20세기 전설의 해커 케빈 미트닉
“컴퓨터 대신 사람을 해킹했다”
사람의 심리·방심 공략 수법
21세기 해킹의 대세로 재등장
SKT·예스24·롯데카드…
대형 해킹 매달 터지는 시대
“보안 시스템의 최대 약점은 바로 당신입니다”
미트닉의 조언 되새겨볼 때
“컴퓨터 대신 사람을 해킹했다”
사람의 심리·방심 공략 수법
21세기 해킹의 대세로 재등장
SKT·예스24·롯데카드…
대형 해킹 매달 터지는 시대
“보안 시스템의 최대 약점은 바로 당신입니다”
미트닉의 조언 되새겨볼 때
1995년 마침내 붙잡힌 전설의 해커 케빈 미트닉이 법정에 섰을 때 미국 검찰과 연방수사국(FBI)은 독방 수감을 강하게 요청했다. 일반 감방에선 교도소 공중전화를 쓸 수 있다는 게 이유였다. “그에게 전화가 주어지면 핵전쟁이 벌어질지도 모릅니다.” 지구상의 핵무기 동향을 감시하는 북미항공우주방위사령부(NORAD) 작전을 교란해 핵미사일 발사를 유도하는 일이 그에겐 공중전화로도 가능하다는 거였다. 과장이 섞였을 이 주장을 판사가 받아들여 실제 독방에 가뒀을 만큼 미트닉의 해킹은 당시 보안 당국에 공포였다.
고교 시절 학교 전산망에 침입해 자기 성적을 전부 A+로 바꿨던 그는 성인이 되자 모토로라, 노키아, 후지쯔 등 글로벌 기업 40곳을 ‘도장 깨기’ 하듯 차례로 해킹했다. 3억 달러가 넘는 손실을 입혀 수배됐을 때는 FBI 통신망을 해킹해 추적을 실시간 파악하며 도망 다녔다. 어렵게 알아낸 거처를 급습했더니 ‘오느라 수고했다’는 듯 도넛 한 상자만 덩그러니 놓여 있었다고 한다. 5년 복역 후 화이트 해커로 변신해 보안 컨설턴트로 활동했는데, 이런 말을 하고 다녔다. “저는 컴퓨터를 해킹할 필요가 별로 없었어요. 사람을 해킹하면 됐습니다.”
그는 모토로라의 무선통신 기술을 빼낼 때 본사 시스템 관리팀에 전화를 걸었다. “○○부서의 △△팀장인데요, 새 프로젝트에 필요한 파일이 있는데, 시스템 접근 권한이 좀 필요해서요.” 관리팀 직원은 별 의심 없이 권한과 파일을 넘겼다. 디지털장비회사 DEC의 소스코드를 빼낼 때는 “저희 부서 전산망에 문제가 생겨서요”, 썬 마이크로시스템즈를 해킹할 때는 “고객지원팀인데요” 하면서 유창한 화술로 관리자 계정을 손에 넣었다. 다들 테크 기업답게 기술적 방화벽을 높게 쌓아둔 터였지만, 이렇게 사람의 방심을 공략하는 그의 해킹에 허무하게 뚫려버렸다.
FBI가 ‘세계에서 가장 위험한 해커’로 꼽았던 미트닉의 수법을 연구하며 보안업계는 ‘소셜 엔지니어링’이란 용어를 만들었다. 사람의 심리와 행동을 조종해 원하는 것을 얻어내는, 한마디로 그가 썼던 책 제목(‘속임수의 기술’)처럼 사람을 속이는 해킹을 말한다. 소셜 엔지니어링이 개인을 겨냥해 진화한 대표적 사례가 보이스피싱이다. 많은 사람이 눈뜨고 당하는 위력을 가진 터라 요즘 해커들은 기업·기관의 대형 네트워크를 공격할 때도 소셜 엔지니어링을 접목하고 있다.
2016년 개인정보 1400만건이 유출된 인터파크 해킹 사건은 한 직원이 동생에게 받은 이메일 한 통에서 시작됐다. 해커는 동생 컴퓨터를 원격조종해 악성코드 담긴 메일로 그 직원의 컴퓨터에 침투했고, 그와 연결된 다른 직원 10명에게 접근했는데 그중 개인정보 취급자가 있었다. 동생 이름이니 의심 없이 클릭하는 심리, 회사 네트워크에 연결된 채로도 그리하는 방심을 공략해 방어벽을 허물었다. 영화에서 흔히 보듯, 현란하게 키보드를 두들겨 네트워크를 뚫는 해킹을 보안업계는 이제 철 지난 얘기로 취급한다. 사람을 공략하는, 더 쉽고 효과적인 소셜 엔지니어링 수법을 활용하는 게 대세가 됐다는 것이다.
올해 SK텔레콤 해킹 사태도 해커가 노린 약점은 사람이었다. 관리자 계정은 암호화하지 않은 채였고, 손쉽게 들어간 시스템에서 3년간 장기 잠복 해킹을 했다. 비정상적 로그와 서버 재부팅 같은 이상 징후가 반복돼도 ‘별 것 아니겠지’ 하리라는, 사람의 부주의와 방심과 망각에 베팅한 전략이 먹혀들었다. 정체가 밝혀지지 않았지만 이 해커는 천재 기술자보다 심리 전문가에 가까울 듯하다. “컴퓨터보다 사람을 해킹하는 게 쉽다”던 20세기 전설의 해커 수법을 21세기 해커들이 차용하면서 요즘 해킹은 기술 싸움인 동시에 심리전이 됐고, SK텔레콤은 그 심리전에서 졌다.
이후에도 예스24, 서울보증보험, 웰컴금융그룹에 이어 최근 롯데카드까지 대형 해킹 사건이 매달 이어지고 있다. 암호화폐라는 ‘안전한’ 수금 수단이 등장하며 해킹이 일종의 비즈니스가 돼버린 터라(예스24가 해커에게 수십억원대 비트코인을 지불했다고 알려졌다), 3년 전 1000건 남짓이던 해킹 신고가 올해 2000건을 넘어설 추세라고 한다. 우리 개인정보를 잔뜩 끌어안고 있는 수많은 기업과 기관에서, 보안 컨설팅 때마다 남겼다는 미트닉의 유명한 말을 되새겨야 하지 싶다. “당신네 보안 시스템의 최대 약점은 바로 당신입니다.”
태원준 논설위원 wjtae@kmib.co.kr