posted by 알짜 정보 岳岩 2019.05.24 07:41

사람을 타깃 삼는 ‘비(非)기술적’ 해킹... 미국 해커 케빈 미트닉이 대표적
100% 예방 어렵지만... ‘나’도 공격당할 수 있다는 사실 자각하는 게 중요
[보안뉴스 양원모 기자] 조선 후기 실학자 박지원이 쓴 소설 ‘허생전’에서 주인공 허생은 “돈 좀 벌어오라”는 아내 성화에 다짜고짜 한양 최고 만석꾼 ‘변씨’를 찾아간다. 허생은 “벌어서 갚겠다”는 말 한 마디를 담보로 얼굴도 몰랐던 변씨에게 만 냥을 빌린다. 통계청에 따르면, 조선 후기 1냥은 지금으로 따지면 6만 8,800원 정도였다고 한다. 변씨는 이날 처음 본 사람에게 6억 8,800만원이란 거금을 순순히 내어준 것이다. 

[이미지=iclickart]


변씨가 돈을 빌려준 건 허생의 비범한 인품을 꿰뚫어봤기 때문이다. 그 짧은 시간에 변씨와 허생 사이에 신뢰 관계가 생긴 것이다. 허생은 장사로 돈을 불려 원금의 10배인 10만 냥을 변씨에게 갚는다. 어디까지나 소설 속 해피엔딩이다. 현실에는 허생과 달리 인간적 신뢰를 바탕으로 남을 속이는 경우가 훨씬 더 많다. 보안 분야에선 이를 “사회공학적 기법을 썼다”고 표현한다. 
사람의 ‘빈틈’ 노리는 사회공학적 기법 
사회공학은 보안 분야에서만 쓰는 단어가 아니다. 심리학, 복지학, 교육학, 철학 등 여러 인문학에서 활용되고, 분야마다 정의도 다르다. 사회공학을 보안 분야로 한정하면 이렇게 정의할 수 있다. “인간 상호작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨트리기 위한 비기술적 침입 수단.” 여기서 중요한 건 ‘비(非)기술적’이란 부분이다. 컴퓨터 시스템이 아닌 인간을 노리는 것이다. 
사람은 로봇과 달리 예측이 불가능하다. 쉽게 타인을 믿고, 본능과 감정에 충실하며, 비이성적 행위도 서슴지 않는다. 사회공학적 공격은 이런 ‘틈새’를 노린다. 비가 쏟아지는 날, 백발 할머니가 우산도 없이 빌딩 앞을 서성인다. 빌딩은 비밀번호를 눌러야만 들어갈 수 있다. 경비는 측은한 마음에 할머니를 빌딩 안으로 모신다. 할머니는 경비가 비밀번호 누르는 모습을 유심히 지켜본다. 알고 보니, 할머니는 상대 회사가 경쟁사에 잠입할 목적으로 보낸 스파이였다. 경비의 동정심을 노리고, 미끼를 던진 것이다. 
사회공학적 공격의 종류는 다양하다. 사람이 보이는 모든 ‘빈틈’이 공격 대상이 될 수 있다. 대표적 수법으로는 △직접적인 접근 △도청 △어깨너머로 훔쳐보기 △휴지통 뒤지기 △무임승차 등이 꼽힌다. 
‘직접적인 접근’이란 권력이나 동정심, 신뢰관계를 이용해 정보를 획득하는 것이다. 앞서 언급한 할머니 사례도 여기 해당한다. ‘도청’은 문자 그대로 유무선 전화를 훔쳐 듣거나 음성 대화를 녹음하는 것이다. ‘어깨너머로 훔쳐보기’는 작업자의 어깨 너머로 정보를 취득하는 것을, ‘휴지통 뒤지기’는 휴지통에 버려진 문서 등을 수집해 정보를 캐내는 것을 말한다. ‘무임승차’는 출입통제 시스템에서 신원이 확인된 앞 사람을 따라 출입하는 행위다. 

[이미지=iclickart]


떡잎부터 달랐던 해커, 케빈 미트닉 
실전에서 사회공학적 기법을 가장 잘 활용한 인물은 미국의 전설적인 해커 케빈 미트닉(57)이다. 10대 초반 해킹 범죄에 뛰어든 그는 최소 35곳의 기업에 3억 달러(약 3,572억)가 넘는 피해를 입혀 2014년 기네스가 선정한 해킹 부문 ‘악명의 전당(Hall of Infamy)’에 이름을 올리기도 했다. 
미트닉이 직접 언론에 밝힌 내용 등에 따르면, 그는 떡잎부터 달랐다. 불과 12살에 “학교 숙제에 필요하다”며 버스 기사를 속여 얻은 미사용 환승 전표로 LA의 버스를 공짜로 타고 다녔고, 16살엔 친구에게 ‘DEC'라는 컴퓨터 회사의 전화번호를 알아낸 뒤 회사 네트워크에 침입해 핵심 소프트웨어를 불법 복제했다. 17살엔 학교 성적관리 시스템에 잠입해 자기 성적을 모두 A+로 바꿔놓기도 했다. 
20대가 된 미트닉은 마치 ‘도장 깨기’ 하듯 글로벌 기업의 전산망을 헤집고 다니며 해킹 피해를 입힌다. 모토로라, 썬 마이크로시스템즈, 노벨, NEC, 노키아, 후지쯔 등 유수의 기업들이 미트닉의 해킹 공격에 무너졌다. 그러자 수사기관도 미트닉에게 주목한다. 1982년 처음 해킹 혐의로 조사를 받은 미트닉은 1988년 DEC 해킹 건으로 징역 1년, 보호관찰 3년형을 선고받는다. 하지만 보호관찰 기간에도 ‘해킹 맛’을 잊지 못한 미트닉은 1992년 미국 통신회사 ‘퍼시픽벨’을 해킹했다가 구속영장이 발부된다. 
미트닉이 도피 생활에 들어가면서 미국 연방수사국(FBI)은 미트닉에 대한 검거 작전에 나선다. FBI는 이듬해 일본계 미국인 보안 전문가 ‘시모무라 츠토무’ 도움으로 미트닉의 꼬리를 잡는 데 성공한다. 사실 츠토무는 미트닉의 피해자 중 한 명이었다. 미트닉에게 컴퓨터를 해킹당한 뒤 분노에 휩싸여 FBI와 함께 그를 쫓기 시작한 것. 미트닉은 1995년 2월 15일 노스캐롤라이나에 있는 한 아파트에서 검거된다. 근 3년간 이어진 추격전에 종지부를 찍는 순간이었다. 
100% 예방은 어렵지만...
사회공학적 공격에 대한 교과서적인 예방법은 다음과 같다. △개인 신상문서, 개인정보 관리 강화 △신원확인 강화 △철저한 보안 교육 △공격 대비 매뉴얼 수립 등이다. 하지만 예측 불가능한 인간을 주요 공격대상으로 삼는다는 점에서 사회공학적 기법은 100% 예방이 어렵다. 아무리 주의를 기울여도 예상치 못한 빈틈이 생기기 마련이다. 
가장 중요한 건 ‘나’도 언제든 공격대상이 될 수 있다는 사실을 끊임없이 자각하는 일이다. 미트닉이 한 인터뷰에서 했다는 말은 그래서 의미심장하다. “기업 정보보안의 가장 큰 위협은 컴퓨터 바이러스, 패치가 적용되지 않은 중요한 프로그램, 잘못 설정된 방화벽이 아니다. 바로 당신이다.” 보안뉴스

댓글을 달아 주세요