그 메일은 열지 마세요

1장 이것은 ‘사이버 전쟁’이다 7

2장 그 메일은 열지 마세요 _ 힐러리 대선 캠프 이메일 피싱 21

3장 어나니머스에 당한 보안 회사 _ HB개리 공격 59

4장 극장의 불이 꺼지다 _ 소니 와이퍼 해킹 97

5장 쇼핑몰에서 생긴 일 _ TJX 와이파이 해킹 143

6장 사이버 인질극의 시작 _ 랜섬웨어 181

7장 아웃소싱된 개인정보 _ 토크토크 고객 정보 유출 221

8장 미래에서 온 공격자, 미라이 _ 사물인터넷 봇넷 255

9장 해킹의 현재와 미래 299

기업들은 해킹으로 발생한 피해를 어디까지 책임져야 할지 고심하고 있었다. 수많은 기업이 고객들의 이름, 주소, 전화번호, 거래 내역, 카드 정보 같은 개인정보를 수집했다. 하지만 이는 누구나 인터넷을 통해 그런 정보에 접근할 수 있다는 것을 간과한 처사였다. 대다수의 기업은 (이제는 옛말이 되어버린) ‘데이터는 또 다른 석유다’라 는 말을 굳게 신봉하며, 정보가 부를 가져다줄 원천이 될 것이라고 믿었다. 하지만 석유를 사용하면 할수록 지구온난화가 심해지듯이 무분별한 데이터 수집은 좋지 않은 결과를 초래했다. 결국 기업들은 얼마 지나지 않아 데이터는 절대 석유가 아니라는 사실을 깨달았다. 영국 정보 커미셔너 크리스토퍼 그레이엄 역시 “데이터는 석유가 아니며 새로운 발암물질과도 같다. 즉, 기업에게는 위험이고 잠재적 인 독이다”라고 말하기도 했다.

2016년 5월 여러 국가의 성인남녀 2,000명을 대상으로 한 설문 조사에서 응답자의 70% 이상은 이 2단계 인증 시스템을 사 용하고 있지 않다고 대답했다. 심지어 절반 이상의 사람들은 이 2단 계 인증이 어떻게 작동하는지 모르고 있었으며, 41%의 사람들은 2단계 인증이 무엇인지도 모르고 있었다. 즉, 해커가 마음먹고 피싱하려 든다면 10명 중 7명은 2단계 인증 없이 피싱 메일을 받을 수 있다. 그리고 그 이메일을 통해 악성코드가 유포될 수 있는 사이트에 접속하거나 스스로 자신의 로그인 정보를 입력하게 되는 위험에 노출된다. 포데스타의 지메일 계정도 그 10명 중 7명 안에 포함되어 있었다.

이 문제를 해결하기 위해서는 권한이 있는 누군가와 반드시 연결이 되어야 했다. 즉, 사람과의 접촉이 필요한 일이었다. 해커는 호그룬드의 이메일을 통해서 호그룬드로 가장하고 HB개리 지원센터에 연락했다. 해커들 사이에서 사회적 기술Social engineering이라고 칭하는 기법이다. 회사 임원들이 급한 상황에서 기기를 잃어버리거나 비밀 번호를 잊어버린 것 같이 연출하는 것이다. 해커는 호그룬드로 가장 하고 전화를 걸었다. 지금 유럽에 있는데 비밀번호가 기억나지 않고 시간이 늦어 도움을 받기 어려우니, 방화벽만 뚫어주면 본인이 비밀번호를 재설정하겠다고 한 것이다. 시스템 보안의 취약점 중 하나가 ‘사람’인 경우가 종종 있다. 헬프데스크에 있는 사람들이 해커를 도와주다가 본의 아니게 시스템이 뚫리는 것이다. 헬프데스크 사람들은 호그룬드의 이메일에 접속해 있는 사람이 정확히 누구인지 의심하지 않았다. 물론 좀 더 면밀하게 생각했더라면 그가 왜 늦은 밤에 예외적 접근 허용을 통해 새로 운 비밀번호를 요청하는지 자세히 물어봤을 테지만 대부분의 경우 그렇게 하지 않는다. 또 해커는 호그룬드의 이메일을 보면서 그의 대 화 내역도 다 살펴봤기 때문에 그가 평소에 대화하는 스타일이라든지 전후 사정을 미리 파악해서 보다 그럴듯하게 호그룬드 행세를 할 수 있었다. 그리고 전화 통화를 할 때 그 사람이 본인이 맞는지 확실 하게 알 만한 정형화된 체크리스트 같은 것도 역시 존재하지 않았다. 결국 헬프데스크에서 일하는 사람들은 기계적으로 비밀번호를 재설정해 주고는 하는데 이것이 바로 보안상의 큰 허점이 될 수 있다.