몇 번의 클릭만으로 수십억이 오가며, 몇 초 만에 그럴듯한 작품을 완성할 수 있는 세상. 하지만, 편리함 뒤엔 늘 어둠이 도사리기 마련이죠. 날이 갈수록 교묘해지는 해킹 수법에 골머리를 앓는 이들이 한둘이 아닌 것처럼요.
오늘 어킵은 화이트 해커이자 스틸리언의 CTO(Chief Technology Officer, 최고기술경영자)로 활약 중인 신동휘님을 만났어요. 보안 전문가의 입을 통해 해킹의 원리와 유용한 예방법에 대해 알아볼게요.
신동휘
화이트 해커로 수년의 세월을 보낸 그는 사이버 보안 전문 기업 ‘스틸리언*’의 창립 멤버로서, 회사의 기술을 총괄하는 CTO로 활동하고 있어요. 해킹 대회 자문 위원부터 겸임교수까지, 사이버 보안과 관계된 일이라면 분야를 가리지 않고 도전하는 사람이죠.
* 스틸리언: 외계인의 기술을 훔친다(we STEAL ALIEN technology)는 사명 아래, 글로벌 수준의 화이트 해커들이 활약하고 있는 사이버 보안 전문 기업이에요.
동휘님의 말에 따르면, 해킹은 기계적인 결함보다 ‘사람의 부주의’로 인해 발생할 가능성이 크다고 해요. 도대체 우리의 어떤 행동이 해킹을 야기하는 걸까요?
Q. 문자 메시지 등에 인터넷 주소를 보내 개인 및 금융 정보를 탈취하는 행위를 ‘스미싱 범죄’라고 하는데요. 어떤 과정을 거쳐 정보가 빠져나가는 건지 그 원리가 궁금해요.
과정부터 살펴볼게요. 스미싱 문자는 메시지 안에 특정 웹사이트에 접속하는 링크가 있거나 앱을 다운받도록 유도하는 장치가 있어요. 우리는 스미싱 범죄가 이런 링크를 눌렀기 때문에 발생한다고 생각하는데요. 대부분의 경우, 홈페이지에 접속하거나 앱을 다운받아도 결정적인 문제가 생기지 않아요.
해킹은 접속한 사이트에 개인 정보를 적거나 악성 코드를 다운받으면서 서서히 진행돼요. 사용자가 눈치채지 못하게 로그인 정보를 빼가거나 지인을 속여 불법 송금을 하는 일들이 그렇죠. 해킹은 이렇게 여러 행동의 조합을 통해 완성돼요. 하나의 보안 프로그램이나 절차만으로는 예방하기 어렵죠. 여러 변수가 존재하기 때문에 그 모든 시작점인 '링크를 클릭하는 것'도, '앱을 다운받는 것'도 하지 말라고 안내하는 거예요. 일단 시작되면 해킹으로부터 100% 안전해질 방법은 없으니까요.
송금 피해 사례만 봐도 최종적으로 돈을 송금하는 건 사람이에요. 결국, 스미싱은 우리들이 해당 범죄에 대해 얼마나 관심을 기울이냐에 따라 피해 여부가 결정돼요.
여기서 잠깐! 적은 확률이지만 클릭만으로 해킹이 가능하다면, 어떻게 대처하는 것이 효과적일까?
제로 클릭*과 같은 일부 고사양, 고품질의 해킹 프로그램은 링크를 클릭하지 않아도 전체를 장악할 수 있어요. 결국, 개인이 할 수 있는 가장 손쉬운 대처 방법은 페이지에 아무런 정보도 입력하지 말고, 페이지가 다 열리지 않았다면 바로 닫아 버리는 거예요. 그리고, 스마트폰이나 컴퓨터를 아예 껐다 켜는 게 좋아요. 확실하게는 포맷해버리면 좋은데, 포맷은 번거롭다고 생각해서인지 잘 안 하시더라고요. 그러니까 최소한 ‘이상한 낌새가 느껴진다면 기기를 껐다 켜자’고 말씀드리고 싶어요!
* 제로 클릭(Zero-Click): 링크를 누르거나 첨부 파일을 열지 않았음에도 시스템에 침투할 수 있는 해킹 기술.
‘해커들의 의도’를 알면 예방도 가능해요
해커들은 진화를 거듭하고 있어요. 수많은 사람은 자신이 해킹당하고 있단 사실조차 모르고 있다가 범죄에 휘말려요. 동휘님은 범죄 수법이 지능화되는 때일수록 시작을 들여다봐야 한다고 말했어요. 해커들의 의도를 파악하면, 문제 해결의 실마리를 잡을 수 있거든요.
Q. 해커들은 탈취한 개인 정보를 어떻게 활용하나요?
일반적인 해커라면 돈을 벌고 싶을 거예요. 돈을 버는 방법은 몇 가지가 있는데, 대표적으로는 보이스 피싱 업체에 파는 방법이 있어요.
두 번째로는 탈취한 정보를 다른 곳에 활용하는 거예요. A 사이트에서 탈취한 개인 정보를 가지고 B 사이트나 C 사이트에 회원가입을 하는 거예요. 이렇게 하면 사이트를 자유롭게 넘나들며 그 사람인 척 연기해 지인들에게 금전을 요구하거나 광고 글을 게시할 수 있어요.
아니면, 해킹을 더 고도화해서 피해자의 로그인 정보(아이디, 비밀번호)를 터는 거예요. 사람들은 비밀번호 까먹는 걸 싫어해서 대체적으로 여러 사이트의 로그인 정보를 똑같이 해두잖아요. 이 점을 이용해 이 페이지, 저 페이지에 넣어보고 로그인만 성공하면 송금을 유도하는 거예요.
해커가 말해 주는 일상 속 해킹 예방법
1. 허위 사이트 골라내기
지난 6월 14일, 북한이 ‘네이버’를 복제해 국민들을 대상으로 해킹 시도를 벌인 정황이 포착됐어요. 국정원의 말에 따르면 그동안 북한은 네이버 로그인 페이지를 복제해 국내 이용자들의 ID나 비밀번호 등을 탈취해 왔다고 전해지는데요. 이번 사건에 대해 동휘님은 어떤 입장을 보일까요?
웹사이트를 복제하는 게 어려운 일은 아니에요. 이미지를 그대로 캡처해서 쓰면 되니까요. 중요한 것은 해커들이 무엇을 원하느냐예요. 해커들이 찾는 정보가 ‘네이버에서 무엇을 검색할까’일까요? 아니에요. 아이디나 패스워드와 같은 사용자들의 개인 정보를 원하죠. 때문에 해커들은 로그인 부분만 자신들이 원하는 방향으로 수정하면 돼요. 가짜 웹사이트는 화면상으로는 아무런 변화가 없어 보이지만, 실제로는 다른 웹사이트에 접속되었다가 다시 정상 페이지로 돌아가요. 이번에 화제를 모은 짝퉁 네이버도 그렇게 만들었을 가능성이 높죠.
Q. 육안으로 확인이 어려운 스미싱 웹페이지 경우 어떤 방법으로 진짜와 가짜를 구분하나요.
딱 두 가지만 살펴보면 돼요. 첫 번째는 자물쇠 마크. 신뢰할 수 있는 웹페이지는 자물쇠 모양이 녹색으로 보여요. 반대인 경우엔 빨간색이거나 다른 색으로 보이죠. 그땐, 곧바로 페이지에서 나오는 게 좋아요.
두 번째는 페이지 주소창. 저는 전에 이 얘길 듣고 많이 놀랐었는데, 많은 사람이 네이버에 접속할 때 구글 검색창에 네이버를 입력해서 들어간다고 하더라고요. 그건 너무 위험한 방법이에요. 자주 접속하는 페이지라면 주소를 외워 주소창에 직접 입력하길 추천해요. 해킹당하지 않으려면, 꼭 자물쇠 마크를 확인해 보고 페이지 주소창에 직접 사이트 주소를 입력한 다음 로그인하세요. 확인하는 데 30초도 안 걸려요.(웃음)
2. 수시로 업데이트하기
Q. 개인 정보 보호를 위해 동휘님이 잊지 않고 하는 루틴이 있을까요.
각종 기기를 업데이트하는 일이요. 저한테는 너무 당연한 일인데, 많이들 안 하세요. 악성 코드나 해킹 수법은 날이 갈수록 새로워져요. 업데이트는 새로운 형태의 위협들을 대비할 수 있게 해주죠. 업데이트를 안 하면, 보안상 취약점이 곧바로 드러나게 돼요. 인터넷만을 이야기하는 게 아니에요. TV, 셋톱박스, 블루투스 스피커 등 웬만한 전자 기기들 역시 업데이트가 필수예요. 공유기도 마찬가지고요. 공유기를 업데이트하라고 하면 방법조차 모르시는 분들이 많은데, 절대 어렵지 않으니까 제발 하세요.(웃음)
3. 페이지마다 비밀번호 다르게 설정하기
Q. 개인 정보 보호와 관련해 추천하고 싶은 방법이 있다면 소개 부탁드려요.
사람들이 알고는 있지만, 실천하지 않는 게 있어요. 비밀번호 어렵게, 그리고 페이지마다 다르게 설정해야 하는 거죠. 어려운 비밀번호를 만드는 방법은 의외로 간단해요.
STEP 1. 본인이 쉽게 기억할 수 있는 글귀에서 몇 글자를 뽑기
Ex) 어떻게든 킵고잉 해야지 > 어킵해
STEP 2. 그 뒤에 특수문자를 집어넣기
Ex) 어킵해+특수문자 > 어킵해!
STEP 3. () 만약 ‘인스타그램’만의 비밀번호를 만들고 싶다면, 인스타그램의 자음만 따서 기존 비밀번호 뒤에 붙이기
) 만약 ‘인스타그램’만의 비밀번호를 만들고 싶다면, 인스타그램의 자음만 따서 기존 비밀번호 뒤에 붙이기Ex) 어킵해!+인스타그램 > 어킵해!ㅇㅅㅌㄱㄹ
이렇게 패턴화하면, 90일 뒤에 비밀번호를 바꾸라고 했을 때도 순서만 바꾸면 되니까 편해요. 편한데 안전하기까지 하죠.
“저는 저마다 다른 비밀번호를 외우기도 하지만, ‘원패스워드’라는 앱을 사용해 비밀번호를 보호하고 있어요.”
여기서 잠깐! 동휘님도 사용하는 비밀번호 관리 앱!
원패스워드(1Password)는 사용자를 대신하여 비밀번호를 기억하고 계정 정보를 안전하게 보호하는 앱이에요. 크롬 같은 웹브라우저는 물론, 모바일의 비밀번호도 모두 동기화돼요. 사용자는 단 하나의 마스터 패스워드만 기억하면 끝. 개인용부터 비즈니스용까지 목적에 따라 다양하게 사용할 수 있어요. (더 자세한 내용은 여기를 클릭!)
Q. 마지막으로, 사람들에게 개인 정보 보호의 경각심을 고취할 방법이 있을까요.
일상을 돌아보면 사진이며, 이메일이며 제대로 정리된 것이 몇 없어요. 메일함만 봐도 읽지도 않은 메일이 몇만 개씩 쌓여 있잖아요. 과감히 지워 버려야 해요. 자세히 들여다보지 않는 곳에는 허점들이 생기기 마련이니까요. 자주 접속하지 않는 웹이나 앱, 메일, 전자 기기 등을 버리는 것에 익숙해져야 해요.
인터넷의 등장은 우리들의 삶을 획기적으로 변화시켰어요. 스마트폰 하나로 인간관계도, 돈도, 일도 할 수 있는 세상이 도래했죠. 문제는 이를 악용하는 사람도 함께 늘고 있단 거예요. 경찰청 조사에 따르면, 사이버 범죄 전체 발생 건수가 2022년에만 23만 355건으로 조사됐어요. 이는 더 이상 ‘나만 아니면 돼’라며 안일하게 피해 갈 수만은 없단 뜻이에요.
그런 측면에서 동휘님이 전해준 일련의 이야기는 매우 의미심장했어요. “개인 정보 보호의 책임은 온전히 나에게 달려 있구나!” 싶었죠. 오늘의 인터뷰가 정보 보안의 의식 수준과 경각심을 높이는 계기가 되었으면 하는 바람이에요. 안전함의 척도는 본인의 선택과 노력에 의해 달라진다는 것, 명심하길 바라요!
* 본 인터뷰는 개인의 의견입니다.
.png&blockId=d3538e05-5749-4cb7-a163-cb0c6118cf11)
어킵, 어떻게 생각하세요?
피드백을 남겨주시면 더 좋은 아티클 제작에 많은 힘이 됩니다!
피드백을 남겨주시면 더 좋은 아티클 제작에 많은 힘이 됩니다!