코인원 사용자, 보이스피싱으로 3000만원 빼앗겨 … 해외선 스마트폰 해킹해 비트코인 챙기기도

▎사진:ⓒgetty images bank

지난 9월 21일 오전 9시. 가상화폐 거래소 코인원 이용자 A씨는 자신의 계좌에 접속이 되지 않자 코인원에 전화로 문의했다. 답변을 기다리던 중 A씨는 비밀번호를 변경하라는 e메일을 받고 무심코 비밀번호를 입력했다. A씨는 느낌이 이상해 송금 차단을 요청했지만 누군가 이미 A씨 계좌로 접속해 긴급 점검이라는 보안 조치를 걸어놔 접속을 막아 놓은 상태였다. A씨는 오전 10시경 코인원 상담원이라는 사람으로부터 전화를 받고 본인 확인 절차에 필요한 정보를 모두 알려줬다. 잠시 후 A씨는 자신이 보유한 가상화폐 큐텀이 전송됐다는 문자를 받고 급히 자신의 계좌에 접속했지만 3000만원 상당의 가상화폐는 모두 사라진 후였다.

지금까지 개인정보 유출 사고가 없었던 국내 2대 가상화폐 거래소인 코인원 사용자가 처음으로 사회공학적 해킹(Social Engineering Hacking)을 당해 3000만원을 털렸다. 사회공학적 해킹은 해커가 기술적인 방법이 아닌 사람 사이의 신뢰를 기반으로 사람을 속여 비밀 정보나 돈 등을 갈취하는 기만행위를 말한다. 코인원 측은 “올해 초 다른 곳에서 유출된 개인정보로 보이스피싱을 시도한 것은 봤지만, 실제로 고객이(사회공학적) 해킹을 당한 것은 이번이 처음”이라며 “해당 고객에게 사이버수사대에 신고하라고 조치했고, 우리도 수사에 협조하고 있다”고 밝혔다. 코인원 측은 “해당 고객은 이미 다른 곳에서 계정정보가 탈취된 상태였다”고 덧붙였다.

가상화폐 보유자 노린 해킹, 새로운 보안 이슈로

비트코인 등 가상화폐 보유자를 정조준한 해킹 사건이 줄줄이 터지고 있다. 개인정보 유출 등 직접적으로 해킹을 당한 적이 없는 코인원 사용자조차 불과 1시간여 동안 e메일과 유선전화를 이용한 사회공학적 해킹에 공격당한 사실이 확인되면서 가상화폐 보유자를 노린 해킹이 새로운 보안 이슈가 될 것으로 보인다.

지난 6월 가상화폐 거래소인 빗썸은 자사 고객의 개인정보 3만건이 해킹으로 유출됐다. 그후 빗썸 이용자 중 일부는 보이스피싱 세력 등이 자신들의 가상화폐를 탈취했다고 주장했다. 4월에는 가상화폐 거래소 야피존이 해킹 당했다. 9월에는 가상화폐 거래소 코인이즈가 해킹을 당해 이 회사 고객의 전자지갑에서 21억원어치 가상화폐가 사라졌다.

가상화폐 소유자를 노린 사회공학적 해킹은 우리만의 일이 아니다. 지난해 말 미국 경제잡지 포브스는 스마트폰을 해킹하는 방식으로 가상화폐를 탈취한 사실을 처음으로 보도했다. 뉴욕타임스도 지난 8월 해커가 비트코인 보유자의 스마트폰을 해킹해 가상화폐를 탈취한 사례를 자세하게 보도하며 이 같은 사회공학적 해킹이 미국 본토 외에도 인도네시아, 터키 등에서 광범위하게 시도되고 있다고 지적했다. 이 신문에 따르면, 해커는 비트코인 보유자의 스마트폰을 해킹하기 위해 이동통신사 고객센터를 상대로 보이스피싱을 시도해 해커가 보유한 스마트폰으로 기기변경을 요청했다. 이동통신사가 기기변경 요청을 받아들이자 해커는 기존 비밀번호를 모두 바꾸고 전자 지갑에서 가상화폐를 모두 이동시켰다.

뉴욕타임스에 스마트폰 탈취 시도를 알린 미국 블록체인 보안 업체 블록시어의 대니 양 최고경영자(CEO)는 본지와의 e메일 인터뷰에서 “한국 영토에서 벌어진 사회공학적 해킹에 대해서는 확답을 줄 수 없지만, 한국계가 미국에서 스마트폰 해킹을 당한 사실은 있다”고 말했다. 그는 “이동통신사 고객센터에서 경험이 적은 상담원의 빈틈을 노린 해커가 전화번호를 옮기면 해당 스마트폰에 가상화폐 거래 애플리케이션(앱)이 설치된 경우 모든 가상화폐를 탈취할 수 있다”며 “개인은 유비키와 같은 하드웨어로 된 2차 보안장치를 구비하는 것 외에 방어할 수 있는 방법이 없다”고 조언했다.

경찰청은 본지의 정보공개청구 요청과 관련해 “이동통신사 고객센터 대상의 보이스피싱 등의 사건이 있었는지는 파악되지 않는다”고 답했다. 국내 이동통신 3사는 인터넷이나 전화로 기기변경을 할 때는 신분 확인과 관련된 문서를 팩스로 받도록 돼 있거나 공인인증서를 사용해야 하며, 고객센터 대상의 보이스피싱 공격 등은 없었다고 밝혔다. 하지만 최근 가상화폐 거래소에서 개인정보 유출이 잇따라 일어나면서 조만간 이 정보를 활용한 2차 공격이 있을 수 있다는 우려가 커지고 있다.

사회공학적 해킹이 새로운 개념은 아니다. 지난해 인터넷 쇼핑몰 인터파크가 1000만 명의 개인정보를 해킹당한 최악의 보안사고에서도 사회공학적 해킹 기법이 동원됐다. 해커는 인터파크의 특정 직원에게 악성코드가 심겨진 첨부파일을 설치하게 해 회사 데이터베이스에 침투했다. 해커는 먼저 이 직원의 가족 e메일을 해킹한 후 가족을 사칭해 직원에게 e메일을 보냈고, 첨부파일에 악성코드가 숨겨진 화면보호기(가족사진으로 구성)를 보내 열어볼 수밖에 없게 만들었다. 이 직원은 가족으로부터 온 e메일에 첨부된 가족사진이 실제로 담겨있는 화면 보호기가 해커의 공격이라고 인지하지 못했다. 2014년 벌어진 한국수력원자력(한수원)의 원자력발전소 해킹 사건에도 사회공학적 해킹 기법이 쓰였다. 해커는 한수원 퇴직자의 e메일을 해킹했고, 그 계정으로 현직 직원들에게 ‘도면입니다’라는 제목의 e메일을 첨부파일과 함께 보냈다. 동료였던 사람이 도면이라며 보냈으니 평소라면 열어보지 않았을 첨부파일을 무심코 열어본 것이다.

인터파크·한국수력원자력도 사회공학적 해킹에 당해

사회공학적 해킹 수법은 다양하다. 해외 보안 컨퍼런스에선 악성 코드가 들어있는 USB를 특정 회사 로고가 있는 목줄에 묶어 그 회사 복도에 놔둔 것, 사무실에 침입해 어깨너머로 특정 직원의 비밀번호를 알아낸 것, 사무실 쓰레기를 뒤져서 정보를 얻은 것, 보안 컨퍼런스에 참석한 사용자들과 가짜 명함으로 교류하면서 회사 보안 담당자들의 신뢰를 얻어낸 것 등이 있었다.

해외에선 방지책 연구도 활발하지만 국내에선 사회공학적 해킹이란 개념조차 낯설다. 김승주 고려대 정보보호대학원 교수는 “보안 관련 가장 권위 있는 컨퍼런스인 블랙캣/데프콘에 참가하면 사회공학적 해킹 세션이 따로 있고 인기도 가장 많지만, 국내에선 아직까지 보안 기술에 주로 초점을 맞추는 경우가 많다”고 말했다.

사회공학적 해킹이 문제가 되는 것은 보안의 가장 약한 연결 고리를 공략하기 때문이다. 바로 사람이다. 미국의 전설적인 해커 케빈 미트닉은 “인터넷 보안의 최대 맹점은 컴퓨터가 아니라 사람”이라고 말했다. 김승주 교수는 “아무리 좋은 보안장치가 있다고 해도 그 접점엔 (약한 고리인) 사람이 있다”고 설명했다. 국내 한 IT기업에서 자사 보안망을 해커와 같은 방법으로 미리 해킹해 약점을 찾는 ‘침투 테스터’로 일하고 있는 한 해커는 기업에 침투할 때 사람을 공격하는 게 가장 쉽다고 말한다. 그는 “사람이니까 위험할 줄 알면서도 어떤 행동을 한다”며 “보안 사고가 터지는 것을 기술로 다 막기 힘든 이유는 사람이 보안에 가장 취약한 연결고리이기 때문”이라고 말했다. 사회공학적 해킹의 가장 흔한 예는 보이스피싱이다. 김승주 교수에 따르면 보이스피싱 조직은 자신들을 단속하던 경찰을 고용하고, 시나리오 작가를 영입해 사기 수법을 정교하게 다듬는다고 한다. 김 교수는 “사람을 속이겠다고 작정하면 넘어가지 않을 수 없다”고 말했다.

사회공학적 해킹에 큰 관심을 보이고 있는 미국 회사들은 서비스나 제품을 개발하면서 혹시 있을지 모르는 사회공학적 해킹에 대비해 예상 가능한 침투 시나리오와 이에 대한 대응 시나리오를 미리 준비한다. 사용하는 사람의 실수까지 제품 개발 때 반영하려고 노력하는 것이다. 마이크로소프트나 구글은 심리학자들과도 협업한다. 예컨대 경고 메시지 하나 보낼 때도 어떻게 하면 사용자가 실수하지 않고 직관적으로 받아들일 수 있는지를 학회에서 발표한다.

보안 시스템 뛰어나도 사람이 취약점

그런데 왜 국내에선 이런 준비가 미흡할까. 규제가 부족하기 때문일까? 아니다. 이유는 민형사 소송의 판결 경향에 있다. 김승주 교수는 “미국에서 소송이 진행되면 약자를 보호한다는 게 일반적”이라며 “소송으로 기업 이미지 실추를 걱정하는 문화도 미국 기업들이 보안에 신경을 쓰는 이유 중 하나”라고 말했다. 기업보다 상대적 약자인 소비자를 보호하는 것도 기업의 책무라는 문화가 사회에 퍼져있다는 것이다.

최근 미국의 한 은행과 기업 고객 사이에 있었던 소송은 이런 미국 사회의 보안 개념을 잘 보여준다. 이 은행은 기업 고객이 원하는 대로 인출한도 금액을 높여줬고, 이 점을 간파한 해커가 적은 금액을 꾸준하게 빼내갔다. 법원은 기업 고객의 손을 들어줬다. 비록 기업이 원했다고는 하지만 평상시와 다른 인출 패턴이 파악됐다면 은행은 기업을 보호하는 조치를 취했어야 한다는 게 판결의 요지다.

가상화폐 거래소도 마찬가지다. 비록 사전에 해킹이나 고객 대상의 보이스피싱 혹은 다양한 종류의 사회공학적 해킹 시도를 법적으로 다 막아줘야 할 의무는 없다고 해도 조금이라도 이상한 행위가 발생하면 거래소가 직접 나서서 사용자의 상황을 파악하려는 노력이 필요하다. 사회공학적 해킹은 신뢰의 틈을 파고드는 것이고, 신뢰가 무너질 때 고객은 떠나게 마련이기 때문이다.

그러나 대부분의 국내 기업은 사회공학적 해킹으로 의심되는 상황이 발생했을 때를 대비한 시나리오조차 없다. 국내에선 보안의 마지막 책임을 개인이 지게 돼 있다. 이는 가혹하다는 주장이 많다. 예컨대 한 금융회사가 가장 안전하다는 12자리의 비밀번호를 가입자들에게 강제적으로 쓰게 하고, 30일마다 이를 바꾸라고 한다면 어떤 일이 벌어질까? 대다수 사람은 스마트폰 메모장이나, 컴퓨터 옆에 직접 비밀번호를 써놓는 식으로 불편함을 줄이려고 할 것이다. 기업은 외견상으로 보안을 철저히 한 것처럼 보이지만, 과도한 보안기술을 사용하면서 사용자가 이런 불편함을 우회하는 것을 방조해 해커에게 공격 기회를 제공한 것이나 마찬가지다.

최근에 사회공학적 해킹 방지를 위해 대두된 개념이 ‘사용가능한 보안(Useable Security)’다. 12자리짜리 비밀번호를 강제로 쓰게 하거나, 보안에 취약점이 탐지되지 않았는데도 긴 비밀번호를 30일마다 바꾸게 한다든지 하는 것은 사용자를 고려하지 않은 과도한 보안 조치라는 것이다. 사회공학적 해킹을 방지할 수 있는 대책은 대부분 그 사회의 문화와 관련된 것이다. 그러다 보니 단순히 법을 바꾼다고, 규제를 늘린다고 문제가 해결되진 않는다.

※ 사회공학적 해킹 - 시스템이 아닌 사람의 취약점을 공략해 원하는 정보를 얻는 공격 기법이다. 대표적인 것이 개인 금융정보와 자산 탈취를 목적으로 한 보이스피싱이다. 인터넷의 발달로 e메일, 인터넷 메신저, 트위터 등을 통해 사람에게 접근하는 채널이 다각화됨에 따라 지인으로 가장해 원하는 정보를 얻어낸다.