본문 바로가기

잠수함과 사회공학

중앙선데이 2011.05.22 02:05 219호 35면 지면보기
1998년 환태평양훈련(RIMPAC)에 첫 참가한 디젤 잠수함 이종무함은 총 13척, 15만t의 함정을 가상 격침했다. 장보고함은 림팩 2004에서 10만t급 핵항모 존 C 스테니스를 포함한 항모 전단을 전멸시켰다. 한국 해군의 1000t짜리 잠수함들은 매년 림팩을 통해 얼마나 무서운 존재인지를 과시하고 있다. 하지만 실전에서라면 어떨까. 불행히도 큰 전과를 기대하기 어렵다. 미 항모전단은 최고 시속 30노트(약 56㎞)의 속도로 움직인다. 망망대해에서 하루 1000㎞ 이상을 움직이는 적을 쫓아 어뢰 사정거리인 10㎞ 이내로 접근하는 것 자체가 쉽지 않다. 매복한 곳으로 상대가 딱 다가오는 행운을 기대할 수밖에 없는 것이다.

On Sunday

최근 농협 사태나 잇따르는 온라인 사이트의 정보유출 사고로 해킹에 대한 두려움이 커지고 있다. 영화에서는 노트북으로 인터넷에 접속해 키보드만 몇 번 두드려 원하는 정보를 죽 뽑아내는 해커들의 모습이 심심치 않게 나온다. 가히 전지전능이다. 기술에 대해 잘 모르는 일반인들은 해커를 두려워할 수밖에 없다. 하지만 현재의 암호 시스템을 해킹을 통해 뚫는 것은 거의 불가능하다. 미 국방부 등의 전산망에 침입했다가 감옥에 갔던 미국의 해커 캐빈 미트닉은 “보안시스템이 잘 갖춰진 회사일수록 오히려 전화 한 통, e-메일 하나가 더 효과적인 경우가 많다”고 말했다.

주말 오후 회사 당직자에게 전화가 왔다. “부사장인데 LA 공항에서 노트북을 잃어버렸다. 바이어에게 줄 자료를 찾아서 e-메일로 보내 달라”며 자신의 아이디를 알려준다. 하지만 가짜 아이디로 로그인이 될 턱이 없다. 자칭 부사장이 “왜 안 되느냐”며 화를 내자 당황한 당직자는 자신의 아이디로 전산망에 접속해 자료를 찾아 보내준다. 소설 같다고? 몇 년 전 미국에서 실제로 있었던 일이다. 한국이라면 사정이 다를까. “빨리 자료를 보내라”는 경영진의 호통을 들은 대리급 당직자가 “규정 위반입니다”라고 거부할 수 있다고?

해커들은 이런 사기를 ‘사회공학(social engineering)’이라고 부른다. 어뢰를 쏠 수 있는 사정거리 안으로 상대를 유인하는 기술이다. 철수씨의 휴대전화와 집 전화번호를 빼낸 해커가 있다고 하자. 그는 철수씨 휴대전화로 전화를 걸어 다짜고짜 욕설을 퍼붓는다. 몇 차례 반복하면 짜증이 난 철수씨는 휴대전화를 꺼버린다. 이를 확인한 해커는 그제야 집에 전화를 건다. 깜짝 놀란 철수씨 어머니가 휴대전화로 전화해도 받지 않는다. 만약 철수씨가 페이스북에 “오늘부터 민수랑 제주도 여행 간다”고 올린 것을 발견했다면 사기 위험은 더 커진다. 해커는 “어머니, 저 민수인데요, 철수가 제주도에서 교통사고를 당했어요”라고 운을 뗄 것이다. 이처럼 작은 정보라도 모이면 별 것 아닌 ‘보이스 피싱’에도 당하는 빌미가 된다.

보안 전문가들은 해킹 피해를 막기 위해서는 “아무것도 믿지 말라”고 강조한다. 박찬암 소프트포럼 보안기술분석팀장은 “모르는 프로그램을 설치하라거나 링크를 클릭하라고 하면 ‘No’도 누르지 말고 창을 닫아버리라”고 조언했다. 윈도에 암호를 걸고 최신 보안패치와 백신 프로그램을 설치하는 것은 필수다. 이 정도면 될까 싶은 상식적인 얘기인데 그나마 지키지 않는 사람이 많으니 해커들이 더 활개를 치는 걸 게다.

선데이 배너

공유하기
광고 닫기