모바일모드 | 로그인 | 회원가입
2020년05월26일tue
 
티커뉴스
OFF
뉴스홈 > 뉴스 > IT.과학 > 컴퓨터  
트위터로 보내기 싸이월드 공감 네이버 밴드 공유
쪽지신고하기 기사글확대 기사글축소 기사스크랩 이메일문의 프린트하기
등록날짜 [ 2020년05월13일 21시09분 ]


          

김준형 (現) SK인포섹 SOC 모듈장
컴퓨터시스템응용기술사
정보통신공학(정보보호 전공) 석사

본 내용은 한국기술사회 회지 봄호(2020.04)에 게재된 내용을 재구성한 것임을 밝힙니다.

1. 사이버 공격의 무대 ‘정보화 사회’의 시작

1980년 앨빈 토플러가 ‘제3의 물결’이라는 이름으로 미래를 예견한 이후 본격적인 정보화 사회가 시작된 지 어느덧 40년. 현대 사회에서 ‘정보’는 매우 중요한 가치를 지니고 있음을 누구도 부정할 수 없을 것이다.

 
<표1> 앨빈 토플러의 물결이론

과거의 정보는 지금과 달리 체계적이거나 양적으로 풍부하지 않았으며 군사, 금융 등의 특수분야에서 주로 활용되어왔다. 물론 일반인이 정보를 활용하지 않았던 것은 아니지만 일상적인 개념에 있어서 현재와는 다소 거리가 있었다. 현재의 정보는 군사, 금융 등 특수분야뿐 아니라 친구와 멋진 저녁 식사를 하기 위해 식당을 찾는다거나 저렴하고 좋은 품질의 노트북을 구매하기 위해 온라인 쇼핑몰 후기를 검색하는 등 우리 생활 아주 작은 곳에서까지 활용되는 개념으로 바뀌었다.

위 사례와 같이 정보의 활용 가치가 바뀐 것은 인터넷을 포함한 과학기술의 발전이 많은 부분을 차지하였다고 할 수 있으며 과학기술이 발전할수록 정보의 가치는 더욱 중요해지고 유형도 다양해지고 있다.

이렇게 높아진 정보의 가치에 따라, 이를 둘러싼 범죄의 형태도 달라지고 있다. 과거에는 사람 간의 물리적 충돌에 따른 전통적 범죄가 잦았다면 최근에는 정보와 관련된 사이버 공격의 비중이 높아졌으며 역설적으로 이러한 사이버 공격에 악용되는 것이 바로 과학기술이다.


<그림1> 사이버 범죄 발생·검거 현황(2019년) (출처: 사이버경찰청 경찰통계자료)

현대 사회에서는 모든 것이 정보로 활용될 수 있으므로 누구나 사이버 공격에 노출되어 있으며 이로 인해 생명, 재산 등 소중한 것을 잃을 수 있다는 것을 염두에 둬야 할 것이다.


2. 정보화 사회의 부작용 ‘사이버 공격’
1) 호시탐탐 나를 노리는 ‘전화 금융사기’


정보의 유형은 다양하게 분류할 수 있으며, 근래 가장 익숙하게 들어본 정보의 유형이 바로 ‘개인정보’일 것이다. 개인정보는 사람과 관련된 모든 정보를 말하며 주민등록번호, 전화번호, 이름 등 우리가 흔히 알고 있는 정보뿐 아니라 한 사람의 이동지역과 거리, 가족관계, 식습관, 여행 장소, 진찰기록 등 우리가 생활하며 생산되는 모든 내용이 개인정보가 될 수 있다.

이러한 관점에서 생각해 보면 오히려 개인정보 보호법상의 ‘개인정보’ 정의는 현재 상황으로 보았을 때 다소 협의적인 정의라고 판단할 수도 있다. 극히 단편적인 사례로서 요즘엔 금융 사이트 보안 강화에 따라 거의 불가능해진 불법으로 취득한 개인정보를 활용해 금융 사이트 해킹을 통한 금전탈취를 비롯하여 SNS(Social Network Service)에 업로드된 개인의 회사명, 나이, 자녀 이름 등의 정보를 악용하여 ‘자녀의 납치, 지인의 사고 소식’ 등으로 개인을 속여 금품을 탈취하는 등의 보이스 피싱이 지능화된 사이버 공격이라고 할 수 있다.

특히 전화 금융사기는 개인정보를 악용한다는 특징과 함께 공격대상이 정보 취득 및 활용이 상대적으로 취스 피싱은 정보화 기기를 다루는데 서툴거나 상대적으로 정보를 빠르게 취득하지 못하는 연령대의 사람을 목표로 삼는 경우가 많으며 가족의 이름, 회사명, 나이 등 피해자가 이미 알고 있는 정보를 활용하여 사기행각을 벌이므로 상대적으로 쉽게 속을 수밖에 없게 된다. 이러한 보이스 피싱은 금품을 갈취하는 것도 문제이지만 정보 소외계층은 나이가 많은 노인인 경우가 많아 가족의 사고 소식 등의 충격으로 인한 인명사고가 발생할 수 있다는 점에서 매우 악질적인 사이버 공격이라고 할 수 있다.


<그림2> 전화금융사기 피해 사례 (출처: 대한민국 정부 대표 블로그 정책 공감 카드뉴스)
 
2) 서비스를 거부한다! ‘DDoS 공격’

그렇다면 정보를 악용한 사이버 공격만 있을까? 정답은 당연히 ‘아니오’이다. 정보를 악용하는 것과 반대로 정보를 제공하지 못하게 하여 금품을 요구하는 사이버 공격도 있다. 우리가 많이 이용하는 온라인 쇼핑몰의 경우 사이트 접속이 하루만 안 되어도 직접적인 영업 손실은 물론이고 고객의 항의 및 탈퇴 등 간접적이고 지속해서 발생하는 영업 손실은 감히 계산하기 어려울 것이다. 이러한 점을 노려 등장한 사이버 공격이 바로 ‘DDoS(서비스 거부 공격, Distributed Denial of Service)’이다.

DDoS는 Target 지향 공격으로 온라인 쇼핑몰 서버 등과 같이 Target으로 지정된 시스템이 서비스를 못 하도록 방해하여 서비스 제공자에게 금품을 요구하는 아주 획기적이었던 사이버 공격이다. DDoS의 공격방식은 보안이 취약한 PC(Personal Computer) 또는 노트북에 악성코드를 몰래 설치하여 좀비 PC를 만들고 이 좀비 PC가 Target 시스템에 대량의 네트워크 트래픽을 전송하도록 조종하여 정상 사용자가 Target 시스템에 접속하지 못하도록 방해하는 방법을 사용한다. 약한 정보 소외계층이라는 것이 또 하나의 특징이다.
 

<그림3> DDoS 공격 원리 (출처: IT동아, 디지털 용어정리)

이러한 DDoS는 지금도 매우 효과적인 공격이지만 좀비 PC를 이용하는 공격 특성상 공격할 수 있는 시간이 정해져 있다. 실제로 근무 중인 회사에서 DDoS 공격을 받았을 때 퇴근 시간인 오후 6시가 지나면 신기하게도 공격 트래픽이 현저하게 떨어지는 것을 경험할 수 있었다. 하지만 지금까지의 DDoS가 PC 또는 노트북 등 사용하지 않을 때는 전원이 꺼지는 기기를 이용하여 공격하였다면 앞으로는 언제나 전원이 켜져 있는(Always ON) 기기인 핸드폰, 지능형 냉장고와 같이 소형 PC가 내장된 백색 가전기기 등을 활용하여 24시간 내내 지겹도록 지속적인 공격이 발생할 것으로 우려되고 있다. 기술이 조금만 더 발전하면 우리 집 냉장고가 좀비 PC가 되어 DDoS 공격을 수행하게 될 수도 있다.

3) 나의 추억을 암호화해주는 ‘랜섬웨어’

상기 사례 못지않게 빈번한 사이버 공격이 바로 랜섬웨어일 것이다. 랜섬웨어는 PC 또는 노트북에 컴퓨터 파일의 암호화를 수행하는 악성코드를 몰래 설치하여 악성코드가 설치된 PC에 있는 모든 파일을 암호화한다.

해커는 PC에 있는 모든 파일을 암호화하여 도대체 무엇을 노리는 걸까? 단순한 예를 하나 살펴보자. 상술한 정보화 사회가 시작되며 과거에는 인화된 형태로 앨범에 보관하던 사진을 현재는 디지털 형태인 컴퓨터 파일로 주로 보관한다. 디지털 파일 형태의 사진 속에 남아있는 어린 시절 우리 아이의 모습, 돌아가시기 전 즐거워하시던 부모님의 모습, 힘든 시절 함께 하는 것만으로도 든든했던 친구들의 모습 등 내 추억이 고스란히 남아있는 사진 파일이 암호와 되어 다시는 볼 수 없게 된다면, 인생이 담긴 추억을 하루아침에 잃어버리는 것과 같을 것이다. 해커는 바로 이러한 점을 노리는 것이다. 암호화된 파일을 암호화 이전 상태로 되돌리는 복호화 할 수 있는 암호키 전달을 목적으로 금품을 요구하는 사이버 공격이 바로 랜섬웨어이다.

현대 사회에서 디지털 파일에 담긴 정보의 값어치는 어쩌면 돈으로 환산할 수 없을 만큼 큰 가치를 지니고 있으며 한번 손실된 정보는 그 어떤 방법으로도 복구할 수 없을지도 모른다. 해커는 이런 디지털 파일에 담긴 정보의 가치를 알고 있으며 디지털 파일을 암호화함으로써 정보의 가치를 인질(ransom) 삼아 몸값을 요구하는 방법을 사용하므로 인간의 심리를 잘 활용한 지능적인 사이버 공격이라고 할 수 있다.


<그림4> 랜섬웨어 감염된 PC에서 금품을 요구하는 화면 (출처: EST Security 알약 블로그)

3. ‘사이버 공격’으로부터 해방되기

그렇다면, 정보화 사회에 사는 우리는 과연 사이버 공격을 당하지 않기 위해 무엇을 해야 할까? 안타깝게도 사이버 공격으로부터 안전할 수 있는 완벽한 방법은 없으며, 앞으로도 마찬가지일 것이다. 다만, 사이버 공격 기법을 이해하고 사이버 공격에 사용되는 모든 항목을 최소화하여 사이버 공격을 당할 확률을 낮추는 게 가장 좋은 대응 방법이라고 할 수 있다. 이는 해커는 똑똑할 뿐 아니라 성실하고 항상 새로운 해킹 기술이 개발되므로 완벽한 방어는 불가능하기 때문이다.
 
사이버 공격을 당할 확률을 낮추는 방법으로는 먼저 정보 노출 최소화이다. 현대는 정보화 홍수 속에 살고 있으며, 그 홍수 속에는 개인정보를 비롯하여 나와 관련된 다양한 정보가 포함되어 있다. 앞서 전화 금융사기 사례에서 이야기했던 SNS에 업로드된 나의 정보, 뒤에서 누군가 보고 있다는 것도 모른 체 길거리에서 무심코 스마트폰에 입력한 패스워드 정보, 지하철에서 친구와 나눈 대화 등 우리가 살아가며 발생하는 모든 종류의 정보 노출을 최소화해야 한다.

SNS에는 불필요한 사진, 가족 이름, 동선 등을 업로드하지 말아야 하며, 공공장소에서 중요한 작업을 할 때는 주변에 보는 사람은 없는지 한 번쯤 의심해봐야 한다. 또한, 일상생활 속에서 나누는 대화를 엿들은 누군가가 내 정보를 악용하지 않도록 각별히 주의해야 한다.

두 번째 방범은 컴퓨터 기술 기반의 모든 전자기기 관리이다. 서두에 이야기한 것과 같이 과학기술의 발전으로 정보화 시대가 시작되어 우리의 삶이 더욱 편리해졌으나 아이러니하게도 우리를 불행에 빠지게 할 수 있는 사이버 공격 역시 과학기술을 이용한다. 특히 최근에는 1인 1기기뿐 아니라 스마트폰, 태블릿 PC, 노트북 등 1인 다기기 시대에 살고 있으므로 전자기기의 관리는 무엇보다 중요하다고 할 수 있다. 전자기기를 이용한 사이버 공격의 첫 번째 단계는 전자기기에 악성코드를 설치하는 것이다.

악성코드만 차단하여도 일반인을 대상으로 하는 거의 모든 종류(랜섬웨어, 개인정보·패스워드 등의 정보 유출, 좀비 PC 등)의 사이버 공격을 예방할 수 있으므로 ‘전자기기에 백신 설치하고 주기적으로 검사하기, 의심되는 인터넷 사이트 접속 금지, 불법 소프트웨어 다운로드 하지 않기’ 등 다소 귀찮고 불편하더라도 항상 관리가 필요하다.

마지막으로 항상 의심하기이다. 경제학에서 자주 사용하는 표현으로 ‘세상에 공짜 점심은 없다’라는 말이 있다. 기회비용의 원리를 설명할 때 자주 사용하는 표현으로, 모든 일에는 그에 상응하는 대가가 따른다고도 해석할 수 있다. 만일 특정 사이트에서 프로그램을 무료로 설치하게 해준다고 한다면, 그건 해당 프로그램의 홍보를 목적으로 하고 있거나, 해당 프로그램 사용 중에 표시되는 다른 제품의 공고 목적일 확률이 높다.

또 다른 사례로 간단한 온라인 설문만 하면 커피 쿠폰을 준다는 등의 이벤트도 의심해 볼 필요가 있다. 만약 해당 이벤트에 응모 및 설문에 참여 후 커피 쿠폰을 받게 된다면 받은 커피 쿠폰을 사용하기도 전에 가입 및 청약을 목적으로 하는 광고성 스팸 전화를 받을 수 있을 것이며, 최악의 경우 본인도 모르는 사이에 불법 사이트 회원으로 가입될 수도 있다. 이는 가치의 교환에 있어서 Give and Take를 항상 염두, 일방적인 호의에 대해서는 합리적인 의심을 통한 최소한의 경계가 필요하다는 의미이다.


4. 보안? 그게 그렇게 중요한가?


<그림5> Ford의 1970년대 인기모델인 Pinto의 연료탱크 결함 (출처: 없음)
 
세계적으로 유명한 자동차 회사 포드는 1970년대 인기 자동차로써 1,250만대가 팔린 자사의 Pinto를 놓고 고민을 하였다. 설계적으로 결함이 있어 폭발 위험이 있는 연료탱크를 수리(Recall)할 것일까에 대한 고민이 그것이었다. 우리의 상식으로는 폭발 위험이 있다면 당연히 수리해야겠지만 포드는 우리의 상식과는 반대의 결정을 내렸으며, 결정을 내린 이유는 바로 유명한 비용·편익분석이었다.


<표2> 포드의 비용·편익 분석

포드는 이러한 결정으로 당장의 비용은 절감할 수 있었으나 기업 윤리의 Worst Practice가 되어 사람들 속에 머릿속에 각인되었다. 그럼 과연 포드만이 편익을 선택하는 것인지 한 번쯤 고민해 볼 필요가 있다. 안타깝게도 상당수 기업이 편익을 우선하는 사례를 많이 보았으며, 기업뿐 아니라 개인 또한 편익을 선택하는 경우를 종종 볼 수 있다. 또한, 보안은 필수가 아니라 귀찮은 것으로 인식되어 패스워드를 기억하기 쉬운 단어로 설정하거나 주기적으로 변경하지 않는 등 보안사고 예방을 위한 노력이 다소 미흡하다고 할 수 있다.

앞으로 보안은 귀찮고 비용지출이 발생하는 사항이 아닌 나와 내 가족 그리고 내 추억과 재산을 지키기 위한 최소한의 노력으로 인식되어 많은 사람이 안전하게 정보를 이용하여 편리한 생활을 지속할 수 있기를 바라는 마음으로 이 글을 마치려고 한다.
올려 1 내려 0
문장수 이 기자의 다른뉴스보기
무통장입금 정보입력 입금자명    입금예정일자
(입금하실 입금자명 + 입금예정일자를 입력하세요)
[관련뉴스]
- 관련뉴스가 없습니다.
트위터로 보내기 싸이월드 공감
기사글확대 기사글축소 기사스크랩 이메일문의 프린트하기
“알바도 노동자다”‥단시간·...
성남시 공중화장실 379곳 ‘생...
경기도 온라인 평생학습 이용량...
충주시, 사회적 거리두기 참여...
광주상생일자리재단 설립 본격...
상도유통, 코로나19 위기 극복 ...
‘노무현 대통령 서거 11주기’...
영월 삼굿마을 고랭지 절... flash
해당섹션에 뉴스가 없습니다
현재접속자