“dab39cd344d83e707953efad70cbb73b6f0744b458c8e428de4dcd5cf4527f3e”

업비트 해킹 사고가 난 다음날 이런 메시지가 트위터에 돌아다녔다. 올해 1월 트윗한 것을 다시 올린 것이었다. 암호를 해석하면 이렇다.



“업비트가 스피어피싱(spearphishing)으로 암호키를 탈취 당한다. 서버에 침입한 해커는 핫 월렛(hot wallet)을 노린다.”

마치 해킹을 예언한 것 같다. 그렇다면 이 자가 범인?

“보안 기술이 방패라면 해킹은 창이죠. 창과 방패의 싸움에서 100% 승부는 없다고 봐야 합니다.”

블록체인 보안 전문 업체 수호(SOOHO)의 박지수 대표는 “암호화폐 거래소들이 보안에 신경을 쓰고 있지만 공격자의 침투를 완벽하게 틀어 막는다고 단언할 수 없다”고 말했다.

기존 은행, 증권사, 카드사도 해킹을 당한다. 블록체인 기술로 탄생한 암호화폐. 그런 암호화폐를 다루는 거래소는 해킹 사고가 났다하면 천문학적인 금액을 도둑 맞는다.

해커들이 거래소를 노리는 이유는 노력 대비 수익(?)이 높기 때문이다. 한마디로 가성비가 좋다. 과거에는 신용카드나 페이팔 등 간편결제 정보를 해킹했다. 이것으로 온라인 물품을 구매해서 에어비앤비로 빌린 집 주소로 배달을 시키고, 그 물건을 다시 블랙마켓에 팔아 현금화했다.

암호화폐를 탈취하면 곧바로 현금화가 가능하다. 해커들이 노리기 딱 좋은 먹잇감이다. 거래소라고 가만히 당하지는 않는다. 보안 시스템을 강화하고, 위기 대응 매뉴얼도 만들었다.

창과 방패의 싸움이 시작된 것이다.

업비트 사고를 예언한 트윗의 정체를 파헤치기 전에 해킹의 일반적인 기법을 살펴볼 필요가 있다. 해커들은 철통 같은 보안 시스템을 어떻게 뚫을까.

IT 서비스 업체 대표인 K는 어느 날 메일 한 통을 받았다. 암 연구 모금 캠페인에 참여하라는 내용이었다. K는 사촌이 암 투병 중이었기 때문에 회사 차원에서도 비슷한 행사에 기부금을 낸 적이 있다. 모금 행사의 재미를 위해 기부자 중에서 몇 명에게는 추첨을 통해 프로야구 티켓 또는 유명 레스토랑 쿠폰을 증정한다는 내용도 있었다. 자신이 응원하는 야구팀이고, 또 자신이 가장 좋아하는 식당이었다. 모금의 취지도 좋고, 경품도 있다고 하니 큰 의심 없이 기부금액을 적어 답신 메일을 보냈다. 얼마 후 K는 자신이 모금 캠페인 경품에 당첨됐다는 메일을 받았다. 확장자가 pdf인 첨부 파일을 열어서 티켓을 수령하라는 내용이었다. K는 기분 좋게 파일을 확인했다.

그것으로 끝. 이 회사의 메인 서버는 해커에게 점령 당했고, 주요 정보를 탈취 당했다. K가 열어본 메일에는 악성 코드가 숨겨져 있었다. 해커는 K가 암 관련 기부에 관심이 있고, 가족 중 누군가가 암 투병 중이며, 응원하는 야구팀과 좋아하는 레스토랑을 어떻게 알았을까?

위 내용은 크리스토퍼 해드네기가 쓴 <사회공학과 휴먼 해킹>이라는 책에 소개된 실제 사례를 각색한 것이다.

해커는 무작정 시스템을 공격하지 않는다. 시스템은 나름의 방어 체계가 있고, 이것을 뚫기 위해서는 많은 시간과 노력이 들어간다. 해커는 시스템이 아니라 그 시스템을 관리하는 사람을 노린다.

해커는 우선 대상 회사와 K에 대한 정보를 수집했다. K가 회사를 대표해서 암 기부금을 전달하고 웃고 있는 사진이 실린 기사를 봤다. 이런 기부금 전달이 3년째 계속됐다. 해커는 해당 회사의 홍보부서에 전화를 걸어 소아암 모금 행사에 참여해 줄 것을 부탁하며 “K대표가 암 연구에 관심이 많으신 것 같다”고 물었다. 담당자는 미담이 널리 퍼지기를 기대하면서 친절하게도(?) “친지 한 분이 암 투병 중”이라는 정보를 알려줬다. 해커는 암 모금 행사를 내용으로 하는 스토리를 짜기로 했다. K의 SNS, 블로그를 뒤져보니 특정 야구팀 응원 글을 많이 썼다. 기념일에는 항상 레스토랑에 가서 식사를 한다는 것도 알아냈다. 이런 사전 정보를 바탕으로 문제의 메일 스토리를 구성했다.

회사의 보안 규정에는 외부에서 온 메일은 첨부 파일을 열기 전 반드시 악성 코드 검사를 해야 했다. 해커는 K대표가 이런 규정을 무시하고, 기쁜 마음으로, 서둘러 파일을 열어볼 수 있도록 함정을 판 것이었다. 수 억 짜리 보안 시스템이 무력화되는 순간이다.

해커들은 컴퓨터 기술만큼이나 사람의 약한 지점을 파고드는데 능수능란하다. 이를 사회 공학(Social Engineering)이라고 부른다. 사람이기 때문에 모르는 사람에게 K대표 가족의 암 투병 사실을 알려주고, 사람이기 때문에 로또에 당첨된 듯이 첨부 파일을 연다. 해커는 그 점을 노렸다.

사회 공학이 기술과 연결되면 무서운 파괴력을 지닌다.

아래 두 개의 암호화폐 거래소 사이트가 있다. 러시아 소재 요빗이라는 거래소다. 눈으로는 주소에서 차이점을 발견하기 어렵다. 양쪽 다 똑 같은 홈페이지 화면이 뜬다.

그런데 하나는 진짜 주소이고, 다른 하나는 해커가 만든 가짜다. “yobit” 단어 중 알파벳 i를 잘 보시라. 아래 i는 헝가리어, 체코어, 아이슬란드어의 열두번째 글자로 머리 부분이 약간 기울어져 있다.

요빗 거래소 이용자가 있다. 거래소에서 수수료 할인 행사 메일이 왔다. 얼핏 링크를 보니 거래소 주소가 맞았다. 사이트에 접속해 할인 행사에 응모했다. 들어온 김에 아이디, 비밀번호를 넣고 지갑도 확인했다. 해커는 가짜 사이트에 접속한 이 고객의 지갑 주소, 비밀 번호 등 주요 정보를 입수할 수 있었다. 평소 이용하던 거래소에서 온 행사 메일에 링크 돼 있는 주소를 꼼꼼히 보는 사람이 있을까. 해커는 이점을 노려 사이트에 접속하기만 해도 정보를 뽑아가는 악성 코드를 심어둔 것이다. 러시아 요빗 거래소는 시리즈 3편에서 다룰 코인베네 거래소 해킹 사건에 다시 등장한다.

해킹에 고도의 컴퓨터 기술이 필요할까? 반드시 그런 것은 아니다. 1990년대 명성을 날린 해커 케빈 미트닉은 인터넷도 잘 알았지만, 인간 심리를 꿰뚫어보는 재주가 있었다. 그는 전화 몇 통화만으로 상대를 속여 미국 정부의 사회보장시스템을 해킹했다.

지금도 구글링 몇 번으로 해킹 소프트웨어를 받을 수 있고, 해킹 기법도 공부할 수 있다. 공격 대상의 개인 정보를 찾을 때 구글이면 충분하다. 검색창에 다음과 같은 명령어를 입력해봤다.

청와대 공식 홈페이지 내에서 확장자가 pdf인 문서를 찾아내라는 명령이다. 찾아낸 문서들은 모두 공개된 정보이나, 해킹 공격에 악용될 수 있다. 청와대 공식 행사 일정을 이용한 가짜 메일이 실제로 돌아다닌 사례가 있다.

기업이나 조직, 공공기관에 어떤 사람들이 근무하고 있고, 이메일 주소가 무엇인지 검색으로 얼마든지 알아낼 수 있다. 인터넷이 열린 사회를 지향하고, 각종 정보가 네트워크 상에 공개돼 있기 때문에 가능한 일이다.

해킹에 동원되는 보조 프로그램도 흔하다. 대표적인 것이 말테고(Maltego)다. 말테고 홈페이지에 접속하면 누구나 다운로드를 받아, 유튜브에서 사용법을 배울 수 있다.

공격 대상과 주요 인물이 연결된 이메일 도메인 등을 말테고에 넣으면 연결되는 도메인 주소가 나오고, 이를 따라가면 해당 인물에 대한 정보를 수집할 수 있다. 앞 사례에서 K대표가 좋아하는 식당, 음식, 가족 관계, 좋아하는 스포츠 팀 등의 정보도 이런 방식으로 얻은 것이다.

악성코드를 품고 있는 실행 파일을 만드는 것도 간단하다. 첨부 파일 확장자가 .exe 이면 클릭이 꺼려진다. 실제로는 .exe인데 .doc .txt .pdf로 얼마든지 위장할 수 있다. 파일을 저장할 때 공백(space) 키를 여러 번 누르면 된다. 얼핏 보면 .txt만 보이고 뒤에 .exe는 긴 공백 때문에 나타나지 않는다.

우리의 삶은 인터넷, SNS, 스마트폰 등 보이지 않는 거대한 네트워크 속에서 하나의 점이다. 이 점이 어디로 연결되고, 그 연결점이 또 어디로 이어지는 지 해커들은 마음만 먹으면 알아낼 수 있다. 네트워크가 열린 구조를 지향하는 한 이는 피할 수 없는 운명이다.

“급한 일이니 서둘러 첨부 파일을 보고 검토해 달라”는 동료의 이메일 속에 해커가 심어 놓은 악성 코드가 있다. 일상적인 대화를 나누는 SNS와 신변잡기를 올리는 블로그에도 해커들의 검은 손길이 닿아 있다.

해커들은 회사 내의 소통 매커니즘도 이용한다. 상급자가 메일로 업무 지시를 했다. 내용이 이상하다. “상무님 지시하신 것이 맞나요?“라며 되묻기는 쉽지 않다. 긴급한 일이라면 더욱 그렇다. 나중에 그 메일이 가짜였음이 판명 나는 경우도 있다. 통상 상사들은 메일 끝에 ‘수고하세요’라고 쓴다. 분명 상사가 보낸 메일인데 ‘감사합니다’로 끝났다면? 의심스럽지 않은가.

각종 행사, 밋업에서 명함을 주고 받는다. 명함에는 전화번호, 이메일이 있다. 실무 직원의 명함 몇 장으로 회사의 이메일 생성 원리를 알아내기도 한다. ‘이름.성@회사’ 또는 ‘이름_성@회사’ 형식인지를 보고, 대표이사의 이메일을 유추한다. 대표가 “지금 출장 중인데 너무 급하니 링크를 보고 의견을 달라”고 메일을 보내왔다면 그 부하는 아무 의심 없이 클릭을 할 것이다. 해커가 대표이사와 일면식이 없어도, 명함이 없어도 그를 사칭해서 시스템에 침투할 방법은 얼마든지 있다.

열린 사회, 열린 조직에서 해커는 사람들의 심리적 약점을 이용한다. 보안 시스템이 아무리 잘 돼 있어도 이런 구멍을 막기는 참으로 어렵다.

암호화폐 거래소는 블록체인 기술로 만든 암호화폐를 취급하기 때문에 여기서 오는 구조적인 취약성도 있다. 바로 암호키다. 다음 편에서는 암호키를 둘러싼 창과 방패의 대결을 살펴보겠다.
/James Jung기자 jms@decenter.kr

정명수 기자

jms@decenter.kr