ㅣ 악성코드 분석가 박시준
프롤로그
지난 주 필자의 인스턴스 메신저(Instant Messenger)로 후배가 평소와는 다르게 반말로 대화를 걸어왔다. 바로 요즘 유행하고 있는 메신저 피싱이다. 필자만 해도 이런 식으로 돈을 빌려 달라는 메신저 피싱을 4번이나 겪었으니 아마 인스턴스 메신저를 사용하는 대부분의 사용자들은 한번쯤은 겪었을 것으로 보인다.
▲ 그림 1 실제 메신저 피싱 예
이런 피싱 메시지는 주로 갑자기 사고를 당해 합의금을 대신 보내 달라고 하는 식이다. 최근에는 자신의 계좌에서 이체를 할 경우 실패를 하니 시험 삼아 계좌이체를 해 보라는 등 다양한 방법을 사용하고 있다.
이러한 메신저 피싱을 당해 계좌 이체를 해 피해자가 되면 송금한 당사자는 금전적 피해를 입게 된다. 또한 메신저 계정이 유출된 사용자는 개인의 신뢰도에 큰 상처를 입게 되며 자칫 오해로 이어져 사회생활에 악영향을 미칠 수 있다.
이런 메신저 피싱은 이전에 불특정 다수를 대상으로 국가기관, 금융회사, 택배 서비스 등을 사칭한 전화 사기에서 보다 발전된 형태로 타인의 인맥과 신용을 활용하여 범죄의 성공율을 높이는 행태를 취하고 있다. 2010년도에도 이러한 지능적인 범죄는 더욱 정교하게 우리의 허점을 파고들 것으로 예상되어 그 피해는 더욱더 커질 것으로 보인다.
그럼 이러한 범죄는 어떻게 예방해야 하는 걸까? 그러기 위해서는 여러 방법이 있지만 보다 효과적인 예방을 위해 직접 범죄자의 입장에서 이를 살펴보고 그 예방 방법을 찾아보도록 하자.
쫓고 쫓기는 끊임없는 추격전
대다수의 범죄가 그렇지만, 특히 IT 기술을 이용한 범죄는 날이 갈수록 그 방법과 수법이 더욱 정교해지고 있다. 새로운 형태의 범죄 수법이 나오면 정부와 관련 기관의 노력으로 그 확률이 낮아지게 되다.
그럼 범죄자는 낮아진 범죄 성공 확률을 높이기 위해 새로운 유형의 범죄로 발전하는 형태를 취하게 된다. 즉, 범죄자는 범죄 성공 확률을 높이기 위해 노력하고 정부와 관련 기관은 이를 막기 위해 노력한다. 끊임없는 추격전과 같은 형태를 보이고 있다.
따라서 보다 효과적으로 범죄를 예방하려면 현재 이루어지는 범죄의 트랜드를 이해하는 것이 좋다. 2009년도 초까지는 하나의 수단을 사용한 범죄가 유행했었다. 대표적인 예로 전화사기를 들 수 있다.
그 이외에 이메일(e-mail)과 팩스(fax)를 사용하기도 했었다. 하지만 2009년 후반으로 접어들면서 이런 트랜드가 조금씩 바뀌기 시작했다. 바로 인스턴스 메신저를 이용한 형태인데 이전의 범죄와는 큰 차이점이 있다.
바로 타인의 중요한 개인정보를 사용했다는 점이다. 일반적으로 인스턴스 메신저에 로그인하기 위해서는 아이디와 비밀번호가 필요하다. 즉, 아이디와 비밀번호를 고의적으로 유출시켜 이를 악용했다는 것을 알 수 있다.
정리해보면 [그림 2와 같이 범죄의 성공 확률을 높이기 위해 1차로 사용자의 아이디와 비밀번호를 유출했으며 그 결과를 이용하여 실질적인 범죄를 했다.
▲ 그림 2 메신저 피싱의 범죄 수법
그렇다면 어떻게 이런 메신저 피싱이 성공하게 되었을까?
대다수 사용자들이 오해하는 부분이 있는데 이런 메신저 피싱은 인스턴스 메신저 회사의 보안이 취약해서 발생한 것으로 오인한다는 것이다. 하지만 이는 잘못된 정보이다.
현재 국내 사용자들이 주로 사용하는 인스턴스 메신저는 대부분 어느 정도 큰 규모를 가진 회사에서 서비스 하고 있다. 이런 회사는 보안에 각별한 주의를 기울이므로 공격자의 입장에선 공략하기 어렵다.
그렇다면 어떻게 범죄자는 나의 메신저 계정으로 로그인을 했을까? 여기에 사용된 것은 기술적인 해킹 기법을 사용한 것이 아니라 대다수의 사용자들이 동일한 아이디와 비밀번호를 사용한다는 경험적 사고를 사용한 것이다.
디지털 해킹을 위해 아날로그적인 해킹 방식이 적용된 것이다. 이런 경험적 사고를 바탕으로 공격자는 보다 보안에 취약한 작은 규모의 인터넷 서비스 서버나 개인 사용자의 PC를 공격해 보다 손쉽게 개인 정보를 유출시키고 이 개인 정보를 활용해 보안이 잘 되어 있는 인스턴스 메신저에 다른 사람의 계정으로 로그인 하여 범죄를 한 것이다.
범죄자의 입장에서 생각해 본다면 실질적인 범죄를 하기 위해서는 먼저 개인 정보를 유출해야 한다는 결론을 낼 수 있다. 그럼 다시 사용자의 입장에서 본다면 이런 범죄를 예방하기 위해서는 나의 개인 정보가 외부로 유출되지 않도록 막는 것이 곧 범죄를 예방하는 길임을 알 수 있다.
내 개인 정보는 대체 어디서?
그렇다면 과연 나의 개인 정보는 어디서 유출되는 것일까? 필자 역시 모든 유출 경로를 알 수는 없다. 하지만 지금껏 경험적으로 유출될 가능성이 높은 경로를 하나씩 살펴보고 그 예방 방법을 알아보도록 하자.
- 편리함이냐? 보안이냐? 그것이 문제로다
많은 사용자들이 편리함을 이유로 비밀번호를 매우 쉽고 짧게 만들어 사용하는 경우가 많다. 특히 모바일 기기가 활성화됨에 따라 입력의 불편함을 해소하고자 숫자로만 구성되고 짧은 비밀번호를 선호하는 경향이 있다. 하지만 이는 보안상 매우 취약한 구조이다. 타인의 패스워드를 알아내는 가장 기초적인 방법인 정공법은 패스워드를 하나하나 대입해 보는 것을 말한다.
이때 주로 사용되는 것이 “1111”과 같은 패스워드나 사전에 존재하는 단어, 고유명사 등이 주로 사용된다. 따라서 비밀번호는 가급적 어렵게 설정해 놓는 것이 좋다. 특히 숫자 또는 사전에 존재하는 단어로 생성한 비밀번호는 정공법에 의해 쉽게 파악될 수 있으므로 가급적 피하는 것이 좋다.
따라서 숫자, 알파벳, 특수기호 등등을 다양하게 섞어서 비밀번호를 생성하는 것이 보안상 여러모로 유리하다. 단, 특정 서비스의 경우 패스워드에 특수문자 사용을 제한하는 경우도 있으므로 유의해야 한다.
나쁜 비밀번호의 예) 1111, 1234, play, abcd, seoul 등등
좋은 비밀번호의 예) ahn!2048 (사전에 존재하지 않으며, 고유명사도 아니며, 다양한 문자 셋을 섞어서 사용하여 추측이 불가능하게 만든 형태)
- 나의 개인 정보는 당나귀귀~
최근엔 굳이 PC방에 가지 않더라도 지하철 역, 커피숍 등등 누구나 쉽게 사용할 수 있도록 곳곳에 공용 PC가 비치되어 있다. 이런 컴퓨터는 제한된 사용자가 아닌 불특정 다수의 다양한 사람들이 사용한다. 따라서 보안 상태를 신뢰할 수 없다.
실제 이런 PC들을 살펴보면 해킹 툴(특히 키보드 입력 내용을 가로채 외부로 유출하는 형태)이 설치되어 있는 경우를 자주 볼 수 있다. 필자 역시 가끔 공용 PC를 사용해야 하는 경우가 있는데 이땐 PC에 해킹툴의 설치 유무를 잠시 살펴보고 사용한다.
하지만 일반적인 사용자의 경우는 수동으로 해킹툴의 존재 유무를 판단하기 매우 어렵다. 따라서 공용 PC에서는 가급적 아이디와 비밀번호를 사용하여 로그인을 하지 않도록 주의해야 한다,
특히 금융사이트에 접속해 개인 정보를 입력하는 것은 매우 위험하므로 각별한 주의가 필요하다. 그리고 불가피하게 사용을 했다면 자리를 떠나기 전에 실행되어 있는 모든 웹브라우저 및 프로그램을 종료하는 것이 좋다. 최근 웹브라우저는 여러 가지 편의를 위해 세션(session)과 쿠키(cookie)를 공유한다.
따라서 정상 종료하지 않고 자리를 비웠을 경우 다음 사용자는 내가 로그인 한 사이트에 접근해 나의 소중한 개인정보를 유출하거나 사생활을 침해 할 수 있다. 또한 불안한 경우에는 가급적 빨리 나의 PC에서 비밀번호를 변경하는 것이 좋다.
- 스파이웨어(spyware) 넌 누구냐?
4~5년 전부터 사회적 이슈를 가져온 스파이웨어는 이젠 친숙한 단어가 되었다. 스파이에어는 단어에서 알 수 있듯, 나의 소중한 개인 정보를 몰래 외부로 유출하는 악의적인 프로그램을 의미한다. 스파이웨어는 그 특성상 자신의 실행 사실을 숨겨서 동작한다. 따라서 일반적인 사용자는 자신의 PC에 스파이웨어가 설치되어 동작하고 있다는 사실을 인지하는 것인 사실상 불가능 하다.
따라서 이를 예방하는 것이 무엇보다 중요하다. 먼저 가장 기본적인 보안 업데이트를 충실히 수행해야 한다. 우리가 사용하는 운영체제인 윈도우(Windows)의 제작사인 마이크로소프트(Microsoft)는 매달 두 번째 화요일에 보안 업데이트를 발표하므로 둘째 주 수요일에 윈도우 업데이트를 해 주는 것이 좋다.
대다수의 사용자들은 윈도우 보안 업데이트를 하면 PC의 속도가 느려진다는 잘못된 정보를 알고 있거나 불편함을 이유로 하지 않는다. 하지만 이는 외출할 때 창문을 열어두고 외출 하는 것과 비슷한 경우로 도둑이 마음만 먹으면 집에 들어올 수 있는 보안 허점을 그대로 방치 하는 것이다.
최근 운영체제나 웹브라우저 이외 우리가 자주 사용하는 응용 소프트웨어의 취약점 또한 자주 발견되고 있다. 특히 어도비(Adobe)사의 다양한 웹 관련 응용 소프트웨어들이 전 세계에서 범용적으로 사용 되다 보니 이를 타겟으로 한 취약점이 수시로 등장하고 있다. 따라서 해당 소프트웨어의 보안 패치 역시 가급적 빨리 수행하는 것이 좋다.
요즘 소프트웨어는 대부분 자체 업데이트 기능을 가지고 있으므로 최신 업데이트 발견 시 사용자에게 이를 알리고 수행할 것을 권하는데 조금 귀찮더라도 가급적 빨리 하는 것이 보안을 위해서는 바람직하다.
그리고 무엇보다 신뢰할 수 있는 PC보안 업체의 보안 제품을 사용하는 것이 좋으며 더욱 중요한 것은 해당 보안 제품의 실시간 감시와 업데이트를 종료하지 않고 사용해야 한다. 상당수 사용자들이 속도가 느리다는 이유로 실시간 감시 또는 업데이트를 종료하고 사용한다.
필자가 근무하는 안랩의 경우도 하루에 수차례 엔진을 업데이트 한다. 이는 가급적 빠른 시간 내 새로 발견된 악성코드를 예방하고 진단하고 치료하기 위함이다. 하지만 실시간 감시와 업데이트가 꺼져 있을 경우 보안 제품을 사용하지 않는 것과 같다.
또한 외부의 침입이 발생할 수 있으므로 여건이 허락하는 한 PC 방화벽을 사용 하는 것도 좋다. PC 방화벽은 외부에서 내 PC로 침입하거나 내 PC의 정보가 외부로 유출되는 것을 차단해 준다.
- 동일한 아이디와 비밀번호의 사용
인터넷 서비스 제공 업체들이 모두 동일하게 높은 보안 수준을 유지하지는 않는다. 서비스 업체의 규모와 보안 인식에 따라 보안 수준은 천차만별이다. 따라서 같은 아이디와 비밀번호를 사용한다면 내가 사용하는 인터넷 서비스 업체의 보안 수준은 가장 낮은 보안 수준을 유지하는 서비스 회사의 보안 수준과 동일하게 된다.
그 이유는 보안이 허술한 서비스가 공격을 받아 개인 정보가 유출된다면 이 정보는 그 보안이 허술한 서비스뿐만 아니라 보안이 잘 되어 있는 사이트에도 나의 아이디와 비밀번호를 사용하여 접속이 가능해 진다. 또한 이 정보는 메신저 피싱과 같이 다른 범죄에도 사용될 수 있다.
가장 좋은 예방 방법은 모든 인터넷 서비스에 가입을 하지 않거나 모든 사이트마다 각기 다른 비밀번호를 사용하는 것이다. 하지만 이것은 현실적으로 거의 불가능한 일이다.
그렇기에 필자의 경우는 크게 3가지의 비밀번호를 사용하고 있다.
첫째, 금융기관용 비밀번호
둘째, 보안이 잘 되어 있거나 유출되면 직접적인 피해를 받는 곳을 위한 비밀번호
셋째, 유출되어도 직접적인 피해가 없는 곳을 위한 비밀번호
각기 용도에 따라 다른 비밀번호를 사용하여 보안이 비교적 허술한 곳의 비밀번호가 유출되어도 그 피해가 최소화 되도록 해 놓은 것이다. 각기 다른 비밀번호로 인해 조금은 불편하지만 이는 우리가 외출할 때 문단속을 하는 것과 유사하다고 보면 된다. 작은 불편함이 큰 보안 사고를 예방하는 쉽고 간단한 방법이기 때문이다.
- 나를 삭제하거나 차단한 친구는 누구?
얼마 전까지 인스턴스 메신저 또는 이메일을 통해 나를 삭제하거나 차단한 친구가 누구인지 알려준다는 서비스가 유행했었다.
▲ 그림 3 나를 삭제하거나 차단한 친구를 알려준다는 서비스
해당 서비스에 접속해 보면 메신저 아이디와 비밀번호를 입력하라고 나온다. 해당 사이트에 아이디와 비밀번호를 입력하면 지금은 서비스 할 수 없다고 나오거나 차단하거나 삭제한 친구가 없다고 나온다. 이런 서비스는 해당 인스턴스 메신저를 제작한 회사가 아닌 다른 곳에서 제작한 서비스로 정상 동작하지 않는다.
이 서비스는 나를 삭제하거나 차단한 친구를 알려주는 것이 아닌, 나의 개인 정보(아이디와비밀번호)를 수집하기 위한 가짜 서비스인 것이다. 즉, 나의 개인 정보를 범죄자에게 고스란히 넘겨준 셈이 되는 것이다.
수집된 인스턴스 메신저 계정과 비밀번호를 사용하여 또 다른 친구들에게 이런 메시지와 이메일을 보내는 수법을 통해 순식간에 전파되었다. 이렇게 수집된 개인 정보는 메신저 피싱이나 기타 다른 범죄에 사용된 것으로 추측된다.
국내에도 이와 같은 유형이나 사이버 머니 또는 아이템을 준다는 이유로 사용자의 아이디와 비밀번호를 입력하라는 서비스가 유행했었다. 이렇듯 불법적이거나 편법으로 무언가를 제공한다는 곳은 대부분 악의적인 목적으로 만들어졌을 가능성이 매우 높다.
자신의 개인 정보는 자신부터 지켜야 한다. “이건 비밀이야. 너만 알고 있어야 돼”라는 전제 조건을 붙이고 한 이야기 역시 말한 순간부터는 더 이상 비밀이 아니다. 얼마 전 유출되어 큰 사회적 파장을 일으킨 “해운대”영화 유출 사건 역시 “이건 너만 봐야 해”하고 준 것이 인터넷을 통해 순식간에 공유된 것이었다.
나조차 아무데나 입력하는 아이디와 비밀번호는 그 누구도 지켜줄 수 없다.
그리고 무엇보다 불법이고 편법으로 무언가를 무료로 제공 해주는 서비스는 없다. 무언가를 얻기 위해서는 정당한 노력이나 대가가 반드시 필요하다. 만약 이런 곳에 아이디와 비밀번호를 한번이라도 입력한 적이 있다면 꼭 지금 바로 비밀번호를 변경해야 한다.
에필로그
메신저 피싱이라는 실제 피해 사례를 통해 개인 정보가 얼마나 중요하며 그것을 지키기 위해선 어떤 노력을 해야 하는지 간략하게 살펴봤다.
우리는 집 밖에 나갈 때 창문은 물론 정문 역시 꼭 잠그고 재차 확인하고 나간다. 그리고 그 누구도 그것이 이상하다고 여기지 않는다. 컴퓨터 보안 역시 마찬가지다. 다만, 눈에 보이지 않는 부분이 많아 다소 어렵고 힘들게 느껴질 뿐이다.
윈도우 및 기타 업데이터들이 보안 업데이트를 하라고 하면 그때그때 마다 하고, 신뢰할 수 있는 PC보안 업체의 보안 제품을 사용하고 실시간 감시와 업데이트를 종료하지 않고 개인 정보를 다른 곳에 유출시키지 말고.. 비밀번호를 생성할 때 조금만 더 신경을 쓰면 된다. 어렵게만 보이지만 차근차근 수행하다 보면 창문과 정문을 잠그고 집 밖을 나가는 것과 크게 다르지 않다는 것을 쉽게 알 수 있을 것이다.
옛말에 “소 잃고 외양간 고친다”는 말이 있다. 실제 보안 사고가 발생하면 그 타격은 매우 크다. 지금 지인의 인스턴스 메신저에 등록된 친구중 6명의 대화명이 메신저 피싱 당했으니 돈 입금 하지 말라는 문구이다. 여러분도 대화명을 그렇게 바꿀지도 모른다. 하지만 확실한 것은 이전보다 조금만 신경 쓰면 아마도 그럴 일은 없을 거라는 것이다.
| |
ㅣ 악성코드 분석가 박시준
안철수연구소에서 악성코드 분석 업무를 담당하고 있으며 “안랩 칼럼니스트”로 활동하고 있다. 다양한 분야에 대한 스키마를 쌓는 것을 좋아하며, 세상을 함께 살아가는 구성원으로서 다른 누군가에게 조금이라도 도움이 되었으면 하는 마음가짐으로 오늘도 열심히 하루를 살아가려고 노력하고 있다.
-Copyrightsⓒ고성인터넷뉴스 www.gsinews.co.kr 무단전재 및 재배포 금지-
<한국지역인터넷언론협회 뉴스 이용규칙에 따른 저작권을 행사합니다.>