-
-
해킹 사회 - 핸드폰·이메일·와이파이·사물인터넷, 연결된 모든 것이 위험하다
찰스 아서 지음, 유현재 외 옮김 / 미래의창 / 2019년 4월
평점 :
품절
해커들의 위협이 수십 년간 이어지면서 그들의 공격 방법과 경로는 계속 바뀌었지만, 이들에 대한 우리의 지식은 거의 바뀌지 않았다. 컴퓨터에 관해 약간의 이해가 있는 사람들의 수준도 별반 달라지지 않았다. 이들이 언젠가는 완벽한 보안 시스템을 갖춘 기기가 나올 것이라는 커다란 오해를 하고 있는 것처럼 말이다. - '소리 없는 전쟁의 서막' 중에서
해킹 사건의 전모를 따라가다
이 책의 저자 찰스 아서는 프리랜서 저널리스트로 약 30년간 과학기술 분야만 파고든 최고의 전문가다. 2005년부터 2014년까지 영국 <가디언>의 과학기술 에디터로 활동했다. 2012년에 출간한 <디지털 워>에 이어, 이번에는 소니 해킹 사건, 어나니머스, 힐러리 대선 캠프 이메일 피싱 등 사이버 세계의 굵직한 해킹 사건과 거기 연루된 해커들을 취재했다.
<가디언>에 합류하기 전에는 <인디펜던트>에서 9년 동안 역시 같은 분야 저널리스트로 일하며 구글과 애플, 페이스북, 트위터 등의 부상과 인공지능의 미래 같은 주제를 다뤘다. 2016년부터 2017년까지는 케임브리지대학 과학기술 및 민주주의 프로젝트의 방문연구원을 지냈다. 그의 아내는 영화 <미 비포 유>의 원작자로 유명한 영국의 로맨스 소설가 조조 모예스다.
해킹을 당하면 정말 곤혹스럽다. 왜냐하면, 남들은 모를 거라고 생각했던 자신의 이메일, 블로그에 담긴 비공개정보나 내용이 이미 외부로의 노출로 인해 분노감과 함께 향후에도 발생할 수 있다는 공포심이 뒤따라 이어지기 때문이다. 이미 언론을 통해 소설 같은 이런 이야기들을 접했지만 설마 나한테까지 발생할까라는 생각을 가졌던 사람에게 더욱 경악을 금치 못할 사건일 것이다. 총 9장으로 구성된 이 책에서 저자는 수십 년간 쌓아온 방대한 인맥과 IT 지식을 적극 활용해, 세상을 그야말로 발칵 뒤집어 놓았던 전설적인 해킹 사건의 전모를 박진감 있게 풀어낸다.
힐러리 대선 캠프 이메일 해킹
존 포데스타의 이메일 사건으로 인해 미국의 역사 아니 세계의 역사는 뒤바뀐 흐름으로 이어졌다. 그 사건의 진실로 들어가 보자. 2015년 1월, 힐러리는 66세의 존 포게스타를 대선 캠프의 선임 참모로 영입하고 대선 출마를 공식 선언했다. 포데스타는 빌 클린턴 행정부의 비서실장을 역임했으며, 이후 오마바 행정부에서도 일한 베테랑 참모였다.
2016년 2월 1일, 아이오와에서 제1차 민주당 경선이 벌어졌다. 당시 힐러리는 74세의 버니 샌더스와 양강 체제를 구축했다. 이후 3월부터 시작된 미주리, 오하이오, 노스캐롤라이나, 플로리다, 일리노이에서의 민주당 예비 선거에서 힐러리는 근소한 차로 우위를 보였지만, 샌더스의 결단력과 그의 지지 세력 때문에 선거 운동 내내 불안했다.
2016년 3월 19일, 포데스타에게 이메일이 하나 도착했다. 구글에서 보낸 정상적인 메일로 위장된 '누군가 당신의 비밀번호를 알고 있습니다'라는 제목이었다. 내용인 즉 누군가 귀하의 패스워드로 구글 계정의 접촉을 시도하고 있는데, 우크라이나 통신 사업자 기반의 IP에서 발생한 것으로 보여 구글은 이를 차단했으므로 즉시 비밀번호를 변경하라는 것이었다. 그리고 링크도 첨부되어 있었다.
피싱은 엄밀히 말해서 해킹은 아니었다. 컴퓨터가 사용자의 의도와 다르게 동작하도록 조종한 부분이 없기 때문이다. 대신 '컴퓨터는 이렇게 동작할 거야'라는 사람들의 기대를 이용해 만들어낸 하위 버전은 존재했다. 컴퓨터에 올바르지 않은 형식의 이메일이나 웹사이트 주소를 입력하면 올바른 결과가 나오지 않듯이, 무의식적으로 우리에게는 컴퓨터가 거짓을 출력하지 않는다는 기대가 있다. 그렇지만 컴퓨터는 우리가 시키는 대로만 작동하는 기계다. 만약 컴퓨터에 사용자들을 속이라는 명령어가 입력된다면 컴퓨터는 그 명령도 성실히 이행할 것이다.
포데스타에 온 메일이 피싱일까, 해킹일까? 당시 선거캠프의 일부 임원들은 포데스타의 이메일을 로그인할 수 잇었다. 비서실장 사라 라탐은 IT부서의 2인자인 찰스 델러번에게 이메일을 보냈다. 이에 대한 답변은 "이 이메일은 합법적입니다. 즉시 암호를 변경해야 하며, 2단계 인증이 설정되어 있는지 확인해야 합니다"였다.
많은 국가의 성인남녀들은 사실상 2단계 인증 시스템을 사용하지 않는다. 한 설문 조사에서 응답자의 70% 이상이 2단계 인증 시스템을 사용않는다고 답했을 정도다. 해커가 마음만 먹으면 2단계 인증 없이 피싱 메일을 받을 수 있는 셈이다. 이메일을 통해 악성코드가 유포될 수 잇는 사이트에 접속하거나 스스로 로그인 정보를 입력하게 되는 위험에 노출된다. 포데스타의 지메일 계정도 마찬가지다. 여기서 중요한 포인트는 델러번의 회신인데, 실수로 '불법적' 이메일을 합법적이라고 답변했다는 사실이다. 그리고 메일에 첨부된 링크도 진짜 구글 페이지가 아니었다.
힐러리에겐 악몽 같은 10월이었다. 위키리크스는 포데스타의 이메일 2060건과 문서 170건을 공개했다. 해당 문서는 2015년 힐러리가 미국에 관산을 보유하고 있던 캐나다계 우라늄 광업회사 우라늄 원의 러시아 사업 매각을 승인해서 러시아의 이익에 기여했다는 내용이었다. 당시 트럼프의 성추행 영상이 공개되어 전파를 타고 있었는데, 다른 쪽에선 힐러리의 이런 행동을 퍼나르고 있었다. 2단계 인증 기능과 시그널을 사용하고 있던 선거캠프 중앙사무소의 이메일은 해킹 당하지 않앗음에도 포데스타의 개인적 이메일이 해킹당함으로써 선거 결과는 완전 예상과 딴 판으로 나타났던 것이다.
교훈
피싱이 어떻게 이루어지는지를 사전에 파악하고 있어야 한다
반드시 2단계 인증을 설정해야 한다
휴대폰 문자 메시지 인증 시스템을 믿어선 안 된다
이메일 계정에 비밀번호를 적어 놓아선 안 된다
가능한 이메일을 사용하지 않는 편이 좋다
누구든 유명인사가 되면 자신의 이메일이 해킹당하거나 그런 위험에 처할 수 있음을 인지해하
만약 해킹 사건이 발생한다면 어떤 부분이 타격을 받을지 항상 염두에 둬야 한다
어나니머스에 당한 보안 회사
사이버 보안업체 HB개리는 미국 정부 업무를 주로 담당할 절도로 업계에선 꽤나 유명한 회사였다. 어나니머스는 HB개리와 자매사인 HB개리 페더럴의 서버를 마비시키고 모든 자료를 털어갔다. 소셜 미디어 계정은 물론, 이메일을 포함한 비공식 자료가 다량 유출되었다. 해커들은 사람과 사람의 관계를 이용하는 사회공학 기법이 더해지자, 모든 자료를 삽시간에 빼앗아갔다.
교훈
비밀번호를 동일하게 설정하면 안 된다.
이메일 및 기타 시스템에서는 2단계 인증을 사용해야 한다.
누구든 이메일이 해킹 당할 가능성이 있으며, 이메일의 모든 내용이 널리 퍼져나간다
사물인터넷, 보안에 취약하다
이어서 책은 소니 와이퍼 해킹, TJX 와이파이 해킹, 랜섬웨어,토크토크 고객 정보 유출 순으로 전설적인 해킹사건들을 소개한다. 마지막으로 사물인터넷 기기 역시 소프트웨어와 운영체제로 동작하기 때문에 필연적으로 결함이 있을 수밖에 없다. 하지만 생산업체는 비용 문제로 보안을 가볍게 다룬다. 결과적으로 피해는 고스란히 사물인터넷 기기의 유저들이 감당해야 하는 몫이다.
웹사이트가 집이라고 가정하면 이런 공격은 마치 100만 명의 사람들이 그 집의 초인종을 차례차례 누르고 도망가는 것과 같다. 이렇게 되면 그 집에 사는 사람은 정상적인 생활이 불가능할 것이다. 집까지 가는 모든 길이 사람으로 막혀 버려 그 집에 용건이 있는 사람들이 방문할 수도, 무엇을 전달할 수도 없어진다. 바로 이런 피해가 웹에서 발생한 것이다.
문제는 이런 사물인터넷 기기도 모두 소프트웨어로 동작하며, 세상의 모든 소프트웨어는 필연적으로 완벽할 수 없다는 데 있다. 설령 사물인터넷 기기의 소프트웨어가 완벽에 가까울지라도, 그 소프트웨어를 움직이는 운영체제에는 문제가 있을 수 있다. 소프트웨어의 결함이 존재한다는 것은 해당 소프트웨어를 수시로 업데이트해야 한다는 뜻이다.
"완벽한 보안은 없다.
다음 타깃은 바로 당신이다!"