그 메일은 열지 마세요 해킹사회, 연결된 모든 것을 의심하라

책소개

이 책이 속한 분야

정치/사회 > 행정/정책 > 경찰/경호 > 범죄학

컴퓨터/IT > 보안/해킹

세상을 뒤흔든 7대 해킹사건으로부터 배우는 교훈

개인의 스마트폰 내역부터 기업의 내부 정보, 정부 기밀 문서까지,

해커의 공격을 피할 수 있는 방법은 없다. 다만 최소화할 수 있을 뿐.

거의 매일 뉴스를 장식하는 해킹과 피싱 사건, 유명 연예인의 스마트폰이 뚫리고 평범한 개인들이 신상 털림의 봉변을 당하고 주요 기관들의 데이터가 납치된다. 문자 메시지와 개인 금융정보의 유출은 일상 다반사가 되었다. 저자에 의하면 유감스럽게도 해킹을 차단하는 완벽한 보안은 존재하지 않는다. 당신이 아직 해킹을 당하지 않았다면, 그것은 당신이 해커의 타깃이 아니기 때문이지 당신의 시스템이 완벽하기 때문이 아니라는 얘기다. 누구나 해커의 먹잇감이 될 수 있다. 해킹을 피하는 가장 좋은 방법은, 피해를 최소화할 수 있는 방법을 마련하고 데이터를 복구할 수 있는 백업 기능을 갖추는 것이다. 이를 위해 다음 사항을 숙지하라.

​

ㆍ 언젠가는 당신의 문자 메시지와 이메일이 해킹당할 수도 있음을 염두에 둬라.

ㆍ 비밀번호를 동일하게 설정하지 마라.

ㆍ 이메일에 비밀번호를 적어놓지 마라.

ㆍ 2단계 인증을 사용하라.

ㆍ 화면에 나타나는 경고 메시지를 함부로 클릭하지 마라.

ㆍ 사물인터넷과 봇넷은 보안에 취약하다.

ㆍ 장비 업데이트와 사용자 교육, 백업은 기업 보안의 필수다

목차

1장 이것은 ‘사이버 전쟁’이다 7

​

2장 그 메일은 열지 마세요 _ 힐러리 대선 캠프 이메일 피싱 21

​

3장 어나니머스에 당한 보안 회사 _ HB개리 공격 59

​

4장 극장의 불이 꺼지다 _ 소니 와이퍼 해킹 97

​

5장 쇼핑몰에서 생긴 일 _ TJX 와이파이 해킹 143

​

6장 사이버 인질극의 시작 _ 랜섬웨어 181

​

7장 아웃소싱된 개인정보 _ 토크토크 고객 정보 유출 221

​

8장 미래에서 온 공격자, 미라이 _ 사물인터넷 봇넷 255

​

9장 해킹의 현재와 미래 299

책 속으로

16~17P 기업들은 해킹으로 발생한 피해를 어디까지 책임져야 할지 고심하고 있었다. 수많은 기업이 고객들의 이름, 주소, 전화번호, 거래 내역, 카드 정보 같은 개인정보를 수집했다. 하지만 이는 누구나 인터넷을 통해 그런 정보에 접근할 수 있다는 것을 간과한 처사였다. 대다수의 기업은 (이제는 옛말이 되어버린) ‘데이터는 또 다른 석유다’라 는 말을 굳게 신봉하며, 정보가 부를 가져다줄 원천이 될 것이라고 믿었다. 하지만 석유를 사용하면 할수록 지구온난화가 심해지듯이 무분별한 데이터 수집은 좋지 않은 결과를 초래했다. 결국 기업들은 얼마 지나지 않아 데이터는 절대 석유가 아니라는 사실을 깨달았다. 영국 정보 커미셔너 크리스토퍼 그레이엄 역시 “데이터는 석유가 아니며 새로운 발암물질과도 같다. 즉, 기업에게는 위험이고 잠재적 인 독이다”라고 말하기도 했다.

​

34~35P 2016년 5월 여러 국가의 성인남녀 2,000명을 대상으로 한 설문 조사에서 응답자의 70% 이상은 이 2단계 인증 시스템을 사 용하고 있지 않다고 대답했다. 심지어 절반 이상의 사람들은 이 2단 계 인증이 어떻게 작동하는지 모르고 있었으며, 41%의 사람들은 2단계 인증이 무엇인지도 모르고 있었다. 즉, 해커가 마음먹고 피싱하려 든다면 10명 중 7명은 2단계 인증 없이 피싱 메일을 받을 수 있다. 그리고 그 이메일을 통해 악성코드가 유포될 수 있는 사이트에 접속하거나 스스로 자신의 로그인 정보를 입력하게 되는 위험에 노출된다. 포데스타의 지메일 계정도 그 10명 중 7명 안에 포함되어 있었다.

​

84~85P 이 문제를 해결하기 위해서는 권한이 있는 누군가와 반드시 연결이 되어야 했다. 즉, 사람과의 접촉이 필요한 일이었다. 해커는 호그룬드의 이메일을 통해서 호그룬드로 가장하고 HB개리 지원센터에 연락했다. 해커들 사이에서 사회적 기술Social engineering이라고 칭하는 기법이다. 회사 임원들이 급한 상황에서 기기를 잃어버리거나 비밀 번호를 잊어버린 것 같이 연출하는 것이다. 해커는 호그룬드로 가장 하고 전화를 걸었다. 지금 유럽에 있는데 비밀번호가 기억나지 않고 시간이 늦어 도움을 받기 어려우니, 방화벽만 뚫어주면 본인이 비밀번호를 재설정하겠다고 한 것이다. 시스템 보안의 취약점 중 하나가 ‘사람’인 경우가 종종 있다. 헬프데스크에 있는 사람들이 해커를 도와주다가 본의 아니게 시스템이 뚫리는 것이다. 헬프데스크 사람들은 호그룬드의 이메일에 접속해 있는 사람이 정확히 누구인지 의심하지 않았다. 물론 좀 더 면밀하게 생각했더라면 그가 왜 늦은 밤에 예외적 접근 허용을 통해 새로 운 비밀번호를 요청하는지 자세히 물어봤을 테지만 대부분의 경우 그렇게 하지 않는다. 또 해커는 호그룬드의 이메일을 보면서 그의 대 화 내역도 다 살펴봤기 때문에 그가 평소에 대화하는 스타일이라든지 전후 사정을 미리 파악해서 보다 그럴듯하게 호그룬드 행세를 할 수 있었다. 그리고 전화 통화를 할 때 그 사람이 본인이 맞는지 확실 하게 알 만한 정형화된 체크리스트 같은 것도 역시 존재하지 않았다. 결국 헬프데스크에서 일하는 사람들은 기계적으로 비밀번호를 재설정해 주고는 하는데 이것이 바로 보안상의 큰 허점이 될 수 있다.

​

108~109P 소니가 받은 경고 이미지에 있던 링크는 즉각 사람들의 시선을 끌기 시작했다. 수백만의 사람들이 모이는 토론 게시판인 레딧Reddit에서는 사람들이 그 콘텐츠를 다운받아 내용을 분석하기 시작했다. 먼저 파일명이 공개됐고 그 안의 내용이 뒤를 이었다. 비밀번호 또는 급여 내역 등이 세상에 알려졌다. 대부분의 해킹 사건은 은밀하고 아무도 모르게 몇 메가바이트 혹은 기가바이트에 해당하는 데이터를 삭제해 나가는 양상이었지만 이번 사건은 특이했다. 가져간 데이터의 양이 테라바이트 수준이었던 것이다(테라바이트는 기가바이트의 1,000배에 해당한다). 수요일에는 링크 4개가 영화 파일 공유 사이트로 전송됐다. 각 링크는 아직 개봉되지 않은 영화와 연결되어 있었다. 제2차 세계대전 을 배경으로 배우 브래드 피트가 출연한 〈퓨리Fury〉라는 영화와 뮤지컬 코미디 장르의 〈애니Annie〉, 그리고 풍경화 거장의 이야기를 담은 〈미스터 터너Mr. Turner〉라는 영화들이었다. 영화들은 그해 오스카상 심사 위원들에게 보낼 DVD 제작을 위해 파일로 저장되어 있던 상태였다. 더욱 충격적인 것은 영화 유출과 공유에 사용된 서버가 소니의 내부 서버 중 하나라는 점이었다.

​

164~165P 고등학교를 마친 뒤 2000년에 곤살레스는 맨해튼으로, 다시 뉴저지로 이사를 하게 된다. 그리고 뉴저지 한 회사의 보안 팀에 취직한다. 회사는 곤살레스가 어떻게 그 회사 컴퓨터 시스템에 침입했는지 설명했더니 그를 채용했다. 그러나 2003년 7월, 곤살레스는 일을 낸다. 이번에는 정부 사이트를 해킹한 것보다 더 심각했다. 뉴저지의 어느 저녁, 뉴욕 경찰 소속의 한 형사는 현금인출기 옆의 한 젊은 남자를 주시하고 있었다. 자정이 얼마 남지 않은 시간, 가발을 쓰고 코에 피어싱을 한 채 서 있는 남자는 어딘지 모르게 수상했다. 몇 분 뒤, 형사의 의심은 확신이 되었다. 그 남자가 남루한 행색과는 대조적으로 뒷주머니에서 여러 장의 카드를 꺼내 현금 인출기에서 수백, 수천 달러의 돈을 인출하기 시작했기 때문이다. 그 남자는 곤살레스였다. 그는 늘 자정 직전에 ATM 기기 앞에 서서 기다리다가 일일 최대 인출액을 자정 전후로 나눠 두 번씩 찾았다. 형사는 그를 긴급 체포했고, 후에 뉴욕 경찰은 곤살레스의 컴퓨터에서 수백만 장의 카드 데이터를 발견했다.

​

209~210P 이 랜섬웨어는 비록 하루도 되지 않는 시간 동안 활동 했지만 전 세계 150개국 23만 대의 컴퓨터를 감염시키면서 워너크라이Wannacry라는 별명을 얻었다. 각국의 보안 연구원들은 내부에 숨어 있던 바이러스가 다른 국가 간에 설치되어 있던 방화벽을 뚫고 들어가 컴퓨터들을 감염시킨 것으로 보았다. 사우스포트 병원은 피해가 심각했던 곳 중 하나였다. 긴급 치료를 요하는 환자를 제외한 모든 수술을 취소해야 했다. 엑스레이는 찍을 수 없었고, 외래 환자들은 돌아가야 했다. 내부 통신망도 먹통이 되었다. 다른 피해자들과 마찬가지로 몸값을 지불하지는 않았다. 하지만 모든 상황이 정상으로 돌아오기까지는 거의 일주일이 걸렸다.

​

307~308P 세계 최대 석유회사인 사우디아라비아의 아람코는 2012년 8월 15일 멀웨어 공격을 당한다. 이 공격으로 아람코 네트워크의 PC 3만 대가 피해를 입었는데 이는 전체 PC의 75%에 달했다. 다행히 석유 탐사 및 생산 시스템은 별도의 네트워크를 이용하고 있었기 때문에 영향을 받지 않았다. 피해를 본 컴퓨터들은 이후 10일 동안 오프라인 상태였다. 자칭 정의의 칼날 Sword of Justice이라는 그룹이 자신들의 소행이라며 등장했다. 아람코가 피해 PC 대수를 발표하기 전에 정의의 칼날이 먼저 공격 규모를 공개했기 때문에 이들의 주장을 신뢰할 수 있었다.

출판사 서평

컴퓨터와 인터넷이 등장하고 발달한 것과 함께 해킹도 발달했다. 컴퓨터 보안을 뚫기 위한 해킹의 기술은 어쩌면 한 차원 더 위일지도 모른다. 이제 모든 전문가들은 이렇게 실토한다.

“완벽한 보안은 없다.”

그렇다면 해킹은 왜 일어나는 걸까? 왜 해킹을 하려고 할까? 해커들은 누구인가?

컴퓨터를 만지작거리기 시작한 어린 나이에 해킹의 기술을 습득해 10대에 이미 유명한 해커의 반열에 오른 경우도 있고, 국가 보안을 이유로 정부가 비밀리에 육성하는 해커 부대도 있다. 단지 자신의 기술력을 뽐내기 위해 다른 사람의 컴퓨터를 뚫고 들어가 일부러 흔적을 남기는 순수 해커들이 있기도 하지만, 해킹의 목적은 점점 ‘돈’으로 귀결되고 있다. 비트코인과 기타 암호화폐의 등장은 해커들이 자신의 먹잇감으로부터 돈을 받아내는 일을 더 수월하게 만듦으로서 해커들에게 날개를 달아줬다. 정부 대 정부의 해킹 대결은 한 국가의 기간산업을 파괴할 정도의 괴력을 과시하고 핵무기 시설을 교란하기까지 한다. 최근에는 미국의 대선에까지 영향을 끼칠 정도다.

유명 연예인의 스마트폰 해킹이 기사화되면서 내 폰도 언제든지 뚫릴 수 있다는 불안감이 퍼지고 있다. 친구들과 나눈 사적인 메시지와 공유한 이미지가 어느 날 만천하에 공개된다면? 중요한 안건의 회사 메일이 공개된다면? 내 카드번호와 금융정보가 누군가의 손에 들어간다면? 이런 일은 이제 살면서 한두 번쯤은 겪게 될 가능성이 높다. 우리가 포털 사이트와 주요 온라인 쇼핑몰에 접속하면서 남긴 모든 기록은 저장되고 누군가에 의해 쓰인다.

개인을 위한 가장 간단한 보안책은 “비밀번호 변경”이 될 테지만, 이조차도 귀찮아서 몇 년 동안 동일한 비밀번호를 쓰는 경우가 많다. 게다가 이메일과 인스타그램, 페이스북, 트위터, 금융사 로그인 아이디와 패스워드가 모두 동일하다면, 해커들에게 문을 활짝 열어놓는 것과 같다. 구글과 네이버 등에서 꾸준하게 보내는 2단계 인증 메일을 본 적이 있을 것이다. 그렇다면 2단계 인증을 실제로 실행한 사람은 몇이나 될까? 저자에 의하면, 응답자의 70%가 그냥 무시했으며 40%는 그게 뭔지도 몰랐다고 한다.

회사 전체 PC가 (북한으로 추정되지만 확인이 안 되는 상대로부터) 공격당하면서 개봉을 앞둔 영화 데이터를 비롯해 중요한 문서들이 줄줄이 해킹당한 소니 영화사는 특히 간부들의 이메일이 공개되면서 곤욕을 치렀다. 인종차별적인 발언은 물론이고, 특정인을 폄하하고 조롱하는 등의 내용이 알려지면서 해당 경영진은 이에 대한 공개 사과를 해야만 했다. 이 일을 경험한 소니의 한 내부 인사는 이렇게 말했다.

“지금 쓰고 있는 메일이 내일 뉴스 1면을 장식해도 아무렇지도 않을 경우에만 이메일을 보낼 수 있습니다.”

해킹은 개인과 기업, 정부, 국가 대 국가의 모든 영역에서 무차별하게 진행중이다. 새로운 전쟁, 냉전도 열전도 아닌 ‘사이버 전쟁’의 시대다. 소리없는 공포, 조용한 습격, 그리고 거대한 파괴, 이 모든 것이 지금 우리 주변에서 벌어지고 있다. 완벽한 보안은 없다. 피해를 최소화하는 방법을 빨리 익히는 것이 최선이다.