IT 분야에 종사하고 있다면, 아마 1970~1990년대 FBI의 지명 수배를 받았던 악명 높은 해커 케빈 미트닉(Kevin Mitnick)을 알고 있을 것이다. 그가 교도소에서 석방된 이후 보안 컨설턴트로 근무했다. 이 또한 많은 이들이 알고 있는 사실이다. 그러나 많은 이들이 모르는 사실 하나가 있다.
그가 지금도 직업적으로 해킹을 하고 있다는 것이다.
미트닉은 해킹 작업에 있어 소셜 엔지니어링이 아주 중요하다고 자주 강조한다. 그에 따르면 이는 대부분의 보안 컨설팅에서 미흡하게 다루는 부분이다.
그는 일반 대중을 해킹, 이들에게 실제로 접근함으로써 경각심을 높이곤 한다. (물론 승인을 받고서다.) 전형적인 교육은 대중을 지루하게 만들 수 있기에 미트닉은 고객을 실제 해킹, 이들이 미래에 아주 손쉽게 해커의 희생양이 될 수 있음을 보여주면서 자신의 주장을 실감나게 납득시킨다.
캐빈 미트닉의 명함.
보안 컨설팅 기업 KnowBe4의 CHO(Chief Hacking Officer)인 미트닉은 최근 해킹과 취약점 공격에서 개인 정보를 보호하는 내용을 자세히 다룬 ‘아트 오브 인비저빌리티(The Art of Invisibility, 은닉 기법)’이라는 책을 저술하고 있다. 그는 저서를 발간하기에 앞서 일반 사용자들이 자신의 모바일 기기 보안성을 높일 수 있는 방법 몇 가지를 공유했다. 참고로 지난 주 샌프란시스코에서 열린 RSA 컨퍼런스에서 진행된 미트닉과의 인터뷰 내용 3월 10일 게시할 예정인 FATcast 포드캐스트에서 확인할 수 있다.
직접 이야기해본 결과 미트닉은 사용자들이 미저 생각하지 못했던 점을 생각하도록 만드는 재주가 있었다. 이를테면 오늘날 프라이버시(개인 정보 보호) 때문에 약정 없이 버너폰(선불 결제 휴대폰)을 구입하는 사람들이 있다. 그러나 미트닉은 이런 안전한 장치 또한 프라이버시를 위태롭게 만들 수 있다고 지적했다. 구매 장소까지 갈 때 이용한 우버(Uber)나 렌트카로 구매 기록을 파악해 추적할 수 있기 때문이라는 설명이다. 즉 상점까지 이용한 교통편이 해당 전화기에 대한 식별 정보를 제공할 수 있다.
피싱에는 사람들이 신뢰할 수 있는 출처에서 발송된 이메일이나 메시지로 믿도록 속이는 소셜 엔지니어링 과정이 수반되는 것이 일반적이다. 예를 들어, 페이팔(PayPal)이나 직장 상사가 보낸 이메일로 속이는 것이다.
표적이 된 사용자가 이메일을 신뢰하면 애플리케이션을 열고, 파일을 다운로드 받고, 암호나 다른 정보가 든 답장을 보내고, 또 다른 악성 페이로드를 전달하는 웹사이트를 방문하게 된다.
미트닉은 컴퓨터보다 사람을 해킹하기 더 쉽다고 강조했다. 사람은 감정, 그 날 겪은 일에 따라 행동이 달라지기 때문이다. 따라서 과거 해킹을 당한 경험이 없는 사람이라면, 그를 상대로 소셜 엔지니어링을 하기란 어렵지 않다고 그는 전했다. 그거 기기 종류별로 전하는 보안 실용 팁은 다음과 같다.
스마트폰
미트닉은 또 사람은 으레 게으르고, 이는 해커에게 큰 이점이 된다고 지적했다. 그는 RSA 컨퍼런스에 참석한 보안 전문가들이 전화기 잠금을 해제하는 것을 보고, 이들이 긴 비밀번호가 아닌 4자리의 짧은 비밀번호로 잠금을 설정하는 것을 다수 목격했다고 말했다. 그에 따르면 비밀번호는 표적이 될 사람을 파악하는 방법 중 하나다. 물론 4자리의 짧은 비밀번호로 잠긴 전화기를 해킹하기가 훨씬 쉽다.
그렇다면 미트닉은 어떤 스마트폰 기종을 이용하고 있을까? 보안성에 중점을 둔 신상 스마트폰들인 블랙폰(Blackphone) 2 나 튜링폰(Turing phone)을 사용할 것이라고 생각할지 모르겠다.
그러나 미트닉이 사용하는 전화기는 평범한 아이폰이다. 그는 아이폰을 안전하게 만드는 것은 사용자의 선택과 행동이라며, 행동이 장비보다 중요하다고 강조했다. 가경 4자리 짧은 암호 대신 숫자와 문자를 섞은 긴 비밀번호를 사용하는 것이 한 사례다.
그는 또 자신이 (해외 여행을 마치고 미국으로 돌아왔을 때 등) 전화기 잠금을 해제하라는 지시를 받았을 때, 전화기를 다시 부팅해 터치 ID가 작동을 중단하도록 만든다고 전했다. (다시 부팅하면 비밀번호를 이용해야만 전화기 잠금을 풀 수 있음). 그는 “사법부는 지문으로 전화기 잠금을 해제하라고 명령할 수 있다. 그러나 비밀번호를 공개하라고 강요할 수 없다”라고 설명했다.
미트닉은 아이폰을 선호하는 또 다른 이유가 있다며 대부분의 휴대폰 해킹 공격이 안드로이드 스마트폰을 표적으로 삼고 있기 때문이라고 전했다. 단 아이폰도 해킹될 수 있으며, 100% 안전한 장치는 없다고 그는 덧붙였다.
노트북 컴퓨터와 데스크톱
미트닉은 애플의 보안 코드 서명 모델을 이용해 모친의 컴퓨터를 쉽게 보호한 사례를 소개했다.
미트닉의 어머니는 매주 윈도우 PC를 고쳐달라는 전화를 하곤 했었다. 계속 바이러스에 감염되는 문제가 발생했기 때문이다. 그의 어머니는 매주 소셜 엔지니어링 공격의 피해자가 됐으며, 그는 그때마다 윈도우를 다시 설치해야 했다.
이에 미트닉은 어머니에게 아이맥(iMac)을 선물하고, 안티바이러스 유틸리티를 설치했다. 그리고 컴퓨터에 잠금 기능을 추가했다.
OS X의 ‘보안 및 개인정보(Security & Privacy)’ 설정에 ‘일반(General)’ 탭이 있다. 그리고 아래에 ‘앱 다운로드 허락(Allow apps downloaded from)’이라는 항목이 있다. 기본 설정은 ‘맥 앱 스토어 및 식별된 개발자(Mac App Store and identified developers)’이다. 미트닉은 어머니에게 선물한 맥의 설정을 ‘맥 앱 스토어’로 바꾸었다. 애플이 개발한 앱만 다운로드 받을 수 있다는 의미이다.
미트닉은 식별된 개발자의 앱도 허용하는 기본 설정이 안전하지 않다고 설명했다. 100달러 정도만 있으면 누구나 개발자가 될 수 있기 때문이다. 즉 그는 어머니에게 맥을 선물해 설정을 바꾸는 것만으로 악성 다운로드 문제를 해결했다. 그러나 그는 이 간단한 방법으로 피싱 공격을 막을 수 있지만, NSA나 기술이 좋은 해커의 공격은 막을 수 없다고 덧붙였다.
USB 플래시 드라이브와 기타 공격 경로
미트닉은 전세계의 보안 컨퍼런스 발표 및 키노트에서 해킹을 시연한다. 올해 독일의 세빗(CeBIT)에서는 USB 플래시 드라이브를 이용해 장치를 완벽하게 통제하고, 카메라와 마이크로폰을 켜서 모니터하고, 프로그램을 실행시키는 해킹 방법을 시연했다.
좀더 구체적으로 노트북 컴퓨터나 PC가 연결된 USB 플래시 드라이브를 저장 장치가 아닌 키보드로 인식하도록 만드는 해킹이었다. 해커는 이를 이용해 키스트로크를 입력한다. 다시 말해, 키보드로 할 수 있는 모든 일을 할 수 있다.
그는 USB 자동 실행 기능이 꺼져 있어 안전하다고 생각하는 사람들에게 경종을 울리기 위해 시연이라고 설명했다.
미트닉은 PDF가 안전하다는 인식 또한 위험할 수 있다며 해커가 PDF 파일을 이용, 표적으로 삼은 장치를 통제하는 방법을 시연해보이기도 했다.
퍼블릭 와이파이 라우터가 설치된 커피숍을 방문, 사용자의 네트워크 연결을 해제시키는 시연도 있었다. 해커는 라우터를 다시 켜면서 동일한 이름을 가진 가짜 와이파이 네트워크에 사용자를 다시 연결시킨다. 그리고 악성 페이로드를 배포한다.
그는 결국 핵심은 이런 정보를 제대로 아는 것이라고 강조했다. 자신의 게으름과 안이함이 초래할 수 있는 위험성을 인식하면 행동이 바뀐다는 설명이다. 믿을 수 있는 출처라도 PDF 파일을 다운로드 받지 않고, USB 플래시 드라이브를 연결하지 않게 되는 것이다. 또 퍼블릭 와이파이 핫스팟을 이유를 알아야 피하게 된다.
즉 게으른 이에게는 백약이 무효일 수 있다. 현명해지고, 경계를 해야 한다. 그리고 행운을 빈다! dl-ciokorea@foundryco.com
