2016.03.10

'전설의 해커' 케빈 미트닉이 전하는 보안 실용 팁

Mike Elgan | Computerworld

IT 분야에 종사하고 있다면, 아마 1970~1990년대 FBI의 지명 수배를 받았던 악명 높은 해커 케빈 미트닉(Kevin Mitnick)을 알고 있을 것이다. 그가 교도소에서 석방된 이후 보안 컨설턴트로 근무했다. 이 또한 많은 이들이 알고 있는 사실이다. 그러나 많은 이들이 모르는 사실 하나가 있다.

그가 지금도 직업적으로 해킹을 하고 있다는 것이다.

미트닉은 해킹 작업에 있어 소셜 엔지니어링이 아주 중요하다고 자주 강조한다. 그에 따르면 이는 대부분의 보안 컨설팅에서 미흡하게 다루는 부분이다.

그는 일반 대중을 해킹, 이들에게 실제로 접근함으로써 경각심을 높이곤 한다. (물론 승인을 받고서다.) 전형적인 교육은 대중을 지루하게 만들 수 있기에 미트닉은 고객을 실제 해킹, 이들이 미래에 아주 손쉽게 해커의 희생양이 될 수 있음을 보여주면서 자신의 주장을 실감나게 납득시킨다.


캐빈 미트닉의 명함.

보안 컨설팅 기업 KnowBe4의 CHO(Chief Hacking Officer)인 미트닉은 최근 해킹과 취약점 공격에서 개인 정보를 보호하는 내용을 자세히 다룬 '아트 오브 인비저빌리티(The Art of Invisibility, 은닉 기법)'이라는 책을 저술하고 있다. 그는 저서를 발간하기에 앞서 일반 사용자들이 자신의 모바일 기기 보안성을 높일 수 있는 방법 몇 가지를 공유했다. 참고로 지난 주 샌프란시스코에서 열린 RSA 컨퍼런스에서 진행된 미트닉과의 인터뷰 내용 3월 10일 게시할 예정인 FATcast 포드캐스트에서 확인할 수 있다.

직접 이야기해본 결과 미트닉은 사용자들이 미저 생각하지 못했던 점을 생각하도록 만드는 재주가 있었다. 이를테면 오늘날 프라이버시(개인 정보 보호) 때문에 약정 없이 버너폰(선불 결제 휴대폰)을 구입하는 사람들이 있다. 그러나 미트닉은 이런 안전한 장치 또한 프라이버시를 위태롭게 만들 수 있다고 지적했다. 구매 장소까지 갈 때 이용한 우버(Uber)나 렌트카로 구매 기록을 파악해 추적할 수 있기 때문이라는 설명이다. 즉 상점까지 이용한 교통편이 해당 전화기에 대한 식별 정보를 제공할 수 있다.

피싱에는 사람들이 신뢰할 수 있는 출처에서 발송된 이메일이나 메시지로 믿도록 속이는 소셜 엔지니어링 과정이 수반되는 것이 일반적이다. 예를 들어, 페이팔(PayPal)이나 직장 상사가 보낸 이메일로 속이는 것이다.

표적이 된 사용자가 이메일을 신뢰하면 애플리케이션을 열고, 파일을 다운로드 받고, 암호나 다른 정보가 든 답장을 보내고, 또 다른 악성 페이로드를 전달하는 웹사이트를 방문하게 된다.

미트닉은 컴퓨터보다 사람을 해킹하기 더 쉽다고 강조했다. 사람은 감정, 그 날 겪은 일에 따라 행동이 달라지기 때문이다. 따라서 과거 해킹을 당한 경험이 없는 사람이라면, 그를 상대로 소셜 엔지니어링을 하기란 어렵지 않다고 그는 전했다. 그거 기기 종류별로 전하는 보안 실용 팁은 다음과 같다.

스마트폰
미트닉은 또 사람은 으레 게으르고, 이는 해커에게 큰 이점이 된다고 지적했다. 그는 RSA 컨퍼런스에 참석한 보안 전문가들이 전화기 잠금을 해제하는 것을 보고, 이들이 긴 비밀번호가 아닌 4자리의 짧은 비밀번호로 잠금을 설정하는 것을 다수 목격했다고 말했다. 그에 따르면 비밀번호는 표적이 될 사람을 파악하는 방법 중 하나다. 물론 4자리의 짧은 비밀번호로 잠긴 전화기를 해킹하기가 훨씬 쉽다.

그렇다면 미트닉은 어떤 스마트폰 기종을 이용하고 있을까? 보안성에 중점을 둔 신상 스마트폰들인 블랙폰(Blackphone) 2 나 튜링폰(Turing phone)을 사용할 것이라고 생각할지 모르겠다.

그러나 미트닉이 사용하는 전화기는 평범한 아이폰이다. 그는 아이폰을 안전하게 만드는 것은 사용자의 선택과 행동이라며, 행동이 장비보다 중요하다고 강조했다. 가경 4자리 짧은 암호 대신 숫자와 문자를 섞은 긴 비밀번호를 사용하는 것이 한 사례다.

그는 또 자신이 (해외 여행을 마치고 미국으로 돌아왔을 때 등) 전화기 잠금을 해제하라는 지시를 받았을 때, 전화기를 다시 부팅해 터치 ID가 작동을 중단하도록 만든다고 전했다. (다시 부팅하면 비밀번호를 이용해야만 전화기 잠금을 풀 수 있음). 그는 "사법부는 지문으로 전화기 잠금을 해제하라고 명령할 수 있다. 그러나 비밀번호를 공개하라고 강요할 수 없다"라고 설명했다.

미트닉은 아이폰을 선호하는 또 다른 이유가 있다며 대부분의 휴대폰 해킹 공격이 안드로이드 스마트폰을 표적으로 삼고 있기 때문이라고 전했다. 단 아이폰도 해킹될 수 있으며, 100% 안전한 장치는 없다고 그는 덧붙였다.




2016.03.10

'전설의 해커' 케빈 미트닉이 전하는 보안 실용 팁

Mike Elgan | Computerworld

IT 분야에 종사하고 있다면, 아마 1970~1990년대 FBI의 지명 수배를 받았던 악명 높은 해커 케빈 미트닉(Kevin Mitnick)을 알고 있을 것이다. 그가 교도소에서 석방된 이후 보안 컨설턴트로 근무했다. 이 또한 많은 이들이 알고 있는 사실이다. 그러나 많은 이들이 모르는 사실 하나가 있다.

그가 지금도 직업적으로 해킹을 하고 있다는 것이다.

미트닉은 해킹 작업에 있어 소셜 엔지니어링이 아주 중요하다고 자주 강조한다. 그에 따르면 이는 대부분의 보안 컨설팅에서 미흡하게 다루는 부분이다.

그는 일반 대중을 해킹, 이들에게 실제로 접근함으로써 경각심을 높이곤 한다. (물론 승인을 받고서다.) 전형적인 교육은 대중을 지루하게 만들 수 있기에 미트닉은 고객을 실제 해킹, 이들이 미래에 아주 손쉽게 해커의 희생양이 될 수 있음을 보여주면서 자신의 주장을 실감나게 납득시킨다.


캐빈 미트닉의 명함.

보안 컨설팅 기업 KnowBe4의 CHO(Chief Hacking Officer)인 미트닉은 최근 해킹과 취약점 공격에서 개인 정보를 보호하는 내용을 자세히 다룬 '아트 오브 인비저빌리티(The Art of Invisibility, 은닉 기법)'이라는 책을 저술하고 있다. 그는 저서를 발간하기에 앞서 일반 사용자들이 자신의 모바일 기기 보안성을 높일 수 있는 방법 몇 가지를 공유했다. 참고로 지난 주 샌프란시스코에서 열린 RSA 컨퍼런스에서 진행된 미트닉과의 인터뷰 내용 3월 10일 게시할 예정인 FATcast 포드캐스트에서 확인할 수 있다.

직접 이야기해본 결과 미트닉은 사용자들이 미저 생각하지 못했던 점을 생각하도록 만드는 재주가 있었다. 이를테면 오늘날 프라이버시(개인 정보 보호) 때문에 약정 없이 버너폰(선불 결제 휴대폰)을 구입하는 사람들이 있다. 그러나 미트닉은 이런 안전한 장치 또한 프라이버시를 위태롭게 만들 수 있다고 지적했다. 구매 장소까지 갈 때 이용한 우버(Uber)나 렌트카로 구매 기록을 파악해 추적할 수 있기 때문이라는 설명이다. 즉 상점까지 이용한 교통편이 해당 전화기에 대한 식별 정보를 제공할 수 있다.

피싱에는 사람들이 신뢰할 수 있는 출처에서 발송된 이메일이나 메시지로 믿도록 속이는 소셜 엔지니어링 과정이 수반되는 것이 일반적이다. 예를 들어, 페이팔(PayPal)이나 직장 상사가 보낸 이메일로 속이는 것이다.

표적이 된 사용자가 이메일을 신뢰하면 애플리케이션을 열고, 파일을 다운로드 받고, 암호나 다른 정보가 든 답장을 보내고, 또 다른 악성 페이로드를 전달하는 웹사이트를 방문하게 된다.

미트닉은 컴퓨터보다 사람을 해킹하기 더 쉽다고 강조했다. 사람은 감정, 그 날 겪은 일에 따라 행동이 달라지기 때문이다. 따라서 과거 해킹을 당한 경험이 없는 사람이라면, 그를 상대로 소셜 엔지니어링을 하기란 어렵지 않다고 그는 전했다. 그거 기기 종류별로 전하는 보안 실용 팁은 다음과 같다.

스마트폰
미트닉은 또 사람은 으레 게으르고, 이는 해커에게 큰 이점이 된다고 지적했다. 그는 RSA 컨퍼런스에 참석한 보안 전문가들이 전화기 잠금을 해제하는 것을 보고, 이들이 긴 비밀번호가 아닌 4자리의 짧은 비밀번호로 잠금을 설정하는 것을 다수 목격했다고 말했다. 그에 따르면 비밀번호는 표적이 될 사람을 파악하는 방법 중 하나다. 물론 4자리의 짧은 비밀번호로 잠긴 전화기를 해킹하기가 훨씬 쉽다.

그렇다면 미트닉은 어떤 스마트폰 기종을 이용하고 있을까? 보안성에 중점을 둔 신상 스마트폰들인 블랙폰(Blackphone) 2 나 튜링폰(Turing phone)을 사용할 것이라고 생각할지 모르겠다.

그러나 미트닉이 사용하는 전화기는 평범한 아이폰이다. 그는 아이폰을 안전하게 만드는 것은 사용자의 선택과 행동이라며, 행동이 장비보다 중요하다고 강조했다. 가경 4자리 짧은 암호 대신 숫자와 문자를 섞은 긴 비밀번호를 사용하는 것이 한 사례다.

그는 또 자신이 (해외 여행을 마치고 미국으로 돌아왔을 때 등) 전화기 잠금을 해제하라는 지시를 받았을 때, 전화기를 다시 부팅해 터치 ID가 작동을 중단하도록 만든다고 전했다. (다시 부팅하면 비밀번호를 이용해야만 전화기 잠금을 풀 수 있음). 그는 "사법부는 지문으로 전화기 잠금을 해제하라고 명령할 수 있다. 그러나 비밀번호를 공개하라고 강요할 수 없다"라고 설명했다.

미트닉은 아이폰을 선호하는 또 다른 이유가 있다며 대부분의 휴대폰 해킹 공격이 안드로이드 스마트폰을 표적으로 삼고 있기 때문이라고 전했다. 단 아이폰도 해킹될 수 있으며, 100% 안전한 장치는 없다고 그는 덧붙였다.


X