영화나 매체에서 다루는 해커들은 실제 해킹 범죄를 저지르는 평균 해커들과 상당히 동떨어져 있다. 그들은 천재도 아니고, 음습한 음지에서 기거하는 것도 아니다. 실수도 저지르고, 엉성한 면도 많다. 따라서 겁을 낼 필요가 없다.
[보안뉴스 문가용 기자] 한 통계에 따르면 사이버 범죄는 39초에 한 번씩 발생한다고 한다. 미국의 경우 전체 인구의 1/3이 크고 작은 사이버 범죄의 피해자가 된다고도 한다. 이런 상황이니 각종 해킹 사건들을 더는 무시할 수 없게 되었고, 이와 관련하여 여러 국가 간 국제 협약까지 맺어질 정도니 우리는 바야흐로 사이버 범죄의 시대에 도달하게 됐다고 해도 과언이 아니다.
[이미지 = gettyimagesbank]
사이버 범죄는 IT 기술로 무장한 천재들이 저지르는 것이라 일반인들은 전혀 대응할 수 없는 것으로 알고 있는 사람이 많은데, 그렇지 않다. 아직까지는 인간이 모든 공격의 배후에 있으며, 그들의 인간적인 요소들을 파악하면 사이버 범죄에 효과적으로 대응하는 게 가능하다. 보안 업체 트립와이어(Tripwire)는 현대 사이버 범죄자들의 모습을 집중 조명하는 글을 자사 블로그를 통해 게시함으로써, 심리적 차원에서의 보안 능력 향상을 꾀했다.
“사이버 범죄자들은 어떤 모습을 하고 있을까요? 보통 뉴스에서는 유명 단체들을 집중해서 보도하고 있는데, 그렇기 때문에 사이버 범죄자 개개인들에 대해서는 잘 다루지 않습니다. 범죄 단체를 파고들어서 수집하는 정보들은 보안 전문가나 사법 기관에는 중요하지만 일반인들에게는 그리 와닿지 않지요. 우리는 보다 더 개인 차원에서 사이버 범죄자들을 이해할 필요가 있습니다.” 트립와이어의 설명이다.
블로그에 따르면 현대 사이버 범죄자들의 특성은 다음과 같이 정리가 가능하다고 한다.
1) 18~34세 / 남성
2) 위험을 감수하려는 성향이 짙음
3) 전체 사이버 범죄자의 6% 미만 정도가 여성(2019년~현재 기준)
4) 컴퓨터 과학 분야를 정식으로 배웠거나 독학으로 익힘
5) 강력한 재정적 동기를 품고 있음(즉 돈을 벌고자 하는 욕구가 강렬함)
재정적 동기
개인이 사이버 범죄로 빠지는 건 거의 대부분 많은 돈을 쉽게 벌고 싶어서라고 트립와이어는 설명한다. 그리고 이런 목적으로 범죄에 발을 들여 활동하는 경우는 크게 두 가지로 분류된다고 하는데, 바로 브로커와 악성 해커가 바로 그것이다.
1) 브로커 : 해커들이 데이터를 훔치는 건, 누군가 돈을 주고 그것을 사기 때문이다. 그런데 모든 시장이 그렇듯 어둠의 시장도 단순히 구매자와 판매자로만 구성되어 있지 않다. 누군가 중간에서 다리 역할을 한다. 다크웹에도 이런 ‘브로커’들이 많은데, 이들은 단순히 판매자와 구매자를 연결하는 것만이 아니라 범죄를 촉진시키기도 한다. 이들이 사이버 범죄라는 거대한 기계의 윤활유 역할을 한다고 볼 수 있다.
2) 실제 해킹을 저지르는 악성 공격자 : 일반인들은 해커들이 수백만 달러의 수익을 간단히 벌어들여 떵떵거리고 사는 것으로 착각할 때가 많은데, 그건 매우 극소수에 해당하는 얘기다. 일반적인 해커들이라면 값이 대단히 많이 나갈 만한 데이터에 손을 대지 못한다. 이들이 파는 데이터는 대부분 판매자에게 큰 가치가 없는 것들이고, 그러므로 헐값에 팔리는 게 다반사다. 금광을 찾겠다고 집을 나선 사람들이 다 금의환향하지 않는 것과 마찬가지다. 비싼 데이터를 구하는 건 이들에게도 복권에 당첨되는 것과 비슷하다.
정치적 혹은 이념적 이유
다른 이유로 사이버 범죄에 빠져드는 사례들도 적지 않다. “최근 러시아, 중국, 북한과 같은 정권은 컴퓨터 기술을 가진 젊은 인재들을 적극적으로 영입하여 정부가 해야 할 일들을 적극적으로 시키고 있습니다. 정부가 필요로 하는 적국의 정보를 가져다주기도 하고, 정부가 필요한 돈을 빼오기도 하며, 각종 산업 기밀까지도 훔쳤지요. 나서서 할 수 없으니 뒤에서 이런 조직들을 운영해 하는 겁니다. 최근에는 정치적 공략을 통해 적국의 선거에서 자신들이 원하는 후보가 뽑히도록 손을 쓰기도 합니다.”
트립와이어는 “정부가 공식적으로 채용하지 않더라도, 특정 정부를 옹호하거나 이념을 지지하기 때문에 자발적으로 정부 기관 대신 해킹 범죄를 저지르는 집단도 있다”고 설명을 이어간다. “2016년에 활동했던 구시퍼2.0(Guccifer 2.0)도 유명하고, 시리아전자군(SEA)이라든가 사이버칼리페이트(CyberCaliphate)와 같은 조직들이 좋은 사례가 되지요. 최근에는 러시아 편에 선 어나니머스수단(Anonymous Sudan)도 있고, 우크라이나 편에서 활동하는 IT아미(IT Army)도 있고요.”
그들은 지능이 더 뛰어나다?
한편 해커라고 해서 이들이 어두운 그늘에서만 활동하고, 비상한 머리를 가지고 있다는 건 오해라고 트립와이어는 강조한다. “오히려 우리가 오프라인 공간에서 보는 범죄자들과 더 흡사합니다. 범죄를 저지르는 공간이 다를 뿐, 본질적으로 악행을 저지르고 있다는 건 똑같고, 따라서 그런 행위를 하는 사람의 됨됨이도 다 비슷한 것으로 보입니다. 오프라인 범죄자들과 해커들 사이에 차이가 있다면, 해커들이 좀 더 집요해서 장기적인 공격을 불사한다는 겁니다.”
해커들 역시 실수를 저지른다고 트립와이어는 강조한다. “소셜미디어를 통해 자신이 한 짓을 과시하다가 잡힌 해커들이 의외로 많습니다. 2017년 옥시몬스터(OxyMonster)는 소셜미디어 중독에 가까웠고, 여러 게시글을 통해 사실상 자신의 정체를 스스로 드러낸 것이나 다름 없는 실수를 저질렀습니다. 심지어 테러리스트 조직들도 SNS에 사진 올렸다가 비밀 기지가 발각되고 폭격을 맞은 적이 있지요. 해킹으로 번 돈으로 고급 차 사고 멋진 액세서리 산 걸 SNS에 자랑하다가 꼬리가 밟힌 사례들도 있고요. 해커들이 비상하고, 빈틈이 없고, 매우 특별한 인재들이라는 생각을 버리는 게 중요합니다.”
이런 정보를 알면 어떤 면에서 도움이 될까?
공격자에 대해 더 잘 알면 알수록 위협 모델링을 정확하게 할 수 있다. 대응의 효율성이 올라간다는 뜻이다. “공격자의 동기가 무엇인지 분류하고, 그에 따라 대응책을 마련하면 그렇게 하지 않은 것보다 훨씬 낫죠. 예를 들어 공격자는 돈을 노리고 들어왔는데, 나는 정치적 공작에 대해 방어 대책을 세우면 상당히 어긋나겠지요. 방어 자원을 효과적으로 배치하려면 상대에 대해 어느 정도 그림을 가지고 있어야 합니다.”
재정적 동기를 가진 공격자들은 주로 랜섬웨어 공격을 한다든가, 각종 금융 사기 공격을 시도하기 마련이다. 공격자에게서 재정적 동기를 느꼈다면 금융 데이터 혹은 금융 거래 관련 데이터를 보호하기 위해 방어 자원을 소비해야 한다. 암호화 기능을 강화한다든가, 다중인증을 도입한다든가, 랜섬웨어 보호 솔루션을 새로 구매한다든가 하는 식으로 맞춤형 방어를 할 수 있게 된다.
“보안 전문가나 전문 기업이라면 사이버 공격자들에 대한 정보가 많아지면 많아질수록 탐지 시스템을 더 정교하게 개발할 수 있게 됩니다. 각종 공격에서 사용된 피싱 키트나 페이로드, 멀웨어, 로더 등을 분석하면, 그렇게 하지 않은 것보다 훨씬 더 정확도가 높고 효과도 좋은 방어 솔루션을 만들 수 있겠지요. 공격자들이 주로 사용하는 기술이 무엇인지, 어떤 전략이 유행하는지를 아는 것은 보안 솔루션 개발에 매우 중요한 역할을 합니다.”
범죄자들의 행동 패턴 분석
공격자들도 사람인지라, 특정 행동 패턴을 가지고 있다. 이것을 파악하는 것도 방어에 적잖은 도움이 된다. “예를 들어 사이버 범죄자들은 자신들이 선호하는 시간대가 있습니다. 공격 표적이 되는 기업이나 인물이 자주 활동하는 시간에 활동한다거나, 일반 회사원들이 출퇴근 하는 시간에만 일하는 걸 좋아한다거나 하는 특성들이 개개인에게 있지요. 공격자들을 분석할 때 행동 패턴 분석의 관점에서 접근하면 보안 기능을 즉각적으로 강화할 수 있습니다.”
예를 들어 국가의 지원을 받는 APT 조직이라면 일반 출퇴근 시간을 잘 지키는 것이 보통이다. 이런 조직의 해커라면 국가 기관에서 일할 때가 많고, 따라서 공무원들과 똑같은 시간에 출근하고 퇴근하기를 반복한다. 한 해킹 조직이 활동하는 시간이 특정 국가의 출퇴근 시간과 겹치는 게 공격자를 추적해 파악할 때 큰 도움이 되는 건 이런 이유에서다.
해커의 프로파일링
해커들의 일반적인 모습이나 행동 패턴을 파악해두는 게 보안에 무슨 큰 도움이 될까 싶은 마음이 들 수 있다. 하지만 위와 같은 평균적인 ‘해커 이미지’를 마음 속에 가지고 있다면, 보안 전략을 수립하거나 지켜야 할 때 어떤 것을 가장 우선시 해야 하고, 어떤 임무부터 수행해야 하는지 판단을 보다 빠르게 할 수 있다. 또한 그들의 다음 움직임을 예측하는 게 가능해질 때도 있다.
“물론 아주 뛰어난, 세계적인 유명세를 가진 해커들이라면 얘기가 달라질 수 있습니다. 하지만 매번 그런 해커들만 상대해야 하는 게 아니죠. 오히려 위에 언급된 일반적인 모습의 해커와 상대해야 하는 게 거의 대부분입니다. 그렇기 때문에 사건이 발생했을 때 겁먹지 말고, 이 사건의 배후에 있는 것도 나와 크게 다를 바 없는 인간이라는 걸 받아들인 상태에서 침착하게 다음 할 일을 해야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 한 통계에 따르면 사이버 범죄는 39초에 한 번씩 발생한다고 한다. 미국의 경우 전체 인구의 1/3이 크고 작은 사이버 범죄의 피해자가 된다고도 한다. 이런 상황이니 각종 해킹 사건들을 더는 무시할 수 없게 되었고, 이와 관련하여 여러 국가 간 국제 협약까지 맺어질 정도니 우리는 바야흐로 사이버 범죄의 시대에 도달하게 됐다고 해도 과언이 아니다.
[이미지 = gettyimagesbank]
사이버 범죄는 IT 기술로 무장한 천재들이 저지르는 것이라 일반인들은 전혀 대응할 수 없는 것으로 알고 있는 사람이 많은데, 그렇지 않다. 아직까지는 인간이 모든 공격의 배후에 있으며, 그들의 인간적인 요소들을 파악하면 사이버 범죄에 효과적으로 대응하는 게 가능하다. 보안 업체 트립와이어(Tripwire)는 현대 사이버 범죄자들의 모습을 집중 조명하는 글을 자사 블로그를 통해 게시함으로써, 심리적 차원에서의 보안 능력 향상을 꾀했다.
“사이버 범죄자들은 어떤 모습을 하고 있을까요? 보통 뉴스에서는 유명 단체들을 집중해서 보도하고 있는데, 그렇기 때문에 사이버 범죄자 개개인들에 대해서는 잘 다루지 않습니다. 범죄 단체를 파고들어서 수집하는 정보들은 보안 전문가나 사법 기관에는 중요하지만 일반인들에게는 그리 와닿지 않지요. 우리는 보다 더 개인 차원에서 사이버 범죄자들을 이해할 필요가 있습니다.” 트립와이어의 설명이다.
블로그에 따르면 현대 사이버 범죄자들의 특성은 다음과 같이 정리가 가능하다고 한다.
1) 18~34세 / 남성
2) 위험을 감수하려는 성향이 짙음
3) 전체 사이버 범죄자의 6% 미만 정도가 여성(2019년~현재 기준)
4) 컴퓨터 과학 분야를 정식으로 배웠거나 독학으로 익힘
5) 강력한 재정적 동기를 품고 있음(즉 돈을 벌고자 하는 욕구가 강렬함)
재정적 동기
개인이 사이버 범죄로 빠지는 건 거의 대부분 많은 돈을 쉽게 벌고 싶어서라고 트립와이어는 설명한다. 그리고 이런 목적으로 범죄에 발을 들여 활동하는 경우는 크게 두 가지로 분류된다고 하는데, 바로 브로커와 악성 해커가 바로 그것이다.
1) 브로커 : 해커들이 데이터를 훔치는 건, 누군가 돈을 주고 그것을 사기 때문이다. 그런데 모든 시장이 그렇듯 어둠의 시장도 단순히 구매자와 판매자로만 구성되어 있지 않다. 누군가 중간에서 다리 역할을 한다. 다크웹에도 이런 ‘브로커’들이 많은데, 이들은 단순히 판매자와 구매자를 연결하는 것만이 아니라 범죄를 촉진시키기도 한다. 이들이 사이버 범죄라는 거대한 기계의 윤활유 역할을 한다고 볼 수 있다.
2) 실제 해킹을 저지르는 악성 공격자 : 일반인들은 해커들이 수백만 달러의 수익을 간단히 벌어들여 떵떵거리고 사는 것으로 착각할 때가 많은데, 그건 매우 극소수에 해당하는 얘기다. 일반적인 해커들이라면 값이 대단히 많이 나갈 만한 데이터에 손을 대지 못한다. 이들이 파는 데이터는 대부분 판매자에게 큰 가치가 없는 것들이고, 그러므로 헐값에 팔리는 게 다반사다. 금광을 찾겠다고 집을 나선 사람들이 다 금의환향하지 않는 것과 마찬가지다. 비싼 데이터를 구하는 건 이들에게도 복권에 당첨되는 것과 비슷하다.
정치적 혹은 이념적 이유
다른 이유로 사이버 범죄에 빠져드는 사례들도 적지 않다. “최근 러시아, 중국, 북한과 같은 정권은 컴퓨터 기술을 가진 젊은 인재들을 적극적으로 영입하여 정부가 해야 할 일들을 적극적으로 시키고 있습니다. 정부가 필요로 하는 적국의 정보를 가져다주기도 하고, 정부가 필요한 돈을 빼오기도 하며, 각종 산업 기밀까지도 훔쳤지요. 나서서 할 수 없으니 뒤에서 이런 조직들을 운영해 하는 겁니다. 최근에는 정치적 공략을 통해 적국의 선거에서 자신들이 원하는 후보가 뽑히도록 손을 쓰기도 합니다.”
트립와이어는 “정부가 공식적으로 채용하지 않더라도, 특정 정부를 옹호하거나 이념을 지지하기 때문에 자발적으로 정부 기관 대신 해킹 범죄를 저지르는 집단도 있다”고 설명을 이어간다. “2016년에 활동했던 구시퍼2.0(Guccifer 2.0)도 유명하고, 시리아전자군(SEA)이라든가 사이버칼리페이트(CyberCaliphate)와 같은 조직들이 좋은 사례가 되지요. 최근에는 러시아 편에 선 어나니머스수단(Anonymous Sudan)도 있고, 우크라이나 편에서 활동하는 IT아미(IT Army)도 있고요.”
그들은 지능이 더 뛰어나다?
한편 해커라고 해서 이들이 어두운 그늘에서만 활동하고, 비상한 머리를 가지고 있다는 건 오해라고 트립와이어는 강조한다. “오히려 우리가 오프라인 공간에서 보는 범죄자들과 더 흡사합니다. 범죄를 저지르는 공간이 다를 뿐, 본질적으로 악행을 저지르고 있다는 건 똑같고, 따라서 그런 행위를 하는 사람의 됨됨이도 다 비슷한 것으로 보입니다. 오프라인 범죄자들과 해커들 사이에 차이가 있다면, 해커들이 좀 더 집요해서 장기적인 공격을 불사한다는 겁니다.”
해커들 역시 실수를 저지른다고 트립와이어는 강조한다. “소셜미디어를 통해 자신이 한 짓을 과시하다가 잡힌 해커들이 의외로 많습니다. 2017년 옥시몬스터(OxyMonster)는 소셜미디어 중독에 가까웠고, 여러 게시글을 통해 사실상 자신의 정체를 스스로 드러낸 것이나 다름 없는 실수를 저질렀습니다. 심지어 테러리스트 조직들도 SNS에 사진 올렸다가 비밀 기지가 발각되고 폭격을 맞은 적이 있지요. 해킹으로 번 돈으로 고급 차 사고 멋진 액세서리 산 걸 SNS에 자랑하다가 꼬리가 밟힌 사례들도 있고요. 해커들이 비상하고, 빈틈이 없고, 매우 특별한 인재들이라는 생각을 버리는 게 중요합니다.”
이런 정보를 알면 어떤 면에서 도움이 될까?
공격자에 대해 더 잘 알면 알수록 위협 모델링을 정확하게 할 수 있다. 대응의 효율성이 올라간다는 뜻이다. “공격자의 동기가 무엇인지 분류하고, 그에 따라 대응책을 마련하면 그렇게 하지 않은 것보다 훨씬 낫죠. 예를 들어 공격자는 돈을 노리고 들어왔는데, 나는 정치적 공작에 대해 방어 대책을 세우면 상당히 어긋나겠지요. 방어 자원을 효과적으로 배치하려면 상대에 대해 어느 정도 그림을 가지고 있어야 합니다.”
재정적 동기를 가진 공격자들은 주로 랜섬웨어 공격을 한다든가, 각종 금융 사기 공격을 시도하기 마련이다. 공격자에게서 재정적 동기를 느꼈다면 금융 데이터 혹은 금융 거래 관련 데이터를 보호하기 위해 방어 자원을 소비해야 한다. 암호화 기능을 강화한다든가, 다중인증을 도입한다든가, 랜섬웨어 보호 솔루션을 새로 구매한다든가 하는 식으로 맞춤형 방어를 할 수 있게 된다.
“보안 전문가나 전문 기업이라면 사이버 공격자들에 대한 정보가 많아지면 많아질수록 탐지 시스템을 더 정교하게 개발할 수 있게 됩니다. 각종 공격에서 사용된 피싱 키트나 페이로드, 멀웨어, 로더 등을 분석하면, 그렇게 하지 않은 것보다 훨씬 더 정확도가 높고 효과도 좋은 방어 솔루션을 만들 수 있겠지요. 공격자들이 주로 사용하는 기술이 무엇인지, 어떤 전략이 유행하는지를 아는 것은 보안 솔루션 개발에 매우 중요한 역할을 합니다.”
범죄자들의 행동 패턴 분석
공격자들도 사람인지라, 특정 행동 패턴을 가지고 있다. 이것을 파악하는 것도 방어에 적잖은 도움이 된다. “예를 들어 사이버 범죄자들은 자신들이 선호하는 시간대가 있습니다. 공격 표적이 되는 기업이나 인물이 자주 활동하는 시간에 활동한다거나, 일반 회사원들이 출퇴근 하는 시간에만 일하는 걸 좋아한다거나 하는 특성들이 개개인에게 있지요. 공격자들을 분석할 때 행동 패턴 분석의 관점에서 접근하면 보안 기능을 즉각적으로 강화할 수 있습니다.”
예를 들어 국가의 지원을 받는 APT 조직이라면 일반 출퇴근 시간을 잘 지키는 것이 보통이다. 이런 조직의 해커라면 국가 기관에서 일할 때가 많고, 따라서 공무원들과 똑같은 시간에 출근하고 퇴근하기를 반복한다. 한 해킹 조직이 활동하는 시간이 특정 국가의 출퇴근 시간과 겹치는 게 공격자를 추적해 파악할 때 큰 도움이 되는 건 이런 이유에서다.
해커의 프로파일링
해커들의 일반적인 모습이나 행동 패턴을 파악해두는 게 보안에 무슨 큰 도움이 될까 싶은 마음이 들 수 있다. 하지만 위와 같은 평균적인 ‘해커 이미지’를 마음 속에 가지고 있다면, 보안 전략을 수립하거나 지켜야 할 때 어떤 것을 가장 우선시 해야 하고, 어떤 임무부터 수행해야 하는지 판단을 보다 빠르게 할 수 있다. 또한 그들의 다음 움직임을 예측하는 게 가능해질 때도 있다.
“물론 아주 뛰어난, 세계적인 유명세를 가진 해커들이라면 얘기가 달라질 수 있습니다. 하지만 매번 그런 해커들만 상대해야 하는 게 아니죠. 오히려 위에 언급된 일반적인 모습의 해커와 상대해야 하는 게 거의 대부분입니다. 그렇기 때문에 사건이 발생했을 때 겁먹지 말고, 이 사건의 배후에 있는 것도 나와 크게 다를 바 없는 인간이라는 걸 받아들인 상태에서 침착하게 다음 할 일을 해야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
