해커의 입장에서 되짚어본 설 명절 사이버 위협
해커도 중요하게 생각하는 ‘보안’, 우리의 현실 되돌아볼 때
[보안뉴스 박은주 기자] 나는 해커다. 해커라고 하면 사람들은 어두운 골방에 들어앉아 후드 티를 뒤집어쓴 채 컴퓨터를 들여다볼 거라 생각한다. 전부 매스컴이 만들어낸 ‘클리셰’다. 나는 사무실로 출근한다. 주변 지인들은 나를 소프트웨어 개발자라고 알고 있다. 딱히 부정하지 않았다. 컴퓨터 프로그램을 다루는 건 비슷하니까. 연말엔 좀 쉬면서 머리를 식혔다. 2023년 새해가 밝았고 슬슬 일을 시작하려 한다. 첫 프로젝트는 설이다.
[이미지= utoimage]
설은 해커들이 노리는 대목이다. 설 뿐만 아니라 기념일이나 연휴, 행사 기간엔 일이 많다. 이번 설에도 한몫 단단히 챙겨야지. 오늘 처리할 업무는 총 4가지다.
첫째, 스미싱
문자 메시지를 이용한 해킹이다. 문자에 포함된 링크를 누르도록 유도하는 것이 관건이다. 클릭 한 번이면 개인정보를 알아낼 수 있다. 설에는 택배 회사를 사칭하거나, 지인인 척 명절 인사를 건네면 잘 속아 넘어간다. 대선배인 김미영 팀장님의 가르침을 떠올리며 문자를 써 내려간다.
▲내가 보낸 스미싱 문자다. 많이들 속겠지? ㅋㅋ[이미지=보안뉴스]
공들여 작성한 문자에 해킹 링크까지 완벽하다. 이제 다크웹에서 사들인 명단으로 문자를 돌리면 오전 업무 완료다. 점심을 먹는데 엄마한테 연락이 왔다. “택배 보냈어? 배송주소 수정하라는데 여기 링크로 들어가서 입력하면 되니?” 젠장. 우리 엄마 개인정보가 다크웹에 돌아다닌다니. “엄마 절대 누르지 마. 나 택배 안 보냈어. 문자 당장 삭제하고 모바일 백신 프로그램 돌려! 이번 설에는 바빠서 못 내려가. 이따 연락할게.”
둘째, 웹하드와 토렌트
영화·드라마에 악성코드를 심어 웹하드와 토렌트에 업로드한다. ‘누가 불법으로 공짜 영화를 보래?’ 올해 개봉한 아바타와 넷플릭스 시리즈물이 인기가 좋다. 설에 몰아보려는 사람들이 많은지 다운로드 횟수가 눈에 띄게 늘었다. 영화 한 편에 한 대의 PC 정보가 통째로 내 손에~. 이만하면 남는 장사다.
지금까진 개인을 상대로 한 해킹이었다면 이제는 기업이다. 기업은 팀으로 움직인다.
셋째, 보안팀 없는 중소기업
회의를 열어 이번 설날에 해킹을 시도할 중소기업 목록을 뽑았다. 설에는 대부분 최소한의 인력만 남긴다. 자연스레 보안이 허술해질 뿐더러 아직까지 중소기업은 보안인력과 시스템이 제대로 갖춰지지 않은 곳이 많다. 돈 버는 데 급급하기에 보안은 나중 문제라고 생각한다. 그 안일함이 공략 포인트다.
지금까지는 대기업을 상대로 큰 금액을 요구해 왔지만 요즘 트렌드는 중소기업이다. 지난 번 대기업을 해킹했을 때 여론이 떠들썩해져 좀 부담스러웠다. 대기업은 보안을 강화하는 추세라 더 힘들기도 하다. 따라서 올해는 중소기업을 상대로 박리다매하는 게 목표다. 중소기업 여러 곳을 해킹하면 대기업과 맞먹는 액수를 벌 수 있다. 해킹은 기업에게 뜻깊은 교훈을 남긴다. ‘소 잃고 외양간 고친다.’
넷째, 징검다리를 만들어라
‘누구나 약점은 있다’가 해커로써 가지는 가치관이다. 프로그램도 결국 사람이 만드는 것이다. 분명 보안 취약점이 존재한다. 만일 프로그램 해킹이 어렵다면 사람을 노리면 된다. 직원 정보를 해킹해 회사 내부에서 사용하는 소프트웨어로 접근한다. 시스템으로 향하는 징검다리를 만드는 셈이다.
오늘 업무를 모두 끝냈다. 보람찬 하루다. 남들 쉴 때 일해야 돈을 벌 수 있다. 퇴근하기 전 꼭 해야 하는 일이 있다. 바로 보안점검이다. 해커들은 해킹 만큼이나 보안에 신경 써야 한다. 네트워크 방화벽을 점검하고 외부 침입 흔적을 살핀다. 우리가 사용하는 프로그램의 취약점이 무엇인지 확인하고 또 확인한다.
나는 절대 수신인이 불분명한 문자 링크를 클릭하지 않는다. 영화나 드라마는 꼭 공식 루트를 통해서 본다. 단말기와 소프트웨어를 주기적으로 업데이트하고 보안 솔루션과 백신을 사용한다. 사이버 위협이 발생했을 때 어떻게 대처해야 하는지 모의훈련도 진행한다. 비상연락망 구축은 물론이고 365일 24시간 프로그램을 지키는 보안팀도 대기 중이다. 아직까지 문제가 없는 걸 보니 회사의 보안이 잘 지켜지고 있나 보다. 이번 설 연휴가 지나면 알고 지내는 해커 몇 명을 초대해서 버그바운티도 추진할 계획이다.
[박은주 기자(boan5@boannews.com)]
해커도 중요하게 생각하는 ‘보안’, 우리의 현실 되돌아볼 때
[보안뉴스 박은주 기자] 나는 해커다. 해커라고 하면 사람들은 어두운 골방에 들어앉아 후드 티를 뒤집어쓴 채 컴퓨터를 들여다볼 거라 생각한다. 전부 매스컴이 만들어낸 ‘클리셰’다. 나는 사무실로 출근한다. 주변 지인들은 나를 소프트웨어 개발자라고 알고 있다. 딱히 부정하지 않았다. 컴퓨터 프로그램을 다루는 건 비슷하니까. 연말엔 좀 쉬면서 머리를 식혔다. 2023년 새해가 밝았고 슬슬 일을 시작하려 한다. 첫 프로젝트는 설이다.
[이미지= utoimage]
설은 해커들이 노리는 대목이다. 설 뿐만 아니라 기념일이나 연휴, 행사 기간엔 일이 많다. 이번 설에도 한몫 단단히 챙겨야지. 오늘 처리할 업무는 총 4가지다.
첫째, 스미싱
문자 메시지를 이용한 해킹이다. 문자에 포함된 링크를 누르도록 유도하는 것이 관건이다. 클릭 한 번이면 개인정보를 알아낼 수 있다. 설에는 택배 회사를 사칭하거나, 지인인 척 명절 인사를 건네면 잘 속아 넘어간다. 대선배인 김미영 팀장님의 가르침을 떠올리며 문자를 써 내려간다.
▲내가 보낸 스미싱 문자다. 많이들 속겠지? ㅋㅋ[이미지=보안뉴스]
공들여 작성한 문자에 해킹 링크까지 완벽하다. 이제 다크웹에서 사들인 명단으로 문자를 돌리면 오전 업무 완료다. 점심을 먹는데 엄마한테 연락이 왔다. “택배 보냈어? 배송주소 수정하라는데 여기 링크로 들어가서 입력하면 되니?” 젠장. 우리 엄마 개인정보가 다크웹에 돌아다닌다니. “엄마 절대 누르지 마. 나 택배 안 보냈어. 문자 당장 삭제하고 모바일 백신 프로그램 돌려! 이번 설에는 바빠서 못 내려가. 이따 연락할게.”
둘째, 웹하드와 토렌트
영화·드라마에 악성코드를 심어 웹하드와 토렌트에 업로드한다. ‘누가 불법으로 공짜 영화를 보래?’ 올해 개봉한 아바타와 넷플릭스 시리즈물이 인기가 좋다. 설에 몰아보려는 사람들이 많은지 다운로드 횟수가 눈에 띄게 늘었다. 영화 한 편에 한 대의 PC 정보가 통째로 내 손에~. 이만하면 남는 장사다.
지금까진 개인을 상대로 한 해킹이었다면 이제는 기업이다. 기업은 팀으로 움직인다.
셋째, 보안팀 없는 중소기업
회의를 열어 이번 설날에 해킹을 시도할 중소기업 목록을 뽑았다. 설에는 대부분 최소한의 인력만 남긴다. 자연스레 보안이 허술해질 뿐더러 아직까지 중소기업은 보안인력과 시스템이 제대로 갖춰지지 않은 곳이 많다. 돈 버는 데 급급하기에 보안은 나중 문제라고 생각한다. 그 안일함이 공략 포인트다.
지금까지는 대기업을 상대로 큰 금액을 요구해 왔지만 요즘 트렌드는 중소기업이다. 지난 번 대기업을 해킹했을 때 여론이 떠들썩해져 좀 부담스러웠다. 대기업은 보안을 강화하는 추세라 더 힘들기도 하다. 따라서 올해는 중소기업을 상대로 박리다매하는 게 목표다. 중소기업 여러 곳을 해킹하면 대기업과 맞먹는 액수를 벌 수 있다. 해킹은 기업에게 뜻깊은 교훈을 남긴다. ‘소 잃고 외양간 고친다.’
넷째, 징검다리를 만들어라
‘누구나 약점은 있다’가 해커로써 가지는 가치관이다. 프로그램도 결국 사람이 만드는 것이다. 분명 보안 취약점이 존재한다. 만일 프로그램 해킹이 어렵다면 사람을 노리면 된다. 직원 정보를 해킹해 회사 내부에서 사용하는 소프트웨어로 접근한다. 시스템으로 향하는 징검다리를 만드는 셈이다.
오늘 업무를 모두 끝냈다. 보람찬 하루다. 남들 쉴 때 일해야 돈을 벌 수 있다. 퇴근하기 전 꼭 해야 하는 일이 있다. 바로 보안점검이다. 해커들은 해킹 만큼이나 보안에 신경 써야 한다. 네트워크 방화벽을 점검하고 외부 침입 흔적을 살핀다. 우리가 사용하는 프로그램의 취약점이 무엇인지 확인하고 또 확인한다.
나는 절대 수신인이 불분명한 문자 링크를 클릭하지 않는다. 영화나 드라마는 꼭 공식 루트를 통해서 본다. 단말기와 소프트웨어를 주기적으로 업데이트하고 보안 솔루션과 백신을 사용한다. 사이버 위협이 발생했을 때 어떻게 대처해야 하는지 모의훈련도 진행한다. 비상연락망 구축은 물론이고 365일 24시간 프로그램을 지키는 보안팀도 대기 중이다. 아직까지 문제가 없는 걸 보니 회사의 보안이 잘 지켜지고 있나 보다. 이번 설 연휴가 지나면 알고 지내는 해커 몇 명을 초대해서 버그바운티도 추진할 계획이다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
