해킹사회(2019.11.30.)
핸드폰 이메일 와이파이 사물인터넷 연결된 모든 것이 위험하다
찰스 아서 지음 유현재 김지연 옮김
미래의 창 2019년4월23일 초판 1쇄 발행
Chapter 1 소리 없는 전쟁의 서막
우리는 이 책에서 해킹 때문에 기업과 개인이 입은 피해, 그리고 해커들의 독창성과 투지에 대해 살펴볼 것이다.
Chapter 2 미국의 운명을 바꾼 해킹_힐러리 대선 캠프 이메일 피싱
누군가 당신의 비밀번호를 알고 있습니다
피싱인가, 도용인가
범인의 등장
10월의 서프라이즈
카운트다운
힐러리 대선캠프 이메일 피싱의 시사점
1)피싱이 어떻게 이루어지는지를 사전에 파악하고 있어야 한다.
2)대중들의 관심을 받는 사람이라면 개인 계정이든 업무 계정이든 간에, 모든 곳에 반드시 2단계 인증을 설정해야 한다.
3)휴대폰 문자 메시지 인증 시스템을 믿어서는 안 된다.
4)이메일 계정에 비밀번호를 적어 놓아서는 안 된다.
5)가능한 이메일은 사용하지 않는 편이 좋다.
6)당신이 유명해지기 시작한다면 언젠가는 내 이메일이 해킹 당하거나 그런 위협에 처할 수도 있다는 걸 인지하고 있어야 한다.
7)언론 매체나 소셜 미디어에서 다루는 주제는 스스로 확장되는 경향이 있다.
8)만약 이런 해킹 사건이 발생한다면, 어떤 부분이 가장 큰 타격을 입을 것인지 항상 염두에 둬야 한다.
Chapter 3 어나니머스에 당한 보안 회사_HB개리 공격
사이버 보안 업체 HB개리는 미국 정부 업무를 주로 담당할 만큼 업계에서 꽤 유명한 곳이었다. CEO였던 애론 바는 한 인터뷰를 통해 소셜 미디어 보안을 연구하는 과정에서 해킹 그룹 어나니머스 멤버들의 신상을 알아냈다고 밝혔다. 바는 단순히 연구 목적이었다고 주장했지만 곧 신상이 밝혀질 것을 두려워한 어나니머스의 표적이 된다.
어나니머스는 HB개리와 자매 회사인 HB개리 페더럴의 서버를 마비시키고 바의 모든 자료를 털어갔다. 소셜 미디어 계정은 물론, 이메일을 포함한 비공식 자료가 다량 유출되었다. 해커들은 SQL주입 공격과 사회공학 기법을 활용했다. SQL주입 공격은 마이크로소프트의 앤드루 플라토가 처음 발견했는데, 발견 당시에는 아무도 신경 쓰지 않았다. 여기에 사람과 사람 사이의 관계를 이용하는 사회공각 기법이 더해지자, 모든 자료를 빼앗기는 것은 순식간이었다.
어나니머스는 이 사건을 통해 아마추어에서 한 차원 더 성장하게 된다. 개인과 회사 차원에서 모두 큰 타격을 입은 바는 마치 발가벗겨진 기분으로 당시를 기억한다.
벌집을 들추지 말라
우연한 발견
악당들의 등장
재앙의 문이 열리다
위기에 대처하는 방법
후유증
HB개리 공격 사건의 시사점
1)해커들은 피해망상적이고 편집증 성향이 있는 경우가 많다.
2)비밀번호를 동일하게 설정하면 안 된다.
3)이메일 및 기타 시스템에서는 2단계 인증을 사용해야 한다.
4)시스템을 운영하는 직원들의 성향을 잘 파악해야 한다.
5)스팸 메일을 통해 비밀번호를 알아내려는 시도는 항상 있었다.
6) 당신의 이메일이 해킹 당할 가능성이 있으며, 그럴 경우 이메일의 모든 내용이 널리 퍼져나간다는 것을 기억하자.
7)해커들이 항상 악의가 있는 것은 아니지만 복수심에 불타오르고 있는 것만은 분명하다.
Chapter 4 극장의 불이 꺼지다_소니 와이퍼 해킹
2014년 11월 말 Hacked by #GOP 라는 경고문과 함께 전 세계 소니픽쳐스 네트워크가 일순간에 다운된다. 소니가 사건의 심각성을 인지하지 못하고 어영부영하는 사이, 해커들은 브래드 피트 주연의 영화 퓨리를 비롯한 미개봉작은 물론, 임직원의 신상 정보와 출연 배우에 대한 인종차별적 발언이 오간 이메일 내용까지 대중에게 공개했다.
소니 직원들은 자존심에 큰 상처를 입었고, 한동안 모든 업무를 수작업으로 처리해야 했다. 당시 소니는 북한의 김정은을 코믹하게 풍자한 영화 디 인터뷰의 개봉을 앞두고 있었다. 해킹이 누구의 소행인지는 아직도 정확히 밝혀지지 않았지만, 여러 조사기관에서는 북한을 배후로 지목했다. 물론 북한은 부인했다.
이메일이 도착했습니다
모든 것이 공개되다
그들만의 왕국
배후는 북한?
수입 추락
정산의 시간
소니 와이퍼 해킹의 시사점
1)국가를 위해 활동하는 해커들도 다른 사람들처럼 뉴스를 보고 있다.
2)자신이 그런 해커들의 표적이 될 수도 있다고 생각이 들면 즉각 정부와 긴밀히 연락을 취하라.
3)하지만 정부가 해킹을 막기 위해 개입할 것이라는 기대는 하지 않는 게 좋다.
4)회사 시스템이 언제라도 무너질 수 있다는 가능성 아래 비상계획을 준비하고 훈련해야 한다.
5)이런 비상 계획은 다른 곳에 있는 백업 시스템이 동시에 피해를 볼 수 있다는 것을 염두에 둔 것이어야 한다.
6)비상 상황이 발생할 경우, 가장 중요한 것은 조직 구성원의 행동과 그들의 동기 부여다.
7)신문의 헤드라인에 실리거나 전 세계 웹사이트에 회자될 만한 정보는 이메일을 통해 주고 받지 말아야 한다.
8)조직의 하부에서 올라는 목소리를 경청하라
9)여러 사람이 쉽게 접근할 수 있는 파일 하나에 암호를 모아놓지 말아야 한다.
Chapter 5 쇼핑몰에서 생긴 일_TJX와이파이 해킹
2007년1월, 미국의 대형 의류 체인 TJX는 알 수 없는 컴퓨터 시스템 공격으로 고객 정보가 유출되었다고 발표한다. TJX이용 고객의 결제 카드 데이터를 포함한 최소 약 9,400만 건의 개인정보가 도난당했다. 여기에는 사회보장번호와 운전면허번호 등 매우 민감한 정보까지 들어 있었다.
TJX의 자회사인 마살스 매장의 와이파이 네트워크 보안이 취약했던 것이다. TJX는 피해 사실을 뒤늦게 알아차리고 조치했으나, 결국 약 400억 원 이상을 고객에게 보상해야 했다. 물론 정보가 유출된 고객이 입었을 것으로 추산되는 직, 간접적인 피해는 이보다 훨씬 더 컸다.
주동자 앨버트 곤살레는 일찍부터 컴퓨터에 관심이 많아 14살에 나사를 해킹하가도 했다. 그는 보안 컨설턴트로 일하며 뒤로는 은밀히 해킹을 저질렀다. 첫 체포 이후 그는 당국이 다른 해커들을 검거할 수 있도록 도왔다. 하지만 결국 다시 범죄의 늪에 빠졌고, 2009년 TJX해킹 혐의로 징역 20년 형을 선고받아 복역중이다. 이는 당시 미국 내에서 해킹이나 신원 도용에 내렸던 처벌 중 가장 무거운 축에 속한다.
의심스러운 보안
업그레이드 중단
용의자의 세계
컴퓨터와 맞서다
마이애미 한탕
실마리를 찾다
전문가의 한계
TJX와이파이 해킹의 시사점
1)신기술을 도입하기 전에 그 기술의 보안 방법을 철저히 연구해야 한다.
2)만약 지금 운용하고 있는 시스템에서 결함을 발견했다면, 망설이지 말고 시스템을 멈춰야 한다.
3)컴퓨터에 보안 모니터링 시스템을 설치해야 한다.
4)재정 보안에 필요한 사항은 미루지 말고 바로바로 지킬 수 있도록 하라.
5)데이터 유출의 첫 번째 징조는 바로 고객 정보나 재무 정보가 다크 포럼에서 거래되고 있다는 사실이다.
6)해킹에 당하는 것은 어떻게 보면 기업의 숙명이지만 이에 어떻게 반응하는지가 나중에 고객들이 그 기업을 어떻게 바라보는지를 결정한다.
7)재무 정보를 노리는 해커들을 절대 과소평가하면 안 된다.
Chapter 6 사이버 인질극의 시작_랜섬웨어
1989년, 아직 모든 컴퓨터가 MS-DOS운영체제를 사용하던 시절, 조지프포프는 기존과 다른 창의적인 해킹 아이디어를 떠올린다, 바로 정보를 인질로 삼아 돈을 요구하는 것이었다. 포프는 에이즈 예방 정보로 위장한 플로피디스크에 멀웨어를 담았고, 이를 실행시킨 컴퓨터의 데이터를 담보로 돈을 요구했다.바로 최초의 랜섬웨어였다.
그로부터 6년 후, 암호학자 모티 융과 그의 제자는 학회에 바이러스 암호학이라는 개념을 발표했다. 데이터를 지키기 위한 암호화 방식을 역으로 이용함으로써 강력한 공격 도구가 되는 내용이었다. 이 기술을 조금 보완하고 거기에 추적이 되지 않는 암호화폐를 지불수단으로 적용하면서 랜섬웨어는 날개를 달았다. 해커들은 결함이 있는 프로그램을 찾아 적극적으로 멀웨어를 퍼뜨리고 비트코인을 요구했다.
랜섬웨어 중 가장 악명이 높았던 것은 하루도 되지 않는 시간 동안 전 세계 컴퓨터 23만 대를 감염시켰던 워너크라이였다. 보안 패치를 제때 하지 않았거나, 백업 시스템을 갖추지 않았던 여러 기관이 피해를 보았다. 랜섬웨어는 지금도 수없이 많은 변종이 등장하는 새로운 무기가 되었다.
에일리언을 닮은 랜섬웨어
암호화폐의 발견
은밀한 공간
늘어가는 함정과 불안
발 빠른 대응
울고 싶어라
고치고 교육하라
진화한 전쟁 무기
랜섬웨어 사건의 시사점
1)랜섬웨어 변종 버전의 수가 놀라운 속도로 증가하고 있다.
2)첫 번째 방어는 장비다.
3)두 번째 방어는 사용자에 대한 교육이다.
4)세 번째 방어는 바로 백업이다.
5)만약 랜섬웨어에 당한다면 몸값을 지불해야 할지 고민할 수밖에 없다.
6)사람들의 생명를 다루는 일과 밀접한 연관이 있는 시스템을 운영하고 있다면 랜섬웨어의 영향을 받지 않은 대안을 찾아야 한다.
7)상업용 백신 소프트웨어라고 해도 모든 형태의 랜섬웨어를 막을 수는 없다.
Chapter 7 아웃소싱된 개인정보_토크토크 고객 정보 유출
인터넷이 널리 보급되기 시작할 무렵, 영국 인터넷 서비스 공급 업체들의 각축전은 치열했다. 투자비를 회수하기 위한 고객 쟁탈전이 벌어졌고, 광대역 시장이 열리면서 업체들은 나타났다가 사라지기를 반복했다. 그중 토크토크는 규모가 더 작았던 티스칼리를 합병하며 시장 점유율을 높인다.
합병과 함께 토크토크는 자사 콜센터 업무를 와이프로라는 인도 회사에 아웃소싱하기 시작했다. 비용을 줄이려는 조치였지만, 사실상 고객의 개인 정보를 타사와 공유한 것이나 마찬가지였다. 당시 인도 콜센터를 통한 사기 행각은 심각한 수준이었고, 그 피해자도 수만 명에 달했다. 사기꾼들은 토크토크 고객의 주요 신상 정보와 계약 정보를 모두 알고 있었고, 이를 근거로 신뢰를 얻은 후 돈을 갈취했다.
토크토크가 고객 유치를 위해 제공했던 도메인 사이트 역시 16세 해커에게 해킹을 당해 수많은 고객 정보가 유출되었다. 하지만 정작 토크토크가 고객에게 배상한 금액은 터무니없는 수준이었고 이 사건으로 통신사를 이탈한 고객 역시 예상보다 적어서, 결국 피해를 본 것은 이용자들뿐이었다.
불황과 시너지
아웃소싱, 그리고 방심
16세 해커
단지 4%라는 결론
위험을 과소평가하다
징벌과 보상
토크토크 고객 정보 유출 사건의 시사점
1)다른 회사와 합병한다는 말은 그 회사의 모든 취약점도 함께 가져온다는 것과 같다.
2)기존 시스템에는 수년간 간과된 결함들이 숨어 있을 가능성이 있다.
3)만약 콜센터를 외주로 두고 있다면 회사 중요 정보가 외부에 쉽게 노출되는 환경을 만들어 준 것과 같다.
4)2018년부터 영국과 유럽에서는 개인정보 유출에 대해 벌금을 부과하는 사례가 급격하게 증가하고 있으며 그 규모는 2,000만 유로에 달한다.
5)데이터 유출 사건이 발생했다고 할지라도 고객들은 나름의 이유로 자신들이 사용하던 서비스를 바로 변경하진 않는다.
6)내부의 빅데이터가 침해당했을 경우를 가정해 비상 계획을 수립해 놓아야 한다.
7)데이터가 인질로 잡혀 있다고 해도 돈을 송금해서는 안 된다.
8)사건을 다루면서, 연루된 사람이 나아가 어리다고 과소평가해서는 안 된다.
Chapter 8 미래에서 온 공격자, 미라이_사물인터넷 봇넷
2016년9월, 그간 볼 수 없었던 강력한 디도스 공격이 발생한다. 엄청난 규모의 트래픽 공격이 집중되어 피해 사이트와 서버는 마비되었다. 이 유례없는 디도스 공격은 이제까지 컴퓨터로 인지되지 않았던 사물인터넷 기기들의 소행이었다. 누군가 거대한 봇넷을 활용해 이 기기들을 조종한 것이다. 미라이 봇넷이었다.
사물인터넷 기기 역시 소프트웨어와 운영체제로 동작하기 때문에 필연적으로 결함이 있을 수 밖에 없다. 하지만 생산 업체의 비용 문제로 보안은 경시되기 일쑤였고, 그 피해는 고스란히 사물인터넷 기기 이용자들이 감당해야 했다. 24시간 인터넷에 연결되어 있으면서도 그다지 ㅋ큰 동력이 필요하징 낳은 사물인터넷 기기는 디도스 공격 무기로 아주 적합했다.
봇넷들은 서로 먹고 먹히며 싸움을 이어나갔다. 미라이의 조종자, 일명 안나 센파이는 수사망이 좁혀오자 미라이의 모든 코드를 공개하고 자취를 감췄다. 지금도 이런 노트북, 프린터, 가정용 웨캠 등 우리 삶의 일부분이 된 기기를 이용한 공격은 계속 이루어지고 있다.
블로거 크랩스
미라이의 역사
작은 기기가 모여 거대한 봇넷으로
이 기기의 비밀번호는 Password입니다
봇넷의 주인
몬스터의 창궐
지목과 부인
어두운 미래
이상 기후
사물인터넷 본셋 등장의 시사점
1)사물인터넷 비즈니스 모델은 보안 측면에서 매우 불안정하다.
2)처음 사물인터넷 기기를 구입했다면 최초 버전은 보안에 상당히 취약할 가능성이 높다.
3)제품을 설치하기 전, 기기의 네트워크 트래픽을 확인할 수 있게 항상 모니터링을 해야 한다.
4)이용자로서 보안 업데이트를 계속 요구해야 한다.
5)현재 사물인터넷 기기를 위협하는 가장 큰 요소는 바로 봇넷이다.
6)사물인터넷 환경이 성장하고 있지만 다수의 전문가는 이것이 우리에게 심각한 위협이 될 수 있다고 이야기한다.
7)여러 지역과 시스템에서 피드백을 받을 수 있기 때문에, 이런 사물인터넷을 활용한 비즈니스의 이점은 아주 크다.
Chapter 9 해킹의 현재와 미래
버그를 이용하는 사람들
변화의 틈에 도사린 위험
나도 모르게 작동하는 기계
시스템의 한계와 예측 불가능성
아직까진 그렇게 스마트하지 않아서
스스로 보호하고 살아남기
옮긴이의 말
주