진화하는 해킹 … 당신 마음을 노린다

지난해 해킹을 당한 인터넷 업체에서 ‘향후 전략정보 보고서’ 등 핵심 자료들이 유출됐다. 경찰 조사 결과 이 회사 직원 A씨의 컴퓨터가 악성코드에 감염된 것으로 나타났다. A씨는 당시 ‘보직 인사발령’이란 제목의 e-메일을 받았다. 메일엔 ‘인사명령’이란 이름의 엑셀파일이 첨부돼 있었다. 궁금한 마음에 파일을 열었던 A씨는 아무런 내용이 없음을 알고 바로 메일을 지웠다. 그러나 컴퓨터엔 이미 악성코드가 심어진 상태였다. 해커들은 ‘좀비 PC’가 된 A씨의 컴퓨터를 통해 회사 ID와 비밀번호를 파악한 뒤 내부 전산망에서 정보를 빼낸 것으로 조사됐다.

　해킹이 사람의 마음을 낚는 방식으로 진화하고 있다. 보안 기술이 발달하면서 시스템 자체보다 기업·공공기관 내부 인물의 심리적 허점을 파고들고 있는 것이다.

　대표적인 해킹 수법은 A씨의 경우처럼 악성코드를 숨긴 e-메일을 보내는 것이다. 물론 메일을 열지 않으면 해킹은 실패다. 하지만 해커들은 사람들의 호기심을 자극해 클릭을 유도한다. 대상 인물의 취미나 관심사를 분석한 뒤 ‘연봉협상’ ‘자동차 이벤트 당첨’이란 제목의 메일을 보내는 식이다. 사회적 이슈도 이용한다. 인터넷진흥원 박해룡 인프라팀장은 “지난해 주요 악성코드 메일들은 일본 쓰나미, 김정일 사망 등 뉴스 메일로 위장했다”고 말했다. 해킹 수단도 메신저·트위터 등으로 다양해지고 있다.

　전문가들은 이러한 해킹을 ‘사회공학(social engineering)적 방법’으로 분류한다. 미국 해커인 케빈 미트닉(48)에 의해 소개된 이 말은 사람의 심리를 이용한 해킹 수법을 가리킨다. 이호웅 안철수연구소 시큐리티대응센터장은 “사람을 속인다는 점에서 사회공학적 방법은 일종의 사기”라고 말했다.

　개인들도 사회공학적 해킹의 대상이 되고 있다. 지난해 11월 해커 장모(44)씨는 경기도의 한 골프장 회원 명단을 입수해 회원 1000여 명에게 ‘골프장 무료 이용 이벤트’란 제목의 메일을 보냈다. 무심코 메일을 연 회원 수십 명의 컴퓨터가 좀비PC로 변했다. 장씨는 이들 PC를 이용해 공공기관 중역 이모(51)씨 등 8명의 공인인증서와 비밀번호, 계좌번호를 빼내 인터넷 게임 아이템을 구입하는 등 총 1억7000만원을 가로챈 혐의로 구속됐다.

　보안업계와 경찰은 지난해 농협·네이트 해킹 사건 역시 ‘알집 프로그램 업데이트’ 등으로 클릭을 유도했던 것으로 파악하고 있다. 경찰청 사이버테러대응센터 이병귀 수사팀장은 “아무리 보안장비를 강화해도 해킹을 당하는 건 결국 사람”이라며 “개인들의 보안의식 강화가 중요하다”고 지적했다.

이승호 기자

◆사회공학적 해킹=보안 시스템이 아닌 내부 인물을 직접 공략하는 해킹 기법. 케빈 미트닉이 2000년 미국 상원 청문회에서 “해킹은 컴퓨터가 아닌 사람이 잘못해서 당하는 것”이라며 이 단어를 처음 사용했다. 지난해 1월 구글·야후 등 34개 글로벌 기업들이 해킹당한 것도 이 기법에 의해서였다.

‘사람 마음’을 낚는 해킹 수법은

● 회사원에게 ‘인사발령’‘연봉협상’ 제목 e-메일
● 자동차 매니어인 공공기관 임원에게 ‘차 구매 혜택’ SNS 쪽지
● 골프장 회원 명단 입수해 ‘무료 이용 이벤트’ e-메일
● 김정일·스티브 잡스 사망 등 이슈 관련 뉴스 링크
● 알집·PDF파일 등의 프로그램 업데이트 링크
(e-메일 등을 클릭하는 순간 악성 코드가 PC에 심어지고 좀비 PC화)