드라마 속에 등장하는 해킹 수법 허구아닌 실제 수법, 주의 필요
APT·스피어피싱·비설치형 악성코드 등 일상 노리는 사이버위협 증가
맞춤형 공격으로 성공할 때까지 끈질기게 시도…보안 일상화 필요
[서울=뉴시스]송종호 기자 = # “형 말대로 자소서 다시 썼어 함 봐줘.” 온라인 쇼핑몰 라온의 데이터베이스(DB)를 관리하는 최진표 팀장은 동생이 보낸 메일 한 통을 받았다. 그러나 첨부된 문서 파일은 백지 상태였다. 최 팀장은 퇴근길 동생과의 통화에서 “메일을 보낸적 없다”는 동생의 말에 뭔가 잘못됐음을 직감한다. 그는 허겁지겁 사무실로 복귀해 이렇게 말한다. “당한 것 같습니다. 스피어피싱이요.” 전 국민의 80%가 사용하는 온라인 쇼핑몰 라온에서 개인정보가 유출된 사건의 전말이다.
# 라온 개인정보 유출사건 공판 첫날. 원고 측 변호를 맡은 최승준 변호사는 라온을 공격한 해킹 수법을 장황하게 설명한다. 그가 스피어 피싱에 이어 지능형 지속 공격(APT)을 설명하려는 순간 판사가 제지한다. 판사는 “친절한 설명은 감사하지만 여기 원고, 피고, 판사들 모두 APT 공격이 뭔지 안다”라고 말한다. 정보기술(IT)업계 종사자가 아니더라도 알만큼 일반적인 해킹 공격 수법이라는 의미다.
최근 인기리에 종영한 드라마 ‘이상한 변호사 우영우’ 마지막 회차에 소개된 에피소드들이다. 실제 사건을 소재로 다뤘는데 드라마에 등장한 스피어피싱, APT, 키로깅, 문서파일에 숨긴 악성코드 등 사이버 공격 용어가 다소 낯설다. 하지만 이들 사이버 공격은 실제 해킹에 비일비재하게 활용되는 기법들이라는 게 보안 전문가들의 전언이다.
◆맞춤형 공격으로 당신을 속인다, 스피어 피싱
우선 드라마 속 라온의 개인정보유출은 스피어 피싱으로 시작됐다. 스피어피싱은 최근 해커들이 자주 이용하는 수법이다. 작살을 뜻하는 영단어 Spear에서 유래된 이름처럼, 표적으로 삼은 특정 개인이나 기관에 최적화한 공격 수법을 말한다. 즉, 불특정 다수에게 악성코드를 심은 메일을 배포하는 것이 아니라 겨냥한 목표물에 맞춤형 공격을 하는 것이다.
최근에도 정부기관을 사칭한 스피어피싱이 기승을 부리고 있다. 지난 3월 통일부 공무원으로 위장해 대통령직인수위원회 외교·안보분야 위원들에게 악성코드가 담긴 메일을 유포한 사례가 있었다.
앞서 2019년에는 주요 가상자산 거래소 회원들을 대상으로 이벤트에 당첨된 것처럼 위장한 메일을 보낸 스피어 피싱이 발견되기도 했다. 보안업계에 따르면 최근에는 경제나 외교·안보 분야 자문을 구한다며 학계나 민간기업 등이 전문가들을 노리는 스피어피싱이 늘고 있다. 해커들은 이 때 실제 존재하는 방송 프로그램 작가의 이름으로 메일을 보내는 등 치밀한 전략을 펼친다.
◆의심스런 첨부파일 클릭 금지…문서파일에 숨은 악성코드
최 팀장 동생이 보낸 것으로 위장한 메일 속에는 악성코드가 숨겨져 있었다. 해커는 이 악성코드를 설치형 파일이 아닌 문서 파일에 숨겨뒀다. 대부분의 사람이 exe와 같은 설치형 파일은 의심을 할테지만 doc와 같은 문서 파일은 의심하지 않는다는 점을 악용한 것이다. 극 중에서 정보기술(IT) 전문가로 나오는 최 팀장도 걸려들 수밖에 없던 교묘한 수법이다.
최 팀장의 상사마저 “설치파일인 EXE였으면 의심했을 것”이라며 “문서 파일인 doc는 백신에도 걸리지 않는다”라고 한탄했다. 실제로 최근 악성코드는 doc, pdf, hwp, xls등의 문서파일, .zip 등 압축 파일과 같은 비설치형 파일에 숨겨진 공격이 이뤄진다.
◆타깃에 대한 집요하고 끈질긴 공격, APT
드라마 속 최 변호사는 법정에서 라온이 APT 공격을 당했다고 항변한다. 목표물이 걸려들 때까지 계속되는 APT 특성상 막아내는 것은 사실상 어렵다는 것이 그의 주장이다.
실제로 APT공격을 계획한 해커는 표적으로 삼은 개인이나 기관의 거의 모든 것을 파악한다. 이후 표적과 관련된 인물이나 기관을 사칭해 악성코드를 심은 메일이나 첨부파일을 보낸다.
드라마 속에서도 해커는 최 팀장과 동생의 이메일을 해킹해 동생 말투까지 파악했다. 이 과정을 거쳐 악성코드를 심은 메일을 보내고, 최 팀장을 감쪽같이 속였던 것. 드라마 밖 현실 세계에서도 APT는 가족이나 거래처 등 표적과 밀접한 관계를 맺고는 사람이나 기관 속으로 은밀하게 숨어든다.
APT 공격이 가능한 이유는 해커가 공격이 성공할 때까지 끈질기게 시도하기 때문이다. 글로벌 보안업체 파이어아이에 따르면 APT 공격이 발견되는 데 평균 86일이 걸린다. 즉, 이 기간 해커는 표적에 접근할 수 있을 때까지 잠복해 있는 것이다.
◆키로깅, 키보드에 입력한 정보가 줄줄 새나간다
해커가 라온에 심은 악성코드에는 키로거도 있었다. 키로깅은 사용자가 키보드를 통해 입력한 내용을 몰래 가로채는 해킹 수법이다. 지난 2013년 12월 페이스북, 구글, 트위터 등에서 사용자 아이디와 비밀번호 200만건이 유출된 것도 키로깅에 의한 것으로 드러났다.
라온의 최 팀장도 키로깅에 의해서 아이디와 비밀번호를 탈취당했다. 키로깅은 아이디와 비밀번호만 탈취하는 것이 아니다. 사적으로 주고받은 메신저 대화, 회사 메일 등 키보드로 입력한 모든 정보를 탈취할 수 있다.
전문가들은 우영우 속 해킹 수법이 일상에 만연해 있다며 주의를 당부했다.
박태환 안랩 사이버시큐리티대응센터 대응팀장은 “최근 키로깅 악성코드는 단독형보다는 RAT(Remote Access Trojan)로 불리는 원격제어도구 악성코드에 하나의 기능으로 포함된 경우가 많다”며 “키로깅과 합쳐진 RAT는 현재도 피싱메일, 파일공유사이트 등으로 활발히 유포되고 있어 드라마 내용처럼 계정정보 유출 등의 피해로 이어질 수 있는 만큼 기업 및 기관의 각별한 주의가 필요하다”고 말했다.
심형진 잉카인터넷 개발그룹 리더는 “드라마만이 아니라 실제 키로깅 공격은 민감개인정보를 비롯해 막대한 금전적인 피해를 야기하고 있다”라며 “관리자와 정보에 접근하는 이용자 모두 백신 설치를 의무화하고 주기적인 업데이트를 생활화하는 조치만으로도 위험성을 낮출 수 있다”라고 강조했다.
◎공감언론 뉴시스 song@newsis.com