거의 대부분의 일을 디지털로 처리할 수 있는 현대 사회에서 보안 기술은 사회를 유지하는 매우 중요한 요소다. 최근에는 AI를 비롯한 첨단 기술과 공급망 공격 등 여러 유형의 사이버 공격이 급증하고 있어 이에 대응하기 위한 보안업계의 고민도 깊어지고 있다. 사실 사이버 공격과 이를 방어하기 위한 보안 기술의 발전은 디지털 기술이 일상에서 활용되면서부터 시작된 오랜 전쟁의 역사라고도 할 수 있다.
그리고 이러한 사이버 전쟁의 역사 속에서 일반적으로 널리 알려진 가장 대표적인 공격 방법이 바로 해킹(Hacking)이다. 해킹은 허가받지 않은 컴퓨터나 네트워크에 무단으로 침입해서 시스템에 오류를 일으키거나 데이터를 탈취하는 등의 행위를 일컫는다. 영화 등의 창작물에서도 해킹은 불가능해 보이는 많은 일들을 가능케하는 만능키처럼 그려진다.
그렇다면 과연 해킹은 영화처럼 모든 것이 가능한 무서운 사이버 공격일까? 해킹이 언제, 어떻게 생겨났으며 해킹 기술은 어떤 방식으로 진화해 왔는지 간략하게 살펴봤다.
해킹의 역사
해킹은 컴퓨터 하드웨어나 소프트웨어, 네트워크, 웹사이트 등 각종 정보 체계가 설계자나 관리자, 운영체제가 의도하지 않은 동작을 일으키도록 하는 모든 행위를 의미한다. 정해진 정보 체계 내에서 주어진 권한 이상으로 정보를 열람하고 복제하고 변경하는 모든 행위를 광범위하게 이르는 말이기도 하다.
정보 보안이 어느 때보다 중요한 오늘날에는 해킹이라고 하면 불법적이고 부정적인 이미지가 먼저 떠오르지만 초기 해킹은 불법이나 범죄보다는 장난에 더욱 가까운 개념을 지니고 있었다.
해킹의 어원이 되는 해크(HACK)는 '거칠게 자르거나 헤집는다'는 사전적인 의미를 갖고 있다. 하지만 1950년, 해킹이라는 단어가 처음 등장했던 미국 메사추세츠 공과대학교(MIT)에서는 해크를 ‘작업 과정 자체에서 느껴지는 순수한 즐거움’이라는 의미로 사용하곤 했다. 실제로 초기 해킹이라는 단어를 사용했던 이들은 단순히 컴퓨터나 게임, 시스템을 광적으로 좋아해 새로운 프로그램을 만들며 전체 시스템을 이해하는 데서 쾌감을 느끼곤 했다.
![[출처: 게티이미지뱅크]](/news/photo/202402/236838_240481_423.jpg)
컴퓨터 시스템에 대한 이해에 목말라 있던 이들은 1970년대 전화와 모뎀을 이용해 컴퓨터 시스템을 조작할 수 있는 다양한 방법을 강구해 낸다. 전화기의 무료 통화 방법을 찾아내기도 하고 전화선을 해킹해 백악관에 장난 전화를 거는 이들도 있었다. 이때까지만 해도 장난의 영역이었던 해킹은 1980년대 초, 개인용 컴퓨터가 보급되면서 보다 전문성을 띄게 되었다.
해킹이 범죄나 사회 시스템을 망치는 데 사용될 수 있다는 인식이 널리 퍼진 상징적인 사건은 1988년 벌어진 '모리스 웜' 사건이다. 미국 국가안보위원회 핵심 과학자의 아들이자 코넬대학교 대학원생인 로버트 모리스라는 학생이 인터넷의 효시가 되는 ARPA넷을 통해 자기 복제 웜을 구동시킨 것이다.
이 복제 웜은 네트워크로 연결된 6천여 대의 컴퓨터를 감염시켜 정부와 대학교 시스템을 상당기간 마비시켜버렸다. 모리스는 이 일로 집행유예 3년, 벌금 1만 달러가 부과되었고 미국 국방부는 같은 해 11월, 유사한 일이 벌어지지 않도록 카네기 멜론 대학교에 컴퓨터 비상 대응팀을 설립하게 된다.
국내에서는 해킹과 크래킹을 구분하지 않지만, 본래 해킹은 ‘다른 컴퓨터에 침입하는 모든 행위’를 의미하며 ‘악의적인 목적으로 프로그램이나 서버 등에 보안을 뚫고 침입하여 그것을 나쁘게 바꾸거나 정보를 탈취하는 행위’는 크래킹이라 부른다.
개발자가 자신이 만든 프로그램의 오류를 찾기 위해 코드 락을 뚫어서 프로그램 소스를 확인하는 경우 혹은 보안 전문가가 프로그램의 안전성을 찾기 위해 보안 시스템에 무단 액세스하는 경우처럼 악의적인 의도가 없거나 범죄의 용도로 사용하지 않는 행위를 따로 해킹이라 규정하기도 한다.
하지만 오늘날에는 디지털상에 존재하는 거의 모든 데이터가 위법하게 활용될 가능성이 많고 해커의 의도를 따로 짐작하기 어렵기 때문에 거의 모든 무단 액세스 행위를 해킹이라 규정하고 있는 추세다.
주요 해킹 기법은?
해킹은 목표와 수행 방식에 따라 여러 기술과 방법이 존재한다. 해킹 기법은 워낙 다양하고 실시간으로 변화하기 때문에 주로 공격 대상이 무엇인가를 기준으로 분류하는 경우가 많다.
가장 대표적인 해킹 기법은 시스템이나 운영체제와 관련된 공격을 의미하는 시스템 해킹이다. 메모리 저장 공간을 오버플로우시켜 시스템을 마비시키기도 하고 문자열 포맷을 이용해 시스템을 공격하는 포맷 스트링 공격도 있다. 대부분 시스템상의 약점을 이용해 관리자 권한을 획득하거나 시스템 파일을 수정, 삭제해 시스템을 제어하는 데 목적을 둔 공격이다. 취약점을 찾기 힘들다는 단점이 있지만 성공하면 그만큼 많은 제어가 가능한 해킹 기법이다.
네트워크 해킹은 TCP/IP 프로토콜상에서 일어나는 해킹 기법이다. 사용자가 전송하는 데이터만을 훔쳐보는 스니핑, 해커가 네트워크에서 자신의 신분을 위장하는 스푸핑, 다른 사람의 연결을 가로채 접속하는 하이재킹 등이 있다. 네트워크 형성 초기에 가장 성행한 기법이지만 끊임없는 패치와 정책 업데이트로 상당 부분 보완이 이뤄진 기법이기도 하다.
![[출처: 게티이미지뱅크]](/news/photo/202402/236838_240482_444.jpg)
웹 해킹은 사이트나 애플리케이션의 취약점을 이용해 침입, 사용자 정보를 탈취하고 시스템을 제어하는 공격이다. 다른 해킹 기법들에 비해 환경의 영향을 크게 받지 않고 배우기 쉬운 탓에 현재 가장 빈번하게 이뤄지는 공격이라고 할 수 있다. 보통 서버와 애플리케이션 간에 데이터를 주고 받는 컨밴션인 Common Gateway Interface, CGI를 목표로 공격이 이뤄진다.
최근 가장 핫한 해킹 기법 중 하나인 분산 서비스 거부, 통칭 DDoS(Distributed Denial of Service) 공격 역시 크게 보면 웹 해킹의 범주에 들어간다. DDoS는 해당 시스템이나 네트워크가 처리할 수 있는 용량을 초과하는 통신 요청, 데이터를 통해 온라인 서비스 자체를 중단시키는 사이버 공격의 일환이다. 이미 이베이, 야후 등 국제적인 대기업이 이 공격으로 큰 피해를 입었고 지금도 글로벌 기업이나 공공 기관에는 유사한 공격이 끊임없이 이어지고 있다.
무선 네트워크 환경이 늘어남에 따라 무선 해킹 방식도 늘어나고 있다. 기업이나 조직 내에만 존재하는 네트워크를 사용하고 있는 경우, 무선랜 환경을 통해 내부망에 접속, 해킹할 수도 있으며 아예 자연스럽게 공급되는 IT 장비에 스파이칩이나 해킹 도구를 탑재하는 경우도 있다. 일례로 기업 내 내부망을 구축할 때 서버 메인보드에 스파이칩을 심어 해킹을 시도한 사례가 있으며 무선 마우스나 무선 키보드 등에 해킹 장치를 내장해 해킹 공격을 시도하기도 한다.
고도화되는 랜섬웨어와 AI
디지털 환경이 변화하고 대중화되면서 해킹 기술 역시 진화를 거듭하고 있다. 점점 고도화되는 랜섬웨어가 대표적이다. 랜섬웨어는 사용자의 컴퓨터나 데이터를 장악, 암호화한 뒤에 정상적인 작동을 위한 암호키를 대가로 금품을 요구하는 악성코드다. 2017년에 등장한 워너크라이라는 랜섬웨어가 엄청난 전파력으로 화제를 모으면서 급부상한 해킹 기법이다.
초기에 등장한 랜섬웨어는 액세스 권한이나 암호키를 대가로 몸값을 요구했지만 최근에는 아예 데이터를 훔쳐 온라인에 유출하겠다며 지속적인 협박을 일삼는 경우가 많고 훔친 데이터를 기반으로 피해자의 고객이나 비즈니스 파트너를 공격하겠다는 협박으로 이어지는 경우도 있다.
여기에 소유자를 특정하기 어려운 비트코인이나 이더리움 같은 가상자산이 등장하면서 몸값을 가상자산으로 요구하는 랜섬웨어 공격이 기승을 부리기도 했다. 랜섬웨어는 감염, 유입 경로가 굉장히 무궁무진하고 그 수법이 나날이 고도화되는 탓에 최근 보안업계에서 촉각을 곤두세우고 있는 해킹 기법 중 하나다.
보안 분야는 물론이고 거의 모든 산업에서 활용되고 있는 AI 역시 주요 해킹 도구 중 하나로 주목받고 있다. 표적을 정밀 지정하기 위해 수십만 건의 이메일을 분석하는 데 AI를 사용하고 있으며 악성코드 관련 데이터를 대량 학습해 효율적인 피싱 이메일과 문구 제작을 제작하기 위해 AI를 활용하기도 한다.
최근에는 생성형 AI를 기반으로 한 사이버 범죄 도구도 등장했다. 오픈소스 언어 모델인 GPT-J를 기반으로 개발된 웜GPT는 맬웨어 관련 데이터 세트를 학습해 중요한 정보나 금품을 요구하는 피싱 메일을 자체적으로 생성하고 발송한다. 이미 수천 건의 피싱 메일이 웜GPT를 통해 발송되었으며 해킹에 대한 지식이 거의 없는 초보자도 쉽게 사용할 수 있도록 제작되어 있어서 앞으로 비슷한 시도는 더욱 늘어날 것으로 예측되고 있다.
![오픈소스 언어모델을 기반으로 만들어진 사이버 범죄도구 웜 GPT [출처: Security Affairs]](/news/photo/202402/236838_240483_67.jpg)
수많은 해킹 기술은 복합적으로 상호 작용하며 위험성을 더욱 높여가고 있다. 나날이 진화하는 해킹 기술에 대응하기 위해 보안 업계 역시 다양한 노력을 기울이고 있지만 보안 인력의 부재, 투자 비용의 한계 등 여러 현실적인 제약 탓에 아직은 선도적인 대응이 어려운 상황이다.
이처럼 다각도로 이어지는 해킹 위협이 증가할수록 빛을 발하는 것이 바로 평소 우리의 철저한 보안 의식이다. 스스로의 보안 상태를 항상 면밀히 파악하고 최신 보안 시스템, 솔루션의 도입에 적극적인 자세를 유지하면 수많은 해킹 위협에도 안전한 보안 상태를 유지할 수 있다.
