[기사원문보기]
돈도 주고 해킹기술 키울 수 있도록 다양하게 지원중?
국내 유포 악성코드 90% 이상 게임계정 탈취가 목적
게임아이템과 사이버머니, 돈 되는 한 공격 멈추지 않을 것
한국인들 PC에 무엇이 들어있길래 중국 해커들은 그렇게 주말마다 웹하드나 P2P, 소셜 커머스 사이트들을 통해 악성코드를 유포하고 있는 것일까? 지겨울 만도 한데 2005년부터 지금까지 쉴새 없이 악성코드를 뿌려대고 있다. 그 이유는 무엇일까? 16년간 악성코드 분석에 매달린 문종현 잉카인터넷 시큐리티대응센터 대응팀장을 만나 그 이유에 대해 자세히 들어봤다.
문종현 팀장은 “2005년부터 중국 사이버 범죄자(이들은 해커가 아니라 사이버 범죄자들이다)들로 추정되는 한 집단에서 지금까지 지속적으로 악성코드를 유포하고 있다. 그 이유는 바로 국내 유명 온라인 게임 계정을 탈취해서 게임머니나 아이템을 빼돌려 현금화하려는 목적이 있기 때문이다. 한마디로 돈 벌려고 그렇게 계속해서 공격을 하고 있다”고 설명했다.
공격패턴은 2005년이나 지금이나 비슷하다. 문 팀장은 “국내 악성코드 유포 목적의 90% 이상은 게임계정 탈취에 있다고 해도 과언이 아니다. 국내 웹하드 업체나 P2P 업체, 소셜 커머스 사이트 등에 많은 사람들이 자주 방문하기 때문에 그 사이트들의 취약점을 찾아내 해당 사이트를 악성코드 유포지로 만들어 놓고 느긋하게 기다리고 있다”며 “주로 보안관리가 안되는 주말을 이용해 작업이 이루어지고 국내 많은 이용자들이 악성코드에 감염되고 있다”고 말했다.
해커는 감염된 PC 이용자가 게임에 접속하는 순간 아이디와 비밀번호를 알아내고 이용자 몰래 게임 머니나 아이템을 빼내 거래사이트에서 이를 현금화해 돈을 벌고 있다.
◇왜 2005년과 지금 변한 것이 하나도 없을까=문 팀장은 6년 전이나 지금이나 변한 것은 하나도 없다고 안타까워한다. 그는 “누구 하나 책임을 지고 있지 않기 때문이다. 책임지는 기관도 없다. 유포지로 사용되고 있는 업체는 악성 스크립트 제거했다고 고지하면 끝이다. 법적으로 제재를 가할 법적 근거도 없다”며 “KISA는 해외 경유지 사이트를 발견 즉시 차단하고 있고 전용백신도 무료로 배포하고 있지만 공격은 끊임없이 발생하고 있고, 이런 사안은 국정원이나 경찰청이 책임질 일도 아니다. 더구나 이용자들은 그렇게 어도비 플래시 플레이어 등 최근 문제가 되고 있는 프로그램들의 보안패치를 하라고 해도 잘 하지 않는다”고 답답해 했다.
현재로서는 유포 사이트도 책임이 없고 KISA도 책임이 없다. 그렇다고 개인 유저들에게 책임을 물을 수도 없고 국정원이나 경찰청이 책임질 일도 아니다. 하지만 공격은 주말마다 계속되고 있고 많은 사용자들은 보안불감증에 빠져 계속 악성코드를 유포하는 사이트에 접속해 악성코드에 감염되고 있다.
공격자는 이런 상황이 너무 재미있고 신나는 일일 것이다. 아무도 자신들을 방해하지 않고 있으니 편안하게 한국인들의 게임계정을 탈취해 가고 있다. 탈취한 정보를 이용해 아이템을 팔아서 돈을 벌고 축적된 정보를 한국 브로커들에게 팔아서 또 돈을 번다. 한국 사이트들은 현재 중국 해커들의 돈벌이 수단이 되고 있고 해킹기술을 마음껏 연구하고 성장시킬 수 있는 놀이터가 되어주고 있는 상황이다.
문 팀장은 “웹하드나 소셜 커머스 기업들도 해킹을 당한 피해자라고 항변할 수는 있지만 많은 이용자들이 접속하는 사이트임에도 불구하고 악성코드 유포로 인해 많은 이용자들에게 피해를 주고 있기 때문에 이에 대한 법적 제재가 필요하다”며 “그래야 해당업체들이 보안에 신경을 쓰게 되고 다소나마 공격을 차단할 수 있을 것”이라고 강조했다.
◇돈이 되는 한 공격은 계속된다=국내로 유포되는 악성코드의 목적은 90% 게임계정 탈취가 목적이라고 한다. 문 팀장은 “어도비 플래시 플레이어 취약점이나 MS관련 취약점들을 이용한 공격들이 대부분이다. 온라인 게임계정을 노리는 범죄자들이 굳이 다른 나라에 악성코드를 뿌릴 이유는 없다. 한국이 타깃”이라며 “온라인 게임계정을 탈취하면 돈을 벌 수 있다는 공식이 무너지지 않는 한 이 지겨운 공격은 영원히 계속 될 것”이라고 말했다.
현재도 중국 사이버 범죄자들은 플래시 플레이어 취약점을 활용하고 있다. 한국 PC이용자들이 대부분 그 프로그램을 사용하고 있기 때문이다. 또 플래시 플레이어 보안 업데이트는 10초에서 20초만 투자하면 보안패치가 가능한데 그것을 하지 않기 때문에 공격자는 편안하게 정보를 수집하고 있는 중이다.
또 악성코드를 유포하고 있는 피해자이면서 동시에 가해자인 웹하드 업체나 소셜 커머스 업체들을 처벌할 수 있는 법적 근거도 없기 때문에 이들 업체들이 적극적으로 보안시스템을 마련할 것을 기대하기도 힘들다.
더욱이 백신업체는 24시간 모니터링하면서 열심히 일하고 있지만 결국 백신은 사후대응이 한계다.아무리 빨리 대응한다 해도 공격을 당하고 난 후이다. 또 공격자들은 최근에 백신이 탐지 못하는 것을 확인한 후 악성코드를 뿌리고 있기 때문에 백신으로는 현재의 공격을 차단하기란 불가능하다.
문 팀장은 “근본적인 원인을 제거해야 한다. 게임아이템이나 게임머니가 돈으로 환산되는 것을 막는 방법밖에 없다. 사이버 범죄자들이 돈이 되지 않는데 그 고생을 해가면서 악성코드를 뿌릴 이유가 없기 때문”이라며 “이 문제는 정부와 게임업체들의 노력이 뒤따라야 한다. 물론 게임업체 수익성 때문에 힘든 문제겠지만 이 문제를 해결하지 않으면 악성코드 공격은 끊임없이 계속될 것”이라고 강조했다.
게임 아이템거래와 게임머니 환전 문제가 근절되지 않는 한, 정부가 어떠한 보안 장치와 법을 마련하고 KISA가 아무리 노력해도, 또 백신업체가 24시간 연구인력을 풀가동해도 어차피 방어만 하고 있는 것이기 때문에 공격자들의 지속적인 새로운 해킹 기술을 당해낼 수 없는 일이다. 게임아이템 거래와 게임머니 환전 문제에 대해 관계기관과 기업, 보안업체가 모여 논의해야 한다. 방어만으로는 한계가 있다.
◇어떤 방식으로 공격하고 있나=역시 가장 많이 사용하는 공격방법은 SQL인젝션 공격방법이다. 또 사용하는 서버가 윈도우냐 리눅스냐에 따라 다양한 방식으로 공격을 시도한다. (사진출처.
www.flickr.com / kevinpoh)
문 팀장은 “하지만 앞서 말했다시피 방어에는 한계가 있다. 모든 보안 시스템과 보안팀을 구축해 놓고 그래 들어 올 테면 들어와보라는 식으로 기다리고 있으면 범죄자는 웹마스터 메일로 고객처럼 위장해 메일을 보내 관리자가 고객이 보낸 파일을 열어보도록 만든다. 그럼 문서를 열어보는 즉시 감염된다. 그때부터 관리자 권한이 넘어가고 범죄자가 웹마스터가 되는 것”이라며 “이 공격이 제로데이 공격이라면 백신도 탐지 못하고 그저 당하고 만 있어야 하는 상황이 발생하게 된다”고 설명했다.
그래서 그는 “보안 시스템 구축보다 중요한 것이 전직원의 보안마인드를 어떻게 함양시키느냐이다. 사이트의 취약점도 찾아내 제거해야 하겠지만 그 보다 앞서 CEO와 모든 직원들의 보안마인드를 높이기 위한 교육이 지속적으로 이루어지는 것이 가장 중요하다”고 말했다.
사실 공격자들이 SNS를 활용해 기업 CEO나 임원 메일을 알아낸 후, 악성파일이 숨겨진 파일을 메일에 첨부해 직원들에게 보내면 끝이다. 웬만한 기업들은 당해 낼 수가 없다. 어설프게 몇가지 보안장비를 들여놨다고 해서 안심할 문제가 아닌 것이다. 실제로 지금도 수많은 기업들이 이러한 공격에 무방비로 너무도 손쉽게 범죄자들에게 당하고 있는 것이 지금의 현실이다.
문 팀장 또한 “돈을 목적으로 하고 있는 사이버 범죄자들은 웬만한 기업들은 100% 뚫을 수 있다. 취약점을 이용하든 사회공학적 공격방법을 이용하든 점령당하게 돼 있다. 기업도 그런데 일반인들은 더 속수무책”이라며 “하루빨리 사이버 범죄자들이 한국 사이트를 공격해 봐야 돈이 안되는 사회적 환경을 만드는 것이 최선”이라고 말했다.
◇최소한의 노력이라도 하자=문 팀장은 “사실 옥션 정보유출 사태 전까지는 보안에 대부분 관심도 없었다. 집단 소송도 걸리고 해킹사건으로 기업이 위험해 질 수 있다는 인식이 확산되면서 보안솔루션이나 보안팀 구성이 다소 활성화 된 것이 사실”이라며 “당하고 후회하지 말고 최소한 사이트 취약점 점검을 수시로 하고 웹 사이트 관리자들은 관리자 암호라도 자주 복잡하게 정기적으로 바꿔줘야 한다. 또 서버에 백신 설치하는 것 얼마 안든다. 그리고 좀더 큰 기업들은 웹 스캐너, 웹방화벽, 보안 전담팀 구축 등을 생각해야 한다”고 조언했다.
또 그는 “백신을 설치했다고 하면서도 정작 컴퓨터가 느려진다고 실시간 감시기능을 꺼두는 사람도 봤다. 정기적으로 수동검사도 하지 않는다. 그러면서 백신 때문에 심리적 안정을 갖고 있다. 개인뿐 아니라 기업도 마찬가지 경우가 많다. 보안솔루션 도입하고 제대로 관리하지 않으면 보안솔루션 없는 것과 같다”며 “피해를 입기 전에는 예방에 신경쓰고 피해를 입었다면 제대로 외양간이라도 고쳐야 한다. 이를 강제할 수 있는 법적 제도적 장치마련도 필요하다”고 지적했다.
◇돈도 벌어주고 해킹기술도 키워주는 한국, “땡큐쏘머치”=한국은 중국 사이버 범죄자들의 놀이터이자 황금어장이다. 돈 벌기 정말 좋은 환경을 제공해주고 있다. 이용자 많은 사이트 몇 개 해킹해서 자동화 프로그램으로 악성코드 유포하고 게임계정 알아내고 아이템이나 사이버머니 팔아서 돈버는 그야 말로 이보다 좋을 순 없다. 또 가끔 해킹 방어한다고 이런저런 시스템 설치도 해주니 해킹기술도 발달한다. 고양이가 쥐를 가지고 놀 듯 즐기면서 이렇게도 해보고 저렇게도 해보고 그 기술을 자기들끼리 공유하면서 ‘한국 사이트 뚫는 방법’에 대해 체계적으로 학습을 하는 상황이다.
우리는 인위적으로 화이트해커를 양성해야 한다며 어렵사리 대학이나 대학원에 교육과정을 개설하고 사이버사령부에서 사이버전 요원들을 양성하겠다고 떠들썩 하지만, 그네들은 실전 해킹방법을 연마하고 있고 그것이 돈과 연관돼 있기 때문에 치열하게 공부하고 기술공유도 이루어지고 있는 상황이다. 자연스럽게 한국이 중국 해커 양성을 돕고 있는 것이다. 그런 실전 공격력을 지속적으로 배양한 자들과 어떻게 대적할 수 있을까. 학교나 학원에서 곱게 배운 실력으로는 어림도 없다는 것이 전문가들 의견이다.
중국 범죄자들에게 돈도 벌어주고 해킹기술도 연마시켜주는 한국. 문 팀장은 “답답하다. 중국 사이버 범죄자들이 게임 계정을 탈취하기 위해 모은 수많은 한국인 개인정보와 해킹기술들이 모여 나중에는 어떤 결과가 초례 될지 두렵다”며 “지금은 단순 게임계정 탈취용이지만 실제 심각한 전쟁이나 사이버 전쟁이 발생했을 때 그런 정보들이 얼마나 치명적 결과를 가져올지 생각해 봐야 한다”고 말했다.
◇게임아이템과 사이버머니 현금화 차단해야=사이버 범죄자들은 KISA나 민간 백신업체들이 많이 노력하고는 있지만 여기 막으면 다른데 뚫을 곳 널려있다는 식으로 생각한다. 근본적인 악의 근원을 뿌리 뽑지 못하면 이 지겨운 전쟁은 계속 될 것이다.
바로 게임아이템과 사이버머니의 현금화를 금지해야 한다. 문 팀장은 “돈이 되는 한 공격은 계속된다. 막을 수 없다. 그거 막으려고 사실 KISA나 백신업체들 일하고 있다. 게임아이템과 사이버머니가 돈이 안되도록 하면 끝”이라며 “덩치가 커진 게임업체들의 저항도 만만치 않겠지만 정부와 관련업계, 보안업체 등이 모여 머리를 맞대고 풀어야 할 숙제”라고 말했다.
물론 게임업체들도 아이템 거래와 사이버머니 현금화에 반대하고 있고 노력을 기울이고 있는 상황이다. 하지만 부족하다. 온라인 게임 특성상 아이템 현금화가 게임의 큰 생명력을 불어 넣고 있기 때문에 유저들의 자발적인 참여를 기대하는 것은 무리다. 법적인 제재가 필요하다. 강력한 결단이 없는 한 중국 사이버 범죄자들에게 돈도 주고 해킹 기술도 키워주는 이 어처구니 없는 일의 무한 반복은 계속 될 것이다. [데일리시큐=길민권 기자]
