2020.08.04

‘참신하거나 우스꽝스럽거나...’ 이색 해킹 사례 8선

Neal Weinberg | CSO
네트워크에 침투하거나 사기를 치기 위해 해커가 이용하는 방법은 다양하다. 그중에는 엉뚱하거나 심지어 멍청해 보이는 것도 있다. 

해커는 으레 단호하고 끈질기며 똑똑하고 적응력이 뛰어나며 눈에 띄지 않고 무자비하다. 이를테면 그들은 코로나19 팬데믹을 포함한 모든 비극을 이용하며 네트워크의 모든 취약성을 이용한다.

대부분 해커는 저항이 가장 적은 길을 선택하며 피싱, 취약한 비밀번호, 패치되지 않은 시스템, 소셜 엔지니어링을 통해 네트워크를 공격한다. 그리고 때로는 해킹이 그냥 괴상할 수 있다. 8가지 가지 예를 살펴본다.
 
Image Credit : Getty Images Bank


IoT 수조를 통해 훔친 데이터
사이버 보안 기업 다크트레이스(Darktrace)는 2017년 인터넷에 연결된 수조를 이용해 북미의 한 카지노에서 데이터를 훔친 해킹 사례를 발견했다고 발표했다. 문제의 수조에는 수온과 수조의 청정도를 모니터링하고 조절하며 물고기 섭식을 통제하는 PC에 연결된 IoT 센서가 탑재되어 있기는 했다.

다크트레이스의 사이버 정보 및 분석 책임자 저스틴 피어는 “누군가 수조를 이용하여 네트워크에 침투하여 다른 취약성을 스캔하여 발견한 후 네트워크의 다른 곳으로 횡 이동했다”라고 말했다.

이 카지노의 이름은 공개되지 않았지만 보고서에 따르면 데이터가 외국에 있는 장치로 전송됐다. 핀란드라고 생각했다면, 정답이다. 다크트레이스의 CEO 니콜 이건은 런던에서 열린 한 행사에서 참석자들에게 해커들이 네트워크에 침투한 후 하이 롤러 데이터베이스에 액세스했다고 설명했다. 참고로 하이 롤러 데이터베이스는 ‘고래’라고도 불린다. 말 그대로 ‘작은 물고기’에서 ‘고래’로 이동한 셈이다. 

CEO를 속인 비싱(Vishing) 공격
우리 모두가 이메일 피싱 공격에 주의하고 있지만 상사가 전화를 해서 무엇인가를 부탁한다면 어떨까? 자신이 보이스 피싱이나 비싱 공격의 피해자가 될 수도 있다고 의심할까?

AI 기반 비싱 공격의 첫 보도 사례는 2019년 영국에서 발생했다. 범인은 상업용 음성 생성 AI 소프트웨어를 사용하여 영국에 위치한 에너지 기업을 소유한 한 독일 기업의 상사를 사칭했다. 

범인은 영국의 CEO에게 전화를 걸어 헝가리의 한 공급회사에 24만 3,000달러를 송금하도록 속였다. CEO는 상사의 독일식 억양과 음성 패턴을 인지했으며 통화 중 의심이 들지 않았다. 그러자 범인은 욕심을 부려 다시 더 큰 금액을 송금하도록 요청했다. 두 번째는 영국 CEO가 거부하게 되면서 책략이 실패했지만, 경찰은 범인을 잡거나 돈을 돌려받도록 도와줄 수 없었다.

이 사건은 공포스러운 AI 기반 딥페이크(Deepfake) 시대의 시작에 불과할 수 있다.

펌프 해킹으로 얻은 공짜 기름
해커는 일반적으로 현금이나 암호화폐를 노린다. 그러나 2019년, 프랑스 경찰은 토탈(Total) 주유소에 설치된 특정 브랜드 펌프의 잠금을 해제하는 특수 리모콘으로 기름 펌프를 해킹함으로써 파리 인근의 주유소에서 약 2만 5,000갤런의 연료를 훔친 5명을 검거했다.

이 해킹은 일부 주유소 관리자들이 기름 펌프의 기본 비밀번호(0000)를 변경하지 않아 가능했다. 해커들은 PIN 코드를 사용하여 연료 가격을 재설정하고 충전 한계를 없앴다.

이 범죄팀의 한 해커가 리모콘을 사용하여 기름 펌프의 잠금을 해제하자 뒷편에 큰 탱크를 실은 밴이 들어와 한 번에 최대 750갤런의 기름을 충전했다. 범인들은 이렇게 빼돌린 기름을 어떻게 했을까? 소셜 미디어에서 광고를 하고 기름을 할인된 가격으로 재판매했다. 경찰은 일당이 체포되기 전까지 약 17만 달러를 벌어들였을 것으로 추정하고 있다.

지역 경찰을 화나게 한 도로 표지판 해킹
취약한 로그인 자격 증명은 계속 반복되는 보안 문제이다. 일단의 해커가 전자 게시판과 표지판이 보급된 점을 감안해, 이에 대한 제어권을 확보했다. 이들은 우스꽝스럽거나 선정적인 메시지를 표시하는 장난을 쳤다. 

미국 텍사스의 한 남자가 개와 함께 산책하다가 운전자들에게 공사에 대해 경고하는 표지판을 발견했다. 이 남자는 곧 전자 메시지판의 사용자 이름/비밀번호를 추측하고 표지판 내용을 변경했다. ‘미친듯이 운전 하시오!’(Drive Crazy Yall.)라는 메시지였다. 한 이웃이 현장을 보고 경찰에 연락했다. 경찰은 이를 ‘유머’로 인정하지 않았으며, 그 남자는 범죄 혐의로 기소됐다.

지난 9월에는 후드티를 입고 마스크를 착용한 2명의 젊은이가 미국 미시건의 오번 힐스에 소재한 고속도로 옆에 있는 디지털 게시판에 성인물을 표시했다. 게시판 아래의 작은 건물에 침입한 것이다. 경찰에 따르면 감시 영상에 찍힌 두 사람은 침입한 지 15분 만에 자리를 떠났다는 점에서 비밀번호를 크랙킹 하기가 그리 어렵지 않았던 것 같다. 운전자들이 20분 동안이나 이 영상을 본 후에야 경찰이 출동하여 영상을 껐다.

인도네시아 자카르타에서 교통 체증을 겪고 있던 24세의 한 IT 전문가는 거대한 전자 게시판을 올려다 보다가 화면에 잠시 실수로 표시된 로그인 자격 증명을 포착했다. 이 남자는 시스템을 해킹하여 하드코어 성인물을 스트리밍했다. 인도네시아는 매우 보수적인 무슬림 국가이기 때문에 당국은 매우 분개했고, 장난을 친 사람은 기소되어 최대 6개월의 징역형에 처해질 상황이다.
 



2020.08.04

‘참신하거나 우스꽝스럽거나...’ 이색 해킹 사례 8선

Neal Weinberg | CSO
네트워크에 침투하거나 사기를 치기 위해 해커가 이용하는 방법은 다양하다. 그중에는 엉뚱하거나 심지어 멍청해 보이는 것도 있다. 

해커는 으레 단호하고 끈질기며 똑똑하고 적응력이 뛰어나며 눈에 띄지 않고 무자비하다. 이를테면 그들은 코로나19 팬데믹을 포함한 모든 비극을 이용하며 네트워크의 모든 취약성을 이용한다.

대부분 해커는 저항이 가장 적은 길을 선택하며 피싱, 취약한 비밀번호, 패치되지 않은 시스템, 소셜 엔지니어링을 통해 네트워크를 공격한다. 그리고 때로는 해킹이 그냥 괴상할 수 있다. 8가지 가지 예를 살펴본다.
 
Image Credit : Getty Images Bank


IoT 수조를 통해 훔친 데이터
사이버 보안 기업 다크트레이스(Darktrace)는 2017년 인터넷에 연결된 수조를 이용해 북미의 한 카지노에서 데이터를 훔친 해킹 사례를 발견했다고 발표했다. 문제의 수조에는 수온과 수조의 청정도를 모니터링하고 조절하며 물고기 섭식을 통제하는 PC에 연결된 IoT 센서가 탑재되어 있기는 했다.

다크트레이스의 사이버 정보 및 분석 책임자 저스틴 피어는 “누군가 수조를 이용하여 네트워크에 침투하여 다른 취약성을 스캔하여 발견한 후 네트워크의 다른 곳으로 횡 이동했다”라고 말했다.

이 카지노의 이름은 공개되지 않았지만 보고서에 따르면 데이터가 외국에 있는 장치로 전송됐다. 핀란드라고 생각했다면, 정답이다. 다크트레이스의 CEO 니콜 이건은 런던에서 열린 한 행사에서 참석자들에게 해커들이 네트워크에 침투한 후 하이 롤러 데이터베이스에 액세스했다고 설명했다. 참고로 하이 롤러 데이터베이스는 ‘고래’라고도 불린다. 말 그대로 ‘작은 물고기’에서 ‘고래’로 이동한 셈이다. 

CEO를 속인 비싱(Vishing) 공격
우리 모두가 이메일 피싱 공격에 주의하고 있지만 상사가 전화를 해서 무엇인가를 부탁한다면 어떨까? 자신이 보이스 피싱이나 비싱 공격의 피해자가 될 수도 있다고 의심할까?

AI 기반 비싱 공격의 첫 보도 사례는 2019년 영국에서 발생했다. 범인은 상업용 음성 생성 AI 소프트웨어를 사용하여 영국에 위치한 에너지 기업을 소유한 한 독일 기업의 상사를 사칭했다. 

범인은 영국의 CEO에게 전화를 걸어 헝가리의 한 공급회사에 24만 3,000달러를 송금하도록 속였다. CEO는 상사의 독일식 억양과 음성 패턴을 인지했으며 통화 중 의심이 들지 않았다. 그러자 범인은 욕심을 부려 다시 더 큰 금액을 송금하도록 요청했다. 두 번째는 영국 CEO가 거부하게 되면서 책략이 실패했지만, 경찰은 범인을 잡거나 돈을 돌려받도록 도와줄 수 없었다.

이 사건은 공포스러운 AI 기반 딥페이크(Deepfake) 시대의 시작에 불과할 수 있다.

펌프 해킹으로 얻은 공짜 기름
해커는 일반적으로 현금이나 암호화폐를 노린다. 그러나 2019년, 프랑스 경찰은 토탈(Total) 주유소에 설치된 특정 브랜드 펌프의 잠금을 해제하는 특수 리모콘으로 기름 펌프를 해킹함으로써 파리 인근의 주유소에서 약 2만 5,000갤런의 연료를 훔친 5명을 검거했다.

이 해킹은 일부 주유소 관리자들이 기름 펌프의 기본 비밀번호(0000)를 변경하지 않아 가능했다. 해커들은 PIN 코드를 사용하여 연료 가격을 재설정하고 충전 한계를 없앴다.

이 범죄팀의 한 해커가 리모콘을 사용하여 기름 펌프의 잠금을 해제하자 뒷편에 큰 탱크를 실은 밴이 들어와 한 번에 최대 750갤런의 기름을 충전했다. 범인들은 이렇게 빼돌린 기름을 어떻게 했을까? 소셜 미디어에서 광고를 하고 기름을 할인된 가격으로 재판매했다. 경찰은 일당이 체포되기 전까지 약 17만 달러를 벌어들였을 것으로 추정하고 있다.

지역 경찰을 화나게 한 도로 표지판 해킹
취약한 로그인 자격 증명은 계속 반복되는 보안 문제이다. 일단의 해커가 전자 게시판과 표지판이 보급된 점을 감안해, 이에 대한 제어권을 확보했다. 이들은 우스꽝스럽거나 선정적인 메시지를 표시하는 장난을 쳤다. 

미국 텍사스의 한 남자가 개와 함께 산책하다가 운전자들에게 공사에 대해 경고하는 표지판을 발견했다. 이 남자는 곧 전자 메시지판의 사용자 이름/비밀번호를 추측하고 표지판 내용을 변경했다. ‘미친듯이 운전 하시오!’(Drive Crazy Yall.)라는 메시지였다. 한 이웃이 현장을 보고 경찰에 연락했다. 경찰은 이를 ‘유머’로 인정하지 않았으며, 그 남자는 범죄 혐의로 기소됐다.

지난 9월에는 후드티를 입고 마스크를 착용한 2명의 젊은이가 미국 미시건의 오번 힐스에 소재한 고속도로 옆에 있는 디지털 게시판에 성인물을 표시했다. 게시판 아래의 작은 건물에 침입한 것이다. 경찰에 따르면 감시 영상에 찍힌 두 사람은 침입한 지 15분 만에 자리를 떠났다는 점에서 비밀번호를 크랙킹 하기가 그리 어렵지 않았던 것 같다. 운전자들이 20분 동안이나 이 영상을 본 후에야 경찰이 출동하여 영상을 껐다.

인도네시아 자카르타에서 교통 체증을 겪고 있던 24세의 한 IT 전문가는 거대한 전자 게시판을 올려다 보다가 화면에 잠시 실수로 표시된 로그인 자격 증명을 포착했다. 이 남자는 시스템을 해킹하여 하드코어 성인물을 스트리밍했다. 인도네시아는 매우 보수적인 무슬림 국가이기 때문에 당국은 매우 분개했고, 장난을 친 사람은 기소되어 최대 6개월의 징역형에 처해질 상황이다.
 



X