여러분 해커 만나보신적 있으세요? 저는 이번 취재(뉴스추적- 중국발 사이버 테러, 2천만 한국인을 노린다(5월7일 방송))로 난생 처음 해커를 만났습니다.
외모는 그냥 보통 사람이랑 똑같아요. 술 먹는 것도 좋아하고 농담도 좋아하고...
제가 만난 한국인 해커들은 개인정보와 돈을 노리는 크래커가 아닌 우리나라 보안환경을 걱정하고 정보취약점을 발견하는 데 노력하는 선의의 해커들이었죠.
그런데 그분들이랑 술이 좀 취해서 깊이 얘기를 해보면 일반인과 좀 달라요.
그 분들은 불안해합니다. 왜냐, 다른 해커에게 해킹당할까봐. 역설적이죠?
그들은 이 디지털 세상이 얼마나 위험천만한 것인지 누구보다 잘 알고 있죠.
방송에서 보여드린 해킹실험은 인터넷전화 해킹과 무선공유기를 통한 유무선인터넷 해킹이었죠.
그런데 어떤 실험을 할지 얘기하면서 나온 것들을 알려드릴까요?
1) 전자여권
미국 전자여권은 이미 해킹 및 복제가 가능한 것으로 지난해 한 보안컨퍼런스에서 한 미국 해커가 발표했다네요. 우리나라 전자여권은 나와봐야 알겠지만, '언젠가 반드시 뚫린다'고 그들은 말합니다.
전자여권 한번 분실하는 날엔, 나의 신원을 담은 여권에 세계 오만군데로 팔려가 각종 범죄에 악용될 수 있다는 거죠.
2) RFID
모 할인마트에서 모든 제품에 RFID를 달고 카트가 자동 인식해 카트에 물품을 담기만 하면 계산대를 거치지 않고 자동으로 계산하는 시스템을 추진하고 있는데요. 쉽게 뚫린답니다. 그냥 물건 카트에 담고 돈 안내고 나오는 범죄가 가능하다네요.
3) 학생증 및 출입증
지난해 한 보안컨퍼런스에서 이미 발표된 것인데요. 발표자인 해커는 한 대학교 학생증을 해킹 및 복제했다네요. 복제한 학생증으로 도서관도 맘대로 들어가고 책도 학생증 주인 명의로 빌리는 게 가능하답니다.
4) 유비쿼터스 살인?
이 부분은 방송에서 꼭 해보려다가 시간이 없어 못했는데요, 얼마 있으면 유비쿼터스 시대가 온답니다. 광고에 보면 핸드폰으로 집 밖에서 집안 에어콘 켜고, 가스밸브 잠그고 뭐든 다 할 수 있는 시스템 있잖습니까. 그것도 디지털 네트워크를 기반으로 하는 이상 얼마든지 해킹이 된답니다.
누군가 내가 안방에서 잠든 사이... 홈네트워크를 해킹해 전자레인지를 켜고 가스레인지를 켜놓고 몇시간 지나면 어떻게 될까요? 불이 나겠죠. 해킹 만으로 살해할 수 있는 것이죠. 멀지 않아 이런 일이 터질 것이라고 해커들은 경고합니다.
이쯤되면 해킹은 단순히 아이디 도용당하고 광고성 문자메시지에 시달리는 것 정도와는 차원이 달라지죠. 생존과 직결되는 문제가 됩니다. 무섭지 않습니까?
그래서 해커들은 무서워 합니다. 이 디지털 인터넷 IT강국에서 산다는 사실을요.
방송에서도 지적했지만 우리나라 보안 환경은 형편없습니다.
일단 어느 인터넷 업체든 당하면 숨깁니다. 오히려 옥션이 해킹사실을 공개한 게 용기있는 행동이었다고 칭찬하는 분들이 꽤 많아요.
물론 그렇게 쉽게 뚫릴 것이었으면서 소중한 고객들의 개인정보를 마구 수집한 것은 잘못이었지만요.
대기업 보안업체 임원 말이, 집에 도둑이 드는 일이 있듯이 아무리 철벽방어를 하려 해도 뚫릴 수밖에 없다는군요.
인터넷에 한번이라도 적은 주민번호, 주소, 전화번호.... 모두 어디론가 흘러들어갔다고 보면 된답니다.
해킹과 보안은 싸움과 같다는군요. 많이 싸워봐야 싸움을 잘 하듯이 해킹을 많이 해봐야 보안기술도 는답니다. 그런데 우리나라는 무조건 해킹을 금기시하는 문화가 파다하다네요.
일례로 지난해 열린 한 보안컨퍼런스에서 한 해커가 모 은행의 인터넷뱅킹을 해킹하는 시연을 했는데, 사전에 해당 은행에 사실을 알려주고 보안 취약점을 바로잡는 기회로 삼아달라고 부탁했지만, 결과는 '제발 조용히 해달라. 발표하면 고소하겠다'는 협박만 받았다네요.
이런 사실을 보도할까 망설이다 해당 해커가 더 어려움에 빠질까봐 말았는데요.
웹사이트의 보안망을 뚫는 수준의 해킹만 한 뒤 '여기 보안이 취약한데 알아두세요'라고 업체에 전화하면 십중팔구 고소한다고 협박한답니다.
정보유출 및 나쁜 짓을 안 해도 일단 보안망을 뚫으면 해킹이고 그건 불법으로 돼있거든요.
최근 미국 시애틀에서 열린 한 보안 컨퍼런스에서 마이크로소프트의 보안책임자가 "우리 사이트를 해킹해도 좋다. 다만 연구목적으로 우리에게 보안취약점만 알려주면 고소하지 않겠다."고 발표했어요.
해커들 사이엔 전무후무한 충격적인 발표로 받아들여지고 있는데요.
그런데 한국 마이크로소프트 보안 담당자에게 물어보니 '현재 본사와 얘기중이고 우리는 아직 어떤 목적이든 해킹을 허락하지 않는다'라고 저한테 말하더군요. 우리나라의 서글픈 현실이 아닐까 생각됩니다.
우리나라의 현실은.. 비유하자면 무서운 나머지 혹은 피를 많이 흘릴까봐 의사로 하여금 썩은 이빨을 뽑지 못하게 막고 있는 꼴이 아닌가 싶어요.
어려운 여건에서도 음지에서 활약하고 있는 선의의 해커들, 화이팅입니다.
다음에 기회가 된다면 우리 나라의 보안현실을 더욱 적나라하게 고발하고, 해커들의 이런 고민에 대해 더 집중적으로 다뤄보고 싶습니다.
마지막으로 해커들이 드리는 보안생활 지침은 다음과 같습니다.
1) 미국 업체가 운영하는 메일 서비스를 이용하실 때 조심하세요.
미국 정부가 늘 내용을 감시한답니다. 꼭 쓸 일이 있으면 첨부파일에 워드문서 형태로 전달하시면 좋습니다. 특정단어를 자동 검색하며 감시한다고 하네요.
2) 정말 중요한 파일이 가득한 하드디스크는 외장하드로 보관하세요.
그리고 외장하드를 컴퓨터에 연결할 때는 인터넷 선을 뽑으시고요. 악성코드에 감염되면 내 컴퓨터에 있는 모든 파일을 빼앗길 수 있거든요. 구글에서 한 악성코드 소스를 쳐넣고 검색한 결과 우리나라에 6만 대가 감염됐다고 나오더군요.
제가 만난 해커는 인터넷과 연결 안 된 컴퓨터 한대, 중요한 인터넷 작업을 하는 컴퓨터 한대, 아무 사이트나 막 다니며 마구 쓰는 컴퓨터 한대(해킹 무방비 컴퓨터)... 이렇게 세 대를 쓴다네요. 다 이유가 있겠죠?
3) 인터넷 뱅킹 위험합니다
어떻게 해킹하냐 하면요, 일단 악성코드를 심은 이메일을 보냅니다. 꼭 열어볼 필요가 있어보이는 이메일을 보내는데 이메일을 여는 순간 컴퓨터는 쉽게 감염됩니다. 그러면 상대방 컴퓨터 화면을 훤히 볼 수 있는데요, 이때 크래커(나쁜 해커)는 공인인증서가 담긴 USB를 꽂을 때까지 기다렸다가 꽂으면 재빨리 공인인증서를 빼내옵니다. 이건 파일만 복사해 옮겨오면 되거든요.
그 다음이 보안카드인데요. 이건 좀 시간이 걸립니다. 피해자가 인터넷뱅킹을 할때 보안카드 번호 두세개를 입력하잖아요. 그때마다 일일이 적어놓습니다. 대략 2-30번 인터넷뱅킹을 하는 것을 모두 지켜보며 받아적으면 보안카드 30자리 번호가 모두 완성되는데요. 그때부터는 내 계좌처럼 쓸 수 있다는군요. 이런 피해는 실제로 여러 건 발생했습니다. 따라서 거액이 입금된 계좌는 따로 두고 별도의 소액만 있는 계좌를 둬서 소액계좌를 인터넷뱅킹으로 쓰면 안전하겠죠.
4) 인터넷 쓸 때 주민번호를 절대 적지 마세요. 아이핀 쓰세요.
5) 인터넷 게시판이나 까페에 중요한 내용은 올리지 않는게 좋다고 하네요.
보이스피싱 전담반의 한 형사가 말하길, 요즘 인터넷 까페 내용을 바탕으로 아주 내밀한 개인정보를 수집해 보이스피싱 전화를 건다네요.
예를 들면 '나 군대간다'이런 걸 최근 까페에 올렸다면 어머니에게 보이스피싱 전화를 해서 '아들 군대에서 휴가 나왔는데 내가 납치했다' 이런 식으로 범행을 저지릅니다.
여기까지 읽으셨다면...정말 인터넷 못 쓰시겠죠?
사실 개인이 아무리 보안을 잘 해도 크래커가 마음만 먹으면 어떻게든 당한다고 하니, 인터넷을 사용할 때, '아 누군가 보고 있겠군' 이런 경계심을 갖고 생활하시는 게 좋을 듯합니다.
긴 글 읽어주셔서 감사합니다.
◆ [뉴스추적] 중국발 사이버 테러 - 2천만 한국인을 노린다 다시보기
[편집자주] "사회적 약자들의 숨통을 틔워주기 위해 독하게 취재한다" 하대석 기자는 2004년 SBS에 공채로 입사에 사회부 사건기자를 거쳐 지금은 기자들이 만드는 시사고발프로그램인 '뉴스추적'에서 활약하고 있습니다.