소셜 미디어와 인물 검색 엔진, 사소하지만 치명적인 정보 제공
개인정보 보고 나쁜 마음먹는 것이 비정상...그렇지만 현실은 가혹

[보안뉴스 문가용 기자] A 항공사의 B라는 CFO는 시간을 확인했다. 회의 시작까지 7분 정도가 남았고, 급한 이메일에 답장할 정도의 시간은 됐다. 이메일 함을 열어보니 안 읽은 이메일이 10개 남짓 있었다. 그 목록을 눈으로 훑어 내렸다. 그러다가 한 제목에 멈췄다. “B, 요즘 어떻게 지내?”라고 적혀 있었다. 그런데 그 호칭은 이름이 아니라 어렸을 때의 별명이었다. 그 별명을 부르던 친구들이 떠오르니 절로 웃음이 나기도 했다. 물론 30년 전 기억이고, 친구들과는 명함을 주고받거나 다니는 회사 이름도 알려주지 않았지만, 그런 생각은 추억에 묻혔을 뿐이다.


이미 눈치 챘겠지만, 스피어피싱이었다. 스피어피싱 공격자들은 생각지도 못하는 정보를 모아 이메일을 만들어 피해자들은 속인다. 그리고 공격자가 의도한 바를 정확히 실행하도록 만든다. 공격의 정교함이 워낙에 뛰어나 성공률이 매우 높다. 지난 12개월 동안 피싱 공격은 5.753%나 증가했다. 피싱 공격자들을 줄여서 피셔라고 부르기도 하는데, 이 피셔들은 표적과 친한 사람인 것처럼 굴 때가 가장 많다. 그러려면 꽤나 오랜 시간 정성들여 표적에 대한 조사를 실시해야 한다. 실제로 조사와 정찰 활동이 피싱 공격보다 선행하는 건 기본이다.

다시 B씨의 예로 돌아가 보자. 항공사의 CFO가 어렸을 때 친구로 보이는 인물에게서 이메일을 받은 것까지 이야기가 진행됐다. 이 경우 공격자들은 소셜 미디어를 면밀히 조사해 B씨가 어떤 친구를 가졌는지를 파악하고, 그 친구들이 어떤 말투를 사용하는지도 조사했다. 동시에 B씨가 레이싱에 큰 관심을 가지고 있다는 것도 알아냈다. 공격자들은 인터넷 조사를 통해 레이싱 커뮤니티에서 사용되는 은어 등을 공부했고, 친구의 이름으로 “재미있는 레이싱 영상”이라며 링크를 하나 보냈다. B씨가 클릭하는 순간 영상이 재생되기는 했지만 그 뒤로는 멀웨어가 다운로드되고 설치됐다. 공격자들은 이 멀웨어를 통해 항공사의 기밀을 상당수 빼갔다고 한다.

여기서 궁금한 것이 하나 생긴다. 공격자들이 SNS나 인터넷을 통해 정보를 모은다고 하는데, 사이버 공간에 ‘공개된 채 널려있는’ 정보는 얼마나 존재할까? 사이버 공격자의 정찰 방식을 그대로 쫓아보면 윤곽이 잡힌다. 회사에 전화를 한다거나 웹사이트 취약점을 공격하는 등의 ‘능동적인’ 정보 수집은 전부 제외시켜야 보다 정확한 그림을 그릴 수 있다. 이들의 ‘수동적인’ 정보 취득 과정을 한 번 쫓아가보자.

기본적인 조사
스피어 피셔들은 특정 조직을 정해놓고 공격을 시도한다. 그러니 기본적인 조사를 실시하는데, 사장이 누구인지, 어떤 물건을 만드는지 등을 알아내는 평범한 행위다. SNS 사용자들 중 대다수가 자신이 소속된 회사를 거리낌 없이 밝히는데, 이 때문에 공격 표적이 될 회사만 정해지면 임직원이 거의 자동으로 발견된다. 이런 부분에서 가장 좋은 SNS는 링크드인이다. 기술 기업으로 한정한다면 쿼라(Quora)도 해커들의 좋은 선택지다. 이런 플랫폼이나 웹사이트들로부터 피셔들은 최대한 많은 임직원들을 찾아내 목록화한다.

소셜 미디어와 개인정보
원래 소셜 미디어라는 서비스 자체가 사용자들을 부추겨 최대한 많은 정보를 공개하도록 만드는 성질을 가지고 있다. 사용자들에게는 친목이나 인맥 관리를 위해 공개하는 별거 아닌 정보지만, 공격자들에게 매우 귀중한 정보 유형은 1) 이력, 2) 교육 이력(출신 고등학교 및 대학교), 3) 가족 관계 및 친구 관계, 4) 댓글, 5) 생일 등 개인적으로 특별한 날, 6) 여행 및 방문 정보, 7) 가장 좋아하는 영화, TV, 책 등, 8) 개인 사진, 9) 프로파일이다.

하나하나는 큰 의미가 없어 보일 수 있는 정보의 조각들이지만, 일부가 합쳐지면 강력한 공격의 시발점으로서 작용할 수 있다. 공격자들은 이런 정보를 꿰매고 조합해 인공적인 인물을 만들어 표적이 되는 사람과 성향을 맞추고, 그 사람의 말투까지 복사할 줄 안다. 자세한 심리 상태도 파악이 가능하다. 위 정보들을 가지고 피셔들이 할 수 있는 일은 다음과 같다.

1) 표적이 되는 사람의 정치적 성향과 취향, 평소 생각과 정서를 분석한다.
2) 포스팅 시간을 분석해 활동 시간과 수면 시간을 파악할뿐 아니라 일하는 시간과 집에 있는 시간도 알아낸다.
3) 성격 유형도 파악해 어떤 정보에 어떤 식으로 반응하는지도 분석한다.
4) 친구, 동료, 가족 등과의 관계도 파악한다. 그저 지인관계에 있는 건지, 친밀한 건지도 알아낸다.

약 20억 명의 사용자를 두고 있는 페이스북의 경우, 구글 검색창에 “[이름] [위치] site:facebook.com”을 입력하면 해당 인물의 페이지를 쉽게 찾는 것도 가능하다. 또한 소셜 미디어 사용자 대부분 특수한 그룹 활동을 한다. 그룹을 통해 표적에게 친밀히 접근하는 것도 가능하기에 그룹 활동 역시 중요한 공격점이 될 수 있다. 계정에 대한 설정을 ‘private’으로 맞춘다고 해도, 해커들은 얼마든지 원하는 정보를 얻어갈 수 있다. 다크웹에 있는 도구들이 이러한 정보 수집 활동에 큰 도움을 주기 때문이다.

사람 찾아주는 검색 엔진
특정 인물을 찾아주는 것에는 ‘사람 검색 엔진’이라는 것도 있다. 피플(Pipl), 스포키오(Spokeo), 자바서치(ZabaSearch) 등이 바로 그것이다. 다양한 출처로부터 프로파일 정보를 끌어내 원하는 사람을 찾아주는 서비스다. 물론 검색이 안 되는 인물도 많지만, 어떤 사람들은 이메일 주소, 페이스북 주소, 연봉, 교육, 전화번호, 나이, 인종 관련 정보까지도 한 번에 나온다.

대부분 직장인들은 자기 정보를 노출하고, 그렇기에 이러한 서비스들을 통해 정보가 노출되는 것에 대해 크게 신경 쓰지 않는다. 무르거나 무식한 게 아니다. 애초에 그런 정보들을 가지고 나쁘게 활용할 생각을 하는 것이 자연스러운 게 아니다. 하지만 그런 ‘착함’ 때문에 피셔들의 공격 성공률은 증가하는 것 역시 현실이다. 여기서 알 수 있는 건 무엇인가? 중요한 건 착하고 나쁜 게 아니라, 시대의 큰 그림을 파악하고 그에 맞게 움직이는 것이다.

글 : 레이몬드 폼폰(Raymond Pompon), F5
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>