경제·금융 경제·금융일반

해커의 정체는?

해커들이 기업과 거대 기관들에 매년 수백만 달러의 손해를 끼치며 생산성을 저하시키고 있다.

by Erika Fry


인터넷 세계에 한 가지 변하지 않는 게 있다면, 그것은 누군가 어딘가에서 어떻게든 해킹을 하고 있다는 사실이다. 지난달 BB&T, 시티그룹 Citigroup, 선트러스트 SunTrust를 포함한 여러 은행들이 사이버공격을 받았다는 보도가 신문 1면을 장식했다. 정보관리 조사업체 포네몬 인스티튜트 Ponemon Institute의 조사에 따르면, 일반컴퓨터는 대당 1주일에 2차례 공격을 받고 사이버 범죄로 인해 연간 890만 달러의 손실을 입는다고 한다. 보안 전문가들은 기업이 가장 먼저 알아야 할 점이 바로 잠재된 위협의 종류를 파악하는 것이라고 조언한다. 많은 해커가 피싱이나 악성코드처럼 상대적으로 단순한 방법을 이용하지만, 해킹의 동기는 종종 다르다고 한다. 가장 일반적인 6종류의 해커들을 소개한다.


정부지원 해커

주체: 중국, 이란, 이스라엘, 러시아, 미국
목적: 정보, 국가기밀, 사보타주
대상: 외국 정부, 테러리스트, 기업
특징: 정교하게 조직된 다중공격을 통해 컴퓨터 시스템에 침투
대표 사례: 이란 원심 분리기의 20%가량이 스턱스넷 Stuxnet에 의해 파괴됐다. 이는 미국과 이스라엘 정보기관이 개발한 것으로 알려진 컴퓨터 바이러스로 이란 우라늄 농축 시설에 있는 컴퓨터에 침투했다. 언론 보도에 따르면, 이란은 JP모건, PNC, 웰스 파고 Wells Fargo 같은 여러 기업의 웹사이트 접근을 방해하는 방식으로 보복을 가했다고 한다.


핵티비스트

주체: 어나니머스 Anonymous, 안티섹 Antisec, 룰즈섹 LulzSec
목적: 잘못된 인식 개선, 언론의 관심 환기, 인터넷 자유 보호
대상: 약자를 괴롭히는 악인, 사이언-톨로지 신자 *역주: 신과 같은 초월적 존재를 부인하고 과학기술을 숭배하는 사람들, 기업, 정부
특징: 민감한 정보 누설, 공개적 망신, 기이한 유튜브 비디오
대표 사례: '작전명 보복(Operation Payback)' 기간 중 페이팔, 비자, 마스터카드 웹사이트를 다운시켰다. '작전명 보복'은 2010년 위키리크스 계정을 일시 정지시킨 회사들을 응징하기 위해 어노니머스가 감행한 해킹공격. 페이팔은 이로 인해 약 560만 달러의 손해를 봤다.


사이버 범죄자

주체: 나이지리아 '왕자', 도박사, 신원 도용자, 스팸메일 전송자
목적: 금전 탈취
대상: 순진한 온라인 구매자들, 소기업, 풍부한 데이터를 보유한 보건기업과 소매기업
특징: 데이터 및 은행계좌 도용
대표 사례: 코어플러드 Coreflood-컴퓨터 키보드 작동이나 패스워드를 기록하는 악성 소프트웨어-가 2009년 경찰서, 공항, 은행, 병원, 대학 등에 있는 230만 대의 컴퓨터를 감염시켰다. 감염된 컴퓨터를 통해 수십만 달러를 계좌 이체했다.


조직 내부자 (당신도 포함)

주체: 불만을 품은 직원들, 하청업자, 내부 고발자
목적: 보복(score settling), 정보유출, 공공선(公共善)
대상: 대기업, 정부
특징: 문서 도용
대표 사례: 퀸즐랜드 Queensland 선샤인 코스트 Sunshine Coast를 따라 뻗어 있는 호주의 마루치 Maroochy 주가 2001년 수백만 갤런의 미처리 하수로 거의 침수되다시피 했다. 이 지역과의 계약이 실패로 돌아가자 한 하청업자가 해킹을 통해 150개의 하수처리장을 통제한 사건. 그의 범행으로 마루치 주는 100만 달러 이상의 금전적 피해를 봤다.


아마추어 해커

주체: 따분해 하는 청소년들
목적: 재미, 반항
대상: 보안이 취약한 웹사이트와 이메일 계정 등 손쉬운 목표(low-hanging fruit)
특징: 웹사이트 외관훼손 및 해체
대표 사례: 2001년 'I love you'라는 제목의 이메일이 사람들-그 중 일부는 미 국방부 직원이었다-을 바보로 만들었다. 이메일에 포함된 바이러스(출처는 필리핀으로 알려졌다)가 파일을 손상하고, 동시에 자가복제를 통해 전파되면서 사람들의 메일함에 잠복했다. 이 바이러스는 컴퓨터를 손상하고, 생산성을 떨어뜨려 약 100억 달러의 금전적 피해를 입혔다.


취약성 보안업체

주체: 엔드게임 Endgame, 네트라가드 Netragard, 뷔펭 Vupen
목적: 합법적 해킹 비즈니스
대상: 보안취약성을 인지하지 못한 기업
특징: 공격 대상이 될 수 있는 새로운 소프트웨어의 소위 제로데이 취약점 (zero-day exploits)을 발견해 이를 정부나 지갑이 두둑한 고객들에게 판매한다.
대표 사례: 프랑스 보안회사 뷔펭은 지난해 3월 한 보안 컨퍼런스에서 구글의 크롬 브라우저를 해킹했다. 뷔펭은 그 기술을 구글과 공유하고 6만 달러의 보상을 받는 대신, 더 높은 가격을 제시한 고객에게 이 취약점 정보를 판매했다.



관련기사



FORTUNE
<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>




더보기
더보기





top버튼
팝업창 닫기
글자크기 설정
팝업창 닫기
공유하기