해킹은 해킹인데...트위터 뚫은 '사회공학적 해킹' 뭐길래 [임주형의 테크토크]

트위터 유명인사 계정 100여명 대거 해킹 당해
시스템 아닌 직원 접근해 관리 툴 얻은 '사회공학 해킹'
직원 신뢰 얻어 중요 정보 빼돌리거나
가짜 이메일·보이스 피싱 등 방법 다양해

지난 15일(현지시간) 해킹당한 버락 오바마 전 미국 대통령 트위터 계정에 올라온 글. 당시 해커들은 이 계정에서 '비트코인을 송금하면 두 배로 돌려준다'는 취지로 주장해 돈을 받아 챙겼다. / 사진=버락 오바마 트위터 캡처

[아시아경제 임주형 기자] 지난 15일(현지시간), 버락 오바마 전 미국 대통령 공식 트위터 계정은 "신종 코로나바이러스 감염증 때문에 지역사회에 내 돈을 돌려주기로 했다"며 "아래 주소로 비트코인을 입금하는 사람은 보낸 액수의 2배만큼 돌려받을 것이다. 앞으로 30분 동안이다. 즐기시길"이라는 글과 함께 암호화폐 계좌 주소를 게재했다.

이날 이 메시지를 올린 사람은 오바마 전 대통령뿐만이 아니었다. 제프 베이조스 아마존 CEO, 일론 머스크 테슬라 CEO, 빌 게이츠, 조 바이든 전 미국 부통령, 힙합 가수 칸예 웨스트 등 미국의 유명인사 및 정치인들 100명 이상이 똑같은 글을 올려 트위터 사용자들에게 비트코인 입금을 제안했다.

이같은 일은 비트코인을 이용한 암호화폐 사기단의 행각으로 알려졌다. 이후 트위터 측은 대규모 해킹으로 인한 보안 사고가 벌어졌다고 밝혔으나, 이미 해커들이 올린 비트코인 주소에 11만달러(약 1억3200만원)가 송금된 후였다.

트위터는 해킹 사태 이후 다음날인 16일 중간 조사 결과 발표에서 "내부 시스템 및 도구 접근 권한을 가진 일부 직원을 대상으로 한 조직적인 '사회공학적 공격'으로 추측된다"고 밝혔다.

기업 관계자에게 직접 접근해 중요 정보를 빼오는 '사회공학적 해킹'이 사이버 보안의 위협으로 떠오르고 있다. 컴퓨터 공학에 대한 전문 지식이 없어도 수행할 수 있는 데다, 기술적으로 대처할 방안도 없어 우려가 커지고 있다.

전문가는 기업 내 개인과 조직 모두 경각심을 가지고 체계적으로 행동할 필요가 있다고 제언했다.

시스템 아닌 사람 노리는 사회공학적 해킹

해킹 / 사진=연합뉴스

해킹에는 크게 시스템 해킹과 사회공학적 해킹 두 종류가 있다.

우선 시스템 해킹은 운영체제(OS), 소프트웨어, 하드웨어에 내재한 보안 취약점을 해킹하는 것이다. 흔히 트로이 목마, 바이러스 등 악성코드를 배포하거나 디도스(DDoS) 공격을 시도하는 게 시스템 해킹에 해당한다.

반면 사회공학적 해킹은 시스템이 아닌 사람을 노리는 해킹이다. 시스템 내 접근 권한을 갖춘 기업 직원의 신뢰를 얻은 뒤 기밀 정보나 툴을 빼돌리는 행위가 여기 포함된다.

이번 트위터 대규모 해킹 사태도 마찬가지다. 해커는 직원들에게서 직접 내부 시스템 및 도구 접근 권한을 가진 관리자 계정을 얻어낸 뒤, 유명인사 계정에 강제 로그인하고 사기성 트윗을 대량으로 전송했다.

이 외에도 직원들에게 가짜 이메일, 보이스 피싱 등을 보내 기초 정보를 알아내는 행위, 도청을 하거나 곁눈질로 모니터를 훔쳐보면서 비밀번호를 알아내는 것 또한 사회공학적 해킹에 포함된다.

보안 기술 발달하며 사회공학적 해킹 기승

사회공학적 해킹은 실제 보안 수준과 관계 없이 해당 시스템의 관리자들을 노려 보안 체계를 무력화한다는 점에서 위협이 된다. / 사진=연합뉴스

사회공학적 해킹은 시스템 보안 수준의 고도화 여부와는 상관없이 그 시스템을 관리하는 사람을 노린다는 데서 문제가 된다. 시스템에 취약점이 있다면 여러 테스트를 통해 보완하거나 개선할 수 있지만, 인간 개인의 부주의로 인한 정보 유출은 통제가 극히 까다롭기 때문이다.

특히 전자 기술이 발달해 전체적으로 시스템 보안 기술이 상향 평준화되면서, 최근 해커들은 시스템 해킹에서 사회공학적 해킹으로 방향을 틀고 있다.

바이러스 검사 소프트웨어 '알약'으로 유명한 이스트시큐리티는 지난해 '2019년 보안 위협 전망'에서 사회공학적 해킹 기법의 하나인 '스피어 피싱'을 위협 순위 4위로 지목하기도 했다. 스피어 피싱은 사내 메일인 척하는 가짜 이메일을 무작위 발송해 기업 정보를 빼오는 기법이다.

전문가는 체계적인 보안팀 관리를 통해 기밀 정보가 새어나가지 않게 해야 한다고 강조했다.

익명을 요구한 보안업계 관계자는 아시아경제와 통화에서 "사회공학적 해킹은 쉽게 말해 보안 담당 직원에게 사기를 쳐 정보를 빼돌리는 행위"라며 "개인이 경각심을 가지고 조심하는 방법 외에는 별다른 수가 없다"고 말했다.

이어 "가장 좋은 사회공학적 해킹 예방법은 조직(기업) 내에서 민감한 정보가 새어나갈 길을 체계적으로 차단하는 것"이라며 "사내 컴퓨터 비밀번호, 사무실 출입 등 어떤 경로를 거쳐 공유하고 누가 관리를 할지 명확한 가이드라인을 만들어 준수하는 자세가 필요하다"고 조언했다.

임주형 기자 skepped@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>