[취재수첩] ‘감쪽같은’ 해킹 수법, 해법은 ‘의심’뿐
[취재수첩] ‘감쪽같은’ 해킹 수법, 해법은 ‘의심’뿐
  • 김지수 뉴스리포터
  • 승인 2021.07.16 08:42
  • 댓글 0
이 기사를 공유합니다

전 세계적으로 기업 피해 잇달아… 사이버 보안 긴장감 가중
해킹 당당함의 비결은 ‘가상화폐’, 자금세탁까지 하면 추적 어려워

[아웃소싱타임스 김지수 뉴스리포터] 코로나 19로 애먼 근로자 몇몇이 해커의 먹잇감이 되고 있다.

재택근무가 활성화되면서 한 공간에서 지내던 근로자들은 각자의 재택에서 따로 떨어져 작업하는환경에 놓이게 된 까닭이다. 사무실이라는 한 공간에서 작업할 땐 궁금증이 생기면 바로 바로 물어보면 됐지만, 이제는 따로 채팅이나 전화를 통해 물어봐야만 하는 상황이 됐다.

간단한 것도 채팅으로 물어보는 절차를 거쳐야만 소통할 수 있게 된 상황에, 메일 하나를 받았다고 메일을 보낸 당사자에게 "나에게 이런 메일을 보낸게 맞나요?"라고 물어 보기란 꾀나 번거로운 절차다. 심지어 눈치가 보이는 경우도 부지기수. 바로 이런 사람들의 심리를 해커들이 파고들었다. 

결과적으로 당사자에게 따로 확인하지 않고 능동적으로 클릭한 파일 하나가 회사 서버를 엉망으로 만들어놓는 시한폭탄이 되고 있다.

실제 랜섬웨어와 악성코드로 인한 세계 곳곳의 피해는 어마어마한 상황이다. 실제 미국 최대 송유관 업체인 콜로니얼 파이프라인이 해킹의 영향으로 송유관 가동이 중단되자, 해커에게 약 500만 달러를 지급했었다. 이렇게 컴퓨터에 침입한 악성 코드 하나로도 막대한 손익을 남길 수 있는 상황에서 코로나 19가 가세해 기업 보안의 긴장감을 가중시키고 있다. 

해킹 수법은 다양하지만 피싱 메일을 이용한 수법이 대부분이라 할 수 있다. 피싱 메일의 경우 흔히 ‘회계팀 전달사항’이라는 제목 등 제목으로 위장하고서 악성코드를 심어놓은 첨부파일을 클릭하도록 유도한다. 또 링크를 걸어 링크를 클릭했을 시 악성코드가 심어지도록 할 수도 있다. 

피싱 사이트의 경우엔 우리가 아는 사이트와 똑같은 외양을 한 사이트에 아이디와 패스워드를 입력하도록 해 개인정보를 빼내기도 한다. 심지어는 AI를 이용해 상대에게 악성코드가 담긴 메일을 남발하는 경우도 있다.

이렇게 상대를 속이는 사기 행위를 대범하게 할 수 있는 이유가 무엇일까. 바로 가상화폐다. 미국 송유관 사건에서도 해커들은 가상화폐를 요구했었다. 가상화폐는 그 특성상 경로를 유추할 수 없도록 설계되어 있다. 이처럼 추적이 어려운 가상화폐는 해커들의 주된 거래소로 활용되어 왔다. 

가상화폐 중 하나인 비트코인은 아예 형체도 없으며 계좌도 누구나 만들어 낼 수 있다. 은행이었다면 개인의 거주지, 주민번호 등 여러 정보를 함께 저장했을 테지만, 비트코인은 이런 개인 정보가 아닌 돈을 받을 계좌 주소를 저장한다.

비트코인 속 개인의 계좌 주소라도 찾아낼 가능성은 매우 희박하다. 비트코인의 주소는 세탁이 가능하다. 이걸 보고 ‘믹싱’이라고 하는데, 믹싱을 해 기존의 주소가 아닌 새로운 주소로 갈아탈 경우 추적하기는 매우 어렵다. 그리고 이런 믹싱 방법은 간단히 찾아만 봐도 그 방법을 알 수 있게 되어있어 비트코인 주소 세탁은 어렵지 않다.  

지금의 사이버 환경은 곳곳에 악성코드가 심어져 있다. 믿을 만한 보안 프로그램조차도 그 속에 악성코드가 심겨 있을 수 있으니 주의하라는 소식을 어렵지 않게 들을 수 있다. 코로나 시대인 만큼 온라인상에서 활동하는 시간이 많아진 국민들은 따로 대비해두지 않으면 악성코드를 피해 가기 어려울 수 있다. 

힘들게 작업해놓은 파일을 잃지 않기 위해서는 내 메일로 날아드는 모든 메일을 의심해야 한다. 첨부된 파일을 열어보기 전에 당사자에게 전화해 확인해보는 절차가 필요하다. Window 프로그램의 업데이트 또한 필수적이며 눈으로 보이는 링크마저 해당 사이트의 주소가 맞는지, 이상한 알파벳이나 숫자가 링크 뒤에 붙진 않았는지 세밀한 관찰이 요구된다.   

이전만 해도 개인은 이상한 사이트만 들어가지 않으면 크게 주의할 필요가 없었다. 때문에 악성코드와 같은 랜섬웨어 예방수칙을 알면서도 크게 주의하지 않을 수 있었지만, 이제는 기업체의 직원인 한 개인도 타깃으로 설정된 이상 각별한 주의가 요구될 것으로 보인다.

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.


관련기사