영화 '스워드 피시'를 보면 미 연방은행의 전산망을 크래킹하는 모습이 나옵니다. 어느 나라건 보안이 가장 철저한 전산망은 국가 안보와 관련된 것과 금융망입니다. 그렇기에 크래킹의 로망은 금융망이나 국가망에 들어가는 것이죠. (일부러 '크래킹(cracking)'이란 단어를 썼습니다. 원래 '해킹(hacking)'은 컴퓨터 시스템의 일부를 입맛에 맞게 바꾸는 행동을 뜻합니다. 이 가운데 악의적인 목적을 갖고 하는 걸 '크래킹'이라고 하죠. 일반적으론 그냥 해킹이라고 통칭하지만, 엄밀하게 따져보면 구분되야 합니다.)
그런데 지난달 한 저축은행에 실제로 이런 일이 일어났습니다. 은행 전산 담당자가 서버를 관리하는 모니터에 이상한 파일이 하나 떴습니다. 원래 바탕화면에 있던 아이콘은 사라지고 '당신들은 해킹당했다. 이 시스템엔 내가 암호를 걸어놨다. 20만 달러를 송금하면 풀어주겠다.'라는 내용의 문서만 달랑 나타난 것이죠. 이 크래커는 은행의 고객 관리 서버 접근에 성공했습니다. 그리고 서버의 운영자 권한을 획득해 자기 마음대로 서버를 관리할 수 있게 됐습니다. 그런 다음 고객 정보(인터넷 대출 신청하면서 신분증을 스캔해 보낸 것들 7천여건)가 저장된 하드디스크에 암호를 걸어버렸습니다. 이렇게 되면 은행 직원들은 이 정보에 접근조차 못하게 되죠. 다행히 여기에 고객의 신용 정보나 계좌 번호 같은 건 없었다고 하고요. 은행이 다른 서버에 이 정보들도 백업을 해놨기 때문에 업무 자체엔 지장이 없었다고 합니다. 그러나 7천여건의 정보가 크래커의 손에 완전히 들어갔기 때문에 이 사람이 마음만 먹었다면 이 정보를 이용해 다른 일을 할 순 있었겠죠.
금융기관은 '신용'이 생명이기에 전산망에 대한 보안도 철저하게 관리해야 합니다. 방화벽이나 다양한 안전 장치를 설치해놓죠. 그런데 어떻게 뚫렸을까요? 이 부분이 사실 가장 궁금한데요. 아직 경찰도 은행 전산 담당자도 정확한 침입 경로를 파악하지 못하고 있습니다. 은행 전산 담당자는 방화벽을 뚫고 들어온 건 아니라고 하네요. 은행 직원의 이메일을 통해 접근한 게 아닐까 추측하고 있는데요. 가끔 이상한 파일이 첨부된 이메일이 올 때가 있죠. 이걸 열어보면 컴퓨터가 바이러스에 감염되고, 사용자가 입력하는 정보들이 크래커에게 고스란히 넘어갑니다.
아마도 은행 직원의 컴퓨터를 이런 식으로 감염시킨 뒤 서버의 관리자 아이디와 패스워드를 알아내 접근한 게 아닐까 추측됩니다. 금융기관에 대한 크래킹 시도는 여러 차례 있었지만, 실제로 뚫렸다란 점에서 충격적인 사건이죠. 정확한 침투 경로를 밝혀서 보안상 취약점은 반드시 보완해야죠. 무선망을 통해 은행 전산망에 침투를 시도한 일도 있었습니다. 무선 인터넷 아이디 도용하는 것과 비슷한 일인데요. 대학가에 가면 자취하는 학생들이 네스팟에 가입하지 않고 다른 사람 아이디를 도용해 무선 인터넷을 사용하는 일이 있습니다. 원리는 간단합니다. 무선 랜 카드를 설치하면 주변에 설치된 무선 랜의 전파를 잡을 수 있습니다. 요즘은 그런 일이 별로 없지만, 초기엔 무선 랜에 접속할 수 있는 패스워드를 특별히 걸어놓지 않는 경우가 많았습니다. 따라서 검색된 무선 네트워크를 클릭하면 자긴 가입하지 않았으면서도 다른 사람이 가입한 것에 접속이 가능했던 거죠. 그러나 여기에 비밀번호를 걸어놓으면 이 비밀번호를 풀어야하기에 이야기가 달라집니다.
이 친구들은 은행의 자체 무선망에 접속을 시도했습니다. 고객들의 인터넷 뱅킹 아이디, 비밀번호 등이 암호화된 데이터로 돌아다니는 망에 접속해서 이들 암호화된 데이터를 수집하려 한 거죠. 이걸 풀어내면 고객 정보를 알아낼 수 있으니까 예금 인출이 가능하다는 게 경찰의 설명입니다. 하지만 비밀번호를 뚫지 못해 접속 자체를 못 했고요. 암호화된 데이터를 풀어내 고객 정보를 알아내는 일이 과연 가능했을까 의문스럽습니다.
컴퓨터 네트워크에선 자료들을 패킷이라는 조각으로 나눠서 보내는데요. 이 패킷이 순차적으로 받아지는 게 아닙니다. 무작위로 도착하면 패킷들이 갖고 있는 정보를 갖고 순서를 맞춰서 받은 자료를 재생해내는데요. 따라서 패킷을 다 가졌다하더라도 그 순서를 못 맞추면 아무 의미가 없고요. 더구나 암호화된 걸 풀어내지 못하면 무용지물인데 이걸 풀어내려면 글쎄요... 물론 가능이야 하겠으나 엄청난 계산이 요구될 것이기에 고성능 컴퓨터가 여럿 있어야할 겁니다.
피의자는 3명이었는데, 컴퓨터에 대해 잘 모르는 피의자가 크래커 2명을 고용해 한 일입니다. 크래커들은 이게 현실적으로 가능하냐는 질문에 '은행 망을 뚫진 못할 거라고 알고 있었지만 고용됐기에 쇼잉이 필요했다'라고 이야기하더군요. 정보 보안 분야는 창과 방패가 계속 부딪히는 분야입니다. 무선망에서 돌아다니는 데이터를 수집해 암호를 풀고 재조합해 개인정보를 훔치려는 시도까지 나오는 걸 보면...
방패는 어떻게 또 진화해나갈지 흥미롭습니다.
☞ [관련기사] 은행 고객 보안도 뚫렸다…해커가 시스템 장악