"해킹 방식을 혁신하다" 2018년 가장 흥미로운 사례 8가지

CSO
매년 새롭게 무언가를 시도하는 해커는 사실 극소수에 불과하다. 전체 도시의 인프라를 탈취하고 몇 초 만에 무슨 암호이든 크랙할 수 있는 '놀라운' 해커가 많다고 생각하겠지만 실제로 해커 대부분은 '평균적인' 지능을 가진 평균적인 사람이다. 즉 대부분은 새로운 것을 시도하지 않는다. 몇 년(심지어 몇십 년) 동안 '통했던' 방법을 반복할 뿐이다. 다른 이의 해킹 기법을 이용한 다른 사람의 툴을 사용하는 것이다.

© Getty Images Bank

그렇기 때문에 우리가 특히 관심과 주의를 기울여야 하는 것은 과거에는 불가능했던 해킹을 도와주는 '새롭고 혁신적인' 해킹 기법이다. 이런 측면에서 2018년 한 해 가장 '흥미로웠던' 해킹 사례를 정리했다.

IoT 해킹 증가
오래전부터 예상된 것처럼, 사물인터넷(IoT) 기기 해킹이 증가하고 있다. 생활과 업무 모두에 IoT 기기가 널리 사용되면서 개인과 기업 모두를 표적으로 해킹이 이뤄지고 있다. 심지어 안전을 위해 사용하는 기기가 역으로 해킹 툴로 악용되기도 한다.

2가지 대표적인 사례가 있다. 올해 미국 특검은 기소장에서 러시아 기업과 러시아인의 이름을 구체적으로 적시했는데 단순히 추측이 아니었다. 네덜란드 정보기관이 이 러시아 기업과 사람을 모니터링하는 비디오 카메라를 해킹해 밝혀낸 것이었다. 네덜란드 정보기관의 행위를 무조건 비난하는 것은 아니지만, 분명한 것은 민감한 활동이 일어나는 건물에 IP 연결 장치를 설치한 기업이나 사람에게 이는 '경고의 신호'라는 점이다.

최근 한 해커가 신생아의 부모가 아기를 지켜 보기 위해 설치한 네스트(NEST) 카메라를 해킹한 일이 있었다. 이 해커는 침실에서 자는 아이의 부모에게 자신이 아기를 납치했다고 거짓말을 해 기겁하게 했다. 몇 년 전부터 이런 식으로 가정용 IP 연결 기기에 대한 공격이 계속되고 있다. 가장 대표적인 것이 올해 고스트DNS(GhostDNS) 악성코드가 10만 개의 가정용 라우터를 탈취한 사례다. 가정이나 기업에 IP 주소를 가진 장치가 있다면, 언제든지 해킹 당할 수 있으니 방어 체계를 구축해야 한다.

비밀 데이터 유출 및 조작
랜섬웨어는 지독하다. 데이터를 암호화한 후 해독에 대한 대가를 요구한다. 적절히 백업해 사본을 갖고 있다면 겁낼 필요가 없다. 해커를 쫓아버린 후 데이터를 복원하고 이런 일이 또 일어나지 않도록 하면 된다. 하지만 일부 해커는 사이버 몸값(랜섬)을 지불하지 않으면, 훔친 데이터를 공개하거나 경쟁자에게 넘기겠다고 위협해 상황을 반전시킨다. 소니 픽처스는 비밀 데이터가 공개되었을 때의 피해와 후폭풍을 보면 알 수 있다.

이와 함께 미국 정부는 관련 자료에서 무결성 공격에 대한 우려를 표명하고 있다. 공격자가 나중에 피해자가 이용하게 될 데이터를 탈취한 후 악의적으로 조작하는 공격이다. 이런 무결성 공격은 피해와 영향이 드러나기 전에는 감지될 확률이 낮다. 현재 대부분의 무결성 공격은 국가 정부가 관여된 공격이다. 그러나 컴퓨터 보안 전문가는 산업 스파이 활동이나 새로운 랜섬웨어 공격의 일부로 기업에도 이런 형태의 공격이 시작할 될 것으로 예상한다.

기만적인 광고 기법
온라인 마케팅에는 항상 교활하고 기만적인 광고가 동원되곤 했다. 최악의 광고는 갈색 점, 또는 머리카락 한 올 형태의 모바일 배너 광고다. 사용자가 스크린에 점이나 머리카락이 묻은 줄 알고 만지면, 클릭이 돼서 광고로 연결된다. 아주 교활하고 기만적인 광고 기법이다. 향후 악성코드에도 악용될 가능성이 있다.

C&C에 사용될 밈(Meme) 기반 스테가노그래피
흥미로운 기법이다. 악성코드가 시스템을 감염시킨 후 밈 사진을 다운로드한다. 여기에는 스테가노그래피(steganography)를 사용한 C&C(Command & Control) 명령이 내장돼 있다. 악성코드가 C&C 채널 감지를 회피하려 시도할 때 유용할 기법이다.
 
---------------------------------------------------------------
보안사고 인기기사
->책임자 사퇴까지… 대가 톡톡히 치른 정보 유출 사고 9선
->"소니의 아픔이 '남의 일'이 아닌" 비밀번호를 유출한 11개 사이트
-> '보안 사고는 어디서나 발생한다' 주요 산업별로 본 현황
->2014년, 최악의 데이터 유출 사고는?
->칼럼 | '정교한' 공격이라서 당했다고? 진짜?
---------------------------------------------------------------

공급망 감염
블룸버그의 숨겨진 중국 스파이 칩에 대한 보도는 많은 전문가가 공급망 공격에 대해 생각하도록 했다. 악의적인 의도를 가진 공격자가 악성 소프트웨어 명령이나 하드웨어를 프로세스에 이식해 최종 제품을 해킹하는 공격이다. 업체는 이를 인지하지 못할 수도 있다.

필자는 개인적으로 중국 스파이 칩에 대한 보도가 사실이라는 증거가 없다고 판단하지만, 공급망 공격은 실재하는 공격이다. 다만 하드웨어가 아닌 소프트웨어를 사용한다. 해커가 프로그래밍 언어를 오염시켜, 이 프로그래밍 언어를 사용하는 애플리케이션이 만들어질 때마다 취약점 공격이 가능한 취약점을 발생시킨다. 실제로 중국에서 50여 애플리케이션이 오염됐고, 이로 인해 10만 건의 위챗(WeChat) 결제 랜섬웨어 감염 사고가 발생했다. 오픈 소스 프로그램을 감염시켜 해커가 악용할 내부 경로를 확보하려 한 공격도 수십 차례 있었고 일부는 성공했다.

프린터 스팸
악의적인 공격보다는 불쾌한 공격에 가깝지만 동시에 흥미로운 공격이다. 20년 전부터 인터넷 연결 프린터를 표적으로 삼는 공격에 대한 이야기가 있었다. 그런데 일부 해커가 마침내 이를 대규모로 실현했다. 해커가 인기 유튜브 채널인 퓨다이파이(PewDiePie)를 구독하라고 요청하는 스팸 메시지를 인쇄한 공격이다. 바보 같고 무해한 메시지다. 그러나 또 다른 해커가 이런 종류의 취약점으로 ‘가짜’ 폭발물 위협을 해서 사람들을 공포로 몰아넣을 수도 있다.

드론 해킹
드론은 꽤 재미난 기기다. 필자의 아들과 가장 친한 친구 역시 드론에 푹 빠져 있다. 드론은 큰 ‘사업’이 되고 있다. 고압 전선 점검같이 큰 비용이 들고 위험한 일자리를 빠른 속도로 대체하고 있다. 이와 동시에 드론 해킹도 등장했다. 드론이 전쟁에 더 많이 사용되고 있다는 점을 고려하면 앞으로 해킹 보고서에 드론 해킹이 정기적으로 등장할 것이다.

기타 하드웨어 해킹
당연히 가장 큰 재앙을 초래한 컴퓨터 보안 취약점은 2017년 공개된 칩 수준의 멜트다운(Meltdown)과 스펙터(Spectre)다. 1995년 이후 만들어진 프로세서 대부분이 대상이다. 악성 취약점이 (해당 취약점에 대한 패칭 이외의) 모든 컴퓨터 보호 체계를 통과하고, 로그 파일에도 기록되지 않는다. 개발된 취약점 코드가 무법지대에서 공유되지 않았기 때문에, 패치가 적용되기 전에 전 세계 규모의 사고가 발생하지 않았을 뿐이다.

칩 취약점에 대한 발표는 하드웨어와 칩 취약점에 대한 ‘관심’을 일깨운 것으로 보인다. 멜트다운과 스펙터 같은 취약점이 더 많이 발견됐고 블루투스도 해킹됐다. 자가 암호화 하드 드라이브의 취약점도 발견됐고, UEFI 부팅 소프트웨어 루트킷도 마찬가지다.

필자는 최근 수백, 수천 만에 피해를 초래한 기록 데이터 침해 사고보다 이런 새로운 취약점 기술과 기법이 더 우려된다. 데이터 침해 사고 대부분은 소셜 엔지니어링이나 패칭을 하지 않은 소프트웨어가 원인이지만 다른 무엇보다 이런 종류의 공격을 걱정해야 한다. 집중, 집중, 또 집중해야 한다. 유능한 컴퓨터 보안 엔지니어는 새로운 위협, 진화한 위협을 계속 주시한다. 그래서 이런 위협이 큰 반향을 일으키기 전에 대응할 수 있다. ciokr@idg.co.kr