[경제 view &] 컴퓨터 해킹서 ‘휴먼 해킹’ 시대로

해커의 역사를 논할 때 빼놓을 수 없는 사람이 케빈 미트닉이다. 그는 미성년자 시절부터 대학 전산망에 침입했다. 보호관찰 기간 중이던 1990년대 초에는 노키아·후지쓰·모토로라 같은 주요 통신회사의 컴퓨터 시스템을 해킹하고 갑부들의 신용카드 번호를 빼내 다른 시스템으로 옮겨놓으며 신출귀몰한 수법으로 미 수사당국을 애먹였다.

　주목할 점은 미트닉은 자신이 저지른 일들이 해킹이 아니라 ‘사회 공학(Social engineering)’이었다고 주장한다는 것이다. 그는 상원 청문회에서 “기업의 보안 관계자가 보안 지침과 절차를 위반했기 때문에 내 해킹이 성공할 수 있었다”고 주장했다. 그러면서 “해킹은 컴퓨터 성능이 떨어져서가 아니라 사람이 잘못해서 당하는 것”이라고 했다.

　지난 2000년에 발생했던 ‘아이러브유(I Love You)’ 바이러스 또한 컴퓨터 바이러스가 기술뿐만이 아니라 인간의 심리를 이용하는 사회 공학적 측면이 크다는 것을 보여준다. 당시 이에 감염된 PC가 5000만 대에 달했으며 미 국방부, CIA, 영국 의회까지 이 공격을 제거하기 위해 e-메일 시스템을 중단할 정도로 피해가 엄청났다.

　여기서 보듯 해커들은 컴퓨터 기술은 물론이고 심리전에서도 전문가다. 보안 기술이 발달함에 따라 보안 시스템의 가장 취약한 고리인 사람을 노리는 사회 공학적 해킹, 이른바 ‘휴먼 해킹’이 기승을 부리고 있다.

　최근 새롭게 대두되는 ‘지능적 지속위협(APT·Advanced Persistent Threat)’ 공격도 표적으로 삼은 특정 기업이나 조직의 정보기술(IT) 시스템을 직접 해킹하기보다 임직원들을 ‘휴먼 해킹’해 인증정보를 탈취하는 방법을 선호한다. 임직원의 계정정보를 얻어 접속하면 정상 접속으로 인지되기 때문에 각종 보안 솔루션을 피할 수 있다. 기업은 APT 공격에 당했다는 사실조차 모르게 된다. 휴먼 해킹과 APT 공격의 결합이 기업의 IT 보안 담당자에게 최악의 조합이다.

　보안 패러다임의 변화가 필요하다. 기존의 보안 접근법을 폐기하자는 것이 아니다. 정보 주위를 둘러싸는 형태의 시스템에서 정보 자체를 보호하는 전략으로 무게중심을 옮기자는 것이다. ‘디지털 정보 지도’의 작성이 그 핵심이다. 중요 정보가 어디에 저장돼 있고, 누가 접근 가능한지, 어떻게 보호되고 있는지를 한눈에 파악하게 하는 것이다.

　또한 ‘보안기술-솔루션-사람’ 중에서 가장 취약한 고리인 사람에 대한 대비책을 마련해야 한다. 아무리 좋은 시스템과 보안 솔루션을 구축한다 해도 결국 이를 운용하는 것은 사람이기 때문이다.

　몇 해 전 미국에서 실제 있었던 일이다. 주말 오후 회사 당직자에게 자칭 부사장이라는 사람의 전화가 걸려왔다. LA 공항에서 노트북을 잃어버렸으니 바이어에게 줄 자료를 찾아서 e-메일로 보내 달라며 자신의 내부망 접속 아이디를 알려줬다. 물론 이 아이디는 가짜였고, 당직자는 접속을 시도했지만 로그인이 되지 않았다. 그러는 동안 ‘자칭 부사장’은 “왜 안 되느냐”며 화를 내고 재촉했다. 당황한 당직자는 자신의 아이디로 전산망에 접속해 자료를 찾아 보내줬다. 그는 전화를 끊고 한참 후에야 자신이 속았음을 깨달았다. 아무런 기술적 침입이 없었는데 제 손으로 정보를 빼준 것이다. 어이없지만 남의 일이 아니다. 이 같은 상황에서 “규정 위반이라 보내 드릴 수 없습니다”라고 거부할 수 있는 사람이 몇이나 될까.

　사용자를 속이고 정보를 빼돌리는 기술이 그 어느 때보다 정교해지고 있는 이때, 사이버 범죄 피해를 방지하기 위해 기업들은 사이버 보안 위협에 대비해 적절한 보안 정책 구현과 직원 교육은 물론 엔드포인트, 메시징, 웹 환경에 대한 보안을 강화함으로써 각종 보안 공격에 노출될 가능성을 최소화해야 한다.

정경원 시만텍코리아 대표이사