문자메시지가 왔다. ‘택배 위치조회. http://….’ 기자는 며칠 전 온라인 쇼핑에서 물건을 주문했다. 링크를 누르자 ‘테스트’란 앱이 설치됐다. 이를 지켜보던 그레이해쉬의 이승진 대표가 슬며시 웃었다. 그는 2006년 세계 최대 해킹대회인 ‘데프콘 CTF’에서 아시아 최초로 본선에 진출한 경력의 보안컨설턴트다. 의뢰를 받은 기업이나 기관의 시스템을 해킹한 뒤 취약점을 알려주는 게 그의 업무다. 기자의 스마트폰은 중앙일보 내부에선 와이파이에 접속된다. 해킹을 시연한 이 대표는 “앱엔 악성코드가 숨겨졌다. 감염된 스마트폰을 갖고 중앙일보 건물 안으로 들어가면 내부 전산망의 뒷문(backdoor)이 열리는 셈”이라고 설명했다. 물론 기자가 중앙일보 소속이며 최근 택배를 기다리는 걸 해커가 안다고 가정한 상황이다. 이 대표는 “이런 정보는 인터넷에서 구할 수 있다”고 말했다.
지난해 세밑 온 국민을 불안하게 했던 한국수력원자력의 원자력발전소 해킹 사건의 발단은 지난해 12월 9일 현직 직원들에게 보내진 퇴직자 명의의 e메일이었다. 한수원 직원들은 ‘○○도면입니다’라는 제목의 첨부파일을 별 의심 없이 열어봤다고 한다. 같이 일했던 동료가 업무 관련 내용을 전달했다고 생각했을 것이다. 하지만 이렇게 첨부파일에 담긴 악성코드가 작동해 해킹이 가능했다는 게 개인정보범죄정부합동수사단의 설명이다.
기자의 스마트폰과 한수원의 컴퓨터를 감염시킨 악성코드를 제작하는 데 고도의 기술은 필요 없다. 문제는 악성코드의 감염 방법이다. 두 사례는 링크나 첨부파일을 열어보도록 만들었다는 공통점이 있다. ‘사회공학(social engineering) 해킹’이다. 사람을 속여 보안 시스템을 깨뜨리는 해킹을 말한다. 상대의 방심 등 허점을 파고든다. 고려대 정보보호대학원 김승주 교수는 “보안에서 가장 취약한 고리가 사람”이라며 “사회공학 해킹은 보안 시스템 그 자체보다 그를 사용하는 사람의 마음을 해킹한다”고 정의했다.
요즘 사회공학 해킹이 대세다. 할리우드 영화처럼 키보드를 몇 번 두드려 해킹하는 게 어려워졌기 때문이다. 경찰청 사이버안전국 관계자는 “최근 보안 장비와 시스템이 발전하면서 해커들이 시간이나 비용을 절약할 수 있는 사회공학 해킹을 선호한다”고 말했다.
한수원은 사회공학 해킹의 대표적 수법인 스피어 피싱(spear phising)에 당했다. 피싱(phising)이 불특정 다수를 상대로 그물을 던지는 방식이라면, 스피어 피싱은 작살로 특정 목표를 노리는 걸로 비유할 수 있다. 2009년 세계적인 보안업체인 RSA도 스피어 피싱 피해를 봤다. 관건은 목표 대상이 e메일의 첨부파일을 열도록 유도하는 미끼(bait)다. 단번에 물 만한 미끼는 웹이나 SNS에서 찾은 목표물 정보로 가공할 수 있다. 한국인터넷진흥원(KISA)이 최근 1년간 조사한 스피어 피싱 사례를 보면 언론사 기자를 사칭해 국내 연구기관의 고위 인사에게 연구과제 문서를 보내는 것처럼 꾸민 경우가 있었다. 또 협력업체 직원이 납품담당 임원에게 제품을 문의하거나 구직자가 인사 담당자에게 이력서를 보내는 방식의 해킹이 발견됐다. 모두 첨부파일을 열면 외부의 침입이 가능해진다. KAIST 정보보호대학원 임채호 교수는 “한 사람의 PC가 악성코드에 감염되면 조직 전체로 퍼지기 쉽다. 대개 내부의 보안장치가 별로 없기 때문”이라고 말했다. 김 교수는 “한국 사회는 인맥이나 인간관계를 중요시하기 때문에 사회공학 해킹에 취약하다”고 말했다.
스피어 피싱 외에도 다양한 사회공학 해킹 공격이 가능하다. 이 대표는 다음과 같은 사회공학 해킹 가상 시나리오를 짰다. “해커 A는 B사를 해킹하려고 한다. A는 B사의 직원들이 점심 때 근처 공원에 자주 간다는 걸 발견한다. A는 유명 USB 메모리 제조사 직원으로 가장한다. 특별 이벤트라며 고가의 USB 메모리를 싸게 판다. 점심을 마치고 공원에 나간 B사 직원은 횡재라며 USB 메모리를 산다. 회사 컴퓨터에 USB 메모리를 꽂는 순간 내장된 악성코드가 작동된다.”
사회공학 해킹이 성행하는 배경엔 SNS가 한몫한다. 2008년 당시 미국의 부통령 후보 세라 페일린의 e메일 계정이 해킹됐다. 패스워드를 잊어버렸을 경우 메일 업체는 보통 개인정보를 물어보는 방법으로 신원을 확인한다. 범인은 인터넷에서 페일린의 생일이나 남편을 만난 장소 등을 검색해 개인정보 질문에 답했다. 최근엔 유명 인사가 아니더라도 개인정보를 SNS에서 쉽게 찾을 수 있다. 개인정보는 해커들에게 해킹의 단초를 제공한다. 이 대표는 “예컨대 회사의 보안담당자가 SNS에서 ‘며칠간 밤을 새워 야근 때 졸려 죽겠다’고 썼다고 하자. 해커는 이 글을 읽고 심야 해킹을 계획할 수 있다”고 말했다.
정현철 KISA 침해사고분석단장은 ▶보안 패치나 백신을 최신으로 유지하고 ▶첨부파일은 꼭 백신 검사를 거치며 ▶SNS나 블로그에 개인정보를 많이 공개하지 말 것을 당부했다. 정 단장은 “조금이라도 의심스러우면 일단 보안 담당자에게 연락하는 자세가 필요하다”고 말했다.
이철재·곽재민 기자 seajay@joongang.co.kr
