“숨을 곳은 없다” 우리를 위협할 새로운 해킹 시나리오 9가지

안전하지 않은 기기들이 우리 삶 속에 스며들고 있다. 이제 보안 위협은 단순히 디지털 세상에만 국한되는 것이 아니다.

대부분 컴퓨터 보안 전문가들이 예언한 것처럼 사물 인터넷(IoT, Internet of Things)이 점점 더 나빠지고 있다. 실제로 관련 제품을 출시하는 업체들 가운데, IoT 기기의 잠재적 위협을 온전히 이해하고 있는 경우는 거의 없는 것이 현실이다. 인터넷에 연결되어 코드를 구동하는 모든 대상은 악의적 해커의 공격 대상이 될 수 있다. 그럼에도 불구하고 인터넷 연결 기기는 더욱 빠르게 우리의 일상에 자리잡아가고 있으며, 우리 사회에 재앙에 가까운 상황이 연출될 수 있는 가능성도 커지고 있다. 예를 들어 해커들은 개인 보안 카메라를 이용해 그 소유자의 일상을 엿볼 수 있으며, 나아가 전에 없던 규모의 서비스 거부 공격(DoS, Denial-of-Service)을 행하는 시나리오도 예상해볼 수 있다.

더욱 우려되는 점은 IoT 기기의 취약성은 디지털 영역에만 영향을 미치는 것이 아니라는 사실이다. IoT를 활용한 공격은 사람들을 다치게 하고, 나아가 생명을 빼앗아 갈 수도 있다. 이론적인 이야기가 아니다. 이런 위협은 현재의 기술로도 충분히 가능하며, 그저 아직 실제 실행 사례가 없을 뿐이다.

여기 향후 우리를 위협할 아홉 가지 해킹 시나리오를 소개해본다.

심박 모니터 해킹
기록 가능 소프트웨어, 무선 통신, 인터넷 연결 기능을 갖춘 의료용 기기들에 대한 해킹은 오래 전부터 실존해온 위협이다. 심박 조율기, 심박 모니터, 정맥 주사기, 약물 투여기, 진단용 기구 등의 해킹 가능성은 이미 컴퓨터 과학자와 해커들에 의해 실증된 바 있다. 모두 환자를 사망에 이르게 할 수 있는 도구들이다. 이러한 도구들에 대한 위협은 곳곳에서 수시로 대두되고 있다.

물론 의료 관련 기술 업체들이 이런 취약성과 위협을 고려하지 않는 것은 아니다. 하나의 의료 기기가 시장에 나오기까지는 개발과 테스트에 10년에 가까운 기간이 소요되기도 하고, FDA, FCC 등 수많은 규제 기관들의 지침, 법률 검토 과정 역시 거쳐야 한다. 또한 의료기기 제조사들은 최신의 대중적인 소프트웨어를 이용하는 데에도 소극적인 집단이다. 개발에 긴 시간을 투자하고 소프트웨어 역시 보다 장기간에 걸쳐 검증된, 안전성 높은 것을 이용함으로써 제조사들은 출시 이후 자신들의 상품으로 야기될 수 있는 문제를 근절할 수 있다고 믿는다.

하지만 이런 노력으로 해킹의 위협이 완전히 차단되는 것은 아니었다. 지난 10년 간 의료 기기 시장에서는 다수의 리콜 사례들이 발생했고, 그 가운데 상당수는 사이버 보안에 그 원인이 있었다.

문제의 원인은 아이러니하게도 이들이 시행하는 장기간의 검증 과정과 다수의 규제 준수 활동들에 있었다. 소프트웨어나 코드는 리뷰 과정을 거쳐 시중에 공개된 이후에는 큰 규모의 업데이트를 진행하기 어려운 것이 사실이다. 그 결과 의료 기기들에 적용된 오래된 기술의 보안 기준과 수준은 그것이 처음 선보인 당시에 맞춰져 있는 경우가 많다. 시장의 최신 보안 방법론은 이들 기기와는 다른 세상의 이야기이며, 반대로 기기에 적용된 기술에 대한 해킹 방법은 이미 수 년 전 발견됐다. 의료 기기들에 대한 침투 테스트를 진행할 때 필자가 출발점으로 삼는 지점은 일반적인 컴퓨터라면 몇 년 전 패치가 이뤄졌을, 가장 오래된 기술 영역. 그리고 이 전략은 거의 매번 효과를 발휘하고 있다. 의료 기기 산업의 이러한 문제는 우리에게 한가지 교훈을 전해준다. 때론 과도한 신중함이 해킹의 위협을 확대함을 기억하자.

통제를 벗어난 자동차
요즘 자동차 광고들을 보자면 IT 기업의 홍보 영상을 보는 것 같다. 업체들은 멋진 사이버 기능이 어떻게 자동차의 성능과 엔진 기능, 스타일을 향상시키는지를 자랑스럽게 전시한다. 한 가지 멋진 기능에 매혹돼 계약서에 서명하는 밀레니엄 세대의 고객들에 대응하려면 충분히 합리적인 전략일 것이다.

문제는 차 문을 열고, 엔진을 정지하고, 운행을 조작하는 등의 활동까지 원격으로 가능하게 됐다는 점이다. 더욱이 자동차 회사들이 시스템 보안 문제에 주목한 것은 아주 최근의 일이다. 필자가 교류해온 시장의 관련 전문가들은 자동차가 ‘해킹에서 자유롭다’고 말할 수 있으려면 앞으로도 오랜 시간이 필요할 것이라 이야기한다. 한 차량 보안 전문가는 필자에게 “30년이 지났지만 아직도 완벽한 컴퓨터 보안은 불가능하지 않은가? 자동차에 있어서 이와 다른 태도를 취하는 것은 합리적이지 못한 생각이다”라고 이야기했다.

옳은 지적이다. 그럼에도 자동차 산업의 종사자들은 자신들이 판매하는 상품의 시스템을 보호하는 것을 그저 부차적인 문제 정도로 취급하고 있는 것이 현실이다. 전체 시스템을 보호하는 것이 어렵다면, 최소한 엔진이나 브레이크 등 탑승자의 생명과 직결된 요소들에 대해서만이라도 보안 조치를 취하는 것이 현실적인 해결책일지도 모르겠다. 필자와 대화를 나눈 한 차량 보안 전문가는 “스테레오 채널을 조작하거나 내비게이션 음성을 변경하는 것은 넘어갈 수 있는 문제다. 하지만 사람의 생명이 달린 문제라면 얘기가 달라진다. 이러한 요소의 보안과 관련해서는 우리가 필요한 역량을 충분히 갖추고 있다고 믿는다”라고 이야기했다.

버튼 한 번으로 열리는 현관
커넥티드 홈이 도둑들의 주목을 받고 있다. 가정에 네트워크를 통해 조작할 수 있는 기기가 있다면, 해당 기기들은 모두 잠재적 해킹의 대상으로 간주할 필요가 있다. 시스템 침입을 통해 현관 도어락을 열고, 경보 시스템을 해제하고, 차고 문이나 난방기 등을 조작하는 것이 가능해지는 것이다. 냉장고를 해킹해 스팸을 발송한 사례 등 역시 이미 현실에서 목격되고 있다.

커넥티드 홈의 대중화는 새로운 절도 전략의 등장을 이끌 것이다. 이제 도둑들은 창문을 깨부수는 대신 간단한 클릭만으로 현관과 차고의 문을 열 수 있게 될 것이다. 조용히 움직일 수 있는 곳에는 범죄자가 모인다. 더욱이 최신의 스마트 기기가 설치된 가정이라면, 그에 걸맞는 값비싼 물건들 역시 많다는 판단도 가능하다. 개인적으로는 전자 자물쇠를 비롯한 가정용 기기들이 시판되는 것이 조금은 시기상조가 아닐까 우려한다. 다행히 여러 소식통에 따르면 가정용 기기 제조사들의 보안에 대한 관심은 이전보다 확대되는 추세다.
빼앗긴(혹은 사기 당한) 휴가
휴가를 맞은 밥과 레오나 윌리엄스 부부는 장거리 운전 끝에 키 웨스트 지역의 렌탈 하우스에 도착했다. 계약서 사인은 이전에 진행했고, 집 열쇠도 입금 직후 발송이 완료됐다. 하지만 도착한 렌탈 하우스에서, 그들이 수령한 열쇠는 작동하지 않았다. 당황한 부부는 문을 두드렸다.

몇 분이 지나 집주인 아만다 터노프가 졸린 눈을 비비며 문을 열었다. 터노프가 한밤중 캐리어를 끌고 자신의 집 앞에 서있는 남녀를 보고 상황을 파악하는 데에는 오랜 시간이 필요치 않았다. 자신의 집이 또 한번 ‘허위 임대’된 것이었다. 이미 사고를 경험한 바 있는 터노프는 놀란 눈을 한 여행객들에게 먼로 카운티 보안관 사무실의 번호를 전해줬다. 얼마 전 휴가에서 돌아와 자신의 뒤뜰에서 파티를 즐기고 있는 쿠바인 가족을 목격했을 때보다는 한결 침착한 모습이었다.

이런 사건은 하루에도 수백 건씩 발생하고 있다. 많은 가족들이 색다른 경험을 위해 렌탈 하우스를 찾았다가 휴가를 망치고 돈도 날리는 피해를 겪는다. 때로 이 휴가 사기꾼들은 하나의 웹사이트를 통째로 위장해 문의 답변, 계약서 작성 등 과정을 모방하기도 한다. 다른 피해사례로는 패키지 투어를 일주일 단위로 중복 예약해 이후 도착한 커플이 아무런 체험도 누릴 수 없게 된 경우도 있다. 에어비앤비와 같이 전통적 크레이그리스트 방식을 차용한 개인 단위의 DIY 렌탈 사이트들이 급증하면서 사기는 더욱 용이해지는 추세다.

렌탈 사기를 막을 방법으로 전문가들은 보안망이 확실하게 작동하는 믿을만한 업체의 공식 사이트를 이용하고, 카드 결제 대신 계좌 송금을 요구하는 경우에는 나쁜 의도를 의심해 볼 것을 조언했다. 더불어 임대할 주택의 거주자에게 직접 확인 연락을 취해보는 것도 도움이 되는 방법이지만, 일부 범죄자들의 경우 실제 렌탈 중인 주택을 이용해 사기를 벌이기도 하기 때문에 이것만으로 안전을 확신해서는 안될 것이다.

랜섬웨어로 벽돌이 된 TV
TV는 더욱 스마트한 도구로 거듭나고 있다. 필자 역시 리모컨 하나로 케이블 방송에서 넥플릭스, 아마존, 훌루, 유튜브 등 각종 미디어를 감상하는 것은 물론 웹 서핑까지 편리하게 즐기고 있다. 하지만 이처럼 TV가 단순한 스마트 TV를 넘어 대형 스크린의 컴퓨터로 거듭남에 따라, 악성코드 감염과 해킹의 위험 역시 자연스럽게 확장되고 있다. 실제로 악성코드 감염으로 TV가 벽돌화된 사례는 이미 보고된 바 있다. ‘벽돌화’란 컴퓨팅 기기가 심각하게 손상돼 펌웨어 신규 작성 이외에는 복구 방법이 없는 상태를 의미한다. 그리고 펌웨어 작성은 업체의 제조 설비 이외의 공간에서는 현실적으로 불가능한 작업이다.

오랜 기간 악성코드 대응 솔루션을 연구해온 트렌드마이크로는 지난해 랜섬웨어에 의한 TV 벽돌화 가능성에 대해 경고한 바 있다. 랜섬웨어는 사용자의 데이터를 임의로 암호화하고 그것을 인질로 비용 지불을 요구하는 악성코드이다.

약 한달 전 트렌드마이크로는 자신들이 발견한 랜섬웨어 프로그램 한 건이 7,000 건 이상의 변종으로 분파된 것을 확인했다는 내용을 발표했다. 다행히 해당 악성코드는 현재는 판매가 중단된 특정 구형 스마트 TV에 대해서만 침투가 가능했다. 하지만 해커들의 공격은 이제 시작일 뿐이다. 악성코드 제작자들은 더욱 활발히 TV를 공격할 것이다. 필자 역시 사무용 노트북에 대해서는 공격자들이 요구하는 500달러의 암호 해제 비용을 단호히 거부하겠지만, 만일 애용하는 가정용 엔터테인먼트 시스템이 감염된다면 해커들의 요구를 마냥 무시할 수 있을지 장담하지 못하겠다.

모바일 폰 대상의 독스웨어
랜섬웨어에서 한 발 더 나아가 공격자들은 독스웨어(Doxware)라는 전략으로도 사용자를 위협하고 있다. 독싱(doxing)이라는 해킹 활동에서 유래한 독스웨어는 컴퓨터나 모바일 폰 자체를 잠그고 그 내부의 중요 문서, 채팅 기록 등을 유출하겠다고 협밥하는 전략이다. 프라이버시가 세상에 노출되고, 기업의 중요 지적 자산이 경쟁사에 넘어갈 것을 걱정하는 사람이라면, 독스웨어에 보다 주의를 기울이고, 혹 감염 피해를 입었다면 안타깝지만 신속히 합의금을 지불하는 것이 좋다.

기존의 랜섬웨어는 정기적인 오프라인 백업만으로 충분히 예방 가능한 위협이었다. 이를 이해한 공격자들은 사람들의 민감하고 중요한 정보를 인질로 삼기 시작했고, 때론 신용카드 정보까지 확보하며 경제적 측면에서도 직접적인 위협을 가하고 있다.

일반인의 기기를 활용한 공격 기법
수억, 수십 억의 일반 소비자 기기를 봇넷으로 만들어 악용하는 전략이 목격되고 있다. 보안 카메라나 IoT 기기를 이용해 스팸을 발송하거나 대규모 DoS 공격을 시행하고, 디지털 화폐를 절도하기까지 하는 것이다. 이 과정은 기본 설정 상태의 IoT 기기들을 찾아내 감염시키는 특수 설계 봇을 활용해 이뤄진다. 2016년 초 등장한 리눅스 기반 봇 미라이(Mirai)가 대표적인 사례다. 2016년 10월 소스 코드가 공개된 이후, 미라이는 범죄 집단이 악용하는 주요 도구로 자리잡았다.

공격자들은 미라이를 활용해 텔넷(Telnet, TCP 포트 23)과 기본 설정된 저급 패스워드(‘admin’, ‘12345’, ‘password’ 등)을 사용하는 취약한 IoT 기기들에 로그온하고, 접근이 성공할 경우 여타 원격 관리자들의 로그온 방식(SSH, HTTP 등)을 비활성화해 다른 접근들을 차단한다.

이로써 해커는 기기에 대한 독점적 접근권을 확보하게 되고, 이를 출발점으로 삼아 C&C 서버에 연결해 다음의 침입 대상과 목표를 확보한다. 연구자들에 따르면 이 공격 기법에 취약한 기기는 확인된 것만 수백만 대에 이른다. 일반 사용자들 가운데 자신의 무선 라우터, 인터넷 카메라, 심지어 냉장고가 다른 이들을 공격하는 도구로 악용될 수 있다는 점을 인지하는 이는 거의 없을 것이다. 혹 이미 자신의 기기가 그런 범죄 활동에 이용되고 있더라도, 알아차리기란 어려운 일이다. 사용자가 느낄 수 있는 변화는 그저 기기가 약간 느려진 것이 전부이기 때문이다.
IoT 봇은 과거의 이메일 바이러스, 그리고 최근의 랜섬웨어 뒤를 잇는 악성코드 시장의 루키로, 해커들의 주목을 받고 있다. 문제는 급속도로 확산되고 있으며, 각국의 정부 기관들도 이와 관련한 조사를 개시한 상태다. 전문가들은 2017년을 기점으로 IoT 제조와 관련한 새로운 규정, 법률들이 자리잡아갈 것으로 전망하고 있다. 안타깝게도 우리가 IoT 봇넷의 존재를 알아차리기 전 이미 시장에는 수억 대의 IoT 기기들이 자리잡은 상태며, 이들은 취약성을 안고 우리 사회 곳곳에서 공격을 기다리고 있다.

생체 정보 거래
패스워드를 폐기하는 움직임은 빠르게 전개되고 있으며, 그 자리를 이중 인증, 생체 인증이 대체하고 있다. 많은 이들이 생체 신원을 온전히 자신을 증명하는 최고의 도구라고 이야기한다. 누구도 다른 이의 망막을 훔칠 수 없기 때문이다. 하지만 이는 완벽한 착각이다.

대부분의 사용자는 자신의 생체 신원이 디지털 파일의 형태로 저장되고 있다는 점을 간과한다. 때로 우리의 생체 정보는 어떤 변환도 이뤄지지 않은 상태로(지문이나 망막의 자연적인 형태 그대로) 저장되고 있다. 이보다 흔한 경우는 신원 정보를 중간자 형태로 저장하는 것이다. 예를 들어 현재 우리의 지문 정보 대부분은 각 고저점을 선으로 연결한 별자리 형태로 저장되고 있다.

둘 모두 결국에는 우리의 신원 정보를 어딘가에 저장해두고 향후 대조에 이용하는 방식이기에, 저장된 정보가 탈취되면 그 보안 수준은 패스워드와 별반 다를 바 없어진다. 또한 한 곳에서 탈취한 생체 정보를 다른 시스템들에서 이용하는 것도 충분히 가능하다. 오히려 패스워드는 유출이 확인되면 변경이 가능하지만, 생체 정보의 경우에는 그마저도 어렵다. 현재의 과학 기술로 개인의 망막 형태를 바꾸는 것은 불가능하다. 생체 정보가 유출된다는 것은 존재 자체가 유출되는 것과 같다.

이런 문제는 2015년 미 인사국에서 발생한 500만 건 이상의 지문 정보 유출 사고 등 실제 대규모 생체 데이터베이스 유출 사고가 발생하며 표면화되기 시작했다. 그에 앞서 개인적으로는 1990년대 이미 정부로부터 본인의 지문 정보가 유출됐다는 통지를 받은 이를 알고 있다.

공식적으로 세계 최대의 지문 데이터베이스를 보유한 것으로 알려진 FBI 통합 지문 신원 자동화 시스템(IAFIS)은 최소 7,000만 건의 지문 정보를 보유하고 있으며, 세계 수만 곳의 기관, 수십만 대의 컴퓨터가 이 파일에 대한 접근권을 가지고 있다. 그런데 만일 외부의 누군가가 IAFIS의 시스템에 대한 접근권을 확보해 이 정보를 복제하게 된다면?

개인적으로는 생체 정보에 대한 맹신이 IoT가 안전하다는 미신 못지 않게 당혹스럽게 다가온다. 앞으로 이중 인증은 더 보편화될 것이며, 여기에서 생체 인증은 중요한 역할을 수행할 것이다. 그리고 이와 더불어 사용자의 생체 지표가 오늘날의 신용카드 정보처럼, 블랙 마켓에서 공공연하게 거래되는 것도 충분히 예측 가능한 시나리오다.

대부분의 컴퓨터 보안 전문가들이 생체 인증을 단독으로 활용하는 방식에 경고를 보내는 것도 이런 이유에서다. 생체 신원은 중요 정보에 접근하기 위한 유일한 열쇠 역할을 할 수는 없다. 때론 우리의 망막이 우리 머리 속의 PIN보다 더 훔치기 쉬운 대상일 수도 있음을 기억하자.

미아 방지 칩을 악용한 납치
이는 아직은 발생하지 않은 위협이다. 아직 본인의 자녀에게GPS 추적 장치를 삽입한 이는 우리 주변에 없기 때문이다. 하지만 애완동물에 해당 조치를 취하는 사례들이 생겨나는 것을 볼 때, 자녀에게 칩을 삽입하는 것도 일종의 필요악으로서 향후 예상 가능한 현상이다. 실제로 이미 몇몇 ‘스마트’한 부모들은 이것을 진지하게 고민 중인 것으로 알려져 있다.

하지만 자녀에게 부착된 GPS 칩이 때론 부작용을 야기할 수도 있다. 아동의 GPS 정보가 고스란히 범죄자의 손에 넘어갈 수도 있는 것이다. 정부나 칩 제조자들은 기술의 안전성을 확언하지만, 유사한 맥락에서 그간 안전성을 보장받은 의료 기기들이 범한 의료 사고들을 상기해본다면, 그들의 말을 곧이곧대로 믿기란 어려운 일이다.

향후 자녀에게 칩을 부착하는 것이 일반화된다면, 이 기술을 악용하는 범죄자 역시 등장할 것이다. 더불어 오늘날 납치범들이 아동 납치 후 GPS 추적을 피하기 위해 아동의 휴대폰을 던져버리는 것과 마찬가지로, 미래의 영리한 범죄자들은 납치 아동의 피부를 찢고 칩을 꺼낼 것이다. 이런 상황을 단순한 공상으로 치부해선 안될 것이다. 오히려 처음부터 아동에게 칩을 삽입하는 구상을 포기한다면 이런 끔찍한 미래를 막을 수 있을지도 모른다.

우리 사회는 다양한 방식으로 그 연결성을 강화해나가고 있지만, 디지털 기기를 공급하는 업체들은 상품의 보안에는 충분한 노력을 기울이지 못하고 있다. 오늘날 우리가 APT 공격과 랜섬웨어의 홍수를 바라보며 해커들의 해코지가 단순히 컴퓨터에 이상한 글씨를 띄우고 음악을 임의 재생하는 데 머무르던 과거를 그리워하는 것처럼, 미래의 보안 전문가들은 컴퓨터만이 해킹의 유일한 대상이던 현재를 그리워할 것이다. editor@itworld.co.kr

Roger A. Grimes editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지