preLoad Image preLoad Image
검색 바로가기
주메뉴 바로가기
주요 기사 바로가기
다른 기사, 광고영역 바로가기
중앙일보 사이트맵 바로가기

시스템 아닌 관리자 정보 빼내 악성코드 심어 사이버 공격

주요 언론사와 일부 금융사의 전산망이 마비된 2013년 3·20 전산대란 당시 서울 여의도 KBS 본사의 모습. 보도국 컴퓨터가 전산 마비로 작동되지 않았다. [중앙포토]


지난달 28일 LG화학은 240억원을 사기당했다고 밝혔다. LG화학 임직원 평균연봉이 8500만원인 것을 고려하면 직원 280명의 월급이 순식간에 날아간 셈이다. 얼마 전 LG화학은 사우디아라비아 국영 석유회사인 아람코의 자회사 ‘아람코 프로덕트 트레이딩’ 측으로부터 납품대금 계좌가 변경됐다는 e메일을 받았다. 이 회사에서 정기적으로 원료를 구매해 온 LG화학은 의심 없이 해당 계좌로 거래대금을 송금했다. 한 달쯤 지나서야 계좌가 거짓이고 사기를 당했다는 사실을 알아차린 LG화학은 서울중앙지점에 수사를 의뢰했다. 두 회사의 e메일을 해킹해 이런 사기를 벌인 것으로 추정하고 있다.


가짜 메일 사기로 피해를 입은 기업은 LG화학이 처음은 아니다. 사이버경찰청에 따르면 가짜 e메일로 피해를 입은 건수는 2014년 71건으로, 2013년(44건)보다 50% 이상 늘었다. LG화학이 당한 사기 수법을 ‘스피어피싱’이라고 한다. 정보나 재산을 갈취할 목적으로 특정 대상에게 가짜 e메일을 보내는 것이다. 스피어피싱은 사람의 취약점을 노려 이뤄지는 '사회공학(social engineering)' 해킹의 한 유형으로 볼 수 있다. 사회공학 해킹은 전산 시스템이 아닌 전산을 운영하는 사람을 공격하는 방식이다. 스피어피싱 외에도 은행 등의 가짜 사이트로 접속을 유도하는 파밍, 문자 메시지를 통해 스마트폰에 악성코드를 심는 스미싱 등도 사회공학 해킹의 유형이다. 해커는 파밍이나 스미싱을 통해 얻은 개인 정보로 은행 계좌에서 돈을 빼내거나 소액 결제로 피해를 준다.


 

2008년 미국 대선 때 공화당 부통령 후보였던 세라 페일린(사진 왼쪽)의 e메일 계정이 해킹 됐다. 범인은 평범한 대학생으로 사회공학 해킹을 시도했다. 사진은 미국 공화당 대선 후보 경선에 나선 도널드 트럼프 지지 선언을 한 페일린의 모습. [중앙포토]


치밀하고 장기적인 계획으로 먹잇감 노려영화에서는 해커가 노트북 컴퓨터의 키보드를 몇 차례 두드려 전산 시스템을 쉽게 해킹하는 장면이 흔히 나온다. 아무리 뛰어난 해커라도 대형 기관의 철저한 보안 시스템은 거의 뚫을 수 없다. 그래서 사회공학기법을 많이 활용한다. 시스템은 실수가 거의 없는 반면 사람은 실수를 하기 때문이다. 미 국방부 등의 전산망에 침입했다가 감옥에 갔던 미국의 해커 캐빈 미트닉은 “보안 시스템이 잘 갖춰진 회사일수록 오히려 전화 한 통, e메일 하나가 더 효과적인 경우가 많다”고 말했다. 특히 해킹 목표를 정하고 수개월, 수년에 걸쳐 관리자의 정보를 확인한 뒤 악성코드를 심어 해킹하는 방법을 많이 사용한다. 이런 공격수법을 '지능형 지속위협(APT, Advanced Persistent Threat)'이라고 한다.


대표적인 사례가 2011년 4월 농협전산 대란이다. 이 사건으로 농협 서버의 절반 가량이 손실됐고 약 550여 대의 하드디스크가 파괴됐다. 복구용 서버의 하드디스크도 일부 파괴돼 복구가 불가능한 파일도 있었다. 이 사건으로 농협이 겪은 피해는 최소 80억원인 것으로 추산됐다. 이외에도 전산문제로 발생한 ATM 불능, 결제서비스 이용 중단까지 감안하면 경제적 피해는 훨씬 커진다. 정부는 농협 전산마비는 북한의 해킹 전문집단에 의한 공격으로 잠정적인 결론을 내렸다. 농협 전산마비는 갑작스러운 사이버 공격으로 발생한 사건이 아니다. APT을 이용해 치밀하고 장기적인 계획하에 진행된 수법이다.


농협 전산마비는 농협 외주업체 직원의 노트북 감염에서 시작됐다. 2010년 9월 외주업체 직원은 인터넷 카페에 있는 웹하드 무료쿠폰을 이용해 영화를 다운로드 받았다. 다운로드 파일에 숨겨진 악성코드(멀웨어)가 직원 노트북에 심어졌다. 이 악성코드는 아무런 활동을 하지 않고 매복하고 있었다. 그리고 외주업체 직원이 농협 전산망에 접속하자 농협 직원까지 추가로 감염시킨 뒤 결국 서버 관리자 계정에까지 도달해 사이버 공격을 감행한 것이다. 외주업체 직원 감염에서 농협전산 마비 공격까지 걸린 기간은 약 7개월이다.


이처럼 고도의 사회공학 수법을 활용한 APT 공격은 여러 차례 있었다. 2013년 주요 언론과 기업 서버를 마비시킨 3·20 전산대란, 2015년 한국수력원자력 발전소 정보유출 사건과 코레일 APT 공격 등이 있다. 해외 사례로는 대표적으로 ‘스턱스넷’이 있다. 스턱스넷은 500킬로바이트(KB) 용량을 가진 웜 바이러스의 일종으로 발전소 시스템만 공격하도록 프로그램돼 있다. 스턱스넷 공격은 e메일 첨부파일로 위장해 관련 직원의 컴퓨터로부터 감염되기 시작한 것으로 추정하고 있다. 점점 접근 권한이 높은 직원에 접근해서 시스템 중추에 도달할 때까지 매복하다가 발전소 중요 시스템을 공격한 것으로 조사됐다. 사회공학 수법을 활용한 덕분에 네트워크와 분리돼 있고 22m 콘크리트로 둘러 쌓인 이란 원자력 발전소 원심분리기 1000개를 파괴할 수 있었다. 2013년 에드워드 스노든은 스턱스넷을 미국 국가안보국(NSA)과 이스라엘이 공동 제작했다고 폭로했다.


 

자료: 사이버경찰청


사소한 개인정보도 해커에게 결정적 열쇠보안 전문가들은 페이스북과 같은 소셜네트워크서비스(SNS) 사용을 꺼린다. 물론 회원등록을 하지만 잘 사용하지 않는다. 왜 그럴까. 2008년 미국 대선 공화당의 부통령 후보인 세라 페일린의 e메일 계정이 해킹 당하는 사건이 발생했다. 이 사건은 전문 해커가 아닌 평범한 대학생이 범인으로 밝혀져 적잖은 충격을 줬다. 해커들처럼 전문 해킹 툴을 사용한 것이 아니라 단순히 구글·위키피디아를 이용했기 때문이다. e메일 계정 비밀번호를 잊어버릴 경우를 대비해 회원 가입시 미리 비밀번호 힌트를 설정하는데 이 대학생은 이를 악용했다. 페일린이 지정한 비밀번호 힌트를 구글과 위키피디아를 검색해 얻은 정보로 유추해 낸 것이다.


이처럼 사회공학 해킹을 시도하기 위해서는 제일 먼저 공격 대상의 정보가 필요하다. 그렇기 때문에 먼저 목표 대상의 정보를 모으는 것으로부터 시작한다. 농협 대란, 스턱스넷 등의 사례처럼 회사 직원정보를 검색한 뒤 사이버공격을 감행했다. 한수원 전산망을 뚫을 수 있었던 것도 해커가 의미 있는 정보를 수집할 수 있었기 때문이다. 한수원 전산은 ‘스피어피싱’ 공격으로 뚫렸다. 해커는 한수원 은퇴자의 이름으로 한수원 직원들에게 ‘OOO도면’이란 제목의 e메일을 보냈다. 한수원 직원들은 아는 사람의 이름으로 전달된 e메일의 첨부파일을 의심 없이 다운받았다. 첨부파일에 잠복하고 있는 악성코드가 한수원 서버로 올라가게 된 것이다.


이같이 사소해보이는 개인 정보도 사회공학 해킹에서 매우 중요하다. 최근 SNS의 등장은 사람들의 정보를 쉽게 수집할 수 있게 해 준다. SNS 등장 이전에는 개인의 정보를 모으는 것이 매우 어려웠다. 유명인의 경우 언론에 보도되는 기사나 콘퍼런스에 참석할 때 e메일과 같은 개인 정보를 기재하는데 해커들은 이들을 활용해 사회공학 해킹을 저질렀다. 그러나 이런 내용 가운데 의미 있는 개인적인 정보를 모으기란 쉽지 않았다. 그래서 상대방의 정보를 캐내기 위해서 전화를 많이 이용했다. 피싱과 같은 사기수법을 사용할 때는, 특정 이름과 주제 대신에 최대한 많이 사람들을 걸려들게 하기 위해서 보편적인 이름과 주소를 사용하는 수법을 이용했다.


SNS 등장은 해커들이 유명인을 비롯한 개인들의 사생활 정보에 쉽게 접근할 수 있게 해 준다. SNS은 평범한 사람들도 인터넷에 올려 여러 사람과 공유할 수 있게 했는데, 이러한 점이 악용되는 것이다. 이제 해커는 구글링만으로 개인이 SNS에 업데이트한 정보를 찾을 수 있다. 어느 학교를 졸업했는지, 직업은 무엇인지 그리고 어떤 사람과 친분을 맺고 있는지 등의 정보를 얻을 수 있다.


물론 모든 사람들이 해커의 공격대상이 되는 것은 아니다. 그러나 해커가 해킹할 동기가 있다면 이제 SNS 내에서 검색을 통해 얼마든지 정보를 가져갈 수 있다. 예전에는 개인화된 사회공학 해킹은 불가능했다. 정보를 찾는 것은 상당한 시간을 요구하기 때문이다. 그런데 이제 SNS로 인해 개인정보를 쉽게 찾을 수 있고 이에 맞는 사회공학 해킹이 가능하다.


처음으로 대기업이 e메일 거래사기 수법에 당했다. 그리고 이러한 사건은 사회공학 해킹의 고도화와 함께 늘어날 것으로 보인다. 완전히 막을 수 없지만 이런 피해를 가능한 한 억제하기 위해서는 대비책이 필요하다. SNS를 통한 사생활 노출을 최소화하는 것도 그런 대책 중 하나다.


 


유성민IT칼럼니스트

구독신청

AD
온라인 구독신청 지면 구독신청

중앙일보 핫 클릭

PHOTO & VIDEO

shpping&life

뉴스레터 보기

김민석의 Mr. 밀리터리 군사안보연구소

군사안보연구소는 중앙일보의 군사안보분야 전문 연구기관입니다.
군사안보연구소는 2016년 10월 1일 중앙일보 홈페이지 조인스(https://news.joins.com)에 문을 연 ‘김민석의 Mr. 밀리터리’(https://news.joins.com/mm)를 운영하며 디지털 환경에 특화된 군사ㆍ안보ㆍ무기에 관한 콘텐트를 만들고 있습니다.

연구소 사람들
김민석 소장 : kimseok@joongang.co.kr (02-751-5511)
국방연구원 전력발전연구부ㆍ군비통제센터를 거쳐 1994년 중앙일보에 입사한 국내 첫 군사전문기자다. 국방부를 출입한 뒤 최장수 국방부 대변인(2010~2016년)으로 활동했다. 현재는 군사안보전문기자 겸 논설위원으로 한반도 군사와 안보문제를 깊게 파헤치는 글을 쓰고 있다.

박용한 연구위원 : park.yonghan@joongang.co.kr (02-751-5516)
‘북한의 급변사태와 안정화 전략’을 주제로 북한학 박사를 받았다. 국방연구원 안보전략연구센터ㆍ군사기획연구센터와 고려대학교 아세아문제연구소 북한연구센터에서 군사ㆍ안보ㆍ북한을 연구했다. 2016년부터는 중앙일보에서 군사ㆍ안보 분야 취재를 한다.