누군가 당신을 훔쳐보고 흔적없이 사라진다

당신도 모르는 사이에 당신의 정보가 네트워크 상에서 도청되고 있다면? 지금 당신이 특정 웹 사이트에 로그인을 하고 있거나 회원 가입을 위해 이름, 주민등록번호, 거주지, 연락처 등 당신의 정보를 기입하고 있다면 누군가 당신의 정보들을 중간에서 가로챌 수 있다는 것을 알아야 한다.

당신이 즐겨 이용하는 통신회사의 유료 ID를 누군가가 빼내 무단 사용할 수도 있고 당신이 네트워크에서 행하는 일거수 일투족이 여과 없이 보여질 수도 있다.

보안에 대한 경각심이 있는 네티즌은 직접 PC보안 프로그램을 설치해 방어 태세를 갖추고 웹 사이트 운영업체들은 고객의 DB를 안전하게 지키기 위해 각종 보안 솔루션을 가동시킨다.

더구나 올 7월부터 시행되는 정보통신기반보호법에 따라 각 사이트에 방화벽 설치가 의무화되고 서비스 업체들은 더욱 사이트 보안에 만전을 기하고 있다. 웹 사이트 운영업체의 시스템에 직접 침투하거나 DB를 공격해 고객들의 정보를 빼내기는 점점 어려워질 것으로 보인다.

경계 태세가 강화된다고 해서 도둑이 없어지는 것은 아니다. 공격자는 늘 틈새를 노린다. 철통 같은 사이트 보안이 무색하게 사용자 정보가 흘러다니는 네트워크는 보안 사각지대로 남아 있다. 한쪽에서 보안을 강화한다면 상대적으로 허술한 곳은 더욱 공격자의 표적이 될 확률이 높다.

정보통신기반보호법에도 네트워크에 대한 보안은 언급조차 돼 있지 않아 법망을 피한 ‘스니핑(sniffing)’이 더욱 확산될 것이라는 우려가 제기되고 있다.

흔적 없는 해킹, 스니핑에 속수무책

스니퍼(sniffer)란 스니프(sniff, 냄새를 맡다)에서 유래한 말로 ‘네트워크 상에 흘러다니는 트래픽을 도청하는 프로그램’을 뜻한다. 원래는 네트워크의 트래픽을 감시하고 분석해 병목현상 같은 문제점을 발견하기 위해 개발된 프로그램인데 해킹에 악용되는 경우가 많다. 스니퍼를 이용해 네트워크 상의 데이터를 도청하는 행위를 스니핑(sniffing)이라고 한다.

스니핑은 사용자 계정과 패스워드를 알아내는 데 쓰이는 고전적 해킹 기법 중 하나다. 사용자가 자신의 PC에서 입력한 ID와 패스워드 등의 각종 정보는 통신망을 따라 서비스 제공업체의 시스템으로 이동한다. 현재 데이터 전송 표준 규약으로 사용되는 TCP/IP 프로토콜은 데이터를 암호화하지 않고 그대로 전송한다. 전송하는 중간에 스니퍼가 작동해 길목을 노리고 있다가 데이터를 빼낸다. 클라이언트와 서버 보안이 아무리 철저해도 길목을 노리고 있는 도둑에게는 허무하게 당할 수밖에 없다.

스니핑으로 개인정보를 노리는 것은 철통 수비를 자랑하는 美 국방성을 공격하는 전문 해커가 아니다.

스니핑은 해커 입문자도 스니퍼를 활용해 손쉽게 시도할 수 있다.

스니퍼는 해커 사이트에서 쉽게 다운로드할 수 있다. 해커 사이트를 몰라도 검색 사이트에서 ‘스니퍼’를 입력하면 리눅스, 유닉스, 윈도NT 등 각종 시스템용 스니퍼를 찾을 수 있다. 이더넷스파이, 파일워처 등이 대표적인 스니퍼. 해커들은 스니퍼를 이용하는 것을 치사한 3류 해킹이라고 치부하지만 그것만큼 쉬운 것도 없다고 표현한다.

스니핑은 감행하기는 쉬운 반면 대응하기는 아주 까다롭다. 흔적이 남지 않아 정보 유출 후에 사건이 발생하지 않는 이상 피해 사실조차 확인하기 어렵다. 스니핑을 탐지하는 도구들이 개발돼 있지만 이 도구로는 네트워크 상에 스니퍼가 설치돼 접속이 이뤄졌다는 것만 알아낼 수 있을 뿐 사용자 정보가 유출됐는지 여부를 확인할 수 없다.

한 보안업체 관계자는 “경찰청 사이버수사대에서도 스니핑의 위험성을 인지하고 있지만 흔적을 추적하기가 쉽지 않아 피해사례조차 집계하지 못하고 있다”고 말했다. 피해사례가 집계되지 않고 있기 때문에 국가기관은 물론 사이트 운영업체들도 네트워크 보안에 방심하고 있는 상황이다.

네트워크 상에 회원정보 고스란히 방치

물론 직접적인 피해가 우려되는 정보에 대해서는 네트워크 상에서의 보안 대책도 마련돼 있다. 대표적인 스니핑 방지 대책은 정보를 전송할 때 암호화 프로토콜을 사용하는 방법이다. 통신망을 따라 전송되는 데이터 자체를 암호화하면 스니핑으로 정보가 유출되더라도 암호를 풀기 전까지는 정보의 내용을 알 수가 없다.

현재 사용되고 있는 대표적 암호화 프로토콜은 웹페이지 전체를 암호화하는 방식이기 때문에 데이터 전송시 속도가 현저하게 떨어진다는 단점을 갖고 있다. 이런 한계 때문에 신용카드 번호나 계좌번호를 요구하는 인터넷뱅킹, 쇼핑몰 등 정보가 유출됐을 때 큰 피해가 우려되는 분야에만 제한적으로 사용되고 있다.

반면 주민등록번호나 주소, 전화번호 등 회원 가입시 필수 기재사항으로 요구되는 각종 정보는 고스란히 스니핑에 방치되고 있는 상태다.

이와 관련 인터하우스(http://www.interhouse.co.kr)라는 벤처기업은 최근 새 프로토콜 PITP(Personal Information Transfer Protocol)라는 새로운 프로토콜을 개발했다. 이것은 데이터를 1백28비트 크기의 공개키를 사용해 암호화하고 전송한다. 보안이 필요한 핵심 요소만 암호화하기 때문에 전송속도도 일반 프로토콜과 차이가 없다.

이 프로토콜을 사용하기 위해서는 사용자와 서비스 제공업체가 모두 PITP 프로그램을 사용해야 한다. 인터하우스는 서비스 업체의 서버에 설치할 프로그램을 무상으로 공급하고 있다.

사용자용 프로그램으로는 싸이키(CYKEY)를 개발했다.

싸이키는 개인정보의 송수신시에 PITP를 채택할 수 있도록 하는 프로그램으로, 보안 기능 외에 개인정보 통합관리 기능을 포함하고 있다.

인터하우스의 이선해 개발기획실장은 “사이키는 사용자가 웹 사이트에 가입할 때 원 클릭으로 각종 정보를 채워넣을 수 있는 자동채움 기능 등을 갖추고 있어 사용자에게 편의를 제공한다. 보안이 중요하기는 하지만 특정 프로그램을 사용하는 것을 사용자들이 불편해할 수도 있어서 부가 기능으로 사용자 편의를 높였다”고 설명했다.

지금은 사용자나 서비스업체 모두 개인정보 유출에 대해 경각심을 갖고 있지 않다는 것이 가장 큰 문제다. 개인정보를 호시탐탐 노리는 공격자에 가장 무방비할 수밖에 없는 이유는 어쩌면 기술이 아니라 방심 그 자체일지도 모른다.

김문영 프리랜서 / 일러스트 이진호

자료제공 : i-Weekly(http://www.iweekly.co.kr)