피터 캐시디 APWG 사무총장 코드게이트 2008서 연설
“전문 해커들도 ‘전화 피싱이 가장 효과적이다’ 인정”
전화·e메일 사기로 정보 유출…신원도용 사고수 급증

“진짜 심각한 해킹사고는 저급 기술(Low-Tech)로도 손쉽게 이뤄지고 있습니다”

피터 캐시디(Peter Cassidy) APWG(Anti-Phishing Working Group, http://www.antiphishing.org) 사무총장은 15일 오전 삼성동 코엑스 인터콘티넨탈 호텔서 열린 코드게이트 2008 콘퍼런스 기조연설을 통해 ‘소셜 엔지니어링(Social Engineering)’ 기반의 온라인 공격 위협에 대해 이같이 강조했다.

소셜 엔지니어링(사회공학)이란 사회행동의 과학적 연구로 얻어진 기본 원리를 응용해, 일상생활에서 제기되는 여러 가지의 특수문제를 기술적으로 해결하는 학문 영역이다.

캐시디 사무총장은 이날 연설에서 “일반적으로 생각하는 심각한 해킹 사고는 극도로 고도화 된 기법이 집적되어 있는 것으로 생각하기 쉽지만, 사실 해킹 기술보다는 사회공학적인 접근이 더 중요하다”는 점을 강조했다. 개인정보를 불법적으로 알아내 이를 이용하는 위장 사기 기법 ‘피싱(Phishing)’이나 사이트를 통째 위조하는 ‘파밍(Pharming)’ 역시 이러한 일련의 과정 속에서 살펴봐야 한다는 설명이다.

즉, 일반인들을 대상으로 한 전화사기, e메일 피싱, 우편물 등을 통한 개인정보 도난, 해킹에 둔감한 중소기업들을 대상으로 한 단순 해킹 사고 등이 일반적으로 손쉽게 해킹 기본 정보를 얻어 내는 기술들이다.

지난 2006년 한 해 동안 미국 FTC는 67만여 건의 ID 도용 불만을 접수했다. 이 중 실제 ‘신원 도용 사고’가 24만 건(36%)으로 압도적이었다. 소비자들은 사기 피해로 매년 110억 달러 피해를 입고 있고, 건당 손해액도 크게 늘고 있는 추세다. 매주 무료 상담 전화에는 1만5000~2만여 건의 불만이 접수되고 있다. ID 도용은 이제 일반적인 사례로 확산되는 분위기다.

캐시디 사무총장은 “피싱은 개인 금융데이터를 브로커들에게 넘기는 방식으로 범죄 조직에도 많이 사용 된다”며 “특히 특정 데이터에 접근 권한 있는 기업의 직원 신용정보를 가져가서 크래킹하는 사례도 늘고 있다”고 설명했다. 이런 방식을 사용하면 금융계좌에서 돈을 직접 빼낼 수 있고, 돈 세탁에 사용할 수도 있다. 투자 계정에 접근하면 주식 시장을 왜곡시키기도 한다.



◆해킹 사고, 저급 기술로도 손쉽게 가능

캐시디 총장은 “신원 도용 사고는 저급 기술(Low-Tech)로도 이뤄지고 있다. 뭔가 대단한 크라임웨어를 이용하는 것이 아니다”고 여러 차례 강조했다.

온라인상에서 불법 활동을 조장하기 위해 만들어진 컴퓨터 프로그램들을 크라임웨어(crimeware)라고 부른다. 스파이웨어, 브라우저 하이재커, 키로거 등이 대표적이다. 이 도구들의 상당수는 상대방을 속이는 ‘피싱’ 도구라는 점에서 공통점이 있다.

그러나 이러한 도구를 사용하는 것이 완전히 새롭거나 고도의 능력을 요구하는 것은 아니다. 오히려 지난 몇 년 동안 해킹 도구는 변하지 않고 꾸준하다는 설명이 이어졌다. 그는 “피싱을 하는 사람들은 기술이 좋기 때문에 돈을 뜯어내는 것이 아니라, 상대방에게 그럴 듯한 스토리를 만들어서 사기를 치는 것”이라고 말했다.

그는 “개인 정보를 손에 넣는 방식을 살펴보면 간단하다”며 “예를 들어 우편물을 훔치거나 신용 카드 정보를 엿보거나, 은행이나 국세청 정보를 훔치는 것, 또는 쓰레기나 폐기물 매립장 등 뒤질 수도 있다. 심지어 관련 직원에게 뇌물을 건네기도 하고, 신용평가 회사가 범죄 조직과 연관이 된 경우도 있다”고 말했다.

◆첨단 해킹보다 전화 사기가 효과적

캐시디 총장은 “속여서 전화상으로 빼내는 것을 특히 주의해야 한다”이라며 “미국 내 한 유명 해커는 ‘전화로 정보를 빼내는 것이 가장 효과적 이었다’고 말하기도 했다”고 전했다. 그는 “일반적인 전화 통화라면 건네지 않을 정보이지만, 해커가 그럴 듯한 말로 속이면 많은 정보가 빠져 나가더라”고 덧붙였다.

사회공학적인 피싱 환경을 잘 이해해 상대방을 속이는 해킹 기법은 다른 곳에서도 쉽게 발견된다. 특히 신용정보를 도용하면 법적으로 접근 권한 있는 사람인 것처럼 사칭할 수 있다. 이렇게 되면 정보에 대한 접근 권한을 통째로 빼낼 수 있는 것이다. 매장에서 손으로 상대방의 신용카드를 직접 베끼거나, 은행 고객의 우편물 주소를 바꿔 받아 가로채는 경우도 대형 사고로 이어질 수 있는 전형적인 사례다. 전화 ARS나 휴대폰 문자메시지(SMS) 등을 통한 주민번호 및 계좌번호 유출도 잦다.

e메일도 사회공학적인 사기에 적극 활용된다. 이 밖에도 인터넷은 검색엔진이나 블로그, 동영상UCC 등 다양한 형태의 ‘미디어’를 제공하고 있는데, 모두가 잠재적인 사기 도구가 될 수 있다.



◆“적은 나를 잘 알고 있다”

그러나 캐시디 총장은 “전통적인 방식의 피싱은 이제 크게 늘지는 않는다”고 설명했다. 오히려 정보 접근 가치가 높은 기업체 임원 등을 대상으로 타깃을 명확히 한 피싱 공격이 주류를 이룬다는 설명이다. 실제로 기업체의 CEO나 CTO등이 지속적인 피싱 공격에 시달리고 있는 것으로 알려졌다. 그는 “피싱하는 범죄자들은 피싱할 대상에 대해 사회 공학적인 정보를 너무나 잘 파악하고 있었다”고 역설했다.

그는 “실제 피싱 신고가 많이 들어오는데, 전화 사기가 가장 위험한 공격 중 하나”라며 ‘사실 대등 방법이 없다. 임원들에게 자신들이 얼마나 중요한 정보에 접근할 수 있는 권한이 있는지 끊임없이 주의를 줘야 한다“고 지적했다. 실제로 직책이나 직종이 상관없이 특정 기관을 사칭하는 전화 피싱사고는 국내에서도 끊임없이 논란이 되고 있는 부분이다.

그는 특히 “피싱 사고가 일어났을 때 내부자가 개입했는지, 불확실성을 측정 할 수 없다”며 “위험을 사전에 파악할 수 없다는 점이 가장 큰 문제”라고 말했다.

 ◆유명 해커 제프 모스(Jeff Moss) 방한

한편, 이날 열린 ‘코드게이트2008’(http://www.codegate.org) 행사는 세계적인 해커 제프 모스(Jeff Moss) 등 국내외 대표 해커 및 보안 전문가들을 함께 해, 최신 보안 이슈를 제기하고 논의하는 보안 컨퍼런스로 진행됐다.

특히 이번에 한국을 처음 방문한 해커 계의 대부 제프 모스(Jeff Moss)는 매년 미국 라스베이거스에서 열리는 언더그라운드 해커축제 데프콘(Defcon)의 창립 멤버이자, 대표적인 보안 컨퍼런스 블랙햇(Black Hat)의 설립 및 운영을 담당하고 있는 전문가로 유명하다. 그는 15일 콘퍼런스 첫 번째 보안 세션에서 ‘미국 해커의 역사와 문화’라는 주제로 1시간가량 세미나를 진행했다.



- http://en.wikipedia.org/wiki/Jeff_Moss_(hacker) / 위는 자료사진

이 밖에도 중국의 대표 해킹대회 ‘X-CON’ 운영자인 캐스퍼(Caper)와 핵심멤버 린지(Linzi)가 최신해킹기법을 주제로, 일본의 최고 보안전문가 타카마(TAKAMA) 가 ‘사이버 범죄 대응 기술 및 전략’을 소개했다.

국내 전문가들이 나서는 세미나는 ▲해커출신의 보안전문가인 고려대학교 이희조 교수가 최근 미래에셋 해킹 사건 등으로 계속 관심을 받고 있는 DDos 공격과 관련한 세미나를, ▲해킹 전문가 그룹 Team와우해커 출신의 한제헌(고려대 대학원)씨는 ‘창과 방패, 스파이웨어와 스파이웨어 탐지’, ▲고교 해킹대회 우승자인 와우해커의 박찬암씨는 ‘Linux Kernel 2.6 Rootkit’, ▲와우해커 김기홍(세인트시큐리티 대표)씨의 ‘가상화 기법을 이용한 윈도우 커널 보호 시스템’ 등이었다.

◆국제 해킹 대회 우승팀은 포항공대 3인방

한편, 15일 보안 컨퍼런스에 앞서 14일 오전 10시부터 15일 오전 10시까지는 지난달 21일부터 23일까지 미국, 중국, 호주, 대만, 일본과 유럽 대륙 출신의 600여 팀 간의 격전을 통해 선발된 8개 팀이 최고의 해커를 겨루는 해킹대회본선 경기가 진행됐다.

본선에는 포항공대생 3명으로 구성된 ID ‘PLUS’ 팀과 한국과 미국 연합 팀인 ID ‘root’을 비롯해 silverbug, h4z3dic, nr2h, ethanol, Debugcon, pivot 등이 각축을 벌였다.



최종 결선 결과 PLUS팀(사진 위 3명)이 최고점수 2000점을 획득하며 우승(1위)을 차지했다. 우승을 차지한 PLUS팀은 배병욱(24), 송재혁(23), 이성광(22) 3인으로 구성된 포항공과대학교 보안연구회 PLUS 동호회 소속이다. PLUS팀은 카이스트와 포항공대간의 정보교류전인 ‘KAIST-POSTECH 학생대제전’(사이언스 워)에서 3년 연속 우승을 차지하여 그 동안 실력을 인정받아 왔다.

준우승(2위)은 한국과학영재학교의 이지용(19), 김은수(19)씨와 삼육대학교 1학년생 백호연(20)씨로 구성된 ‘ethanol’팀이었다. 우승팀과 2위 3위 팀은 각각 우승상금으로 4000만원, 1000만원, 700만원을 받는다.

이날 24시간 동안 진행된 본선 대회는 총 문제 10개 중 가장 많은 문제를 빠른 시간 안에 해결하는 팀에게 높은 점수가 주어지는 형식으로 진행됐다.

코드게이트2008을 주최한 이순형 소프트포럼 부사장은 “이번 해킹대회가 미래 우리나라 보안산업을 한층 더 업그레이드 시킬 보안 전문 인력들이 마음껏 자신의 기량을 시험해 볼 수 있는 장이 되었기를 기대한다”고 말했다.

인터넷뉴스부 서명덕 기자