본문 바로가기

보안라이프/이슈&이슈

유령, 알고 보면 더 재미있는 사이버 보안 세상

2012년 2월, 안랩 시큐리티대응센터(ASEC)는 사이버 범죄를 주제로 한 드라마의 자문을 의뢰 받았다. 드라마 ‘유령’에는 긴박한 스토리라인과 함께 다양한 보안 전문 용어가 곳곳에 등장한다. 일반 시청자들에게는 생소할 수 있는 보안 용어를 최대한 쉽게 설명하는 한편, 사이버 범죄에 이용되는 다양한 해킹 기술 묘사에 대해 검수하는 것이 ASEC의 역할이었다. 


드라마가 방송된 이후 수많은 시청자가 드라마 속의 보안 기술에 상당한 관심을 보이고 있다. ‘실제로 저런 해킹이 가능한가?’라는 궁금증은 물론, ‘자막이 너무 빨리 지나가 전문 용어를 이해하기 어렵다’는 날카로운 지적도 있다. 드라마 ‘유령’에 등장한 사이버 공격 기술 중 현실 세계에 큰 위협이 될 수 있는 에피소드를 중심으로, 개인과 기업의 안전을 위해 주의할 사항을 다시 한번 짚어본다.


무선랜 해킹을 통한 개인정보 유출

 

"2407번 학생, 이 날씨 좋은 날 왜 개떡 같은 사이버 수사 강의를 들어야 하는지 말씀드리죠. (자기 스마트폰을 들어올리고 학생들을 보며)방금 여러분은 스마트폰으로 다른 사람들에게 보내던 무선 정보를 해킹당했습니다. 이런 식으로 불법 수집당한 개인정보들은 주민번호 도용 등의 심각한 범죄에 사용당할 수 있습니다. 이게 바로 사이버 수사가 필요한 이윱니다."



제1화, 경찰청 사이버수사대 수사 1팀장 김우현(소지섭 분)이 경찰대학에서 사이버 수사에 대해 강의를 한다. 김우현은 자신의 스마트폰을 들여다보면서 강의실의 한 학생이 친구에게 보낸 메시지를 정확히 읊어낸다. 스마트폰으로 발송한 무선 정보가 해킹될 수 있음을 ‘시연’한 것이다.

 


[그림 1] 무선랜 해킹을 통한 메시지 감청(출처 : 드라마 ‘유령’ 제1화)

 

얼마 전 뉴스 보도에 따르면, 전 세계적으로 10명 중 9명이 스마트폰을 사용하고 있다. 스마트폰 보급의 확대는 무선랜 보급에도 크게 기여했다. 우리나라만 해도 이제 우리는 집, 회사뿐만 아니라 까페나 거리에서도 수많은 Wi-Fi 신호를 이용할 수 있다. 문제는 안전 불감증이다. 자신도 모르는 사이에 개인정보가 보안에 취약한 무선 네트워크를 통해 빠져나갈 수 있음을 잊어서는 안 된다. 스마트폰 사용자들의 대부분은 다음과 같은 위험에 노출돼 있다.

▶ 무선 AP 접속 비밀번호를 기본(default) 값 그대로 사용
▶ 보안이 전혀 고려되지 않은 오픈-프리 무선 네트워크의 무방비한 사용
▶ 보안성이 낮은 WEP, WPA 암호 프로토콜을 사용하는 무선 네트워크 이용
(*보안이 강력한 WPA2 암호 프로토콜 이용 권장)

 

 

우현 : 신효정이 쓰던 아이피.. 무선 에이피였어..
강미 : (놀라는)무선 에이피요?
우현 : 무선 에이피에 비밀번호를 걸어놓지 않았다면.. 반경 50미터 이내에선 누구나 이 아이피를 쓸 수 있어.

 

드라마 ‘유령’의 본격적인 스토리의 시작은 악의적인 덧글에 시달리던 유명 연예인의 자살이다. 이 사건을 파헤치던 사이버수사대는 그 연예인이 자살을 암시하며 SNS에 올린 글이 다른 사람에 의해 쓰여졌다는 것을 알게 된다. 그 연예인이 사용하던 공유기에 암호가 걸려있지 않아 그의 IP 주소를 이용했던 것이다. 계정과 비밀번호까지 알고 있던 범인은 암호화되지 않은 무선랜을 이용해 온라인상에서 거의 완벽하게 다른 사람 행세를 할 수 있었던 것이다.

 


[그림 2] 비밀번호가 설정되지 않은 무선랜 공유기(출처 : 드라마 ‘유령’ 제2화)

 

[그림 3] 무선랜 해킹 프로그램인 에어크랙

 

참고로 [그림 3]은 무선랜 해킹 프로그램인 에어크랙(aircrack)을 이용해 WEP(Wireless Encryption Protocol)의 암호 키를 추출하는 화면이다. 이로써 모든 송수신 암호화 데이터를 복호화할 수 있다.

 

이러한 해킹을 막기 위해 방송통신위원회는 다음과 같은 ‘안전한 무선랜 이용 7대 수칙’을 권고하고 있다. 
① 무선공유기 사용 시 보안 기능 설정하기 
② 무선공유기 비밀번호 안전하게 관리하기 
③ 사용하지 않는 무선공유기 꺼놓기 
④ 제공자가 불분명한 무선랜 이용하지 않기 
⑤ 보안 설정이 되어있지 않은 무선랜으로 민감한 서비스 이용하지 않기 
⑥ 무선랜 자동 접속 기능 사용하지 않기 
⑦ 무선 공유기의 명칭(SSID)을 변경하고 숨김 기능 설정하기 

 

스테가노그래피를 이용한 정보 은닉 

 

기영 : 스테가노그래피야!

기영을 바라보는 강미, 놀라서 멈칫한다.
-인서트 컷

노트북작업을 하고 있는 생전의 신효정의 모습.
스테가노그래피 툴로 동영상 파일에 다른 파일을 덧입히고 있다.
증거물 보관실로 돌아오면 기영을 반신반의하면서 보는 강미.

강미 : ...신효정이 스테가노그래피 기술로 파일을 숨겼다구요?
기영 : 신효정은 죽기 전에 방송국 뉴스 팀에 메일을 보내려고 했어. 하지만 파일을 첨부하진 못했지. 그 전에 죽임을 당했으니까..



[그림 4] 동영상 안에 다른 동영상을 숨기는 작업(출처 : 드라마 ‘유령’ 제2화)

 

[그림 4]는 드라마 ‘유령’에서 사건의 실마리가 되는 동영상을 발견하는 장면이다. 스테가노그래피 응용 프로그램으로 동영상 파일에 다른 파일을 덧입힌 것을 확인한 것이다. 스테가노그래피(Steganography)란 사진이나 음악 파일 등에 특정한 정보(파일)를 숨기는 기술이다. 실제로 전달하고자 하는 비밀 메시지나 정보 등을 다른 정보에 은닉하는 방법으로 사용되는데, 오사마 빈 라덴이 알카에다 조직원과의 연락을 위해 사용한 것으로 알려지면서 유명해지기도 했다. 드라마 ‘유령’에서는 살인 사건의 목격자가 녹화한 영상을 숨기기 위한 방법으로 사용했다.
 
이 기술 악의적인 목적으로만 사용되는 것은 아니다. 예를 들어 짝사랑하는 사람에게 사랑 고백을 하는 로맨틱한 깜짝 이벤트에도 활용할 수 있다. 일상적인 편지처럼 보이지만, 그 안에 진심이 담긴 사랑의 메시지가 숨어있다면 어떨까? 물론 상대방이 스테가노그래피 기술을 알고 있다는 까다로운 전제가 있어야 한다. 오픈소스 기반의 스테가노그래피 응용 프로그램도 있으니, 한 번쯤 선량한 목적으로 사용해보는 것도 색다른 즐거움이 될 것이다. 

 

원격 취약점을 이용한 공격


기영(소리) : 아이피는 xxx.xxx.xxx.xxx. 스캐닝 프로그램으로 취약점을 찾아서 공격을 시작한다.
기영(소리) : 취약한 xxxx번 서비스 포트로 공격 코드를 보낸다. 모니터를 바라보는 기영의 눈빛, 드디어 성공이다. 노트북 모니터에는 시스템 권한 ‘승인’창이 뜬다.
기영(소리) : 익스플로잇 성공.

드라마 ‘유령’ 제3화에서는 낯선 용어들이 나온다. 또 악명 높은 해커(박기영, 이후 김우현으로 살아가는) 하데스가 다양한 원격 취약점 공격을 시도하는 장면도 드라마 전반에 자주 등장한다.

   


[그림 5] 스캐닝 응용 프로그램(좌)과 취약한 서비스 포트로 공격 코드(Exploit)를 전송하는 장면(출처 : 드라마 ‘유령’ 제3화)

 

일반적으로 사이버 공격은 스캐닝 → 서비스 포트로 공격 코드 전송 → 시스템 권한 상승(공격 성공)의 순서로 진행된다. 기업의 보안 상태를 점검하고 적절한 개선 방안을 찾는 보안 컨설팅의 모의침투 테스트(Penetration Test)도 이와 유사한 과정으로 진행된다. 앞서 언급한 스테가노그래피와 마찬가지로 기술을 사용하는 사람의 목적이 다를 뿐이다.

 

공격의 출발점인 스캐닝(Scanning)은 상대가 노출하고 있는 허점, 즉 약점을 찾는 것이다. 이때 사용되는 것이 스캐닝 프로그램으로, 컴퓨터의 열려 있는 서비스 포트 등을 탐색하는 프로그램이다. 스캐닝 기술을 이용해 오픈(열려 있는) 서비스 포트를 확인할 뿐만 아니라 오픈 서비스에 연결된 응용 프로그램의 버전까지도 파악할 수 있다.

 

서비스 포트란 컴퓨터에서 실행되는 프로그램이 외부와 데이터를 주고 받는 통로라고 할 수 있다. 일반적으로 익스플로이트(Exploit)라고 불리는 공격 코드는 컴퓨터 시스템이나 응용 프로그램의 버그 또는 보안 취약점 등을 이용해 공격자의 의도대로 동작하게 만드는 악의적인 명령을 내린다.
 
공격자는 서비스 포트 혹은 그와 연관된 데몬 응용 프로그램을 확인한 후에는 적절한 공격 무기를 갖춰야 한다. 익히 알려져 있는 무기를 재활용할 수도 있고, 아직 아무도 알지 못하는, 그래서 누구도 막을 수 없는 자신만의 무기를 개발할 수도 있다. 인터넷에 유포되어 있는 악성코드나 공격 툴을 사용하는 것이 전자라면, 아직 알려지지 않은 취약점을 노리는 제로데이 공격(zero-day attack) 공격 코드를 만들어내는 것은 후자의 예이다. 제로데이 공격의 성공률은 100%에 가깝다. 드라마 ‘유령’의 하데스는 세상에 알려지지 않은 제로데이 공격 코드를 상당수 보유한 뛰어난 공격자다. 

 

메신저, 문서 취약점을 이용한 원격 제어 악성코드
 


[그림 6] 문서 취약점 공격 코드 전송(출처 : 드라마 ‘유령’ 제5화)

 

기업 보안 담당자라면 드라마 ‘유령’ 제5화를 관심 있게 지켜볼 필요가 있다. 범죄 조직에 고용된 아르바이트생을 통해 범인들의 아지트를 알아내는 장면에서 흥미로운 해킹 기법이 등장하기 때문이다. 공격자는 메신저를 통해 상대방에게 문서 취약점 공격 코드를 전송함으로써 원격 제어 악성코드(RAT : Remote Administration Tool)를 성공적으로 설치한다.

 

메신저를 통해 전송된 엑셀 파일을 클릭하는 순간, 은밀히 컴퓨터의 웹캠이 돌아가고 범인들의 아지트 모습이 상대방에게 전송되기 시작한다. 엑셀 파일에 원격 제어 악성코드가 숨겨져 있었기 때문이다.

 

 

이것은 최근 기업 내부 시스템에 침투해 주요 정보를 탈취하고 시스템을 파괴하려는 지능형 타깃 공격(APT : Advanced Persistent Threat)에 주로 이용되는 공격 방식이다.

 

또한 드라마 ‘유령’에서는 이메일, P2P 메신저, USB 등이 악성코드 전파 수단으로 많이 이용된다. 실제로 과거에 비해 운영체제의 보안이 크게 강화되면서, 공격자들은 자연스럽게 응용 프로그램 취약점으로 시선을 옮기고 있다. 응용 프로그램의 알려지지 않은 취약점을 노리는 제로데이 공격 활용 빈도가 꾸준히 증가하는 것도 이 때문이다. 

 

DDoS 공격과 좀비 PC


DDoS(Distributed Denial of Service), 이른바 분산 서비스 공격은 여러 대의 컴퓨터에서 일제히 특정 웹 사이트에 접속함으로써 해당 서비스를 다운시키는 것이다. DDoS 공격의 성공은 얼마나 많은 좀비 PC를 확보하느냐에 달렸다. 좀비 PC란 악성코드에 감염되어 사용자의 의도와 상관없이 공격자에 의해 원격으로 조종되는 컴퓨터를 의미한다.

 


[그림 8] USB를 통한 악성코드 감염(출처 : 드라마 ‘유령’ 제5화)

 

드라마 ‘유령’에서는 파일 공유 사이트를 통해 유포되는 연예인 음란 동영상에 악성코드를 삽입해 다수의 PC를 감염시킨다. 실제로 공격자들이 다수의 좀비 PC를 확보하기 위해 이용하는 대표적인 방법은 다음과 같다.

 

① 잘 알려진 웹 사이트를 침해하여 악성코드 유포지로 활용
② 잘 알려진 응용 프로그램의 업데이트 서버를 침해하여 악성코드 유포에 활용
③ 파일 공유(P2P) 사이트에서 많은 사람들의 관심을 끌 만한 동영상으로 사칭하여 악성코드 유포에 활용 

 

스턱스넷, USB, 그리고 스카다 시스템


현재까지 방송된 드라마 ‘유령’에서 가장 충격적인 에피소드로 꼽히는 것은 전력 시스템 중단에 따른 대규모 정전 사태일 것이다(제5~6화).

 

사건의 전말은 이렇다. 어느 날 밤 ‘대한전력’ 보안팀 직원의 집에 도둑이 들었다. 범인의 하수인이었던 그 도둑은 대한전력 보안팀 직원의 개인 컴퓨터에 악성코드를 심어둔다. 그 사실을 알 리 없는 대한전력 보안팀 직원은 전력 시스템을 제어하는 컴퓨터에 개인 컴퓨터에서 사용했던 USB를 꽂았고, 이를 통해 전력 시스템 전체가 감염된 것이다. 전력 시스템 이상으로 전기 공급이 중단되자 도로에서는 교통 신호등이 멈춰 연쇄 추돌 사고가 발생하고, 건물의 엘리베이터 안에 승객들이 갇히는 한편, 병원에서는 정전 때문에 수술이 중단된다. 사이버수사대가 가까스로 공격을 막아냈다고 생각하고 한숨 돌리는 순간, 이번에는 숨어들었던 악성코드가 파괴 명령을 내려 전력 시스템 자체를 파괴하기 시작한다.

 


[그림 9] USB를 통한 악성코드 감염 과정(출처 : 드라마 ‘유령’ 제5화)

 

사실 이 에피소드는 몇 년 전, 이란 원전 공격으로 크게 회자된 바 있는 스턱스넷(Stuxnet)에서 주요 모티브를 따온 것이다. 스턱스넷이란 발전소, 공항, 철도 등 기간 시설을 파괴하기 위해 국가 기반 시설 등에서 사용하는 스카다(SCADA, Supervisory Control Data Acquisition) 시스템을 노리고 특수 제작된 악성코드다. 스턱스넷은 비교적 최근 나타난 악성코드임에도 불구하고 듀큐(Trojan/DuQu), 플레임(Trojan/Flame) 등의 유사한 악성코드가 연이어 나타나고 있어 국내외 보안 업계가 예의 주시하고 있다.

 

전력 시스템과 같은 사회 기간 시설은 외부 인터넷이 연결되지 않는 폐쇄망으로 운영된다. 폐쇄망 환경에서, 외부의 악성코드가 내부로 침투할 수 있는 유일한 감염 경로는 USB다. 악성코드에 감염된 USB를 컴퓨터에 꽂는 순간, USB에 들어있던 악성코드가 오토런(AutoRun) 기능에 의해 자동 실행되어 컴퓨터 본체를 감염시킨다.

 

그러나 USB를 감염 루트로 이용하는 악성코드는 스텍스넷 종류에 한정된 것은 아니다. 이미 수많은 악성코드가 USB 자동 실행 기능을 자기 감염 방식으로 사용하고 있으므로 USB 보안에 대한 특별한 주의가 필요하다. 

 

스피어 피싱, 메일을 이용한 타깃 공격


제6화에서는 주인공들의 과거 회상 장면이 나온다. 경찰대 학생인 박기영은 호기심으로 절친한 동기 김우현의 아버지에게 악성코드를 보내 그의 이메일을 훔쳐본다. 고위 경찰 간부였던 김우현 아버지의 이메일 가운데 <극비문서 3차 수사지침>이라는 제목의 메일이, 박기영이 경찰대를 떠나 해커 하데스가 되는 계기가 된다.

 

[그림 10]은 박기영이 김우현 아버지에게 악성코드를 보낼 때 이용한 공격 기법을 보여준다. 이러한 기법을 스피어 피싱(Spear Phishing)이라고 부른다. 스피어 피싱은 신뢰할 만한 발신인이 보낸 것처럼 위장된 메일을 이용해 웹 사이트로 유도 또는 첨부 파일을 통해 악성코드에 감염시키거나 타깃의 개인정보를 유출하는 일종의 피싱 공격이다. 사람의 관심과 호기심을 자극하는 사회공학적(Social Engineering) 기법을 이용하기 때문에 조금만 주의를 게을리해도 공격의 희생양이 된다. 쇼핑을 좋아하는 이가 할인쿠폰 정보가 담긴 이메일을 클릭하지 않고 그냥 지나치겠는가.

    
 
[그림 10] 스피어 피싱 공격(출처 : 드라마 ‘유령’ 제6화)

 

제6화에서 보여준 스피어 피싱의 과정은 다음과 같다.
① 타인의 전화번호 수첩을 통해 타깃의 이메일 주소 획득
② 타깃이 속한 조직의 인사팀을 사칭하여, 악성코드를 삽입한 허위 인사 파일을 타깃의 이메일로 전송
③ 타깃이 해당 이메일의 첨부 파일을 클릭하여 악성코드에 감염(드라마에서는 이 부분을 생략했다.)
④ 스피어 피싱 성공, 타깃의 이메일 일부가 공격자에게 전달

 

“아는 만큼 보인다”는 말이 있다. 드라마 ‘유령’에서 등장한 컴퓨터 공격 기술과 관련 용어들에 대해 이해하고 시청한다면, 이제 절정을 향해 가고 있는 드라마를 더욱 즐겁게 볼 수 있을 것이다. 물론, 드라마는 드라마일 뿐이다. 기술적인 부분을 지나치게 들춰내기보다는 드라마의 극적 요소와 긴박감을 온전히 즐기는 것이 중요하다. 다만, 드라마가 다루고 있는 일부 위협과 대비책을 인지하고 이에 대비할 수 있다면 금상첨화겠다. Ahn


김지훈 / 안랩 시큐리티대응센터(ASEC) A-퍼스트팀 팀장