md.sj · 2017. 8. 10. 23:13 Economy & Life/IT.테크.과학 ·

피싱, 스피어피싱, 악성코드

IT기사, 너무 어려운가요? 핀테크, O2O, SaaS… 도대체 무슨 말인지 모르시겠다고요? <블로터>가 설명해드리겠습니다. IT기사 읽다가 도저히 이해가 안 되는 기사가 있다면 <블로터>에 제보해주세요. 기자가 직접 읽고 풀어서 설명해드리겠습니다. 여기(nuribit@bloter.net)로 기사 웹주소(URL)와 질문을 함께 보내주세요.

보안사고가 잇따라 터지는 요즘입니다. 기사를 읽긴 하는데 너무 어렵습니다. 스피어피싱, APT, 멀웨어… 알아듣기 힘든 용어를 한두 문장으로 설명하긴 하는데, 읽어도 도저히 무슨 뜻인지 모르겠습니다.

지난 2월26일 SK가 보안 담당기자를 서울 중구 SK선린빌딩으로 불러모아 현안 설명회를 열었습니다. 이 자리에서 김용철 SK인포섹 관제솔루션사업팀 팀장은 헷갈리기 쉬운 각종 해킹 용어를 일일히 짚어가며 설명했습니다. 저도 그동안 개념을 섞어 쓰기도 했더군요. 이날 들었던 이야기를 재가공해 독자님께 공유합니다.

해커가 무한상사를 노린다면

시나리오를 써봅니다. ‘무한상사’에서 기밀정보를 빼돌리고 싶은 악성 해커가 있다고 칩시다. 가장 먼저 누굴 해킹할지 정해야겠죠. 가장 쉬운 방법은 공개된 e메일 주소를 모으는 겁니다. 보통 회사 홈페이지 주소를 e메일 주소로 쓰죠. 해커는 무한상사 직원 e메일을 모은 뒤 ‘협조공문’이라는 그럴싸한 제목으로 e메일을 보냅니다. 그 안에 악성코드를 심은 첨부파일을 붙여서요.

보안의식이 허술한 하하 사원이 별 의심 없이 첨부파일을 열어봅니다. 특별한 내용 없는 문서파일임을 확인한 하 사원은 “뭐야~”하면서 문서파일을 닫습니다. 이 순간 하 사원 컴퓨터에는 악성코드가 깔렸습니다.

해커는 악성코드를 통해 하 사원 컴퓨터를 낱낱이 뒤집니다. 사원급이라 별 중요한 정보가 없군요. 해커는 하 사원의 업무 메신저와 e메일 주소록을 뒤져서 유재석 부장이 무한상사의 핵심 인력임을 파악합니다. 이제는 유 부장을 집중 공략합니다. 스피어피싱이 시작되는 겁니다.

마침 하 사원은 유 부장의 오른팔입니다. 하 사원은 유 부장에게 자주 업무보고 e메일을 보냅니다. 해커는 e메일주소를 하 사원 것으로 바꿔치기해 유 부장에게 e메일을 쏩니다. 의심 받지 않게 평소 둘 사이 관계를 암시하면서요. ‘부장님, 요청하신 프로젝트 관련 자료입니다. 사랑합니다❤︎’ 유 부장은 멋쩍게 웃으며 의심 없이 첨부파일을 엽니다. 이제 유 부장 컴퓨터는 해커 손아귀에 들어왔습니다.

해커가 무한상사 핵심 인사인 유 부장 컴퓨터에 침투해 중요한 정보를 빼돌리기까지 온갖 수단을 동원했습니다. 여기에 각종 보안용어가 녹아들어 있습니다.

해커의 낚시질, 피싱

‘피싱'(phishing)은 일명 낚시질입니다. e메일이나 메신저로 믿을 수 있는 사람인 것처럼 속여 아이디나 비밀번호 등 중요한 정보를 빼돌리려는 해킹 수법이죠. 아까 무한상사 직원에게 악성코드를 숨긴 e메일을 무작위로 보냈죠? 이걸 피싱이라고 합니다.

피싱을 e메일 대신 문자메시지(SMS)로 하면 ‘스미싱'(Smishing)이라고 부릅니다. 문자메시지 피싱이죠.

피싱과 스미싱은 스팸메일과 다릅니다. 스팸메일은 불특정 다수에게 보내는 광고성 메일이나 메시지입니다. 인터넷으로 뿌리는 광고전단지랄까요. 스팸메일은 보낸 사람은 정보를 빼가려는 의도는 없습니다. 반면 피싱과 스미싱에는 정보를 빼돌리려는 흑심이 숨어 있습니다. e메일이나 문자메시지는 겉보기일 뿐, 그 뒤에는 더 거대한 음모가 숨어 있는 거죠.

피싱이나 스미싱 공격이 한층 정밀해지면 ‘스피어피싱'(spear-phishing)이라고 부릅니다.

해킹계 정밀유도탄, 스피어피싱

스피어피싱. 해킹계의 정밀유도탄이라고 보시면 되겠습니다. 한 개인이나 조직을 집요하게 노리는 피싱 공격을 스피어피싱이라고 합니다. 날카로운 창 끝으로 타깃을 ‘콕’ 찌른다고 해서 스피어피싱이라는 이름이 붙었죠.

하하 사원을 해킹해 얻은 정보로 유재석 부장을 공격한 수법이 스피어피싱입니다. 김용철 SK인포섹 부장은 지난해 말 사회를 들었다 놨던 한국수력원자력(한수원) 해킹도 스피어피싱 기법을 썼다고 설명했습니다.

사회공학 공격

스피어피싱 얘기가 나올 때 빠지지 않는 게 사회공학(social engineering) 기법입니다. 해킹 양상이 달라진 점을 보여주는 용어지요.

회사 기밀정보를 빼돌린다고 치죠. 예전에는 이리저리 보안 시스템 허점을 파고 들어 단박에 자료를 빼돌리는 경우가 많았습니다. ‘한방에 팍~’ 털어갔죠.

요즘은 달라졌답니다. 보안기술이 발전해서 웬만한 노력으로는 회사 벽을 넘기 힘들어졌기 때문에 어느 벽을 넘을지 고르고, 누구를 공격할지 결정하는데도 심혈을 기울입니다. 스피어피싱이 대두한 이유입니다.

회사 벽을 타고 넘으면 최대한 가치 있는 정보를 빼돌려야겠지요. 그래서 섣불리 마구잡이로 정보를 빼오지 않습니다. 애먼 거 빼돌리다 걸리면 꽝이니까요.

담을 넘으면 마치 그 회사 직원처럼 위장합니다. 직원 행세하며 녹아들어 정보를 수집합니다. 누가 중요한 정보를 주로 다루는지, 그 사람이 무슨 시스템을 쓰는지 파악합니다. 그리고 그 사람에게 맞춤으로 낚시 메일을 보냅니다. 무한상사에 침투한 악성해커처럼요. 이런 식으로 공격 대상의 사회적 맥락을 파악하고 맞춤으로 공격하는 방식을 사회공학 공격이라 부릅니다. 다른 말로는 지능형지속위협(APT)이라고도 합니다. 국가 정보기관도 중요한 정보를 빼돌릴 때 사회공학 기법을 쓴 사실이 드러났습니다.

악성코드

해킹 얘기할 때 또 빠지지 않는 게 ‘악성코드'(malware)입니다. 악성코드는 사실 상당히 큰 개념입니다. 컴퓨터에 악영향을 끼칠 수 있는 모든 소프트웨어를 악성코드라고 부릅니다. 흔히 아는 컴퓨터 바이러스나 웜(worm), 트로이목마(trojan horse), 스파이웨어(spyware), 애드웨어(adware) 등이 모두 악성코드라는 얘기입니다.

컴퓨터 바이러스는 진짜 바이러스처럼 컴퓨터 안에서 자기를 복제하는 프로그램을 비유하는 표현입니다. 바이러스를 잡는다고 해서 안철수 씨가 백신이라는 말도 만들었죠. 진짜 바이러스처럼 숙주인 소프트웨어 안에 숨어듭니다.

웜은 숙주 없이 따로 작동하는 악성코드입니다. 기생충처럼 컴퓨터에 숨어 산다고 웜이라고 부릅니다.

트로이목마는 사용자 몰래 컴퓨터에 설치되는 소프트웨어를 가리킵니다. 그리스 신화에서 그리스가 트로이 성문을 열려고 커다란 목마를 만들어 선물인 것처럼 보낸 데서 이름을 따왔습니다. 그리스가 보낸 목마 안에 그리스 병사가 숨어 있다 몰래 나와 트로이 성문을 열었듯, 트로이 목마는 말짱한 프로그램 속에 숨어 사용자 컴퓨터에 설치됩니다.

스파이웨어는 사용자의 컴퓨터 사용 내역을 몰래 들여다보는 악성코드를 가리킵니다. 애드웨어는 사용자 컴퓨터에 광고를 띄우는 프로그램을 뜻하고요. 얼마전 중국 컴퓨터 제조사 레노버가 소비자용 노트북 PC에 몰래 애드웨어를 선탑재해 팔았다가 덜미가 잡히기도 했습니다.

이 밖에도 다양한 분류가 있습니다. 새로운 공격 방식을 발견하면 새 개념이 나오기도 하고요. 칼로 무 자르듯 나누기 힘든 면도 있습니다. 어떤 악성코드는 트로이목마이면서 애드웨어이기도 합니다. 일단 보안 관련 기사를 읽을 때 자주 나오는 용어를 모아 풀어봤습니다. 더 궁금한 점 있으시면 언제든지 e메일로 질문 주시기 바랍니다. <블로터>는 여러분 가까이 있습니다.