척척박사 연구소

척척박사 연구소과학이야기제목별로 보기해설이 있는 과학

해설이 있는 과학

최신 소식 속에 담긴 다양한 과학정보에 대한 해설입니다.

공개! 해킹 범죄 시나리오






신용카드 이용대금납부일이 지나 연체료가 부과됐다. 만일 당신이 해커라면 이 상황을 어떻게 해결할까. 은행을 해킹해서 다른 사람이 내 카드빚을 갚게 만들어볼까. 아니다. 피해자가 신고하면 내 행적이 고스란히 드러날 수 있다. 정보는 곧 돈이다. 그래, 은행 사이트를 해킹해서 사람들의 신용정보를 빼내고 이걸 브로커에게 팔아 신용카드 연체료를 해결하자!

해커는 은행 웹사이트에 관한 정보를 수집하기 시작한다. 얼마 전에 해당 은행이 다른 은행과 합병을 했다는 뉴스를 찾아냈다. 새로운 회사가 생기면 웹사이트도 새롭게 꾸며야 할 것이다. 해커는 개발용 사이트가 남아 있는지 찾기 시작한다. http://test.abank.com, http://developer.abank.com 처럼 테스트용으로 만들었을 법한 주소를 입력해 본다. 그렇지! 열렸다! 개발용 사이트는 운영 사이트보다 보안이 허술하다는 점을 알고 해커가 미소 짓는다.

웹사이트가 마이크로소프트 서버로 가동 중임을 확인한 해커는 아이디와 비밀번호 입력란에 SQL(데이터베이스 언어) 문구를 넣어본다. 이런, 생각보다 너무 쉽게 열렸다. SQL 주입 공격 한 방으로 인증 없이도 데이터 서버에 들어간 것이다. 해커는 신용카드 정보를 모두 빼내고, 분산서비스거부(DDoS, 디도스) 공격도 걸어 놓는다. 은행은 디도스 공격을 조사하느라 누군가 개인정보를 빼내 연체료를 갚고 있다는 의심은 추호도 하지 않을 것이다.







사진


최근 국내에서 잇따라 발생한 금융 기관 해킹 사건으로 이 시나리오가 낯설지만은 않다. 지난 4월 농협은 전산망에 가해진 강력한 디도스 공격으로 사건 발생 18일이 지나서야 간신히 정상화됐다. 3월에는 국내 최대 캐피탈 회사인 현대캐피탈에서 175만 명의 개인 정보가 유출됐다. 시나리오를 통해 금융기관은 해커들에게 얼마나 맛있는 먹잇감인지, 개인 정보는 왜 유출되는지를 알 수 있다.

시나리오에서 해커는 수준 높은 프로그래밍 기술을 사용하지 않았다. HTTP 헤더(HTML 문서의 앞머리 부분)를 통해 실제 운영되는 사이트가 마이크로소프트 서버로 가동 중이라는 것을 알았고, 데이터베이스 역시 마이크로소프트 서버가 아닐까 짐작했는데, 맞아 떨어졌을 뿐이다. 웹 서버가 마이크로소프트 버전임을 확인한 해커는 마이크로소프트 서버의 취약점인 SQL 주입(injection) 공격을 사용했다. 맞지 않는 SQL 문구를 걸러내는 필터 기능이 있었다면 성공하지 못했을 것이다.

운영 사이트보다 보안이 허술한 개발용 사이트를 찾아낸 점도 도움이 됐다. 사이트 개발회사가 개발용 사이트 같은 임시 사이트를 외부에서 접근하지 못하게 막았더라면 일어나지 않았을 일이다.







사진


아이템을 싸게 파는 줄로만 알았는데…

해커는 온라인 게임 회사의 아이템 거래 중계사이트를 해킹했다. 왜냐고? 요즘 게임 아이템 직거래가 얼마나 돈이 되는지 모르는 모양이군. 귀한 아이템 하나 내 놓으면 사겠다는 사람이 줄을 선다. 해커는 ‘레어 아이템(귀한 아이템)’을 싸게 내놓겠다는 제목의 글을 올린다. 아이템에 목마른 게이머들이 글을 클릭한다. 하지만 클릭하는 즉시 게이머의 PC에 트로이목마라고 불리는 악성코드가 설치된다. 게이머 PC에 백신프로그램이 나 보안패치가 제대로 설치돼 있지 않으면 글만 조회해도 감염이 된다. 해커는 감염된 PC를 제 집 드나들듯 드나들 수 있다. 해커가 노리는 게이머는 레벨이 높은 사용자다. 키로거(키보드로 입력한 내용을 빼냄) 같은 기술로 게이머의 아이디와 비밀번호를 훔쳐낸 뒤 로그인해 게이머가 갖고 있던 아이템을 공범 해커에게 전달한다. 이런 식으로 습득한 아이템을 현금거래 사이트에 내 놓고 판다.

실제로 2007년 국내에서는 한게임과 메이플스토리 사용자들의 아이디와 비밀번호 같은 정보가 대량으로 중국에 전송되는 일이 있었다. 국내의 한 호스팅 업체에 해킹으로 악성코드가 삽입됐고 이곳의 서비스를 이용하는 1000여 개 웹사이트가 경유지로 활용됐다. 그러자 이곳에 들른 9만 2000대의 PC 또한 악성코드에 감염돼 온라인 게임에 접속할 때 사용하는 아이디와 패스워드가 중국 해커에게 메일로 전송됐다. 보통 해킹만 하는 경우에는 흔적을 남기지 않기 때문에 알기 어려운 때가 많지만 이 때 처럼 악성코드를 통해 정보를 빼내 가는 경우에는 해당 정보의 수신지 IP 주소를 보고 악성코드를 제작하고 유포한 곳을 추정할 수 있었다.

게임 아이템 시장이 워낙 커지다 보니, 일부에서는 PC 수백 대를 마련하고 아이템을 사냥하거나 탈취하는 곳도 생겨났다. ‘오토마우스’ 같은 다양한 자동사냥 프로그램으로 이를 구매하는 곳도 있다. 또는 기업적으로 많은 사람들의 개인정보를 수집해 게임 계정을 만들고 아이템을 수집해 팔기도 한다. 가입하지도 않은 게임 사이트에서 내 이름으로 아이디가 존재한다면 이런 경로로 가입된 것이다.






사진


웹사이트 다운! 범인은 바로 경쟁사

A회사가 새로운 신약을 공개할 예정이다. 그런데 비영리 공익 단체에서 신약의 부작용에 관련한 정보를 갖고 있었다. 이 정보가 공개된다면 회사는 큰 타격을 입을 것이다. A사는 해커를 고용해 신약을 공개하는 날 공익 단체의 웹사이트를 다운시켜 달라고 주문했다.

해커는 대상 웹사이트에 핑 을 많이 보내 해당 웹사이트가 응답을 보내느라 허우적거리게 만들어볼까 생각한다. 하지만 요즘엔 외부에서 오는 핑을 막아 놓는 회사가 많기 때문에 다른 방법을 찾기로 한다. 해커는 트래픽이 많고 대역폭이 큰 웹사이트를 호스팅하는 회사를 하나 고른다. 이 회사 사이트의 제어권을 획득한 해커는 인라인프레임 하나를 심는다. 인라인프레임은 문서 안에 또 다른 문서를 삽입하는 방법으로 몇 개의 조건만 설정하면 사용자의 눈에 띄지 않고도 저절로 명령을 실행할 수 있다. 해커는 호스팅 회사에 방문한 PC들이 공격하려고 하는 사이트를 브라우저에서 여러 번 불러오도록 인라인프레임을 설계한다.

호스팅 회사의 사이트에 접속하는 방문자들은 자기도 모르는 사이에 디도스 공격에 참여하게 될 것이다. 해커는 가만히 앉아서 해당 사이트가 어마어마한 양의 트래픽을 견디지 못해 다운되는 것을 지켜본다.

디도스 공격으로 기업의 업무를 방해하고 심지어 돈을 요구하는 범죄가 늘고 있다. 디도스 공격은 출처를 찾기 어려워 범인을 찾기가 매우 어렵다. 또 피해자인 사이트 운영자 대부분이 조속한 복구를 위해 범인에게 돈을 주고 합의를 해버려 수사가 잘 이뤄지지 않는다. 그런데 최근 국내에서 적극적인 수사로 디도스 공격을 했던 범인을 잡은 사례가 있었다. 2007년부터 3년간 수차례 디도스 공격을 받아온 아이템베이는 경찰에 수사를 의뢰한 지 두 달 만인 2009년 2월 범인을 검거했다. 한국 국적의 이 남자는 중국에서 디도스 공격을 일으키고 아이템베이에 6억 원을 요구한 혐의를 받았다. 하지만 수사는 멈추지 않았다. 경찰은 대규모 좀비 PC를 동원하려면 만만치 않은 비용이 필요하고 아이템베이의 경쟁사가 국내 아이템거래 중개시장을 양분하며 치열한 경쟁구도에 있다는 이유에서 경쟁사의 전 임원이었던 김 씨를 주목했다. 경찰은 김 씨를 사주범으로 보고 지난해 10월 폭력행위(상습공갈) 및 정보통신망이용 촉진 및 정보보호 등에 관한 법률위반 혐의로 체포했다. 하지만 공격범이 단독범행을 주장하고 있고, 사주범 김 씨가 체포 당시 경쟁사의 임원 신분이 아니라는 점 때문에 기소중지 상태에 머물렀다. 하지만 지난 6월 1일 공격범이 중국에서 한국으로 강제 소환되면서 경찰의 수사가 급물살을 탈 것으로 보인다. 그동안 암암리에 경쟁사의 사주로 디도스 공격이 자행되고 있다는 업계의 소문이 이번 수사로 진실이 밝혀질지 귀추가 주목되고 있다.







사진


보기 싫은 너의 홈피를 부숴버리겠어

보기 싫은 연예인이 있다. 해커는 연예인의 미니홈피를 해킹하기로 마음먹는다. 해커는 우선 미니홈피에 가입한다. 그리고 연예인의 미니홈피에 가서 “해외 가수 뮤직비디오인데, 아티스트님의 뮤직비디오와 너무 흡사해요”라는 댓글과 함께 유튜브의 동영상처럼 보이는 링크를 하나 건다. 연예인이 궁금해서 링크를 클릭하면 해커의 미니홈피가 뜰 것이다. 하지만 이것은 겉만 진짜처럼 보이는, 서버는 전혀 다른 가짜다. ‘wget’ 같은 웹사이트의 이미지 추출 프로그램을 사용하면 쉽게 만들 수 있다. 비슷한 서브도메인도 달아 유심히 보지 않으면 영락없는 진짜 미니홈피다.

단 요즘엔 웬만한 사이트들이 피싱 사이트를 잘 차단하고 있기 때문에 단번에 가짜 미니홈피로 이동시키는 건 위험하다. 해커는 우회로를 지정하기로 한다. 연예인이 링크를 클릭하면 우회로로 지정한 웹사이트가 먼저 뜨고 곧바로 해커가 만든 가짜 미니홈피가 연결될 것이다. “동영상을 보려면 로그인하라”는 메시지가 뜨지만 공격 대상자는 우연히 미니홈피에서 로그아웃된 거라 생각하고 별 생각 없이 로그인 정보를 입력할 것이다. 하지만 이것도 해커가 만든 트릭이다. 연예인의 정보가 해커가 만든 가짜 미니홈피에 고스란히 남게 하기 위해서다. 이제 해커는 연예인의 로그인 정보로 미니홈피에 접속해 연예인의 미니홈피를 난장판을 만들 것이다.

시나리오처럼 위장사이트를 만들어 개인 정보를 빼앗는 해킹 방법을 ‘피싱(phishing)’이라고 한다. 피싱은 사람의 심리를 악용해 어떤 행동을 하도록 유도하는 사회공학적인 공격이다. 아직까지 미니홈피나 마이스페이스, 트위터 같은 소셜네트워크 사이트가 피싱으로 해킹 당한 경우는 없었다. 그보다는 유출된 아이디와 비밀번호로 몰래 들어가 장난을 치는 사고가 많았다. 강은성 SK 커뮤니케이션즈 PMO는 “사람들이 하나의 아이디를 정하면 여러 사이트에서 계속 사용하는 습성 때문에 어느 한 곳에서 개인정보가 유출되면 다른 곳에서 2차, 3차 피해가 일어나는 일이 많다”며 “지금까지 알려진 미니홈피 해킹은 유출된 개인정보로 일어난 경우가 대부분이었다”고 설명했다.







사진


군사 기밀 해킹하기

해커는 국방부에 물품을 납품하는 업체의 일급비밀을 가져오라는 주문을 받았다. 말할 필요도 없이 철통같은 보안이 예상된다. 국방부와 관련된 업체를 공격하는 것은 국방부를 공격하는 것과 다름이 없다. 발각된다면 중형에 처해질 것이다. 그래도 어딘가 허점이 있을 거라며 열심히 자료를 수집한다.

해커는 직접 공격보다는 우회적인 접근을 시도한다. 대규모의 회사라면 협력사가 굉장히 많을 것이다. 이 협력사들이 납품회사만큼 우수한 보안시스템을 운영하지 않을 것이다. 해커는 구글에서 A라는 회사가 국방부 납품업체의 디자인 업무를 담당하고 있다는 사실을 알아낸다. A사는 FTP 서버로 납품업체에 주기적으로 파일을 제공하고 있다. 해커는 이 파일에 뭔가 장치를 설치해볼까하지만 이내 포기한다. 납품업체가 매번 올라오는 파일들을 암호화해 감시하고 있기 때문이다. 해커는 이번엔 A사의 하청 업체 B사를 찾아낸다. 직접 B사 근처로 자리를 옮긴 해커는 B사가 설치한 무선 네트워크를 확인하고 이곳으로 침투한다. WEP로 암호화했지만 간단한 툴로 쉽게 뚫린다. 해커는 B사의 액세스포인트(AP)로 들어가 시스템에 키로거(Keylogger)를 설치했다. 키로거는 데스크톱이나 노트북, 태블릿PC, 스마트폰 등에서 타자로 입력한 내용을 기록하는 프로그램이다. 이제 해커는 키로거를 통해 B사에서 A사의 시스템에 들어갈 때 입력한 모든 데이터를 이메일로 받아보게 될 것이다. 또 FTP 서버로 나가는 내용도 모두 받아볼 수 있다. 단 시스템 관리자들이 키로거의 존재를 알아채지 못하도록 루트킷도 설치했다. 자, 이제 집에 가서 이메일을 펼쳐보는 일만 남았다.

실제로 국방부처럼 주요 국가기관과 관련된 곳을 해킹하려면 시나리오보다 훨씬 정교하고 복잡한 기술이 필요할 것이다. 하지만 해커들이 노리는 것은 ‘그 어딘가에 분명히 존재하는 허점’이다. 요즘 기업들은 많은 협력사와 제휴를 맺고 온라인으로 데이터를 주고받으므로 이 중 하나만 보안이 허술해도 그 여파는 다른 곳까지 미칠 수 있다.











사진


※ 기사에 들어간 시나리오는 ‘위키북스’에서 펴낸 ‘이거 불법아냐? 일상을 파고드는 해킹 스토리’를 참고 했습니다.

글 : 김윤미 기자, 박정우 안철수연구소 연구원, 강은성 SK커뮤니케이션즈 PMO ( ymkim@donga.com )

이미지출처 : istockphoto, 안철수연구소, 애플





관련주제가 없습니다.
내과학상자담기  E-MAIL 프린트 카카오스토리 트위터 페이스북 RSS
관련 콘텐츠가 없습니다.

나도 한마디 0개의 댓글이 있습니다.

등록하기

목록


내 당근 보러가기

내 뱃지 보러가기

TOP