침해사고/위협동향

[딜라이트닷넷] 이용자의 ‘방심’ 노리는 해커들··· 보안준칙 숙지해도 당하기 일쑤

이종현
[디지털데일리 이종현기자] 영화에서 나오는 해킹 장면은 모니터를 통해 눈으로 따라잡을 수 없을 속도로 출력되는 문자를 인식하고, 거기에 대응해 키보드를 타이핑하는 동적인 모습으로 그려진다. 하지만 오늘날의 실제 해킹은 훨씬 정적으로 이뤄진다. 미끼를 뿌려두고 기다리는 낚시에 가깝다. 그렇기에 피싱(Phishing)이다.

보안 전문가들이 가장 위협적이라고 꼽는 공격기법은 사회공학적 공격이다. 용어만 봤을 때는 복잡해 보일 수 있지만, 실상은 흔히 받는 낚시 메일, 문자와 크게 다르지 않다. 다만 그 대상을 특정하고, 대상이 관심 갖는 분야의 내용으로, 반복적으로 보낸다는 게 차이점이다.

쉽게 접할 수 있는 사회공학적 공격은 공격은 온라인 쇼핑, 택배 등이다. ‘택배가 발송됐으니 확인하세요’라며 인터넷주소(URL)나 첨부파일을 더하는 식이다.

이렇게 접속한 URL이나 첨부파일에 악성코드를 포함시킨 공격은 피해를 키우는 지능형지속위협(APT)으로 비화된다. PC·모바일 내 정보를 유출하거나 제어권을 탈취하는 등이 대표적인 피해다. 랜섬웨어도 APT 공격을 통해 확산되는 추세다.

상황을 조금 더 세밀하게 그리자면, 채용 시즌인 요즘 기승을 부리는 ‘이력서 사칭 해킹 메일’이 있다. 채용 공고를 낸 기업의 인사담당자에게 지원서로 위장한 악성파일을 보내는 방식이다. 국세청이나 경찰, 법무부 등으로 위장하기도 한다.
기자에게 온 국세청을 사칭한 피싱메일
기자에게 온 국세청을 사칭한 피싱메일
회사에 온 이력서 사칭 메일. 확장자가 .exe다.
회사에 온 이력서 사칭 메일. 확장자가 .exe다.

인사 담당자라는 특정 대상, 채용 시즌이라는 시기를 노린 공격인 만큼 공격 성공률이 높다. 매해 많은 피해자가 양산되는 중이다. 실행파일(.exe)을 문서파일(.hwp, .doc, .pdf 등)이나 이미지파일(.jpg, .png 등)로 위장하는 수법이 일반적이다. 파일의 생김새도 확장자에 맞게 위장한다. 윈도 폴더에서 파일 확장자명을 활성화시키지 않으면 속기 십상이다.

본격적인 APT 공격은 ‘스피어피싱(Spear Phishing)’으로 시작되는 경우가 많다. 탈북자를 대상으로 북한 관련 소식 메일을 지속해서 보내는 등이다. 기업·기관이 보안을 강화하는 것은 높고 두터운 성벽을 쌓아올리는 것과 같다. 스피어피싱으로 악성파일을 설치하는 것은 내부에서 문을 열어주는 역할을 할 수 있다. 성벽이 무용지물이 되는 셈이다.

지난해 조 바이든 미국 대통령을 비롯해버락 오바마 전 미국 대통령, 마이크로소프트(MS) 창업자 빌 게이츠, 테슬라 최고경영자(CEO) 일론 머스크 등 유명 인사들의 트위터 계정이 해킹되는 사례가 발생했다. 트위터는 “사회공학적 공격으로 추측된다”고 밝혔다. 높은 내부 정보 접근권한을 가진 트위터 직원에 접근해 정보를 탈취한 것이라는 설명이다.
해킹당한 빌 게이츠의 트위터 계정
해킹당한 빌 게이츠의 트위터 계정

이 공격으로 유명인의 트위터 계정을 탈취한 해커는 “나는 코로나19와 관련해 우리 공동체에 돌려줄 것이다. 아래 주소로 비트코인을 보내면 2배로 돌려주겠다”는 등 금전을 요구하는 트위터를 올렸다. 미국 언론은 11만달러(한화로 약 1억2490만원)의 비트코인이 해커의 지갑으로 송금됐다고 전했다. 비트코인 가격이 1100만원가량이던 시기다. 현재 시가로 본다면 70만달러가량의 피해가 발생했다.

디지털 공간에서의 악성코드는 현실에서의 바이러스와 닮았다. 보균자와 접촉하면 접촉자도 감염될 수 있다. 접촉하지 않더라도 같은 공간을 쓴다면 위험하다. 마스크는 물론이고 손씻기, 환기도 요구된다. 이와 같은 코로나19 방역 대책을 컴퓨터에도 적용해야 한다. 백신과 방화벽 같은 기본 보안 제품은 기본이다.

보안업계에서는 “100%란 없다”는 말이 곧잘 나온다. 그럴 수밖에 없다. 해커들은 이미 만들어진 시스템에서 빈틈을 찾아 공격한다. 해커가 발견하기 전에는 그와 같은 취약점을 알아챌 수 없다. 공격이 발생함으로써 빈틈의 존재를 알고, 거기에 대응하는 것이 보안이다. 대다수 소프트웨어(SW)가 발견된 취약점을 보완하기 위해 업데이트를 진행한다. 일상적으로 하는 윈도 업데이트가 그 예다.

사람과 같은 수준의 가상인간을 만드는 세상이지만 해킹의 본질적인 방법은 과거와 크게 달라지지 않았다. 이를 방비하는 방법도 말이다.

보안업계 관계자는 “최근에는 인공지능(AI)을 이용한 위협 인텔리전스 등으로 알려지지 않은 위협까지 방어하는 시스템을 갖추고 있다. 다만 아직 보조적인 수준”이라고 말했다.

그는 “보안 사고의 대부분은 사람의 실수, 휴먼에러에서 나온다. 이를 줄이기 위해서는 개개인의 보안수칙 준수가 중요하다. 코로나19에 대한 가장 효과적인 대응이 사회적 거리두기인 것처럼 말이다”라고 부연했다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널