정보 보안에 대해 일반 사용자들에게 교육하다 보면, 대부분의 사람들은 ‘사회공학(social engineering)’이라는 용어만으로는 그 뜻을 쉽게 파악하지 못한다. ‘사회’라는 단어로 시작하니 사회학으로 추측하는 사람들도 있고, ‘공학’이라는 단어가 포함돼 있으므로 공대의 학문 분야라고 생각하는 사람들도 있다.
원래 사회공학은 사전상으로 두 가지 해석을 갖고 있다. 첫 번째는 정치과학(정치학의 이론과 실제, 정치 시스템 및 정치 행위자에 대한 분석을 통해 법칙을 발견하고 연구하는 학문)에서, 정부의 권위주의적인 시스템에 의해 계획된 영향력을 설명하는 용어로 사용된다. 그리고 두 번째는 정보 보안 분야에서, 순진한 사람들을 속여서 중요한 데이터를 획득하는 기술을 의미한다.
본 컬럼에서는 두 번째 개념의 사회공학에 대해 살펴본다. 최근 정보 보안의 사회공학이 그 어떠한 해킹 기술보다도 심각한 위협이 되고 있다. 그것이 IT 시스템의 취약점을 공략하는 것이라기 보다는, 인간 심성 본연의 취약한 부분을 이용한 일종의 사기 기술이기 때문이다.
실제로 전설적인 해커인 케빈 미트닉(Kevin D. Mitnick)은 IT를 통한 해킹이 아니라, 전화를 이용한 사회공학 기술을 주로 사용하였는데 거의 모든 경우에 성공하였다고 한다. 먼저, 고전적인 사회공학 기술의 간단한 사례를 하나 들어보자. 다음은 A 회사의 중역 회의에서 사용될 중요한 경영 자료 파일을 사회공학자가 절취하는 가상의 상황이다.
먼저 방어적으로 언급하자면, 이러한 사례 제시에 따른 모방 범죄를 걱정할 필요는 없을 것이다. 사회공학은 결코 새로운 것이 아니며 아주 오래된 수법으로서, 모든 정보 보안 서적에서 언급되고 있는 내용이다. 그 중요성에 비해 널리 알려지지 않은 것이 오히려 이상할 따름이다.
사회공학이 보안에 있어 향후 그 어떤 것보다 심각한 문제가 될 것이라는 점에서 볼 때, 필자는 이 문제를 널리 알려 적절한 보안 정책을 마련하고 그에 따른 사용자 교육을 수행하는 것이 몹시 중요하다고 생각한다. 사람들은 일반적으로 도움을 요청하는 동료, 또는 상사의 지시라고 느낄 때 쉽게 거절하거나 의심하지 않는다. 우회 경로로 취득한 사적인 정보, 업무 정보를 이용하여 신뢰감을 조성할 경우 그 성공률은 더욱 높아진다.
좀 더 IT적인 내용을 포함한 사회공학을 사례로 들어 보자. 얼마 전 우리나라에서 인터넷뱅킹 해킹을 통해 상당한 돈을 절취한 사건이 있었는데, 그에 대해 많은 신문들이 '인터넷 뱅킹조차 해킹 당했다'는 식의 기사를 실었다. 그러나 그것은 사실 단순한 키 스트로크 방법에 의한 해킹이지, 실제로 인터넷뱅킹 프로그램 자체를 해킹한 것은 아니다.
재테크 정보를 원하는 순진한 사용자를 속여 키 스트로크 해킹 프로그램을 몰래 설치하고, 사용자의 키 조작을 감시하여 그것을 이용한 것뿐이다. 앞으로는 모든 인터넷뱅킹에 키 스트로크 해킹 방지 기능을 포함하겠다고 하는데, 그렇다면 키 스트로크 해킹만 막으면 보안이 해결될 것인가? 그렇지 않다. 사회공학자라면 사용자를 속여 키 스트로크 해킹 방지 기능을 무력화하는 또 다른 해킹 프로그램을 충분히 구동시킬 수도 있을 것이다. 사회공학은 사용자를 속이고 조정한다는 면에서 한계를 갖고 있지 않다.
최근 이슈가 되고 있는 피싱(phishing)도 사용자를 속인다는 측면에서 사회공학 기술의 대표적인 사례이다. 피싱은 개인정보(private data)와 낚시(fishing)를 합성한 조어인데(fishing과 sophisticated의 합성어라는 설도 있음), 그것의 대표적인 예로는 사용자에게 e메일을 보내서 진짜 사이트처럼 보이는 가짜 사이트로 접속하게 만든 후 사용자 정보의 업데이트가 필요하다는 식의 내용을 통해 사용자의 ID와 비밀번호를 입력하게 만드는 방법이 있다. 최근 필자에게 온 피싱 e메일은 꽤나 지능적인 피싱 기술을 선보였는데, 그것은 해외의 대표적인 지불 대행 사이트인 페이팔(PayPal) 대상의 피싱을 시도하고 있었다.
[그림1]은 필자에게 온 피싱 메일인데, 해당 사이트의 로고를 그대로 사용하고 있으며 해킹을 막기 위해 사용자 정보 업데이트가 필요하다는 식의 그럴듯한 공지를 포함하고 있다. 또한 메일 본문의 텍스트는 진짜 사이트의 URL을 표시하고 있지만, 실제로는 표시된 텍스트 paypal.com이 아니라 paypalw.com로 접속되는 링크임을 확인할 수 있다.
해당 링크를 클릭하면 진짜 사이트를 그대로 복제하여 만든 가짜 사이트로 이동하는데, 흥미로운 사실은 [그림2]를 보면 알 수 있듯이 웹 기술을 이용하여 URL 표시 위치의 가짜 사이트 URL을 가리고 진짜 사이트의 URL처럼 보이도록 위장한다는 점이다.
해당 가짜 사이트의 화면은 필자가 메일을 받은 시점에 캡쳐해 놓은 것으로서, 지금은 접속되지 않는다. 이러한 피싱 사이트는 사용자 신고에 의해 접속이 차단되거나 또는 일정량의 사용자 정보를 획득한 후 스스로 폐쇄하는 경우가 많기 때문에 그 지속 기간이 길지 않다.
여타의 사례에서 알 수 있듯이, 사회공학은 점점 나쁜 방향으로 진화하고 있다. 사람의 순진한 마음을 악용하는 이러한 사회공학은 사실 상상할 수 없을 정도의 정교한 사기 기술로 발전 할 수 있다. 만일 한글로 작성되고 지인의 이름과 개인의 신상 정보를 포함한 피싱 메일이 발송된다면, 상당 수의 순진한 사용자들이 의심 없이 희생을 당하게 될 것이다.
사회공학에 대처하는 방법은, 사용자 교육 밖에 없다
현재의 인터넷은 한밤중에 슬럼가를 홀로 걸어 다니는 것처럼 위험하다. 어쩌면 이것은 디지털 시대의 단순한 부작용일까? 아니면 재앙일까? 네트워크 상에 흘러 다니는 개인정보의 가치가 높아질 수록 수많은 악한들이 더욱 창궐하게 될 것은 확실하다.
그러므로 미래의 사회공학은 보다 충격적이고 사회적 파급 효과가 클 것이다. 기업의 입장에서는 정보 보안 정책의 수립 및 교육을 통해 사회공학의 위험성을 직원들에게 경고하고 대비할 수 있겠지만(그래도 100% 막기는 어려울 것이다), 개인 사용자는 스스로 각성하고 자신을 보호하는 수 밖에 없다.
섬뜩하며 불신을 조장하는 이러한 사회공학 기술을 소개하는 것에 대해 안타까운 마음이 없는 것은 아니지만, 이것이 디지털 시대에 생존하기 위해 우리가 반드시 갖추어야 할 상식임에는 틀림없다. 빛이 있다면 반드시 그림자가 있는 법이다. 디지털 시대에 우리가 얻는 이익이 있다면, 그에 따르는 그림자 또한 상당함을 결코 잊어서는 안될 것이다. @
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.