IoT 수조를 통해 훔친 데이터
사이버 보안 기업 다크트레이스(Darktrace)는 2017년 인터넷에 연결된 수조를 사용하여 북미의 한 카지노에서 데이터를 훔친 해킹 사례를 발견했다고 발표했다. 수조에는 수온과 수조의 청정도를 모니터링하고 조절하며 물고기 섭식을 통제하는 PC에 연결된 IoT 센서가 탑재되어 있기는 했다.
다크트레이스의 사이버 정보 및 분석 책임자 저스틴 피어는 “누군가 수조를 이용하여 네트워크에 침투하여 다른 취약성을 스캔하여 발견한 후 네트워크의 다른 곳으로 횡 이동했다”라고 말했다.
이 카지노의 이름은 공개되지 않았지만 보고서에 따르면 데이터가 외국에 있는 장치로 전송됐다. 핀란드라고 생각했다면, 정답이다. 다크트레이스의 CEO 니콜 이건은 런던에서 열린 한 행사에서 참석자들에게 해커들이 네트워크에 침투한 후 하이 롤러 데이터베이스에 액세스했다고 설명했다. 참고로 하이 롤러 데이터베이스는 ‘고래’라고도 불린다. 말 그대로 ‘작은 물고기’에서 ‘고래’로 이동한 셈이다.
CEO를 속인 비싱(Vishing) 공격
우리 모두가 이메일 피싱 공격에 주의하고 있지만 상사가 전화를 해서 무엇인가를 부탁한다면 어떨까? 자신이 보이스 피싱이나 비싱 공격의 피해자가 될 수도 있다고 의심할까?
AI 기반 비싱 공격의 첫 보도 사례는 2019년 잉글랜드에서 발생했다. 범죄자들은 상업용 음성 생성 AI 소프트웨어를 사용하여 영국에 위치한 에너지 기업을 소유한 한 독일 기업의 상사를 사칭했다.
범죄자들은 영국의 CEO에게 전화를 걸어 헝가리의 한 공급회사에 24만 3,000달러를 송금하도록 속였다. CEO는 상사의 독일식 억양과 음성 패턴을 인지했으며 통화 중 의심이 들지 않았다. 그러자 범죄자들은 더 큰 욕심을 부리게 되었고 다시 큰 금액을 송금하도록 요청했다. 이번에는 CEO가 거부하게 되면서 책략이 실패했다.
하지만 경찰은 범인을 잡거나 돈을 돌려받도록 도와줄 수 없었다. 이것은 새롭고 무서운 AI 기반 딥페이크(Deepfake) 시대의 시작에 불과할 수 있다.
펌프 해킹으로 얻은 공짜 기름
해커들은 일반적으로 현금이나 암호화폐를 노린다. 그러나 2019년, 프랑스 경찰은 토탈(Total) 주유소에 설치된 특정 브랜드 펌프의 잠금을 해제하는 특수 리모콘으로 기름 펌프를 해킹함으로써 파리 인근의 주유소에서 약 2만 5,000갤런의 연료를 훔친 5명을 검거했다.
이 해킹은 일부 주유소 관리자들이 기름 펌프의 기본 비밀번호(0000)를 변경하지 않아 가능했다. 해커들은 PIN 코드를 사용하여 연료 가격을 재설정하고 충전 한계를 없앴다.
그 팀의 한 해커가 리모콘을 사용하여 기름 펌프의 잠금을 해제하자 뒷편에 큰 탱크를 실은 밴이 들어와 한 번에 최대 750갤런의 기름을 충전했다. 그들은 그 기름을 어떻게 했을까? 그들은 소셜 미디어에서 광고를 하고 기름을 할인된 가격으로 재판매 했다. 경찰은 일당이 체포되기 전까지 약 17만 달러를 벌어들였을 것으로 추정하고 있다.
지역 경찰을 화나게 한 도로 표지판 해킹
취약한 로그인 자격 증명은 계속 반복되는 보안 문제이다. 일단의 해커들은 전자 게시판과 표지판이 보급된 점을 감안해, 이에 대한 제어권을 확보했다. 그들은 우스꽝스럽거나 선정적인 메시지를 표시하는 장난을 쳤다.
텍사스의 한 남자가 개와 함께 산책하다가 운전자들에게 공사에 대해 경고하는 표지판을 발견했다. 그는 곧 전자 메시지판의 사용자 이름/비밀번호를 추측하고 표지판 내용을 변경했다. ‘미친듯이 운전 하시오!’(Drive Crazy Yall.)라는 메시지였다. 한 이웃이 현장을 보고 경찰에 연락했다. 경찰은 이를 ‘유머’로 인정하지 않았으며, 그 남자는 범죄 혐의로 기소됐다.
지난 9월에는 후드티를 입고 마스크를 착용한 2명의 젊은이들이 미시건의 오번 힐스에 소재한 고속도로 옆에 있는 디지털 게시판에 성인물을 표시했다. 게시판 아래의 작은 건물에 침입해서였다. 경찰에 따르면 감시 영상에 찍힌 두 사람은 침입한 지 15분 만에 자리를 떠났다는 점에서 비밀번호를 크랙킹 하기가 그리 어렵지 않았던 것 같다. 운전자들이 20분 동안이나 이 영상을 본 후에야 경찰이 출동하여 영상을 껐다.
자카르타에서 교통 체증을 겪고 있던 24세의 한 IT 전문가는 거대한 전자 게시판을 올려다 보다가 화면에 잠시 실수로 표시된 로그인 자격 증명을 포착했다. 이에 그는 시스템을 해킹하여 하드코어 성인물을 스트리밍했다. 인도네시아는 매우 보수적인 무슬림 국가이기 때문에 당국은 매우 분개했다. 이 장난을 한 사람은 기소됐다. 최대 6개월의 징역이 선고될 수 있다.