-
‘완벽한 보안’이라는 허구에 가려진 해킹 사회의 민낯
언젠가는 타깃이 될 당신의 비즈니스와 일상,
어떻게 대비할 것인가?
소중한 개인정보 침해와 데이터 약탈이 일상적으로 일어나는 세상, 바야흐로 ‘해킹 사회’다. 보안을 강화하기 위해 경비원을 배치하고 CCTV를 늘리는 것은 이제 효과가 없다. 중요한 데이터를 털어가고 멋대로 기밀을 유포하는 악질 해커를 막을 방법은 없을까? 30년 경력의 전문 IT 칼럼니스트인 찰스 아서가 내린 결론에 따르면 ‘막을 수 없다’. 해킹을 막지 못해 대선 기간 내내 구설에 오르내렸던 힐러리 클린턴부터, 그저 쇼핑몰을 이용했을 뿐인데 개인정보를 몽땅 털리게 된 평범한 사람들까지. 이 책에서는 부주의한 기업들이 어떻게 해커의 표적이 되었고, 제대로 예방 조치를 하지 않아서 어떤 참사가 벌어지고 말았는지 낱낱이 파헤친다.
만약 우리 회사 서버에서 해커가 몰래 정보를 빼내고 있다면? 만약 업무 메일이 해킹 당해 계약서나 회의록이 구글에 돌아다니게 된다면? 어느 날 집에 있던 스마트 기기가 해킹 무기로 돌변하거나 갑작스러운 전산 마비로 국가 기간 시설이 모두 파괴된다면? 이것은 SF 영화가 아닌 현실이다. 어떻게 조심하고 대비해야 해커의 먹잇감이 되지 않을지, 세계 최고 기업의 사례와 전문가에게서 배운다.
모든 시스템을 완전무결하게 만들 방법은 없다. 해커들도 앞으로 끊임없이 새로운 형태의
공격을 시도할 것이다.
- Chapter 9. 해킹의 현재와 미래 중에서 -
힐러리 대선 패배는 메일 해킹 때문이다?
영국 최대 통신회사가 16세 해커에게 당한 사연은?
내로라하는 유명인과 최고의 기업도 피해갈 수 없었던 해킹의 진실
2014년 11월 24일 월요일
AM 08:15 소니픽처스 엔터테인먼트 전체 PC 블랙아웃, 모니터에 해커의 메시지 등장
AM 09:00 PC에 저장된 파일 자동 삭제 시작, 해커가 소니픽처스 트위터 계정 장악
2014년 11월 26일 수요일
브래드 피트 주연 영화 〈퓨리〉를 비롯한 미개봉작 3개 유출
2014년 12월 1일 월요일
소니픽처스 임원 연봉 공개
2014년 12월 2일 화요일
소니픽처스 전 직원 연봉, 이름, 생일, 사회보장번호 등 개인정보 공개 ……
눈앞에서 소중한 정보와 재산을 빼앗기는 해킹, 막을 방법은 없는 걸까? 30년 경력의 전문 IT 칼럼니스트인 찰스 아서가 내린 결론에 따르면 ‘막을 수 없다’. 인터넷과 컴퓨터가 존재하는 한, 해킹은 필연적이다. 다만 그는 해킹 시도가 통하지 않도록, 그리고 설령 해킹이 성공하더라도 피해는 최소화되도록 하는 우리의 노력이 절실하다고 강조한다.
다음 타깃은 내가 될 수도 있다!
이 책에는 해킹 역사에 족적을 남겼다고 할 수 있는 희대의 사건들을 르포 형식으로 취재했다. 교묘하게 수사망을 빠져나가는 해커들, 피해자들의 생생한 증언, 그리고 해킹을 추적하는 사람들의 노력이 교차한다. 마치 그 현장에 있었던 것 같은 느낌이다. 저명한 정치인은 물론 최고의 기업도 보안을 가볍게 여기다가 큰 타격을 입었다. 그들의 실수가 사실 그리 대단치는 않았다. 사용하는 메일 계정에 2단계 로그인을 설정하지 않고, 첨부 파일을 업무 자료로 오인해 무심코 열어보거나, 시간이나 비용 문제로 시스템 업데이트를 미루기도 하는 등 우리도 일상적으로 하는 행동들이었다. 즉, 지금까지 우리가 해킹을 피한 건 단지 운이 좋아서였을 뿐이다.
해킹 사회에서 영리하게 살아남는 방법
해킹의 범위는 매우 넓다. 기술과 수법도 매년 발전해왔다. 하지만 정작 여기에 대한 우리의 지식은 컴퓨터가 등장한 이래 거의 달라지지 않았다. 고객 정보·금융 정보·제품 개발 정보·각종 전략과 사생활까지, 거래할 수 있는 모든 정보는 해킹의 표적이다.
이 책에서는 힐러리 클린턴의 대선 캠프 메일 피싱부터 소니픽처스·토크토크·TJX 같은 거대 기업 해킹, 그리고 랜섬웨어와 사물인터넷 봇넷까지 최근 발생한 일련의 해킹 사건을 유형별로 소개한다. 각 사건마다 얻을 수 있는 시사점을 정리하며, 우리의 재산과 정보를 지키기 위해 지금 당장 어떤 조치를 취해야 하는지 명확하게 알려준다. 사물인터넷과 머신러닝같이 편리하지만 보안은 취약한 기술이 넘쳐난다. 언제 어디서나 누구라도 해킹의 타깃이 될 수 있다. 이제 우리는 스스로 자신을
? 책 속으로
해커들의 위협이 수십 년간 이어지면서 그들의 공격 방법과 경로는 계속 바뀌었지만, 이들에 대한 우리의 지식은 거의 바뀌지 않았다. 컴퓨터에 관해 약간의 이해가 있는 사람들의 수준도 별반 달라지지 않았다. 이들이 언젠가는 완벽한 보안 시스템을 갖춘 기기가 나올 것이라는 커다란 오해를 하고 있는 것처럼 말이다. (14쪽)
피싱은 엄밀히 말해서 해킹은 아니었다. 컴퓨터가 사용자의 의도와 다르게 동작하도록 조종한 부분이 없기 때문이다. 대신 ‘컴퓨터는 이렇게 동작할 거야’라는 사람들의 기대를 이용해 만들어낸 하위 버전은 존재했다. 컴퓨터에 올바르지 않은 형식의 이메일이나 웹사이트 주소를 입력하면 올바른 결과가 나오지 않듯이, 무의식적으로 우리에게는 컴퓨터가 거짓을 출력하지 않는다는 기대가 있다. 그렇지만 컴퓨터는 우리가 시키는 대로만 작동하는 기계다. 만약 컴퓨터에 사용자들을 속이라는 명령어가 입력된다면 컴퓨터는 그 명령도 성실히 이행할 것이다. (30쪽)
● 비밀번호를 동일하게 설정하면 안 된다.
└ 절대 하지 말아야 하는 행동이다. 당신이 지금 사용하고 있는 모든 계정이 연계되어 피해가 막심할 수 있다.
● 이메일 및 기타 시스템에서는 2단계 인증을 사용해야 한다.
└ 도중에 가로챌 수 있는 문자메시지 기반의 인증보다는 애플리케이션이나 별도의 키(Key) 시스템을 이용한 인증을 해야 한다. (96쪽)
한번 상상해보라. 내일 아침 일어나 컴퓨터에 앉았는데 갑자기 검은색 화면이 뜨고, 오늘 미팅 스케줄과 중요한 연락처, 그리고 밤새 작업한 프레젠테이션 자료들이 보이지 않는다. 공유 서버에 올려놓았던 계약서나 자료 등에도 더 이상 접근할 수가 없다. 당신이라면 어떤 기분일 것 같은가? 물론 백업이 있긴 하다. 하지만 그마저도 해당 데이터가 아직 존재할 때를 가정한 얘기다. 당신의 업무 처리 시간은 점점 두 달, 세 달, 네 달로 늘어난다. 대체 어떻게 해야 할까? (107쪽)
“이 업계에 처음 발을 담갔을 당시 제 첫 번째 원칙은 바로 지금 작성하고 있는 내용이 내일 자 뉴스 1면을 장식해도 아무렇지 않을 경우에만 이메일에 쓸 수 있다는 것이었죠”라고 이번 일을 겪었던 사람 중 한 명이 내게 말했다. 소니의 경영진들은 이런 원칙도 없었다. (119쪽)
● 만약 지금 운용하고 있는 시스템에서 결함을 발견했다면, 망설이지 말고 시스템을 멈춰야 한다.
└ 전 세계 인터넷 이용자 중 누군가가 당신이 발견한 것을 알아내는 건 시간문제다.
● 해킹에 당하는 것은 어떻게 보면 기업의 숙명이지만 이에 어떻게 반응하는지가 나중에 고객들이 그 기업을 어떻게 바라보는지를 결정한다. (178쪽)
이번 공격은 한 마을 정도의 인터넷 사용량이 한 번의 공격 자원으로 쓰인 것이다. 웹사이트가 집이라고 가정하면 이런 공격은 마치 100만 명의 사람들이 그 집의 초인종을 차례차례 누르고 도망가는 것과 같다. 이렇게 되면 그 집에 사는 사람은 정상적인 생활이 불가능할 것이다. 집까지 가는 모든 길이 사람으로 막혀 버려 그 집에 용건이 있는 사람들이 방문할 수도, 무엇을 전달할
수도 없어진다. 바로 이런 피해가 웹에서 발생한 것이다. (258쪽)
문제는 이런 사물인터넷 기기도 모두 소프트웨어로 동작하며, 세상의 모든 소프트웨어는 필연적으로 완벽할 수 없다는 데 있다. 설령 사물인터넷 기기의 소프트웨어가 완벽에 가까울지라도, 그 소프트웨어를 움직이는 운영체제에는 문제가 있을 수 있다. 소프트웨어의 결함이 존재한다는 것은 해당 소프트웨어를 수시로 업데이트해야 한다는 뜻이다. (271쪽)
사물인터넷 기기를 검색하기 위해 만들어진 쇼단이라는 검색엔진도 존재하는 것을 보면, 이제 더 이상 보안성 낮은 사물인터넷 기기는 내 안전을 보장해 주지 못한다고 잘라 말한다. 사실상 이제 모든 기기는 나 이외에 누구라도 볼 수 있는 기기라고 봐야 한다는 것이다. (275쪽)
사용자 권리에 적극적으로 목소리를 내 온 노스캐롤라이나대학 조교수 제이넵 투페키는 《뉴욕 타임스》 기고문에 다음과 같이 자신의 좌절감을 표현했다. “대부분의 소프트웨어 장애나 데이터 유출은 예방할 수 있습니다. 해킹 피해가 발생하는 이유는 제품의 안정성이나 보안 문제를 무시했거나 또는 여기에 제대로 투자하지 않았기 때문입니다.” (302쪽)
미라이 소스코드 공개는 봇넷을 만드는 방법이 더 멀리 퍼져 나간다는 의미다. 반면 봇넷으로 이용될 수 있는 사물인터넷 기기 시장의 비즈니스 모델은 전혀 변하지 않았다. 소프트웨어나 펌웨어에 문제가 있는 제품을 만드는 것이 애초에 해킹하기 어려운 제품을 만드는 것보다 훨씬 더 수익성이 높기 때문에 기업들은 보안보다 거기에 치중하고 있는 것이다. (304쪽)
우리는 머신러닝 시스템하에서 어떤 결과가 나올 것인지를 예측할 수가 없다. 따라서 연구자들은 자연스럽게 더 광범위한 질문을 하게 되었다. 만약 그렇다면 머신러닝 시스템이 자율주행자동차, 가정, 스마트폰에서 널리 쓰이게 되고 예상치 못한 정보가 입력되었을 때 어떤 결과가 나올지 모른다는 이야기인데 이것은 굉장히 위험한 상황이 아닌가? (315쪽)
미래의 국가 대 국가 싸움은 연결성이 높은 인프라를 공격하는 형태일 가능성이 크다. 직접적이고 물리적인 공격보다 상대 국가 시스템에 피해를 주는 게 성공할 확률이 훨씬 높기 때문이다. 미래의 사이버 전쟁에서는 한 발의 총성도 들리지 않았는데도 불구하고 항복기가 올라갈 수도 있다. 그리고 그 항복기를 올린 국가는 도대체 누구에게 항복의 메시지를 보내야 할지 모를 수도 있을 것이다. (320쪽)