November 15,2019

사소한 정보도 해커에겐 ‘금광’

SNS에 올린 정보, 사이버 안보에 큰 위협

FacebookTwitter

미국 시장 조사 기업 ‘이마케터 (eMarketer)’는 작년 7월 기준으로 SNS 사용자 수가 24억 명을 돌파했다고 보고했다. 지구 전체 인구의 30%가 SNS를 사용하는 셈이다.

많은 사람이 SNS에 다양한 콘텐츠를 올리고 있다. 그런데 이러한 콘텐츠가 해킹에 악용될 수 있다.

SNS에는 여러 개인 정보가 공유된다. 대표적으로 프로필에 적혀 있는 성별, 출신학교, 지역 등이 이에 해당한다. 사소한 정보일 수 있겠지만, 해커에게는 유용한 해킹 수단이 될 수도 있다.

모바일에 설치된 여러 SNS 서비스 앱. ⓒ pxhere

모바일에 설치된 여러 SNS 서비스 앱. ⓒ pxhere

지피지기 백전불태(知彼知己 百戰不殆)라는 말이 있다. 적을 알고 나를 알면 백 번을 싸워도 위태롭지 않다는 뜻이다. 해킹에도 이를 적용할 수 있다. 다시 말해 해커 자신뿐만 아니라 해킹 대상을 알면 성공률을 대폭 높일 수 있다.

‘피싱(Phishing)’과 ‘스피어 피싱(Spear Phishing)’의 차이를 알면 위의 말에 공감이 갈 것이다.

피싱과 스피어 피싱 모두 상대방을 속여서 해킹을 시도한다는 점은 동일하다. 다만 특정 대상을 노리고 개인 정보를 수집하면서 전자와 후자가 나뉜다.

쉬운 설명을 위해 해커가 메일로 악성코드를 전파한다고 가정해보자. 피싱의 경우 해커는 무작위로 악성코드를 배포한다. 메일 수신자가 관련 없는 경우가 많기 때문에 메일을 열람할 확률은 낮다. 다시 말해 성공률이 낮다.

스피어 피싱의 경우 해커는 특정 대상을 노리기 때문에 상대방이 관심 가질 만한 주제의 메일로 악성코드를 배포한다. 관심 주제를 담아야 하므로 자연스레 정보 조사 과정을 거친다.

스피어 피싱은 특정 대상만을 한정하기 때문에 공격 범위가 좁지만, 수신자와 관련 있을 법한 내용으로 보내기 때문에 메일 열람 확률은 높다. 성공률이 높은 셈이다.

해킹 성공의 핵심 요인은 ‘정보’

해커가 해킹을 위해 수집하는 정보는 사실 크게 비밀스러운 것이 아니다. 전화번호, 선호 음식 등 접근이 쉬운 정보도 해커에게는 유용한 무기가 될 수 있다. 때문에 SNS 개인정보는 해킹에 악용될 소지가 충분하다.

랜섬웨어에 감염된 모습. ⓒ Flickr

랜섬웨어에 감염된 모습. ⓒ Flickr

올해 초 랜섬웨어 감염 신고를 받고 사고 경위를 조사한 바 있다. 조사 결과 피해자는 악성 메일에 첨부된 랜섬웨어를 다운로드 받아 감염된 것이었다.

피해자는 IT 전문 지식을 가지고 있고 보안에도 능숙했다. 그런데도 피해를 본 이유는 메일 내용이 피해자의 관심사를 담고 있었기 때문이다. 피해자는 인사 채용을 진행하고 있었다.

해커는 이를 노려 입사 지원 문서로 위장한 랜섬웨어를 첨부해 메일을 보냈다. 그런데 해커는 어떻게 피해자가 인사 채용을 진행하고 있다는 사실을 알았을까?

인사 포털에 올린 채용 공고가 화근인 것으로 드러났다. 채용 공고에는 피해자의 이메일이 기재돼 있었고, 해커는 이를 통해 해당 메일의 주인이 인사 채용 중인 것을 알아차린 것이다.

참고로 재밌는 사실은 랜섬웨어 피해가 있고 난 후, 해당 피해자를 대상으로 똑같은 수법의 악성 메일이 몇 달 동안 계속 보내졌다는 것이다. 랜섬웨어를 감염시키기 쉬운 대상으로 인식됐기에 이 같은 공격이 반복적으로 이뤄진 결과다.

이처럼 작은 정보가 해킹 성공에 큰 영향을 미칠 수 있다. 이를 좀 더 체계적으로 살펴보자.

우선 해커가 주로 활용하는 해킹 수법을 알아둘 필요가 있다. 해커는 특정 기관을 공격하기 위해 ‘APT (Advanced Persistent Threat)’라는 해킹 수법을 주로 사용한다. APT는 특정 대상을 장기간에 걸쳐서 해킹 공격하는 것이다.

방위 산업체 ‘록히드 마틴(Lockheed Martin)’은 APT 공격이 총 6단계를 통해 이뤄지는 것으로 분석했다. 록히드 마틴은 이러한 과정을 ‘사이버 킬 체인 (Cyber Kill Chain)’이라 명명했다.

사이버 킬 체인은 조사→악성코드 전파→시스템 침투→지휘 및 통제→래트럴 무브먼트→공격 감행의 순서로 진행된다.

해커는 공격 대상을 우선 조사하기 시작한다. 그리고 악성코드를 전파하고, 성공적으로 침투시켰다면 잠입한 악성코드와 통신을 하게 된다. 이러한 통신 과정을 지휘 및 통제라고 한다.

해커는 지휘 및 통제를 통해 목표 대상에 지속적으로 악성코드 감염을 확산시키는데, 이러한 확산을 래트럴 무브먼트라고 한다. 그리고 성공적으로 악성코드가 확산되면 공격 감행이 이뤄진다.

APT 단계를 살펴 보면 정보가 해킹 성공에 중요한 요소임을 알 수 있다. 정보는 우선 특정 기관에 침투할 때 가장 중요한 요인이다. 앞서 살펴본 스피어 피싱 사례처럼 내부자의 관심사를 이용하면 쉽게 악성코드 감염을 유도할 수 있다.

이를 잘 나타내 주는 사례가 2014년 11월 일어난 한국수자력원자력(이하 한수원) 도면 유출 사고다. 당시 해커가 보안이 견고한 한수원에 침입할 수 있었던 비결은 한수원의 퇴직자 이메일 주소다.

해커는 한수원 은퇴자를 사칭해 직원에게 악성 파일인 담긴 이메일을 발송했고, 많은 직원들이 이에 넘어가 감염됐었다. 참고로 해킹을 위해 발송된 악성 메일은 5,980건에 달한다.

아울러 시스템 침투 후 목표 시스템 공략에도 정보가 중요 요소로 작용한다. 기관의 내부 정보는 외부에 노출돼 있지 않기 때문에 해커는 잠입 악성코드와 끊임없이 통신하면서 공격 대상의 정보를 얻어나가는 것이다. 가령 해커는 내부 인사 담당자, 시스템 관리자를 파악해 목표 대상에 좀 더 접근할 수 있다.

해킹으로 개인 정보를 탈취 당했던 미국 인사국. ⓒ Flickr

해킹으로 개인 정보를 탈취 당했던 미국 인사국. ⓒ Flickr

2014년 미국 인사국이 해킹을 당해 2150만 명의 공무원 개인 정보 및 560만 개의 지문 정보가 유출된 적이 있었다. 미국 사이버 수사대의 조사 결과, 당시 해커가 중요 시스템에 접근하는 데 필요한 시스템 정보를 파악하려고 노력한 흔적이 여기저기 남아 있었다.

철저한 정보 관리가 보안 핵심

정리하자면 해커는 해킹 성공률을 높이기 위해서 정보를 중점적으로 활용한다. 그리고 SNS 활용은 이러한 정보에 대한 접근을 쉽게 만들어 주고 있다.

이름, 이메일 주소, 관심사 등 사소한 개인 정보도 해커에게는 중요한 공격 무기다. 그러므로 SNS에서 정보를 공유할 때는 좀 더 신중할 필요가 있다.

의견달기(0)