뉴스 트렌드 생활정보 International edition 매체

[DBR칼럼]심리전에 강한 사회공학 해킹

입력 | 2011-05-06 03:00:00


박용 미래전략연구소 경영지식팀 기자

얼마 전 벌어진 농협 전산망 마비사태의 전모가 드러나고 있다. 검찰은 이 해킹이 북한의 사이버테러에 의한 것이라고 밝혔다. 이에 앞서 현대캐피탈이 해커에게 협박받고 있다는 사실을 전격 공개해 충격을 줬다. 범인들은 해킹을 통해 42만 명의 고객정보를 빼돌렸으며 이를 미끼로 현대캐피탈 측에 거액을 요구했다.

두 사건은 국내에서 가장 우수한 정보보호 인프라를 보유한 것으로 알려진 금융권에서 일어났다. 이는 해커가 마음만 먹으면 다른 업종의 기업도 언제든지 침투해 전산망을 망가뜨리고 중요 정보를 빼낼 수 있다는 뜻이다. 최근에는 해킹을 하고 돈을 요구하는 협박 범죄나 이권을 노린 청부 해킹까지 벌어지고 있다. 당장 해킹 피해를 보지 않았다고 해서 “우리는 안전하다”고 팔짱만 끼고 있을 순 없는 것이다.

대책은 늘 사후약방문식이다. 대형 해킹사고가 터지면 정보보호 인력이 적다거나 비용 절감을 위해 전산 업무를 아웃소싱하면서 취약성이 커졌다는 원인 분석이 나오고 투자를 늘려야 한다는 목소리가 높아진다. 물론 인프라와 기술 투자는 당연히 필요하다. 하지만 훌륭한 기술과 시스템만으로 사고를 근본적으로 막을 수 없다. 정보보호 시스템과 기술에 막대한 투자를 하는 기업이 해커의 먹잇감이 되거나 세계적인 보안회사조차 해커에게 뚫리는 것만 봐도 그렇다.

진짜 문제는 우리 내부에도 있다. 해커들은 기술은 물론이고 심리전 전문가다. 기술적 해킹을 시도하기 전에 사람의 심리를 교묘하게 이용해 목표에 다가가기 위한 접근정보를 다양한 방법으로 빼낸다. 이른바 ‘사회공학(Social Engineering)’ 기법이다. 이렇게 당하면 언제 어디서 어떻게 뚫렸는지도 쉽게 알기 어렵다.

얼마 전 세계적인 보안기술을 자랑하던 RSA도 이렇게 당했다. ‘2011년 채용계획’이라는 이름의 첨부파일이 담긴 e메일이 보안권한을 가진 내부직원에게 전송됐는데, 이 첨부파일에는 시스템관리자 계정을 빼내 시스템에 접근할 수 있는 악성코드가 심어져 있었다. 이 관리자가 무심코 클릭한 e메일 한 통이 철통같던 보안을 ‘무장해제’한 것이다. 해커는 목적을 달성하기 위해 권한을 가진 관리자가 누구인지, 그의 e메일 주소가 무엇인지부터 파악했을 것이다. 검찰에 따르면 이번 농협 사건도 7개월간 철저히 준비된 시나리오에 따른 해킹으로 드러났다.

하지만 한국은 사회공학 해킹에 둔감하다. 대표적인 사회공학 기법의 하나인 전화를 이용한 보이스피싱이 창궐하는 것만 봐도 그렇다. 이들은 경찰청, 우체국, 농협, 검찰청 등 공공기관을 사칭해 사람들의 심리적 약점을 노린다. 수법이 얼마나 교묘했으면 해커를 상대하던 공공기관의 전직 간부나 법원장까지 속아 넘어간다. 게다가 요즘은 트위터, 페이스북 등 소셜미디어가 확산되면서 정보 공유와 확산 속도가 빨라지고 있다. 해커들이 지금 이 순간에도 소셜미디어에 넘쳐나는 개인정보 등을 수집하고 있을지 모를 일이다.

전설적 해커인 케빈 미트닉은 정보보호의 가장 큰 위협 요인은 조직 구성원의 부주의이며 훌륭한 정보보호 기술도 인간에 의해 무력화될 수 있다고 경고했다. 3중 성벽을 갖춘 난공불락의 요새였던 비잔틴 제국의 수도 콘스탄티노플이 오스만튀르크에 함락된 결정적 계기는 성벽의 작은 쪽문을 잠그지 않았던 누군가의 작은 실수였다고 한다. 보안은 그런 것이다.

박용 미래전략연구소 경영지식팀 기자 parky@donga.com@@@



비즈니스 리더를 위한 고품격 경영저널 동아비즈니스리뷰(DBR) 80호(2011년 5월 6일자)의 주요 기사를 소개합니다.

DBR 웹사이트 www.dongabiz.com, 개인 구독 문의 02-721-7800, 단체 구독 문의 02-2020-0685

고객불만 잘 관리하려면

▼ MIT 슬론매니지먼트리뷰

“다른 항공사를 이용하거나 차라리 자동차를 탔어야 했어. 유나이티드항공은 기타를 부러뜨리니까.” 2009년 중반 유튜브에 미국 유나이티드항공의 서비스를 비난하는 뮤직비디오가 올라왔다. 이 동영상의 주인공은 유나이티드항공 승객이었던 데이브 캐롤. 수화물로 부친 기타가 망가진 것을 발견한 캐롤은 항공사 직원에게 문제 해결을 요청했다. 하지만 차일피일 미루며 9개월을 끌었다. 최종 결론은 ‘보상 불가’였다. 극심한 좌절감과 분노를 느낀 캐롤은 이 경험을 노래와 뮤직비디오로 만들고 유튜브에 올렸다. 이 동영상은 하루 만에 15만 번, 한 달간 모두 500만 번이 재생됐고 전 세계 언론에 보도됐다. 성난 고객들이 온라인에 올리는 불만을 이해하고 적절하게 관리하는 방안을 소개한다.

티무르 제국 흥망의 교훈

▼ 전쟁과 경영

칭기즈칸의 후예를 자칭하며 티무르제국을 일으킨 티무르는 수단과 방법을 가리지 않는 잔혹한 정복자였다. 원하는 것을 손에 넣기 위해서 기만, 모략, 배신, 암살, 학살을 서슴지 않았다. 피도 눈물도 없었다. 그가 지나간 자리에는 폐허와 시신만 남았다. 그는 ‘피와 공포’로 사마르칸트를 중심으로 러시아, 중동, 아프가니스탄, 인도에 이르는 광활한 제국을 건설했다. 하지만 힘을 앞세워 단기간에 세운 역사는 오래갈 수 없었다. 정복자 티무르는 거대한 제국을 세웠지만 역사적으로 추앙받지 못했다. 그가 남긴 유산도 지속가능하지 못했다. 티무르는 반면교사다.