“숨을 곳은 없다” 우리를 위협할 새로운 해킹 시나리오 9가지
IoT 봇은 과거의 이메일 바이러스, 그리고 최근의 랜섬웨어 뒤를 잇는 악성코드 시장의 루키로, 해커들의 주목을 받고 있다. 문제는 급속도로 확산되고 있으며, 각국의 정부 기관들도 이와 관련한 조사를 개시한 상태다. 전문가들은 2017년을 기점으로 IoT 제조와 관련한 새로운 규정, 법률들이 자리잡아갈 것으로 전망하고 있다. 안타깝게도 우리가 IoT 봇넷의 존재를 알아차리기 전 이미 시장에는 수억 대의 IoT 기기들이 자리잡은 상태며, 이들은 취약성을 안고 우리 사회 곳곳에서 공격을 기다리고 있다.
생체 정보 거래
패스워드를 폐기하는 움직임은 빠르게 전개되고 있으며, 그 자리를 이중 인증, 생체 인증이 대체하고 있다. 많은 이들이 생체 신원을 온전히 자신을 증명하는 최고의 도구라고 이야기한다. 누구도 다른 이의 망막을 훔칠 수 없기 때문이다. 하지만 이는 완벽한 착각이다.
대부분의 사용자는 자신의 생체 신원이 디지털 파일의 형태로 저장되고 있다는 점을 간과한다. 때로 우리의 생체 정보는 어떤 변환도 이뤄지지 않은 상태로(지문이나 망막의 자연적인 형태 그대로) 저장되고 있다. 이보다 흔한 경우는 신원 정보를 중간자 형태로 저장하는 것이다. 예를 들어 현재 우리의 지문 정보 대부분은 각 고저점을 선으로 연결한 별자리 형태로 저장되고 있다.
둘 모두 결국에는 우리의 신원 정보를 어딘가에 저장해두고 향후 대조에 이용하는 방식이기에, 저장된 정보가 탈취되면 그 보안 수준은 패스워드와 별반 다를 바 없어진다. 또한 한 곳에서 탈취한 생체 정보를 다른 시스템들에서 이용하는 것도 충분히 가능하다. 오히려 패스워드는 유출이 확인되면 변경이 가능하지만, 생체 정보의 경우에는 그마저도 어렵다. 현재의 과학 기술로 개인의 망막 형태를 바꾸는 것은 불가능하다. 생체 정보가 유출된다는 것은 존재 자체가 유출되는 것과 같다.
이런 문제는 2015년 미 인사국에서 발생한 500만 건 이상의 지문 정보 유출 사고 등 실제 대규모 생체 데이터베이스 유출 사고가 발생하며 표면화되기 시작했다. 그에 앞서 개인적으로는 1990년대 이미 정부로부터 본인의 지문 정보가 유출됐다는 통지를 받은 이를 알고 있다.
공식적으로 세계 최대의 지문 데이터베이스를 보유한 것으로 알려진 FBI 통합 지문 신원 자동화 시스템(IAFIS)은 최소 7,000만 건의 지문 정보를 보유하고 있으며, 세계 수만 곳의 기관, 수십만 대의 컴퓨터가 이 파일에 대한 접근권을 가지고 있다. 그런데 만일 외부의 누군가가 IAFIS의 시스템에 대한 접근권을 확보해 이 정보를 복제하게 된다면?
개인적으로는 생체 정보에 대한 맹신이 IoT가 안전하다는 미신 못지 않게 당혹스럽게 다가온다. 앞으로 이중 인증은 더 보편화될 것이며, 여기에서 생체 인증은 중요한 역할을 수행할 것이다. 그리고 이와 더불어 사용자의 생체 지표가 오늘날의 신용카드 정보처럼, 블랙 마켓에서 공공연하게 거래되는 것도 충분히 예측 가능한 시나리오다.
대부분의 컴퓨터 보안 전문가들이 생체 인증을 단독으로 활용하는 방식에 경고를 보내는 것도 이런 이유에서다. 생체 신원은 중요 정보에 접근하기 위한 유일한 열쇠 역할을 할 수는 없다. 때론 우리의 망막이 우리 머리 속의 PIN보다 더 훔치기 쉬운 대상일 수도 있음을 기억하자.
미아 방지 칩을 악용한 납치
이는 아직은 발생하지 않은 위협이다. 아직 본인의 자녀에게GPS 추적 장치를 삽입한 이는 우리 주변에 없기 때문이다. 하지만 애완동물에 해당 조치를 취하는 사례들이 생겨나는 것을 볼 때, 자녀에게 칩을 삽입하는 것도 일종의 필요악으로서 향후 예상 가능한 현상이다. 실제로 이미 몇몇 ‘스마트’한 부모들은 이것을 진지하게 고민 중인 것으로 알려져 있다.
하지만 자녀에게 부착된 GPS 칩이 때론 부작용을 야기할 수도 있다. 아동의 GPS 정보가 고스란히 범죄자의 손에 넘어갈 수도 있는 것이다. 정부나 칩 제조자들은 기술의 안전성을 확언하지만, 유사한 맥락에서 그간 안전성을 보장받은 의료 기기들이 범한 의료 사고들을 상기해본다면, 그들의 말을 곧이곧대로 믿기란 어려운 일이다.
향후 자녀에게 칩을 부착하는 것이 일반화된다면, 이 기술을 악용하는 범죄자 역시 등장할 것이다. 더불어 오늘날 납치범들이 아동 납치 후 GPS 추적을 피하기 위해 아동의 휴대폰을 던져버리는 것과 마찬가지로, 미래의 영리한 범죄자들은 납치 아동의 피부를 찢고 칩을 꺼낼 것이다. 이런 상황을 단순한 공상으로 치부해선 안될 것이다. 오히려 처음부터 아동에게 칩을 삽입하는 구상을 포기한다면 이런 끔찍한 미래를 막을 수 있을지도 모른다.
우리 사회는 다양한 방식으로 그 연결성을 강화해나가고 있지만, 디지털 기기를 공급하는 업체들은 상품의 보안에는 충분한 노력을 기울이지 못하고 있다. 오늘날 우리가 APT 공격과 랜섬웨어의 홍수를 바라보며 해커들의 해코지가 단순히 컴퓨터에 이상한 글씨를 띄우고 음악을 임의 재생하는 데 머무르던 과거를 그리워하는 것처럼, 미래의 보안 전문가들은 컴퓨터만이 해킹의 유일한 대상이던 현재를 그리워할 것이다. editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.