드라마 '유령' 효과로 정보보안에 대한 사람들의 인식이 높아졌다. 극 속에서는 자동차를 해킹하는 한편 사회기반시설을 마비시키는 스턱스넷 등 다양한 해킹 기법들이 등장한다. 그러나 보안전문가들은 가장 중요한 해킹 요소로 사용자의 부주의를 지적했다. 해킹을 위해 반드시 고난이도 기술이 필요한 것이 아니라는 것이다.
지난 18일 기자와 만난 루멘소프트 보안기술연구팀의 박찬암(24세) 팀장은 이른바 화이트 해커로 보안업계에 잘 알려진 인물이다. 그는 이미 '유령'에 나오는 화상캠 해킹을 3년 전 방영된 'SBS스페셜 사이버 아마겟돈 3부'에서 시연했었다.
박 팀장은 단순한 비밀번호를 쓰거나 어떤 프로그램이든 설치하고 보자는 식의 행동들이 좀비PC를 만들어내고 분산서비스거부(DDoS)나 피싱 사기에 노출되도록 한다고 설명했다. 그는 “해킹은 극히 일부를 제외하고는 고난이도 기술이 아니다”라고 못 박았다.
■국내 해커의 보안 조언
박 팀장은 2009년 4월 국제 해킹방어대회인 코드게이트에서 우승해 지식경제부 장관상을 받았으며 미국 라스베이거스에서 열리는 국제 해킹방어대회인 '데프콘 캡처 더 플래그' 본선에 3회 연속 진출하는 등 유명세를 탔던 해커다.
ISEC 국제 정보보안 컨퍼런스에서는 직접 해킹을 시연하기도 했으며, 카이스트, 금융보안연구원 등이 주재하는 세미나는 물론 올해부터는 대검찰청 사이버범죄수사단 등 주요 국가기관에 특강을 나갈 정도로 유명인사가 됐다. KB국민은행의 보안 감사 프로젝트를 맡고 있기도 하다.
박찬암 팀장의 조언은 단순하다. 순정제품을 쓰고, 백신 등 보안제품을 깔고, '123456'과 같은 단순한 비밀번호를 쓰지 않으며, 확인한 프로그램만 설치하는 것만으로도 웬만해서는 해킹의 대상이 되지 않는다는 것이다.
일부 특정 시설이나 기업 등을 목표로 한 지능형지속가능위협(APT) 공격을 제외하면 일반 사용자들의 보안이 그렇게 허술하게 뚫리지 않는다고 그는 설명했다. 문제는 기본을 지키지 않는 사용자들이 그만큼 많다는 점이다.
이는 미국도 예외가 아니다. 지난 12일(현지시간) 해킹을 통해 유출된 약 45만 건의 야후보이스 가입자 계정 중 비밀번호가 '123456'인 계정이 2천295건, 'password'가 780건 '111111'이 160건인 것으로 조사됐다. 이날 외신은 해커그룹이 야후에게 보안에 대한 경각심을 불러일으키기 위해 사이트를 해킹했다고 밝혔다고 보도했다.
박 팀장은 패치 업데이트의 중요성을 말하기도 했다. 패치에는 단순히 프로그램의 기능 업그레이드뿐만 아니라 보안 취약점을 강화해주는 만큼 꾸준히 업데이트 할 것을 당부했다.
■해커들 '순수한 기술집착'이 대부분
그는 국내에 실력 있는 해커들은 약 100명 정도가 있다고 추정했다. 해커에 대한 부정적인 인식과 달리 그는 해커들이 새로운 기술을 알아냈다는 것에 만족감을 느끼는 순수한 사람들이 많다며 편견을 갖지 말아달라고 부탁했다. 해커는 컴퓨터를 즐기고, (관련 기술을) 깊게 파는 사람들이란 의미가 더 강하다며 악의적인 목적으로 기술을 쓰는 '크래커’와는 구분해야 한다고 말했다.
또 그는 해커들은 한번 해결해야할 목표가 생기면 삼일 사흘 밤낮을 새는 것은 보통이고, 일주일을 보내더라도 끝을 봐야하는 기술적인 집착이 있다고 덧붙였다. 이 때문에 대부분의 해커들은 규칙적인 생활을 못하는 경우가 대부분이다.
관련기사
- 해킹, IT업체 홈페이지도 털렸다2012.07.20
- 야후 45만 계정 해킹당했다2012.07.20
- 기재부 영문 홈피, 쥐 그림 등장...해킹 추정2012.07.20
- 스티븐 호킹 생각 해킹?...실험 성공2012.07.20
처음에는 재미나 호기심으로 해킹을 시작해, 기술을 알아냈다는 것에 대한 자기과시로 발전하고 나면 돈벌이나 군사·정치적인 목적으로 해킹을 시도하는 경우도 있다고 한다. 일명 크래커, 혹은 블랙햇(검은모자)라고 불리는 이들이 악의적인 해커인 셈이다.
현재 박 팀장은 KB국민은행을 포함해 기업들에게 보안의 취약점을 진단하고 이를 방어할 수 있는 방법을 알려주고 필요한 프로그램을 만드는 업무를 맡고 있다. 해커라고 하면 매체나 영화 등에서 어두운 범죄자 이미지로 기억하고 있는데 실제로는 보안 매커니즘을 설계해주는 업무를 하는 이들이 더 많다고 강조했다.