훔치는 법도 각양각색

수사는 오리무중

“해킹을 시작하지. 만약 페이스북이 돈이 필요하면 은행 대출 말고 회원들이 직접 투자하도록 만드는 게 낫지 않을까? 어떻게 생각해?” 지난 2011년 페이스북 CEO 마크 저커버그의 팬 페이지에 마크 저커버그 자신의 계정으로 위와 같은 글이 게시됐다. 해커가 페이스북 창업자의 팬 페이지를 해킹하는 데에 성공한 것이다. 페이스북 측이 문제를 해결하려 했을 때는 이미 1800명의 ‘좋아요’와 댓글 500개가 달린 후였다.

  CEO 계정이 해킹됐다는 사실은 일반 사용자의 계정 역시 위험에 노출돼있음을 방증한다. 더불어 페이스북의 정보 보호 시스템이 얼마나 허술한지도 함께 증명했다. 내 계정에 나와 관련 없는 엉뚱한 글과 사진이 올라오는 일은 황당하기 그지없다. 누군가 내 계정으로 사기라도 저지르는 상상은 황당함을 넘어 아찔하기까지 하다. 누가, 어떻게 그런 일을 저지르는 건지 전문가에게 물어봤다.

  그들이 내가 되는 방법

  해킹의 수법에는 여러 가지가 있다. 김종 교수(포항공대 컴퓨터공학과)는 사이트 링크를 보내 해커가 직접 사용자의 정보를 빼낼 수 있다고 설명한다. “해커가 사이트 링크를 전송하면 사용자가 링크를 타고 사이트에 접속해요. 이때 코덱과 같은 소프트웨어의 추가 설치를 유도해 기기에 해킹 소프트웨어를 심을 수 있어요. 키보드 입력 정보를 빼내는 소프트웨어가 그 예죠.” 지난 5월 페이스북 계정 정보를 해킹하기 위한 링크가 페이스북 메신저를 통해 전파됐다. 메시지에 포함된 링크를 클릭하면 가짜 동영상 사이트로 이동한 후 영상 재생을 위한 코덱 설치를 유도하는 방법을 사용했다.

  가짜 로그인 사이트 링크를 보내 사용자가 직접 아이디와 비밀번호를 입력하게 만드는 방법도 있다고 이일구 교수(성신여대 융합보안공학과)는 말한다. “가짜 로그인 사이트는 정상 사이트와 URL이 달라요. 가짜 사이트에서는 아이디와 비밀번호를 입력해도 로그인이 되지 않아요. 정보가 해커에게 전달될 뿐이죠.”

  해킹 방법에는 추정을 통해 알아내는 간접적 접근도 존재한다. 김종 교수는 해킹 대상이 스스로 공개하거나 이미 유출된 정보를 바탕으로 아이디와 비밀번호를 비롯한 계정 정보를 알아낼 수 있다고 설명한다. “인터넷 상의 여러 사이트에서 얻은 개인 정보를 활용해 사용자의 아이디와 비밀번호를 추정하는 거예요. 반복적인 추정으로 계속해서 로그인을 시도하면 해킹이 가능하죠.” 대표적인 해킹 방법이 ‘크리덴셜 스터핑’이다. 크리덴셜 스터핑은 공격자가 이미 확보한 계정 정보를 같은 사용자의 다른 계정에 무작위로 대입하는 방식이다. 때문에 동일한 비밀번호를 여러 계정에 사용하는 사람은 큰 피해를 입을 수 있다.

  보이지 않는 손

  경찰청 사이버안전국에 따르면 지난해 정보통신망 침해범죄는 총 3156건 발생했다. 그중 해킹 범죄는 2430건(약 77%)으로 매우 높은 비율을 차지한다. 그러나 이에 비해 해킹 범죄 검거율은 낮은 수치를 기록하고 있다. 총 2430건의 해킹 범죄 중 검거된 건은 단 990건(약 41%)에 불과하다.

  “전문적인 해커는 자신의 정보를 유출하지 않기 위해 많은 신경을 쓰고 있어요. 그래서 검거가 어렵죠.” 김종 교수는 해커가 자신을 익명화할 수 있는 여러 프로그램을 사용하고 있다고 설명한다. 개인의 인터넷 접속 흔적을 추적할 수 없도록 만드는 ‘토르 네트워크’ 같은 프로그램 때문에 검거가 쉽지 않다는 이야기다. 실제로 지난해 7월 약 3200만 달러 상당의 가상화폐를 탈취한 해커가 토르 네트워크를 이용해 범행을 저지르기도 했다.

  이 외에도 사용자와 접속 서버 간 중계 역할을 하는 ‘프락시 서버’나 공중 네트워크를 사설 네트워크처럼 사용할 수 있게 해주는 ‘가상사설망(VPN) 서버’를 활용해 IP를 숨기는 방법도 있다. 지난 2014년 3월에는 KT 고객센터가 프락시 프로그램의 일종인 ‘파로스 프락시 프로그램’으로 해킹돼 약 1200만명의 고객정보를 도둑맞았다.

  한편 김종 교수는 해킹을 막기 위한 대책으로 새로운 기술이 개발되고 있다고 말한다. “최근에는 다른 기기에서 로그인하거나 SNS 활동 간 계정 정보를 사용할 시 추가 인증을 요구하는 등의 이중 인증 기술이 적극적으로 도입되고 있어요.” 페이스북은 지난해 1월부터 전체 사용자 중 신청자를 대상으로 USB 보안 열쇠를 이용해 계정에 접속하는 이중 인증 서비스를 실시했다. 이 서비스를 이용할 경우 USB 형태의 열쇠를 컴퓨터에 꽂아야 로그인이 가능해진다. 해커가 비밀번호를 알아낸다고 하더라도 보안 열쇠까지 훔치지 않는 이상 계정 로그인은 불가능하다.

  2018년 정보통신정책연구원의 『SNS 이용추이 및 이용행태 분석』에 따르면 지난해 전체 응답자 9425명 중 4321명(약 46%)이 SNS를 이용한다고 응답했다. 그중 20대의 SNS 이용률이 약 83%로 전 연령대에서 가장 높은 비율을 기록했다. 개인 계정을 해킹하는 범죄가 청년세대에게 특히 심각한 문제인 이유다. 이용자와 세계를 연결해주는 SNS가 나도 모르는 새에 ‘보이지 않는 검은 손’이 뻗치는 통로가 될 수 있음도 명심해야 한다.

저작권자 © 중대신문사 무단전재 및 재배포 금지