[스마트 넷 전쟁]일상생활 노리는 해킹

회원정보-거래기록 담긴 소매점 POS 15분만에 뚫려

커피전문점POS 시스템 해킹에 성공한 화이트해커의 노트북PC 화면에 뜬 고객 정보. 회원으로 가입한 400여 명의 이름과 매장에서 현금처럼 쓸 수 있는 포인트를 한눈에 볼 수 있다. 이 상태에서 해커는 포인트를 마음대로 부풀리거나 줄일 수도 있다.

“엊그제 네이버 N스토어에서 성인영화 구매하셨네요. 그리고 또 봅시다. 이건 연애편지인가요?”

23일 서울 종로구 A커피전문점에서 만난 화이트해커(선의의 해커) 최명훈(가명·26) 씨는 기자의 노트북컴퓨터를 10여 분 만에 해킹한 뒤 이렇게 말했다. 기자가 매장에 설치된 와이파이(Wi-Fi)에 접속한 것을 이용해 관리자 계정을 탈취한 것이다. 카드회사, 보험회사가 보낸 금융결제 내용이나 회사 직원만 볼 수 있는 내부망(인트라넷) e메일까지도 그의 손에 넘어갔다. 그는 “시간만 넉넉하다면 e메일을 훔쳐보는 것 외에 노트북 PC의 파일을 빼내거나 삭제할 수도 있다”고 장담했다.

최 씨는 같은 방법으로 기자의 스마트폰도 해킹했다. 기자가 인기 검색어 상위에 오른 ‘클렌징’을 검색해 관련 내용을 찾아보자 거의 동시에 “클렌징에 관심 있으세요?”라고 물었다. 그는 “많은 스마트폰 사용자가 데이터 용량을 아끼기 위해 자동으로 와이파이에 연결되도록 설정하는데 이를 해킹하는 건 누워서 떡 먹기”라고 말했다.

○ POS 해킹도 15분 만에 끝

[스마트 넷 전쟁] 일상생활 노리는 해킹

최 씨는 최근 개인들에게 금전적 피해를 주는 ‘파밍(pharming)’ 기법을 보여줬다. 파밍은 해커가 PC나 스마트폰에 악성코드를 심어 사용자가 사이트 주소를 입력하면 엉뚱한 곳으로 접속되게 해 개인정보를 훔치는 수법이다. 해커와 피해자가 같은 와이파이망을 쓰면 악성코드 없이도 파밍을 할 수 있다. 그의 지시에 따라 기자가 노트북의 인터넷 주소창에 ‘네이버’를 치자 화면에는 ‘다음’이 떴다. 최 씨는 “이런 파밍 수법으로 개인의 은행 비밀번호도 쉽게 알아낼 수 있다”고 했다.

지금까지는 해커들의 먹잇감이 아니었던 매장 내 판매시점정보관리(POS) 시스템 침입도 시연해 보였다. 식당, 커피숍 등에서 흔히 볼 수 있는 POS 단말기는 대금 결제와 회계 처리를 동시에 할 수 있게 해주는 기기로, 전국에 300만 대 이상 설치돼 있는 것으로 추산된다.

최 씨는 자신이 만든 해킹 전용 프로그램을 써 A커피전문점의 봉인을 15분 만에 해제했다. 순식간에 그의 노트북 화면에는 이 가게의 상품 가격, 회원정보, 회원들의 누적 포인트, 최근 거래기록까지 나타났다. 그는 “POS 시스템에 접속한 내 노트북으로 회원들의 포인트를 조작하는 것은 물론이고 가격정보도 바꿔놓을 수 있다”고 말했다. 예컨대 한 잔에 5000원인 카페라테의 가격을 2000원으로 조작해 3000원의 이득을 챙길 수 있다는 것이다.

실제로 해커들이 POS 시스템을 타깃으로 한다면 소규모 매장보다는 대량 거래가 이뤄지는 대형마트 등이 피해를 볼 가능성이 크다. 상품의 종류나 거래량이 많아 점원이 알아차릴 위험이 적기 때문이다.

○ 금융거래 위협하는 해킹 수법들

개인들이 해킹으로 가장 큰 피해를 입는 영역은 역시 금융거래다. 과거에는 대량으로 수집한 개인정보를 마케터에 팔아넘기는 해킹이 많았지만 이제는 해커가 금융거래를 하는 개인의 정보를 빼내 돈을 편취하는 사례가 급증하고 있다.

한국인터넷진흥원(KISA)에 따르면 금융정보를 빼내기 위한 스마트폰 악성 앱(응용프로그램)은 지난해 17개가 적발되는 데 그쳤지만 올해는 이달 16일까지 1484건으로 급증했다. 스마트폰 금융거래가 크게 늘자 이를 노린 공격도 덩달아 증가한 것이다. KISA에 접수된 파밍과 ‘피싱(phishing·개인정보를 빼내 금전적 피해를 끼치는 행위)’ 피해도 올 8월까지 6272건으로, 지난해 전체 건수(6944건)에 육박하고 있다.

KISA는 추석 연휴 기간인 20일 신원을 알 수 없는 해커가 고속버스 표 예매 사이트인 ‘코버스’(kobus.co.kr)와 영화 예매 사이트 ‘맥스무비’(maxmovie.com)를 사칭해 불특정 다수에게 ‘결제내역을 확인하라’는 문자를 보내고 있다며 주의를 당부했다. 해커는 연휴 기간 고속버스 및 영화 예매 사이트를 이용하는 사람이 많을 것이라고 판단해 ‘m-kobus.co.kr’와 ‘m-maxmovie.com’이라는 진짜와 구분하기 힘든 가짜 사이트 주소를 링크해 클릭을 유도했다. 문자를 받고 무심코 가짜 사이트 주소를 클릭하면 스마트폰에 악성 앱이 깔리고, 해커는 이를 통해 사용자가 소액결제를 할 때 인증번호 문자를 가로채 금전거래에 악용할 수 있다.

‘돌잔치 사진’이나 ‘청첩장 연결’ ‘영수증 확인’ 등의 문자를 다량 발송해 악성 앱을 심는 ‘스미싱(Smishing·문자메시지+피싱)’의 한 수법이다.

최근에는 정상적인 금융회사 앱의 아이콘 모양을 본뜬 가짜 앱이 유포돼 문제가 되기도 했다. 이 역시 모든 정보를 자동으로 해커에게 전송한다. 계좌이체를 할 때 계좌와 금액을 사용자 몰래 바꿔 돈을 빼내는 수법도 새로 발견됐다.

○ “24시간 켜놓는 스마트폰은 좋은 먹잇감”

인터넷의 발달로 사회 구석구석이 네트워크로 연결되면서 국가기관이나 기업은 물론이고 개인도 해킹의 위협으로부터 자유로울 수 없는 세상이 됐다. 한 이동통신사 광고를 통해 널리 알려진 ‘올(All) IP’는 머지않은 미래에 PC, 스마트폰 외에 TV, 자동차, 냉장고 등 모든 전자기기가 네트워크로 연결된다는 뜻이다. 이렇게 되면 해킹의 위험은 더 커질 수밖에 없다.

고려대 정보보호대학원과 보안업체 에스이웍스는 최근 자동차를 원격 관리할 수 있는 앱을 해킹할 수 있다는 사실을 직접 시연했다. 누군가가 해커를 사주하면 사람의 목숨까지 위협할 수 있다는 얘기다.

최근 국내에서는 디도스(DDoS·분산서비스 거부) 공격 기능을 가진 ‘좀비 스마트폰’도 발견됐다. 확산된 스마트 기기가 이제는 우리 자신을 공격하는 무기로 돌변하는 셈이다. 전인경 KISA 침해사고탐지팀장은 “주로 특정 시간대에만 전원을 켜는 PC와 달리 24시간 켜놓는 스마트폰은 해커의 좋은 먹잇감”이라며 “좀비 스마트폰을 활용한 디도스 공격 사례가 곧 발생할 것”이라고 우려했다.

김호경·정호재 기자 whalefisher@donga.com

▶ [채널A 영상]악성코드 감염된 스마트폰, 돈 빼먹는 ‘좀비 폰’으로
▶ [채널A 영상]“돌잔치 오세요” 문자 클릭 금지…교묘해진 스미싱