[공감신문] 잊을만하면 한번씩 국내 대형 사이트의 해킹 소식이 들려온다. 아무리 엑티브X로 고통받으면서 보안을 강조해봐도 해킹을 막을 순 없었다. 도대체 해킹이 뭐길래...!!! 그게 정말 궁금하다면 공감신문 포스팅팀과 함께 해킹에 대해 알아보자. 

■ 해킹이란 무엇인가
1950년대 미국 MIT공대에서는 ‘작업과정 그 자체에서 느껴지는 순수한 즐거움’을 ‘Hack’이라 표현했다. 이 Hack을 수행하는 사람은 ‘해커(Hacker)’라 불렸다.

원래 공학 분야 전반에 걸쳐 두루 통용되던 은어였으나 점차 ‘개인의 지적욕구를 풀기 위해 컴퓨터 네트워크를 탐험하는 행위’라는 뜻으로 쓰였다. 그러나 호기심 충족을 위해 배웠던 기술들로 중요한 정보들을 얻게 되자 이를 이용한 범죄가 점차 늘어갔다.

결국 해킹은 ‘악의적인 의도로 다른 컴퓨터 시스템을 침입하는 행위’라는 부정적인 의미로 알려졌다. 최근 이러한 불법적 행위는 ‘크래킹’이란 용어로 따로 구분해야 한다는 주장이 제기됐다. 이에 따라 ‘해킹’은 ‘각종 정보 체계의 보안 취약점을 미리 알아내고 보완하는데 필요한 행위’란 긍정적인 뜻도 내포하게 됐다.  

■ 대표적인 해커 유형
- 핵티비스트(Hacktivists)
해커(Hacker)와 행동주의자(Activist)의 합성어이다. 이들은 확고한 목적의식을 가지고 움직인다. 주로 디도스 공격·웹 변조 등을 통해 타깃에게 수치심을 안겨 주거나 타깃을 노출시킨다.

- 국가 소속 활동가(Nation State Actors)
군대 혹은 정보기관 소속이다. 이들은 강력한 자금력과 풍부한 범죄 프로그램 운영 경험을 갖추고 있다. 주로 국가 정보, 군사적 목적을 가지고 활동을 진행한다.

- 스크립트 키디(Script Kiddies)
이들은 사이버 공간에서 가장 흔한 해커 유형이다. 이들의 해킹 스킬은 대부분 형편없다. 또한 해킹 결과물을 금전화 할 줄도 모른다. 단순히 세상에 자신의 이름을 알리고 싶다는 이유로 해킹을 저지르는 이들이다.

- 화이트 햇 해커 (White Hat Hackers)
대부분 보안 연구자 및 운영자로 구성된다. 가끔 위법과 적법의 경계를 넘나들기도 하지만 궁극적인 목적은 악성 해커를 막는 것이다. 그 목적을 위해 위법적 행위도 불사하는 이들은 ‘그레이 햇(Grey Hats)’이라 불리기도 한다.

- 조직 범죄(Organized criminals)
이들은 해킹의 결과물을 현금화 하는데 능숙하다. 각기 다른 개인으로부터 각기 다른 태스크를 공급받는 공급망이 매우 탄탄하게 구축된 이들이다

■ 주요 해킹 방식
- 비밀번호 크래킹(password cracking)
해당 시스템에 저장된 비밀번호를 알아내는 기술이다. 이를테면 4자리 비밀번호 해킹을 위해 0000부터 9999까지 총 1만개의 경우의 수를 모두 대입해보는 것이다.

- 루트킷(rootkit)
이는 사용자 모르게 PC에 설치한 프로그램을 뜻한다. 루트킷은 설치되기만 하면 철저하게 숨어들기 때문에 그 존재를 알아채기란 쉽지 않다. 또한 보안 시스템을 조작해서 쉽게 삭제할 수 없도록 만들기도 한다.

- 키 로거(Key loggers)
키 로거는 사용자가 자판에 남긴 로그를 훔쳐서 복원한다. 최근 은행 등의 금융기관에서는 키 로거를 방지하는 보안프로그램을 제공하고 있다.

- 스푸핑 공격(spoofing attack)
스푸핑은 해당 시스템이 신뢰하는 방식으로 변장해서 접근한다. 예시로는 IP 스푸핑, DNS 스푸핑, ARP 스푸핑, 이메일 스푸핑 등이 있다. 이 중에서 IP 스푸핑은 대상 시스템이 신뢰하는 다른 컴퓨터의 IP 주소를 도용하는 방식이다.

■ 실제 해킹 사례
가장 대표적인 국제 해커 집단으로 “익명”이라는 뜻의 ‘어나니머스(Anonymous)’가 있다. 어나니머스는 핵티비스트로서 정치·사회적인 목적 달성을 위한 투쟁 수단으로서 해킹 기술을 이용한다. 주로 사이버 검열·감시 반대 및 사이버 시민 불복종 운동을 위해 나선다.

이들은 2010년 ‘지식은 모두의 것이다’라는 모토를 가진 위키리크스에 대한 지지를 공식 표명했다. 이에 위키리크스가 미국 외교 극비 정보를 배포한 이후 금융제재를 받자 페이팔, 마스터카드, 비자카드 등에게 디도스 공격을 가했다.

지난 2013년 4월에는 북한의 ‘우리민족끼리’ 사이트를 해킹해 회원 1만5000여명의 신상정보를 공개했다. 또한 6월25일에 맞춰서 북한군 20만명의 신상정보와 군 기밀 문서 등을 공개하기도 했다.

■ 해킹 보안 방법
1. '스마트' 기기 사용을 줄여라 
해킹을 근본적으로 예방하는 가장 간단한 방법은 이른바 '스마트'기기를 사용하지 않는 것이다. 정보가 네트워크를 통해 공유되는 이상 얼마든지 해킹이 이뤄질 수 있기 때문이다.

하지만 당장 스마트기기가 없다면 불편한 것이 사실이다. 따라서 스마트기기들의 인터넷 연결 여부, 데이터 수집 여부와 종류, 수집 목적과 활용범위, 접근가능자, 데이터를 제삼자에게 넘길 수 있는지 등을 따져봐야 한다. 검색엔진 쇼단(Shodan.io)을 통해 이를 파악할 수 있다.

2. 모든 기기를 업데이트해라
일단 모든 기기의 운영체제와 소프트웨어를 최신 버전으로 업데이트하는 것이 좋다. 스마트폰을 최신 버전으로 항시 유지하면 해킹을 방어하는데 상당한 도움이 된다. 단, 구형 스마트폰은 최신 보안 업데이트가 되지 않는다.

3. 인터넷 익스플로러(IE) 사용 중단
최근 폭로된 CIA 해킹기술 문건 '볼트7'을 보면 IE에 저장된 암호가 '아주 간단하게' 탈취된다. 이미 IE버전 10은 모든 지원이 중단됐고, 마지막 버전인 11도 수명이 다해가는데 한국에서만 유독 IE 사용자가 많다. 크롬과 파이어폭스 등이 IE보다 상대적으로 안전하다.

4. 바이러스백신은 결코 만능이 아니다
바이러스백신만 믿고 있다가는 큰 코 다친다. CIA에서는 이미 가장 유명한 바이러스 백신 제품들을 우회하고 속일 수 있는 다양한 기술을 사용하고 있다. 

5. 데이터 유출을 최소화 하자
이를 위해서는 꼭 필요한 앱만 내려받고, 많은 정보 동의를 요구하는 앱은 피하는 것이 좋다. 유명한 대기업 앱이나 제품이라고 안심할 수는 없다.

6, 암호는 최대한 어렵고 다양하게 설정하자
누구나 쉽게 추측할만한 비밀번호는 지양하자. 또한 아무리 귀찮아도 기기·서비스마다 최대한 다른 비밀번호를 설정해야 한다. 그래야 하나가 뚫리면 모든 게 줄줄이 무너지는 사태를 막을 수 있다.

7. TV·컴퓨터의 웹캠·마이크 구멍을 막아라
이는 피해망상이 아니다. 지난 2016년 페이스북 창업자 ‘마크 저커버그’가 사무실 컴퓨터의 웹캠·마이크를 테이프로 막은 사진을 공개하기도 했다.