경제·IT

해커들의 세계 "노리면 다 뚫는다"

김정우 기자 2011. 7. 15. 18:35
반응형
“질끈 묶은 장발에 두꺼운 안경. 어두운 방 안에 홀로 앉아 키보드 몇 번 두드리면 몇 초 만에 패스워드를 알아내 보안시스템을 무력화시키고, 각종 군사·산업 기밀자료를 빼돌려 돈을 받고 넘겨주는 남자….”

‘해커(hacker)’라고 하면 흔히 떠오르는 이미지다. 영화에 자주 등장하는 그들은 주인공인 영웅을 돕거나 적으로 등장해 핵심 정보를 아슬아슬하게 입수하며 긴장감을 극대화한다. 실제 이런 ‘환상’만 보고 해킹 공부를 시작하는 이들도 많다고 한다.

대부분 해커들은 “말도 안되는 이야기”라며 웃어 넘긴다. ‘해킹이 생업’인 그들은 ‘영화 속 해커’의 가장 큰 오류로 “해킹 시도 후 몇 초 만에 뚫리는 시스템과, 그 과정을 시원하게 보여주는 모니터 화면”을 꼽는다. 실제론 며칠에서 수개월까지 걸리는 사전작업을 거쳐 시나리오를 세워 실행해야 하고, 모니터 화면도 텍스트 형태의 각종 코드가 가득할 뿐이다.

최근 현대캐피탈 고객정보 유출과 농협 전산망 파괴 등 금융시스템 해킹 사건으로 해커에 대한 관심이 커졌다. 컴퓨터와 전혀 무관한 삶을 살던 사람들도 해킹의 피해를 직접 입는 시대가 오면서 해킹은 더 이상 ‘다른 나라 먼 이야기’가 아니게 됐다. 뉴스엔 매일 해커 이야기가 나오지만, 사람들은 여전히 해커에 대해 잘 모른다. 도대체 해커는 어떤 사람들일까.

⊙ 스스로 취약점 찾는 고수들은 국내 15명 내외… 나머지 대부분 실력 미달
⊙ PC 기반에서 스마트폰, 전자단말기 등으로 범위 확대… ‘ATM 잭팟’도 가능
⊙ 빌 게이츠와 스티브 잡스도 해커 출신… “전문·도덕성 갖춘 해커 집중 양성해야”
⊙ “아무리 뛰어난 해커라도 2중·3중 보안 시스템 갖춘 ‘준비된 기업’은 절대 못 뚫는다” (김홍선 안철수연구소 대표)


해커에도 至尊이 있을까

각종 해킹대회를 휩쓴 ‘3세대 해커’ 박찬암씨.

‘해커’에 대해 오해가 많은 이유는 단어 자체가 한 문장으로 설명되지 않기 때문이다. 국립국어원에서 발간한 《표준국어대사전》도 해커를 “통신망 따위를 통해서 다른 사람의 컴퓨터에 무단 침입하여 데이터와 프로그램을 없애거나 망치는 사람”, “컴퓨터 시스템에 대하여 강한 흥미를 갖고 전문적으로 연구하여 뛰어난 실력을 갖춘 사람” 등 두 뜻으로 설명했다.

전자(前者)는 ‘블랙햇(black-hat) 해커’ 또는 ‘크래커(cracker)’로 불리고, 후자(後者)는 ‘화이트햇(white-hat) 해커’라고 불린다. 서부영화에 등장하는 검은 모자를 쓴 악당과 흰 모자를 쓴 주인공에서 유래했다. 블랙햇은 주로 해킹 범죄를 저지르는 이들이고, 화이트햇은 이를 방어하는 보안 전문가로 활동하고 있다.

이들을 창(矛·모)과 방패(盾·순)로 묘사하는 것엔 무리가 있다. 블랙햇과 화이트햇 모두 사실상 창(槍) 역할을 하기 때문이다. 다만 블랙햇은 실제로 피해를 주기 위해 창을 실전에 사용하지만, 화이트햇은 보다 훌륭한 방패를 만들기 위해 창을 연마한다. 많은 화이트햇 해커가 의뢰인의 시스템을 ‘모의해킹’해서 취약점을 찾는 일을 하고 있다.

블랙햇과 화이트햇으로 명확하게 구분되지 않은 해커를 ‘그레이햇(gray-hat) 해커’라고 부른다. 기본적인 보안 윤리의식을 갖추고 있지만, 해킹 범죄도 저지를 가능성이 있는 해커로, 낮에는 보안업체에서 일하지만, 밤엔 악성코드를 유포하고 정보를 빼내는 등 범죄행위를 할 수 있다.

박찬암(朴贊庵·22)씨는 최근 몇 년간 국내의 각종 해킹대회를 휩쓸며 이름을 알린 인물이다. 초등학교 5학년 때부터 해킹 공부를 시작해 중학생 시절 처음 해킹대회에서 입상했고, 고교 1학년 때부턴 7차례 대회에 출전해 모두 우승을 차지했다.

2009년 인하대 재학 중 국내 최대 해킹대회인 ‘코드게이트’에서 우승해 대회를 개최했던 보안전문업체 소프트포럼에서 근무 중이다. 회사는 박씨에게 자유로운 출퇴근 및 연구환경을 보장했고, 보안기술분석팀장이란 직책까지 줬다.

박씨는 “원래 해커들이 자신을 해커라고 부르는 것 자체를 좋아하지 않으며, 스스로 실력이 좋다고 하는 경우는 더더욱 없다”고 했다. “한국에선 누가 (해킹) 실력이 제일 좋으냐”고 물었더니 “질문 자체가 말이 안된다”고 대답했다.

“해킹 실력을 객관적으로 서로 비교하는 것은 어렵습니다. 분야가 워낙 다양하고 기술이 빠르게 변하기 때문에 ‘누가 최고다’라고 규정할 수 없어요. 대회에서 입상하거나 각 분야에서 이름이 알려진 사람들 정도가 거의 상위그룹에 포진하고 있다고 보면 됩니다. 음지에서 활동하는 ‘무림의 고수’들은 사실 접할 기회가 거의 없는 데다 존재 여부도 불투명합니다.”

▣ 해커의 기원

1950년대 말 미국 MIT 학생 동아리에서 ‘해커’란 말이 처음 등장했다는 설이 유력하다. DEC사(社)의 미니컴퓨터 ‘PDP-1’으로 모형기차 제어시스템을 연구하던 학생들이 문 닫힌 전산실을 몰래 드나들면서 컴퓨터를 사용했고, 프로그램을 작성하는 데 뛰어났던 학생들을 해커라고 불렀다고 한다.


해킹의 선구자들

‘1세대 해커’ 김휘강 고려대 정보보호대학원 교수.

한국에서 본격적인 해킹 역사가 시작된 것은 1990년대 초반부터다. 1991년 카이스트(KAIST)에 해킹 연구 동아리 ‘쿠스(KUS)’가 등장했고, 1992년 포항공대(현 포스텍)에 ‘플러스(PLUS)’ 동아리가 생겼다. 학교 전산 시스템이 해킹당할 때마다 두 동아리는 서로를 의심했다. 당시까지만 해도 국내에서 각 학교 시스템을 뚫을 수 있는 존재는 사실상 그들밖에 없었기 때문이다.

몇 년간 간헐적인 해킹이 이어지다가 1996년 4월 사고가 터졌다. 포항공대와 이화여대 전산시스템에 저장된 연구자료와 과제물을 삭제하는 등 학사행정 마비를 일으킨 해킹 사건이 발생했다. 검찰 수사 결과 범인은 카이스트 학생들이었다. 당시 동아리 쿠스 회장으로 해킹을 주도한 노정석씨와 회원 조용상씨는 구속됐고, 또 다른 해킹 동아리인 ‘스팍스(SPARCS)’ 회원인 김세환씨와 정모씨는 불구속 입건됐다. 이화여대 해킹은 포항공대 해킹의 사전 실험용이었음이 후에 밝혀졌다.

보안 전문가들은 당시 사건에 직간접적으로 연루된 학생들을 ‘1세대 해커’라 부른다. 노정석(36)씨는 졸업 후 보안업체를 창업해 경영하다 2005년 블로그업체 테터앤컴퍼니를 세워 3년 후 구글에 매각했다. 2010년까지 구글코리아 프로덕트 매니저로 지내다 “구글같이 좋은 회사를 나도 만들어 보고 싶다”며 벤처기업 아블라컴퍼니(Ablar Company)를 창업했다.

쿠스 4대 회장 출신인 김휘강(35)씨는 보안 분야로 석·박사 학위를 받았고, 1999년 국내 최초로 정보보호컨설팅 전문기업을 창업했다. 온라인 게임업체인 엔씨소프트에서 정보보안실장을 하다 2010년 고려대 정보보호대학원 교수가 됐다. 포항공대 플러스 초대 회장이었던 이희조 교수는 미국 퍼듀대 보안연구센터 연구원과 안철수연구소 기술담당최고책임자(CTO)을 거쳐 현재 고려대 컴퓨터통신공학부 교수로 재직 중이다.

1세대 이후 해커들도 각계에서 활발히 성과를 내고 있다. 서울대 출신으로 1990년대 중반 국내 최초로 상용 방화벽을 만든 오정욱(37)씨는 국내 보안업체에서 컨설팅 업무를 하다 2004년 마이크로소프트(MS) 윈도(Windows)의 취약점을 연구하는 미국 보안업체에 입사했다. 2010년 8월 MS 본사의 보안 담당자가 됐다. 대학에서 컴퓨터공학을 전공한 후 각종 국내 해킹대회에서 우승한 홍민표(33)씨는 현재 해커 모임 ‘와우해커’와 보안업체 ‘쉬프트웍스’ 대표를 맡아 백신 프로그램을 연구·개발한 2세대 해커다. 1989년생인 박찬암씨는 대표적인 3세대 해커로 꼽힌다.

‘해킹의 본산’인 미국은 IT업계의 많은 유명인이 해커 출신이다. ‘소프트웨어 공유’를 주창한 ‘그누(GNU) 선언문’의 주인공 리처드 스톨만(Stallman)은 ‘가장 존경받는 해커’로 불린다. 마이크로소프트(MS)를 설립한 빌 게이츠(Gates)와 애플(Apple) 창업자 스티브 잡스(Jobs)도 젊은 시절 해커로 활동했다.

1988년 코넬 대학원 시절, 인터넷 크기 측정을 위해 최초로 웜(worm·자기복제 악성 프로그램)을 배포했다 NASA와 미 국방부를 포함한 6000대 이상의 컴퓨터를 마비시켰던 로버트 모리스(Morris)는 현재 MIT 교수로 재직하며 보안 관련 연구를 진행하고 있다.

지난해 세계 이슈의 중심에 섰던 위키리크스(WikiLeaks) 창립자 줄리안 어샌지(Assange)도 14살 때부터 해킹을 해 온 대표적인 핵티비스트(Hacktivist·정치 또는 사회적 목적을 달성하기 위해 활동하는 해커)다.

마이크로소프트(MS)를 설립한 빌 게이츠와 애플 창업자 스티브 잡스도 젊은 시절 해커로 활동했다(사진 왼쪽). 리처드 스톨만은 최고 해커 등급인 ‘구루’ 중 한명으로 자기만의 철학을 가지고 있어 가장 존경받는 해커다(사진 오른쪽).


해커 등급

해커의 등급을 정하는 공식 기관은 없지만, 해커 출신으로 보안 전문가인 길버트 아라베디언(Alaverdian)의 분류를 많이 따른다. 분류에 따르면, 가장 낮은 단계는 해킹 기술을 어설프게 흉내내지만 경험과 기술이 없는 ‘라메르(Lamer)’다. 절뚝거리다, 서투르다는 뜻의 영단어 ‘lame’에서 온 말로, ‘레이머’로 발음하기도 한다. 게임이나 채팅 사이트에 불법복제 소프트웨어를 공유하고 이미 공개된 악성코드 프로그램을 다운받아 설치하는 정도라 ‘해커’라고 부르기도 민망한 수준이다.

‘스크립트 키디(Script Kiddie)’는 네트워크나 운영체제(OS) 등에 대한 전문 지식은 부족하지만, 악성코드나 해킹 툴을 이용해 서버를 해킹하거나 디도스(DDoS·분산서비스 거부) 공격을 하는 등 기존 프로그램을 활용하는 단계다. 컴퓨터 명령어를 뜻하는 ‘script’와 어린아이를 뜻하는 ‘kiddie’를 합친 말로, ‘아마추어 해커’로 번역하기도 한다.

‘디벨로프 키디(Developed Kiddie)’는 스크립트 키디가 조금 더 성장한(Developed) 단계다. 대부분의 사이버공격과 해킹 기법을 알고 있으며, 여러 번 해킹을 시도해 성공하면 시스템을 파괴한다. 하지만 네트워크나 운영체제에 대한 지식이 없어 해킹코드를 작성하지는 못한다. 신용카드 사기, 불법복제 소프트웨어(SW) 유포 등 범죄를 저지르는 경우도 있다.

‘세미 엘리트(Semi Elite)’는 운영체제의 취약점이 발견되면 해킹코드를 직접 만들고, 이미 만들어진 코드를 변경할 수 있는 수준이다. 하지만 보안 취약점을 직접 발견해 낼 수 없고, 공격 후 흔적을 남기는 약점이 있다. 언론기사에 등장하는 상당수의 ‘대형 사고 친 해커들’이 이 등급에 속한다고 한다.

‘엘리트(Elite)’는 시스템 취약점을 스스로 찾아내 해킹하는 최고 수준의 단계다. 윈도(Windows)나 유닉스(Unix) 등 운영체제의 취약점을 밝혀 내고, 아무런 흔적 없이 시스템에 침입해 해킹에 성공한다. ‘세미 엘리트’나 ‘디벨로프 키디’들은 자신을 ‘엘리트’로 착각하는 경우가 많다고 한다.

이상 5개 등급은 크게 ‘엘리트’와 ‘키디’로 나눌 수 있다. 키디들은 해킹은 가능하지만 스스로 해킹코드를 작성하지 못한다. 디도스 공격이나 악성코드를 다운받아 유포하는 이들은 대부분 키디들이다. 키디들은 등급은 낮지만 과시욕이 커서 디도스 공격을 하다 수사기관에 적발되는 경우가 흔하다.

김휘강 고려대 정보보호대학원 교수는 “아라베디언의 분류도 사실 ‘해커스 딕셔너리(Hacker’s Dictionary)’란 사이트에서 회자되던 것을 총정리한 것”이라며 “‘구루(Guru)’나 ‘위저드(Wizard)’로 불리는 최상위 그룹도 있다”고 했다. 김 교수의 설명이다.

“각각 힌두교 지도자와 마법사를 일컫는 말인데, 해커 세계에선 해킹 기술뿐 아니라 철학까지 겸비한 인물을 뜻합니다. 리처드 스톨만 정도가 그 등급에 포함되겠죠. 아직 한국에 이 정도 대단한 해커는 없는 것으로 압니다.”


“코드 제작 해커, 국내 200명 이하”

―국내 해커 중 엘리트 등급은 몇 명쯤 됩니까.

“정확한 수를 파악하는 것은 어렵습니다. 대략 추산을 했을 때 해킹코드를 직접 개발할 수 있는 세미 엘리트와 엘리트 등급을 합친 수가 약 100명에서 150명 사이일 겁니다. 많아도 200명은 안 넘을 거라 봐요.”

―키디 수준은 몇 명 정도 될까요.

“추정 불가능합니다. 주로 디도스 공격을 하거나 기본적인 해킹 툴을 사용하는 이들인데, 수천 명일지 수만 명일지 알 수 없죠. 고등학생이 EBS 수능 강의 사이트를 디도스로 마비시킬 정도이니, 꽤 많을 겁니다.”

김 교수 외에도 다수의 해커가 비슷한 수치를 제시했다. 수백 명 수준의 세미 엘리트가 있지만, 엘리트는 극소수라는 것이다. 박찬암씨는 엘리트 등급의 해커가 10명에서 20명 사이일 것이라 추정했다. 박씨는 “운영체제의 취약점을 스스로 찾아낼 수 있는 해커는 국내에 많아야 열댓 명 정도일 것”이라며 “이들은 주로 관련 업계에서 근무하거나 혼자 연구한다”고 했다.

의뢰인에게 돈을 받고 세계 각국을 상대로 무차별 해킹을 시도하는 중국 ‘사이버 조폭’의 조직원들은 대부분 디벨로프 키디나 세미 엘리트 수준의 해커라고 한다. 세미 엘리트 등급의 고급 인력이 악성코드와 해킹 툴을 제작하고, 디벨로프 키디들은 제작된 툴을 이용해 개인정보를 빼내거나 보이스피싱 등 기법을 실행한다.

컴퓨터 기술이 뛰어난 해커가 무조건 해킹에 성공하는 것은 아니다. 기술과 함께 ‘사회공학(Social Engineering)’ 기법으로 기만전술을 펼쳐야 성공 확률이 높아진다. PC의 정보를 빼돌리는 악성코드를 제작하는 것이 일반적인 기술이라면, 이를 공격 목표에 침투시킬 땐 주로 사회공학 기법이 활용된다. 김휘강 교수의 설명이다.

“가령 정부 기관에 근무하는 실무자에게 ‘김 국장님께서 오늘까지 처리하라고 한 공문입니다’란 제목의 메일을 보내거나, ‘김연아가 은메달을 땄는데 금메달로 바뀌었다’는 내용의 문서가 첨부된 이메일을 보내면 어떻게 될까요. 물론 100% 확실한 것은 아니지만, 이러한 심리적 기만전술에 넘어갈 확률이 분명 높다고 봐야겠죠. 실제 해킹에선 이러한 사회공학적 기법이 많이 쓰입니다.”

지난 3월 일부 북한인권단체들과 언론 관계자들에게 보내졌던 ‘김정은 극비 방중’ 메일이 북한의 소행으로 추정되는 해킹 메일인 것으로 확인됐다. 맞춤법도 틀릴 만큼 엉성했지만, ‘북한 가격현황’ ‘김정은 극비 방중’ 등 제목을 단 첨부파일로 클릭을 유도했다. 해킹 메일의 경우, 첨부파일을 다운 받는 순간 악성코드에 감염된다.

전설의 해커는 전화로 해킹했다는 풍문도

사회공학적 기법을 극대화한 ‘전설의 해커’ 케빈 미트닉.

최근 국내에서 발생한 현대캐피탈 개인정보 유출과 농협 전산망 파괴도 모두 사회공학적 기법이 중요한 역할을 했다. 두 사건의 해커는 내부 관계자를 직접 포섭하거나, 웹하드 사이트를 통해 악성코드를 유포하는 등 ‘장비’보다는 ‘인력’의 취약점을 집중 공격했다.

세계적 보안 전문 기업인 RSA도 최근 사회공학적 기법에 걸려들었다. 지난 4월 말 RSA의 일회용 비밀번호(OTP) 생성제품인 ‘시큐어ID’의 주요 기술이 해킹으로 유출됐는데, 경로가 내부직원의 이메일이었다. 보안 권한을 가진 내부직원이 자신의 이메일에서 ‘2011년 채용계획’이란 제목의 첨부파일을 클릭하는 순간 RSA의 보안이 ‘무장해제’를 당했다. 약 400만명인 국내 OTP 사용자 중 20%가량이 RSA 프로그램을 쓰고 있다고 한다.

‘전설의 해커’로 불리는 케빈 미트닉(Mitnick)은 사회공학적 기법을 극대화한 유명 해커다. 그는 ‘콘도르(Condor)’란 아이디를 쓰면서 모토롤라(Motorola), 선 마이크로시스템즈(Sun Microsystems), NEC 등을 해킹했고, 1995년 미국의 항공 핵 방위시스템인 NORAD(북미항공우주방위사령부) 등에 침투한 혐의로 FBI(미 연방수사국)에 체포됐다. 2000년 1월 출감 후에도 3년 간 인터넷이 연결된 모든 종류의 전자기기를 사용 못하는 보호관찰 명령을 받았다. 그가 해킹할 땐 컴퓨터 대신 전화만 사용했다는 풍문도 있다. 김 교수의 설명이다.

“사회공학적 기법은 의외로 단순한 경우가 많습니다. 보안팀에 전화를 건 후 높은 사람인 것처럼 목소리를 높여 ‘지금 장애가 나서 밖에 접속이 안 된다’고 고함을 치니 죄송하다며 통로를 열어 주고 패스워드를 알려준 경우도 있었습니다. 전산실 앞 휴지통을 뒤져 이면지에 인쇄된 패스워드를 빼돌리기도 했어요. 아무도 생각 못한 의외의 취약점을 찾아 ‘창의성’을 갖춰 공격하면 어이없이 뚫리는 게 보안의 현실입니다.”

보안전문업체인 A3시큐리티의 전일성(田一成) 상무는 “서버, 네트워크, 응용프로그램 등 기술적 영역을 아무리 튼튼하게 설계해도 인사(人事), 제도, 교육 등 관리체계가 부실하면 보안시스템은 무너질 수밖에 없다”며 “사회공학적 기법이 발달하면서 인적 관리의 중요성이 커졌다”고 설명했다.

“보안은 물이 가득 찬 양동이와 같습니다. 한쪽을 아무리 튼튼하게 하더라도 반대쪽에 구멍이 생기면 물이 새 버리죠. 회사는 출입증이 있어야 통과할 수 있는 문을 설치했는데, 외부인이 관리자의 눈을 피해 직원 뒤를 쫓아 들어와 버리면 무용지물이 되죠. 모두 같은 원리입니다.”

다양한 해킹기법

구글로 웹캠 프로그램의 소스 중 일부를 검색하면 사무실, 도로 등의 영상을 실시간으로 볼 수 있다. 사진은 이 방법으로 한 일본 잡화상의 실시간 영상을 재생한 컴퓨터 화면.

해킹기술을 이용한 시긴트(SIGINT·신호정보)와 사람을 통한 휴민트(HUMINT·인적정보) 전략에 사회공학적 기법을 적절히 활용하면, 다양한 해킹기법을 만들어 낼 수 있다. 음란물, 재난소식, 연예인 정보, IT관련 화제, 정품 등록 등 미끼에 악성코드를 삽입시켜 이메일 첨부파일이나 웹하드로 뿌리는 것이 가장 널리 알려진 방법이다. 해커들은 “별것 아닌 것 같지만, 과거에 대부분 먹혔던 수법들”이라고 한다. 해커들이 공개한 일부 기법이다.

▲구글, 야후 등 유명 웹사이트가 연결되면 워드(hwp)나 엑셀(xls) 등 특정 형태의 파일을 해커에게 자동 전송하는 악성코드를 제작해 16GB 용량의 USB 메모리에 담는다. 정보 관련 군부대 사병 면회소에 면회를 온 척 기웃거리다 새것처럼 포장한 USB 메모리를 두고 온다. 성능 좋은 새 USB 메모리의 경우 10명 중 9명이 버리거나 신고하지 않고 PC에 꽂는다. 전산을 담당하는 사병은 문서 제작의 편의를 위해 군 폐쇄망 PC와 인터넷이 연결된 PC를 함께 이용하는 경우가 많다. 인터넷에서 사진 파일 등을 찾기 위해 USB 메모리를 사용하다 보면 악성코드에 감염돼 정보를 유출할 수 있다.

▲폐쇄망인 은행 시스템도 각종 정보를 공유하기 위해 서로 연결돼 있다. 대형 은행은 강력한 보안 시스템을 갖추고 있기 때문에 해킹이 어렵지만, 작은 규모의 은행은 상대적으로 취약하다. 영세한 저축은행의 경우 보안 담당자 수도 몇 명 되지 않는다. 전산 담당자에게 전화를 걸어 사회공학적 기법을 이용하기도 하고, 웹사이트 쪽 취약성을 이용하기도 한다. 웹사이트 취약성이 발견되지 않을 경우 정기적으로 스캐닝하며 기다린다. 모든 웹사이트는 리뉴얼(개편)을 하기 마련인데, 마감에 쫓겨 가며 개발하는 경우가 많아 취약성이 발견되기 쉽다. 개·보수 중 집중적으로 공격한다.

▲와이파이(WiFi) 신호를 보내는 무선 장치를 정·재계 인사가 많이 찾는 식당이나 커피숍에 가져가 ‘iptime’과 같이 흔한 이름을 달거나, ‘Starbucks’ ‘Olleh’ ‘T-WiFi’ 등 위치나 통신사와 관련된 이름을 섞어 넣는다. 스마트폰이 해당 장치에 연결되는 순간, ‘스니핑(sniffing·훔쳐보기)’ 기법을 이용해 사용자의 로그인과 결재 정보 등 스마트폰 내부 정보를 해킹한다.

‘구글독(Google Dorks)’이란 기술도 한때 이슈가 됐다. 구글의 ‘너무’ 강한 검색능력을 이용한 기법으로, 특별한 기술 없어도 정보를 수집할 수 있다. ‘xls’ ‘cc’ ‘ssn’ 등 개인 신상정보 저장에 이용되는 내용을 검색창에 입력하면 각종 개인정보가 나열되는 식이다. 한국에서도 2006년 노무현(盧武鉉) 전(前) 대통령 등 정부 인사의 주민번호가 그대로 노출돼 논란이 됐다.

이후 각 웹사이트가 해킹 방지를 위한 프로그램을 설치하면서 피해 사례가 줄었지만, 특정 웹캠(웹 카메라) 프로그램의 소스 중 일부를 검색창에 입력해 세계 각국에 설치된 웹캠에 찍힌 사무실, 작업장, 도로 등의 영상을 실시간으로 보는 등 새로운 기법이 개발돼 퍼지고 있다. 지금도 다수의 보안업체가 모의해킹 과정에서 구글독을 시행한다고 한다.

‘ATM 잭팟’도 가능

2010 블랙햇 콘퍼런스에서 ATM기 취약점을 이용해 원하는 만큼의 돈이 쏟아지는 장면을 시연하는 모습.

해커 자신도 다른 해커가 마음먹고 자신의 PC를 공격한다면 속수무책 당할 수밖에 없다고 한다. 그만큼 방어가 공격에 비해 어렵지만, 방어 자체가 불가능한 것은 아니다. 안철수연구소의 김홍선(金弘善) 대표는 지난 4월 한 일간지와의 인터뷰에서 “아무리 뛰어난 해커라 해도 사전에 철저히 보안 시스템을 2중, 3중으로 갖춘 ‘준비된 기업들’은 절대 뚫을 수 없다”며 “전 세계 해커들이 노리는 구글이나 아마존, 페이스북 등은 어떻게 지금까지 건재할 수 있었겠나”고 했다. 그는 또 “만에 하나 이를 모두 뚫고 들어올 수 있는 능력이 있더라도 이런 시스템을 뚫게 되면 반드시 흔적을 남길 수밖에 없게 돼 있다”고 덧붙였다.

해커 출신으로 현재 대형 IT기업 보안팀에 근무 중인 A씨는 “일단 전자기기가 랜선이나 USB 등을 통해 외부와 연결되는 순간, 세상에 100% 안전한 장치는 존재하지 않는다”며 “높은 수준의 보안기술과 함께 사회공학적 기법에 대비한 시스템을 구축해야 해킹 범죄를 막을 수 있다”고 강조했다.

최근 많은 해커가 공격 대상으로 삼기 시작한 기기는 스마트폰이다. 박찬암씨는 “해커들이 스마트폰의 자동 로그인 기능의 취약성을 공격할 가능성이 있다”며 “이는 앱(App·응용프로그램) 개발자의 보안의식 문제”라고 했다.

“스마트폰의 경우 타이핑이 용이하지 않기 때문에 많은 앱이 자동 로그인 기능을 씁니다. 문제는 대부분 앱이 아이디와 패스워드를 암호화가 안된 평문으로 저장하는 겁니다. 얼마 전 저도 문제 제기를 했는데, 얼마 후 미국 월스트리트저널(WSJ)에서 ‘유명 은행의 앱이 로그인 정보를 평문으로 저장한다’는 기사를 냈더라고요. 해외에선 조치를 취했는데 한국은 아직 그런 소식을 못 들었습니다.”

2011년 4월 4일 서울 삼성동 코엑스에서 개막한 해킹 콘퍼런스 ‘코드게이트 2011’에서 각국의 해커들이 실력을 겨루고 있다.
박씨는 또 “스마트폰과 함께 버스카드 단말기나 ATM 등 대다수 전자장비도 USB 단자가 있는 이상 해킹의 예외가 될 수 없다”며 “2010년 ‘블랙햇’ 콘퍼런스에서 ATM에 USB를 연결해 마치 잭팟이 터진 것처럼 돈을 뽑아내는 것을 시연한 바 있다”고 전했다.

‘블랙햇(Black Hat)’과 ‘데프콘(DEF CON)’ 등 해킹 콘퍼런스엔 세계적 해커들이 모인다. 1997년 시작된 블랙햇 콘퍼런스는 유명 해커들의 연설과 보안 관련 세미나가 열리는데, 개최 장소인 호텔에선 TV 요금 부과 시스템과 ATM 기계가 고장 나는 등 갖가지 해킹 사건이 일어난다. 1993년 시작된 데프콘에선 해커들이 서로 공격과 방어를 진행해 등수를 매긴다. 2009년 대회 당시 한국팀이 6위에 입상한 바 있다.

한국도 한국인터넷진흥원(KISA)이 주관하는 ‘HDCON’과 소프트포럼이 주최하는 ‘코드게이트’, 행정안전부 등 정부기관이 주최하는 정보보호 콘퍼런스(ISEC) 등 해킹·보안 관련 모임이 있지만, 아직 규모나 역량 면에서 미국 콘퍼런스를 넘어서지 못한다.

임종인(林鍾仁) 고려대 정보보호대학원장은 “보안은 장비나 시스템보다 사람이 제일 우선인데, 역량 있는 해커들이 자신의 진로를 찾지 못하고 생계를 위해 범죄의 길로 빠지는 경우가 많다”며 “우수한 대학을 중심으로 정보보호 관련 학부를 세우고, 전문성과 도덕성을 함께 갖춘 해커를 집중 양성해야 한다”고 강조했다.

김휘강 교수는 “최근 미국, 일본, 중국 등 세계 각국은 ‘전문적 권력(expert power)’과 금전적 대우를 통해 보안 인력을 집중 양성하는데, 한국은 여전히 보안을 비용으로 여기고 엔지니어를 무시하는 풍토”라며 “보안 전문가에 대한 기업과 사회의 기본 인식이 바뀌지 않는 이상 세계적인 해커가 나오기 어렵다”고 했다.⊙

월간조선 2011년 6월호 | [심층분석] 농협사태로 들여다본 해커들의 세계 “노리면 다 뚫는다”
반응형