제목 없음

#정보보호 #정보보안 #IT보안 #사이버보안

소셜 엔지니어링의 주요 요소인 FORD가 온전히 드러난 사건

심리적 우위에 서서 첩보 수집한 행위, 사실상 소셜 엔지니어링 공격

[보안뉴스 문가용 기자] 영화배우 하정우 씨가 놀라운 대처를 통해 여러 연예인을 해킹한 범죄자들을 체포하는 데 일조했다. 관점에 따라서 하정우 씨가 범인과의 대화를 통해 시도한 것은 사이버 보안에서 말하는 소셜 엔지니어링, 즉 사회 공학적 공격으로 분류가 가능하다. 물론 의도적으로 소셜 엔지니어링 공격을 해커에게 실시한 건 아니겠지만 당사자(이 경우 해커)가 제대로 된 판단을 하고 결정을 내릴 수 없도록 했다는 점에서 꽤나 놀라운 소셜 엔지니어링 기술을 선보였다고 할 수 있다. 이번 사건을 통해 소셜 엔지니어링 공격의 주 요소인 FORD를 알아보도록 하자.

[이미지 = 네이버 영화]

1. Fear : 공포

소셜 엔지니어링 공격의 목표는 피해자가 제대로 된 판단을 할 수 없도록 만드는 것이다. 이를 위해 공격자들이 주로 사용하는 것이 ‘공포 심리 조장’이다. 당신의 아들이 납치를 당했다는 둥, 지금 계좌번호를 알려주어 동결시키지 않으면 금전적으로 큰 손해를 본다는 둥 하는 협박을 피셔들이 자주 하는 이유다. 이럴 때 사람들은 냉정을 잃고 허둥지둥 댄다.

하정우 씨의 대처가 극찬을 받고 있는데, 가장 많이 언급되는 것이 바로 ‘여유’다. 성급한 결정을 유발하는 소셜 엔지니어링 공격자들이 가장 싫어하는 것이 ‘여유’일 수밖에 없는데, 하정우 씨가 각종 이모티콘도 쓰고 개그를 사용한 부분에서 이미 심리적 우위에 섰다고 볼 수 있다. 소셜 엔지니어링 공격은 심리 공격이다. 특히 ‘섣부른 결정’을 유도하는 것이 목표라는 것을 기억하고 대처하면 여유를 찾는 데 도움이 될 수 있다.

2. OSINT : 공개출처정보

하정우 씨의 대처를 소셜 엔지니어링의 일종으로 보는 것이 바로 이 OSINT라는 요소 때문이다. 소셜 엔지니어링 공격자들이 목표를 설정하는 단계와 공격 계획을 짜는 단계에서 가장 많은 자원을 투자하는 것이 바로 이 OSINT다. 이는 이미 공개된, 그러므로 잠입이나 해킹과 같은 불법적인 요소 없이 수집할 수 있는 정보를 모으는 행위를 말한다. 회사 홈페이지에 들어가 조직도를 연구한다든지, 특정 사업의 담당자가 누구이며 어떻게 연락해야 하는지 등 조각난 정보들을 모아 하나로 엮어 내면서 공격 계획이 마련된다.

하정우 씨도 여유롭게 해커와 대화를 하면서 여러 가지 단서를 발견하려 했다는 것이 보도를 통해 알려지고 있다. 액션 영화를 많이 찍어서 알게 된 부분인지, 평소 소셜 엔지니어링에 관심이 있어서인지 모르겠지만 상당히 대담하면서도 그 상황에서 가장 필요한 일을 해냈다. 실제로 그렇게 해서 나온 내용이 체포에 도움이 되었다고 하니, 첩보 수집 능력(혹은 본능)이 상당했다고 평해도 되겠다. ‘아는 것이 힘’이라고, 어떤 상황에서도 정보를 수집하는 건 역전의 기회를 마련하는 것이나 다름없다.

3. Reporting : 보고/신고

소셜 엔지니어링 공격의 큰 특징 중 하나는 사례가 잘 보고되지 않는다는 것이다. 공격 자체가 심리적 취약점을 노린 ‘속임수’를 본질로 하기 때문에 피해자들이 스스로 속았다는 걸 부인하거나(로맨스 스캠), 모종의 이유로 부끄러워하며 숨긴다(애슐리 매디슨 관련 협박 공격). 더군다나 유명인 중에서도 상위에 속하는 하정우 씨라면 사건 자체를 조용히 덮고 넘어가고 싶었을 수도 있다.

하지만 그는 경찰에 협조를 구하는 쪽을 택했다. 여유 있는 대처와 첩보 수집도 대단했지만, 보안 비전문가로서 하정우 씨가 내렸던 최고의 결정은 바로 이 ‘신고’라고 생각한다. 아무리 여유롭게 공격자를 녹여내고, 첩보를 교묘하게 수집한다고 해도, 체포라는 완전한 뒷수습을 위해서는 경찰의 도움을 받아야만 한다. 그래야 같은 공격자에 의한 추가 피해도 막을 수 있다. 소셜 엔지니어링에 노출되었다면, 반드시 신고를 하자.

4. Documentation : 서류화

또 하나 하정우 씨가 잘 한 점은 범인과의 대화 내용을 저장했다는 것이다. 물론 일부러 지우지 않는다면 SNS를 통한 대화 내용은 대부분 오랜 기간 저장되는 것이 보통이다. 아마 하정우 씨도 반드시 저장해야겠다는 의지를 가지고 대화 내용을 남겨 두지는 않았을 것이다. 오히려 신고할 마음이 있었기에 삭제 옵션을 찾아 실행시키지 않은 것이라고 추측할 수 있다.

그렇다는 건 피싱 공격에 대처하는 방법(FORD) 중 ‘서류화’는 ‘신고’와도 관련이 있다는 뜻이 될 수 있다. 신고가 대부분의 경우 바람직한 방법인 이유 중 하나는, 신고를 통해 서류화 문제가 어느 정도 해결될 수 있기 때문이다. 신고를 했기 때문에 증거를 제출하려고 조금이라도 데이터를 저장하게 되고, 경황이 없어 정보 저장을 잊더라도 경찰 측에서 비슷한 행위를 요구하면서 생각날 수 있다. 정말 예외적인 경우, 신고 없이 범인을 추적한다고 해도(절대 권장되는 행위는 아니다) 서류화는 중요하다. 조직의 경우, 서류화를 통해 훌륭한 교육 자료를 만드는 것도 가능하다.

이후 벌어지지 않았으면 하는 일

하정우 씨의 소셜 엔지니어링 역공격이 많은 잠재적 피해자들에게 좋은 사례가 되기를 바라지만, 오히려 반대의 효과가 날 수도 있다. 하나는 사건 수사를 위해 분석된 그의 핸드폰에서 물의를 일으킬 만한 자료가 나오고, 그것이 하필이면 세상에 공개되는 경우다. 만약 그런 일이 일어나고, 하정우 씨가 도리어 손가락질을 받는 상황이 온다면, 다음 소셜 엔지니어링 공격의 피해자들이 ‘난 신고도 하지 말고, 그냥 덮어두어야지’라고 결심할 수 있다. 그런 식으로 사건이 전개되더라도 하정우 씨가 보인 대처법과는 별개의 사안임을 기억하자. 여유롭게 ‘밀당’을 하면서 첩보를 수집, 저장하고 경찰에 신고하는 건 모범답안이다.

우려되는 또 다른 가능성은, 이 사건을 거울삼은 다른 해킹 공격자들이 경계를 강화할 것이라는 점이다. 따라서 그들과 대화로 풀어간다는 건 더 어려운 일이 될 것이고, 시간을 끌고 첩보를 수집하는 것 역시 위험성 높은 행동이 될 예정이다. 그렇더라도 ‘공포심’을 갖지 않음으로써 심리적 우위에 서는 것과 전문가의 도움을 받거나 경찰에 신고하는 것, 범인과의 대화 내용 등 여러 정보를 저장해 두는 것이 사건 해결에 긍정적으로 작용한다는 것은 틀림없다.

ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

소셜 엔지니어링(social engineering) 공격은 시스템에 침입하는데, 기술적인 해킹 기법을 사용하는 대신 사람의 심리를 악용해 시스템 또는 데이터, 건물에 대한 출입 권한을 확보하는 기술로, 하정우의 휴대폰을 해킹한 해커 일당은 연예인 8명을 협박했고, 그 중 5명으로부터 6억 1천만원을 갈취했다고 한다.

하정우의 신고로 수사가 시작됐고, 지난 7일 일당 중 2명을 구속기소 했다.

하정우 말고도 다른 연예인 피해자도 있었는데, 그들은 오히려 돈을 지불하고 사건을 덮어두었다는 점에서 하정우와 대비된다. 돈을 지불한다면, 그 범죄를 더욱 부추기는 꼴이 되고, 피해자는 더더욱 발생할 것이다. 많이 무서웠을 상황에서도, 현명한 대응을 한 하정우의 재치있는 대응이 더 빛나보인다.