보안

11가지 해커 유형과 미치는 영향

Roger A. Grimes | CSO 2020.09.16
해커 유형, 해킹 동기 및 목적, 사용하는 악성코드 등을 이해한다면, 공격을 식별하고 적절하게 방어할 방법을 파악하는 데 도움이 된다.  

지난 수십 년 동안 해커와 악성코드는 계속해서 진화해왔다. 컴퓨터가 퍼티(putty) 같은 화면만 보이는 큰 상자였을 때 해커들은 이제 막 걸음마를 배우고 유치한 장난을 치고 있었다. 어쩌면 화면에 “마리화나를 합법화하라!”와 같은 문구를 띄우거나 양키 두들(Yankee Doodle)을 플레이하는 유치한 악성코드를 만들었을 수도 있다. 
 
ⓒGetty Images

컴퓨터가 발전하고 자체적인 시장을 형성하자 해커들도 순진한 괴짜에서 대담한 범죄자 집단으로 변화하기 시작했다. 더 이상 컴퓨터는 새로운 것이 아니며 더 이상 해커도 장난을 치진 않는다. 밤새 에너지 드링크와 정크 푸드를 먹으며 괴짜 같은 장난을 즐기던 사회 부적응자들은 사라졌다. 

오늘날 해커들은 제대로 된 일자리가 있는 숙련된 전문가다. 보수도 좋고, HR팀도 있으며 휴가도 즐긴다. 해커 유형은 돈이나 권력을 얻는 방법만큼이나 다양하지만 나누자면 다음의 11가지 기본 유형으로 분류할 수 있다.

1. 은행 강도(Bank robber)
한때 말을 타고 쳐들어와 총을 겨누면서 은행이나 여행자의 돈을 훔치는 은행 강도와 노상강도가 있었다. 오늘날의 금융 해커는 랜섬웨어를 타고 쳐들어온다. 그리고 위조 송장부터 위조 수표, 날짜 사기, 가짜 에스크로 중개, DoS 공격에 이르기까지 계좌에서 돈을 훔칠 수 있는 모든 사기와 해킹을 사용한다. 탐욕은 인류와 역사를 같이 했다. 

2. 국가 주도(Nation-state)의 해커
오늘날 대부분의 선진국은 수천 명의 숙련된 해커들을 고용하고 있다. 이들이 하는 일은 무엇일까? 다른 국가의 군사 및 산업 네트워크에 숨어들어 자산을 파악하고 악의적인 백도어를 설치하는 것이다. 그리고 이를 통해 사이버전(cyberwarfare)을 준비하는 것이다. 

이란 원자력 발전소의 우라늄 원심분리기 1,000대를 파괴한 ‘스턱스넷(Stuxnet)’은 대표적인 사이버전 사례다. 북한이 지난 2014년 김정은 암살을 소재로 한 코미디 영화를 제작, 배급한 소니 픽처스 엔터테인먼트를 해킹한 일도 유명하다. 

국가 해킹은 항상 조용하게 발생하며, 계속해서 사라지지 않을 가능성이 크다. 공격 국가가 자국의 목표를 위해 일하는 해커들을 막거나 처벌하지 않을 것이기 때문이다. 

3. 산업 스파이(Corporate spy)
많은 해커가 개인적인 이익 또는 자신을 고용한 국가의 목표를 달성하고자 기업의 지적재산(IP)을 훔친다. 일반적인 산업 스파이 유형은 비밀 특허, 미래 사업 계획, 재무 데이터, 계약서, 의료 데이터, 법적 분쟁 문서 등을 훔치는 것이다. 

4. 전문 해킹 그룹(Professional hacking group for hire)
이는 비교적 최근에 나타난 현상이다. 즉 전문 해커 그룹이 강력한 악성코드를 개발, 구매 또는 도용해 지능형 지속 공격(Advanced-Persistent-Threat, APT) 서비스를 제공하며, 이와 관련한 기술 및 툴을 유료로 제공한다. 

목적은 재정적 이득, 경쟁자 방해, 중요 데이터 및 지적재산 훔치기 등일 수 있다. 그리고 이들의 고객은 국가, 산업 스파이 활동에 관심 있는 기업, 해커들이 훔친 것을 재판매하려는 다른 범죄 그룹일 수 있다. 

데스스토커(Deathstalker)로 알려진 한 해킹 그룹은 법률 사무소, 자산 컨설팅 회사, 금융 기술 회사 등 금융 부문과 관련 있는 조직을 표적으로 삼는다. 이들은 아시아, 유럽, 남아메리카에서 활동하는 것으로 알려져 있다. 

데스스토커는 파워싱(Powersing)이라고 부르는 파워쉘(PowerShell) 기반 악성코드를 사용한다. 이는 스피어피싱 캠페인을 통해 전달된다. 이 악성코드는 로그인 자격 증명 등의 정보를 훔치고 다른 악성 파워쉘 스크립트를 실행할 수 있다. 

5. 악의적인 게이머(Rogue gamer)
10대의 게임 습관이 단순히 성적에만 영향을 미친다고 생각할 수 있다. 하지만 수백만 명의 사람들에게 게임은 엄청난 비즈니스다. 이로 인해 수십억 달러 규모의 비즈니스가 탄생했기 때문이다. 

일부 게이머는 최첨단 고성능 하드웨어에 수천 달러를 쓴다. 그들은 매년 수백, 수천 시간을 들여 게임을 한다. 그렇다면 이제, 게임 산업을 겨냥한 해커가 있다는 사실은 놀랍지 않게 느껴진다. 이들은 크레딧 캐시를 훔치거나 반경쟁 DDoS 공격을 일으킨다. 

6. 크립토재커: 리소스 뱀파이어(Cryptojackers: The resource vampires)
다른 사용자의 컴퓨팅 파워를 이용하는 것은 컴퓨터가 처음 보급되던 시절부터 있었던 기술이었다. 해커들의 속임수이기도 했고, 합법적인 프로젝트에 사용되기도 했다. 

해커들은 초창기 다른 사용자의 하드 드라이브를 이용해 비디오 등의 대용량 파일을 저장했다. 외계 지적 생명체를 찾는 SETI 프로젝트는 CPU 파워를 공유할 수 있도록 화면 보호기를 설치할 지원자들을 모집한 바 있다. 

오늘날 해커가 컴퓨터 리소스를 훔치는 가장 큰 이유는 암호화폐를 채굴하기 위해서다. ‘크립토잭커(cryptojackers)’라고 알려진 불법 암호화폐 채굴자들은 브라우저에 접속한 사용자를 직접 감염시키거나 웹사이트에 악성코드를 심어 놓고 암호화폐를 채굴하도록 만든다. 이를 통해 전기나 컴퓨터 프로세싱 파워 등의 리소스를 훔치는 것이다. 회사 컴퓨터에 승인되지 않은 채굴 프로그램을 배포해 해고된 경우도 많다.

7. 핵티비스트(Hacktivist)
‘핵티비스트’는 해킹을 통해 정치적 발언을 하거나 사회적 변화를 촉구하는 일종의 행동주의자를 일컫는다. 이들은 기업 기밀을 빼내거나 운영상의 문제 혹은 금전적 손해를 입히는 혼란을 유발하여 자신들의 주장에 관심을 갖도록 한다. 

어노니머스(Anonymous)는 대표적인 핵티비스트 그룹이다. 이 그룹은 2011년 다크넷(Darknet) 작전을 통해 40개가 넘는 아동 포르노 사이트를 찾고 공격했으며, 해당 사이트들의 회원 명단도 공개했다. 

그러나 선의를 가지고 행동했더라도 범죄를 저지르면 체포된다. 다시 말해, 아무리 의도가 좋아도 그렇지 않은 해커들과 동일한 범죄로 기소될 수 있다는 뜻이다. 무엇인가를 해킹한다고? 감옥에 갈 가능성이 매우 높을 것이다.

8. 봇넷 마스터(Botnet masters)
많은 악성코드 개발자가 가능한 한 많은 컴퓨터를 감염시키기 위해 ‘봇(Bot)’을 만들어 배포한다. 목적은 악의적인 공격을 위한 봇넷 군대를 형성하는 것이다.

컴퓨터가 봇에 감염되면 ‘봇넷 마스터’에 의해 조종당하게 된다. 봇 마스터의 명령은 주로 C&C(Command and Control) 서버를 통해 제공된다. 봇넷 개발자가 봇넷을 직접 사용할 수도 있지만 돈을 내는 사람에게 빌려주는 경우가 더 많다. 

최근에는 라우터, 카메라, IoT 장치를 공격하는 미라이 봇(Mirai bot)으로 구성된 봇넷이 인기를 끌고 있다. 미라이 봇넷은 2016년 DNS 서비스 제공업체 딘(Dyn)을 노린 대규모 DDoS 공격으로 유명해졌다. 이는 1.2TBpS 규모의 악성 트래픽을 생성해 공격을 퍼부었다. 

미라이 봇은 패치되지 않은 장치와 기본 로그온 자격 증명을 변경하지 않은 장치를 찾으며, 손쉽게 설치된다. IoT 장치는 손쉬운 표적인 경우가 많다. 일부 전문가들에 따르면 전 세계 컴퓨터의 1/5이 봇넷에 속해 있다고 한다. 

9. 애드웨어 스팸 공격자(Adware spammer)
만약 기업이 스팸 악성코드 프로그램에만 해킹됐다면, 혹은 브라우저가 애드웨어 프로그램에 의해서만 하이재킹을 당했다면 운이 좋은 것이다. 애드웨어는 브라우저를 원하지 않는 사이트로 이동시킨다. 이를테면 ‘고양이’를 찾고 있었다면 애드웨어 프로그램은 사용자를 ‘캠핑장비’로 보내 버린다. 

많은 기업에서 온라인 마케팅 캠페인을 위해 스팸과 애드웨어를 사용하고 있다. 특히 자세한 방법을 밝히지 않고 높은 응답률을 보장하는 온라인 미디어 전문 기업을 선택한다면 이런 일이 발생할 가능성이 높다. 

때로는 싱귤러(Cingular), 트래블로시티(Travelocity), 프라이스라인(Priceline) 등의 기업이 의도적으로 애드웨어 업체와 계약했다가 법적 합의금을 내야 했던 경우도 있었다.

스팸과 애드웨어는 큰 위협이 아니라고 생각할 수도 있다. 하지만 이것이 심각한 시스템 유출의 징후일 수도 있다. 이러한 툴은 패치되지 않은 소프트웨어, 소셜 엔지니어링을 비롯해 백도어 트로이목마 바이러스, 랜섬웨어와 같은 더 위험한 위협이 침입하는 데 사용하는 것과 동일한 방법을 통해 침투한다. 

10. 스릴 해커(Thrill hacker)
대부분의 해커는 돈을 벌려고 하거나 상사의 지시를 받거나 정치적인 목표를 달성하고자 공격을 한다. 그런데 ‘스릴’을 위해 공격을 하는 해커 집단도 있다. 

이들은 스스로 혹은 온라인 커뮤니티에 자신이 무엇을 할 수 있는지를 보여주고 싶어 한다. 동기가 무엇이든 해킹은 법을 위반하며 실제로 기소될 수 있기 때문에 이 같은 유형은 과거만큼 그리 많지는 않다. 

오늘날의 스릴 해커는 하드웨어 해킹에 관심을 갖는 경우가 가장 많다. 칩, 회로, 점프 와이어 등을 포함한 범용적인 하드웨어 해킹 키트(예: 라즈베리 파이 키트)가 등장하면서 하나의 스포츠로서의 하드웨어 해킹에 대한 관심이 계속 증가하고 있다. 심지어 아이들을 위해 개발된 하드웨어 해킹 웹사이트도 있다. 

11. 우연한 해커(Accidental hacker)
마지막으로, 일부 해커는 범법자라기보다는 사실상 관광객에 더 가깝다고 볼 수 있다. 이들은 의도적으로 해킹에 나선 적은 없다. 기술적 능력이 있을지라도 말이다. 

그리던 어느 날, 한 웹사이트에서 눈에 띄는 코딩 오류를 우연히 발견하게 된다. 이 퍼즐에 매료된 이들은 해킹 놀이를 시작한다. 그리고 생각만큼 쉽다는 사실에 그들 자신도 놀라게 된다. 이를테면 URL에서 추측하기 쉬운 숫자를 사용해 고객을 식별해낼 수 있는 웹사이트를 발견한 사람들이 많다. 

이런 우연한 해커는 자신이 발견한 문제를 알리기 어려울 수 있다. 문제가 일어나리라 생각하기 때문이다. 또 우연한 해커는 퍼즐을 풀고 나서야 자신이 범죄를 저질렀다는 사실을 알게 될 수도 있다. 

진짜 악의적인 해커와 싸우는 대부분의 보안 전문가는 무고한 해커가 기업의 문제를 보고하는 것에 관해 기소를 당해서는 안 된다고 본다. ciokr@idg.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.