by sisw.com


회사원 K씨는 ‘출장일정표’라는 제목의 e-메일을 받고 아무 의심 없이 열었다. 해외 출장을 앞두고 있는 상황인 데다 발신인이 잘 아는 동료였기 때문이다. 파일에 아무 내용이 없어 이상하다 생각했지만 ‘동료의 실수려니’ 하고 넘겼다. 며칠 후 회사에 큰 사건이 벌어졌다. 주요 고객 리스트와 고객의 개인정보가 외부로 유출됐다. 보안전문가들이 며칠간 추적한 끝에 놀라운 사실이 밝혀졌다. K씨가 열어본 e-메일이 시작점이었던 것. K씨의 PC는 자신도 모르는 사이에 해커의 서버가 돼 있었다.

 K씨처럼 자신을 잘 아는 사람의 이름으로 온 메일이나 쪽지를 여는 순간 악성코드가 내 PC에 깔린다. 세계 보안업계는 해커들의 이러한 최신 공격기법 ‘지능형지속위협(APT)’에 골머리를 앓고 있다. APT(Advanced Persistent Threat)란 공격 상대를 연구한 뒤 지능적으로 접근하는 해킹 방식이다. 소위 ‘사회공학(Social Engineering)’이라고 불리는, 사람을 속이는 사전 정지작업에 초점을 맞춘다. 과거 해커들은 방화벽을 뚫고 들어와 시스템을 무력화하거나 정보를 빼갔다. 그러나 보안업계의 방화벽이 갈수록 튼튼해지자 공격 방식을 바꾼 것이다. 트위터나 페이스북 등을 통해 특정인에 대해 상세히 파악한 뒤 접근한다. 서버 시스템이 아닌 개인이 공략 대상이 된 것이다.


 예를 들어 원자력발전소를 공격 대상으로 삼으면 해커들은 우선 그곳에 근무하는 특정 직원을 타깃으로 삼는다. 해커들은 이 직원의 SNS·e-메일·미니홈피까지 뒤져 그의 취미, 출장 계획, 주말 일정 같은 정보를 파악한다. 그러고 나서 이직을 원하는 사람이면 ‘스카우트 제의’, 강아지를 좋아하는 경우는 ‘친구로부터 온 강아지 사진’이라는 제목의 e-메일이나 쪽지를 보낸다.

 이 같은 방식으로 직원의 PC를 감염시키고 나면 해커들은 이곳을 출발점으로 원자력발전소의 사내 망을 마음껏 유린한다. 핵심기밀 관리자의 PC에 들어가 필요한 정보를 빼낸다. 인사 담당자의 PC에 들어가서는 직원 정보를 탈취한다. 해커들은 유출한 개인정보를 분석해 새로운 공격 대상을 정하기도 한다. 해당 기업의 정보기술(IT) 인프라에 장애를 일으키는 것은 물론이다. 때로는 장악한 PC를 좀비PC로 활용해 특정 사이트를 디도스(DDoS) 공격하기도 한다. 악성코드를 불특정 다수에게 광범위하게 뿌린 뒤 무심코 걸려드는 피해자를 기다리는 기존 해킹 방식은 상대적으로 막기 쉽다. 악성코드를 퍼트리는 단계에서 보안업계가 위협을 알아차려 백신이나 방화벽으로 차단할 수 있기 때문이다. 특정인을 대상으로 특별히 만든 악성코드는 사전에 차단하는 것이 거의 불가능하다.

 보안업계는 APT 공격 빈도가 2009년 이후 전 세계적으로 5배 이상 증가한 것으로 파악하고 있다. 실제 지난해 국내에서 일어난 메이플스토리 1300만 명 회원 정보 유출 사건, 옥션·현대캐피탈·농협·SK커뮤니케이션즈의 보안체계가 뚫린 사건도 모두 APT에 의한 피해로 추정되고 있다. 최근 발생한 카카오톡을 통한 피싱 사건도 카톡 서버를 뚫는 것이 아니라 사용자의 개인정보를 바탕으로 APT 기법을 활용한 ‘페이킹(가짜 신원으로 피해자에게 접근하는 것)’일 가능성이 크다. 친한 친구의 이름으로 말을 걸어온 사람에게 당했다. 황보성 한국인터넷진흥원 개인정보침해사고 점검팀장은 “공격 대상의 학연·지연 등 신상을 훤히 파악한 후 접근한 사회공학적 해킹일 가능성이 높다”고 말했다.

해외에서는 지난해 1월 구글·어도비·주니퍼·야후 등 34개 기업의 첨단 기술 관련 데이터 유출 사건, 2월 미국·카자흐스탄·대만의 오일·가스·석유화학 기업 기술 탈취 사건 등도 APT 공격에 당했다.

 APT는 한 번 뚫리고 나면 장기간 은밀하게 정보를 빼가기 때문에 피해 범위가 커진다. 2009년 103개국의 정부 기관을 침입한 악성코드 ‘고스트넷’은 평균 145일, 최대 660일간 시스템에 머물면서 정보를 수집했다. APT 공격은 지적재산권이나 고객정보 등을 빼내는 단순 산업스파이 측면의 해킹을 넘어 국가 간 첩보활동, 기간시설 파괴 등을 목적으로 한다는 점에서 위험 수준이 높다. APT 공격은 빠른 대응이 어렵다. 통상 시스템에 문제가 발생한 것을 파악하고 난 뒤에도 이에 대응하기까지는 일정한 시간차가 생길 수밖에 없다. APT는 이 시간차를 이용해 보안벽을 깨는 ‘제로데이 공격’을 감행한다.

 APT를 통한 정보 유출을 막으려면 PC를 쓰는 개개인이 악성코드에 대한 경계심을 높이는 것이 무엇보다 중요하다. 보안 소프트웨어를 반드시 설치하고 수시로 업데이트해야 한다. 안랩 관계자는 “APT 공격의 특성상 PC 사용자 개개인이 악성코드를 1차로 차단하는 것이 기업 차원에서 보안시스템을 설치하는 것만큼이나 중요하다”고 말했다. 그는 “늘 보안 소프트웨어를 업데이트하고, 파일을 내려받거나 문서를 열 때 악성코드 검사를 꼭 해야 한다”고 강조했다.

박태희 기자


사회공학 원래 사회학 등에서 사회가 개인의 심리보다 기계적인 자체 논리에 의해 움직인다는 개념으로 도입한 개념이다. 하지만 보안 분야에서는 기술적인 방법이 아닌 사람을 속여 비밀 정보를 획득하는 사기 기법을 일컫는다. 네트워크 보안 담당자와 신뢰를 쌓아 전화나 e-메일을 통해 정보를 빼내거나, 도청을 하거나, 정보의 가치를 몰라 무심코 흘리도록 유도하는 것 등이 대표적인 기법이다.

제로데이 공격 컴퓨터 보안상 취약점이 발견되면 제작자나 보안 담당자가 이 약점을 보완하는 패치를 배포한다. 그 뒤 사용자가 이를 내려받아 대처하는 것이 순서다. 제로데이 공격은 대응책이나 보안 패치가 나오기 전에 공격하는 것을 말한다. 아직 알려지지 않은 보안상 취약 지점도 먼저 찾아 공격하기도 한다.


Posted by EFP