서도 등장하는 방법은 실제로도 흔하게 사용되는 것인데, 목표로 하는 직원의 이름을 알아내고, 그 직원에게 이메일을 보내도 이상하지 않은 다른 직원의 이름을 더 알아낸 후에 고양이 사진을 보내서 클릭하도록 유인한다. 친한 사람 또는 아는 사람에게서 온 이메일은 경계심을 낮추어서 의심하지 않고 클릭할 확률이 높다는 점을 노리는 사회공학적 기법이다. 이를 통해서 악성코드를 심어서 목표의 컴퓨터에 접근 권한을 얻고, 그 컴퓨터가 접근할 수 있는 다른 컴퓨터와 서버에 침투하게 된다.
# 사이버 공간과 현실 세계 둘 다 노린다.
흔히 해커들이 자신의 방에 앉아서 컴퓨터를 통해서만 대상을 해킹한다고 생각하고, 인터넷을 통한 접근 경로의 보안 대책을 마련하고 운영하게 된다. 하지만 현실은 인터넷이 연결되지 않는 중요한 곳이나 폐쇄망으로 운영되는 기관도 해킹을 당하게 되는데, 이는 온라인과 오프라인 두 가지를 모두 대상으로 삼아서 시나리오를 짜고 공격하기 때문이다.
상대적으로 드러나지 않지만 출입 권한을 가진 청소부의 아이디카드를 확보하여 밤에 서버실에 침투한다거나, 방문자로 위장하여 주요 기관내에서 방문자가 들어갈 수 있는 최대한의 공간까지 접근한 후에 해당 공간에 해킹을 위한 장치를 심어놓는 방법은 온라인이 아니라 오프라인에서 출발하는 사회공학적 기법으로 볼 수 있다.
# 사람들의 습관을 해킹한다.
세상에는 완벽한 보안은 없고, 뚫지 못하는 시스템은 없다. 흔히 보안이 되고 있다고 생각하면 완벽하게 보호되고 있다고 생각하기 쉽다. 그리고 매일매일 반복되는 행동들은 의심하지 않고 되돌아 보지 않는다. 이러한 행동들을 이용해서 해킹을 하게 되면 그 흔적을 찾기도 힘들게 된다.
영화에서는 방문객 휴게실에 설치한 WiFi 라우터를 이용해서 기관내에서 사람들이 의심없이 접속할 때 해당 컴퓨터에 연결된 서버로 타고 들어가는 형태의 공격을 설계한다. 물론 WiFI가 보여주는 이름인 SSID는 사람들이 의심하지 않는 평범하거나 기관에 관련된 이름을 사용하면 된다. 우리가 카페나 공공장소에서 자연스럽게 하는 행동이기도 하기에 해커에게는 좋은 공격 포인트가 된다.
다른 사람을 의식하면, 진짜 내 모습을 잃어버리게 된다.
네이버 영화 링크 : https://movie.naver.com/movie/bi/mi/basic.nhn?code=120549
