SPECIAL REPORT
사이버 보안업체 스틸리언의 신동휘 부사장은 지난달 16일 “개개인이 일상에서 불편함을 느낄 정도로 보안 취약점을 보완하려는 노력을 해야 해킹 피해를 최소화 할 수 있다”고 말했다. 김상선 기자
지난 6일 한국고용정보원이 운영하는 취업 정보 사이트 ‘워크넷’에서 해외 인터넷주소(IP)의 무단 접속에 의한 개인정보 유출 사고가 발생했다. 정보원은 중국 등 해외 IP 28개에서 23만여번에 걸쳐 무단으로 워크넷에 접속한 것은 확인했지만 워크넷 사이트 자체가 해킹 당한 것은 아니라고 밝혔다. 이번 공격의 주요 대상이 여러 사이트에서 같은 아이디·암호를 사용하는 이용자인 것으로 알려졌다. 다른 곳에서 수집한 아이디와 암호를 목표로 하는 사이트에 대입해 로그인을 시도하는 ‘크리덴셜 스터핑(Credentail Stuffing)’ 수법으로 추정된다.
철통 시스템도 사람이 속으면 소용없어
최근 북한 해커들이 기자를 사칭한 ‘피싱 이메일’로 국내외 외교안보 전문가들에게 접근하는 사건이 잦아졌다. 탈북민 출신 안찬일 박사는 지난해 10월 싱가포르 국영 방송인 CNA 기자를 사칭한 이메일 공격에 노출됐다. 평소 각종 방송에 자주 출연해 북한 정권을 비판해온 안 박사에게 북한 해커는 “한반도와 동아시아의 군비 경쟁 우려를 다룬 1시간 분량의 다큐멘터리를 제작 중”이라며 인터뷰를 요청했는데 해당 이메일 에는 악성코드를 품은 링크가 첨부돼 있었다. 이런 해킹 수법은 ‘사회공학(소셜 엔지니어링)’이라고 부른다. 스스로 컴퓨터나 스마트폰에 악성코드를 설치하도록 유도하는 것이다. 시스템이 아닌 사람의 취약점을 공략해 원하는 정보를 얻는 방식이다.
결국 해킹도 사람이 행하고 사람이 당한다. 사이버 보안 기업 스틸리언의 신동휘 부사장은 “해킹의 ‘가장 약한 고리(위키스트 링크)’는 사람”이라고 말했다. 신 부사장은 “아무리 시스템 보안을 철저하게 해도 사람이 넘어가면 방법이 없다”며 “개개인이 해킹 취약점을 보완하려는 노력을 일상에서 불편함을 느낄 정도로 해야 한다”고 강조했다. 스틸리언은 모바일 앱 보안 솔루션 업체로 국민은행, 신한은행을 포함한 금융권·공공기관 60여개를 대상으로 보안 컨설팅, 사이버 보안 R&D, 해킹 교육 훈련 플랫폼 개발 등을 진행한다. 신 부사장은 보안기술 부분 전문가로 현재 서강대 정보통신대학원과 아주대 사이버보안학과에서 겸임교수를 맡고 있다.
- 해킹을 막는데 가장 중요한 요소는.
- “결국 사람이다. 시스템을 아무리 잘 갖춰도 사람이 당황하고 속으면 소용없다. 해커의 사칭 메일이나 사칭 사이트에 속는 것도 사람이다. 도메인이나, URL을 주의깊게 보면 뭔가 이상하다는 것을 발견할 수 있다. 그게 아니라면 항상 직접 사이트를 치고 들어가거나 메일의 수신자를 크로스 체킹 해야 한다.”
- 사칭 사이트는 어떻게 구별하나.
- “각 사이트의 인증서를 통해 해당 사이트가 진짜인지, 모습만 흉내낸 가짜인지 알아 볼 수 있다. 그러나 개개인이 검색을 할 때 귀찮으니깐 그런 인증서를 확인하지 않고 보통 사이트의 디자인만 보고 덜컥 로그인하는 경우들이 대부분이다.”
- 최근에는 사이트가 아니라 딥페이크·딥보이스로 개인을 사칭한다.
- “비슷한 맥락이다. 결국 그런 피해를 벗어나기 위해서는 심할 정도의 불편함을 감수해야 한다. 아무리 자기 자식이나 손자가 위험한 상황에 있다고 말해도 잠시 전화를 끊고 직접 전화를 걸어본다던지, 상황을 확인하려는 침착함을 유지해야한다. 그런데 ‘실제 상황이면 어쩌지’라는 불안감에 그렇게 대응하기 쉽지 않다. 내 아버지의 경우 보이스 피싱 전화가 왔는데 급박한 상황이였음에도 전화를 끊고 나한테 직접 전화를 해서 확인했다. 그 정도로 담대해야 한다.”
- 예방책은 없나.
- “가장 좋은 예방책은 내 개인정보가 해킹을 하려는 사람들에게 빠져나가지 않도록 하는 것이다. 비밀번호 한 달에 한 번씩 바꾸기, 사이트마다 비밀번호 다르게 설정하기 등 기본적인 것들만 해도 해킹에 노출되는 위험을 크게 줄일 수 있다.”
- 그런 기본적인 사안이 왜 효과적인가.
- “가령 한 사이트가 해킹 당해 정보가 유출됐다고 생각해보자. 이 경우 최근 워크넷 사건처럼 해당 사이트 이용자들의 정보를 다른 사이트에도 입력해서 로그인을 시도한다. 네이버를 해킹하면 구글, 카카오, 다음 등에 다 대입해 보는 것이다. 그럴 경우 특정 사이트의 해킹 시점과 다른 사이트에 개인정보를 입력하는 시점의 차이가 있기 때문에 비밀번호를 주기적으로 바꿔주면 적어도 다른 사이트에서는 피해를 받지 않을 수 있다. 각 사이트마다 다른 비밀번호를 사용하는 것도 같은 효과이다. 보안은 결국 개인의 노력의 정도에 비례해서 높아질 수 밖에 없다.”
정답이 없는 시대, 각 분야별 룰 정해야
- 우리나라는 해킹에 취약한 나라인가.
- “시스템적으로는 취약하지 않다. 특히 금융 시스템의 경우 우리나라에서는 해커가 개인정보를 빼내가더라도 통장 등 실물 없이 마음대로 돈을 빼내거나 송금하는 것이 쉽지 않다. 다양한 인증 수단도 많고 이를 이행하는 것은 본인만 할 수 있다. 그런데 인적자원의 측면에서 우리나라는 굉장히 집약적 네트워크를 가진 나라다. 몇 다리만 거치면 대통령과도 알 수 있는 구조다. 그렇기 때문에 개개인이 해킹에 노출될 위험은 크고 해킹 당했을 때 피해도 커질 수 있다.”
- 요즘 들어 해킹 사례가 증가했나.
- “10~20년 전에도 비슷한 해킹 사례는 있었다. 그러나 현재는 공격 루트가 다양해졌다. 소셜미디어(SNS)도 여러가지고, 기기도 전에는 컴퓨터만 있었다면 요즘은 스마트폰, 태블릿 등 종류가 많아졌다. 과거에는 사이트가 10개면 10개만 막으면 됐는데 지금은 100개를 막아야 한다. 100개 중 하나만 실수해도 보안 담당자 입장에서는 지는 것이다. 그런 이유에서 과거보다 해킹의 위협에 많이 노출돼 있다고 볼 수도 있다.”
- 특히 위험한 사이트 같은 것이 있나.
- “주의해야할 사이트는 존재한다. 데이터를 익명으로 주고받는데 쓰는 가상망(VPN) 서비스를 예로 들어보자. 사용하는 것 자체가 무조건 위험하진 않다. 다만 앱을 깔 때 마케팅 정보 수집에 동의하면 이를 활용한 광고나 내가 지금 관심을 갖고 있는 분야에 대한 피드백이 많이 온다. 우리가 ‘스마트폰이 내 정보를 다 보고 듣는 거 아니야?’라는 의문이 드는 부분이다. 그게 귀찮지 않다면 정보 수집에 동의해도 된다. 그런데 진짜 문제는 따로 있다. VPN의 경우 중간에 서버 하나를 경유해 사이트에 접속한다. 그런데 그 서버 운영자가 내가 입력하는 아이디·패스워드 등 개인정보를 열어보고 가로챌 수 있다. 신뢰할 수 있는 운영자인지 검증이 필요하다. 이처럼 SNS나 VPN 같은 다양한 서비스는 편리하지만 보안 위험이 따른다. 특별히 위험한 앱이 있다기 보다는 사용할 때 위험을 인식하고 피해갈 필요가 있다.”
- 보안 시스템으로 해결할 수 없나.
- “보안 담당자들이 모여 각 서비스에 필요한 룰을 만들고 개선하는 작업을 계속하고 있다. 과거에는 보안에 대한 공통적인 룰을 만들고, 이를 적시에 적용하는 것이 중요했다. 지금은 정답이 없는 시대다. 금융, 의료, SNS 등 서비스마다 특징이 다르고 요청하는 트래픽이 다양하다. 사이트 분야 별로 서비스에 맞는 룰을 정하는 노력이 필요하다. 하지만 사용자들이 보안에 신경을 쓰지 않으면 구멍이 뚫릴 수밖에 없다. 보안 시스템과 사용자들의 보안 의식이 어우러져야 해킹을 막을 수 있다.”
