개요

Hacking. 해킹을 하는 사람은 해커(hacker)라고 한다.

해킹 전체가 범죄는 아니다. 해킹의 원래 의미는 프로그램 원 제작자가 걸어놓은 프로그램 코드 락 알고리즘을 뚫어서 프로그램 소스를 알아내거나, 프로그램 소스를 변경하여 자기 입맛에 맞게 바꾸어 버리는 모든 행위를 포함한다. 코드 락을 뚫어서 프로그램 소스를 확인하기만 하는건 범죄가 아니다.[* 몇몇 열성적인 프로그래머는, 버그가 나버리면 프로그램 소스 락을 풀어 소스를 확인한 다음 어디가 틀렸는지 리포트를 써주기도 한다.][* 물론 이 소스를 그대로 베껴가는건 불법이다.] 또한 오픈 소스 프로그램이나, 상용 소프트웨어라도 프로그램 사용 계약 내용을 준수하며 프로그램을 개조한다면 불법이 아니다. 하지만 계약에서 벗어난 행위(모든 사람에게 공개해버리거나, 락을 풀어서 크랙을 만드는 등), 피해를 줄 목적으로 임의로 조작된 프로그램을 배포하는 등의 행위는 범죄이다. 이런 범죄행위는 크래킹, 그런행위를 하는 사람은 크래커 --과자아니다--라고 구분을 한다.

Mac OS X 운영체제에서는 해킹이 통하지 않는다는 인식이 있는데, 정확히 말하면 점유율이 타 운영체제보다 낮기 때문에 해커들이 별 관심이 없을 뿐이다. ~~관심 좀~~ XP가 보안에 약한 것은 오래된 OS라서[* 윈도우 XP를 아직 현역으로 사용하는 사람들이 많지만, IT기술의 빠른 발전속도를 감안한다면 낡았다고 볼 수 있다. 윈도우 XP는 이미 2008년에 단종된 운영체제임을 명심하자.] 낡은 보안체제를 가졌기 때문일 뿐으로(+여타 OS보다 2~30배 높은 점유율) XP의 보안을 가지고 윈도우즈 전체의 보안을 까는 건 어찌보면 병크라고 할 수 있겠다. 실제 해킹 대회에선 MAC이 가장 먼저 뚫리는 사례가 번번히 있다. 물론 윈도우의 보안이 아무리 MAC보다 좋아봤자 뚫는 사람이 워낙 많아서 제로데이 어택에 펑펑 뚫리는데다 XP가 아직도 대세인 윈도우측의 [보안]이 전체적으로 좀 더 약한 건 사실이므로 조금 더 주의하도록 하자.[* 특히 우리나라에서는 각 기관이나 인터넷 사이트에서 윈도우에 새로 추가된 보안 기능을 도로 끄라고 요구하는 실정인데, 이는 대개 ActiveX 때문이다. 덕분에 우리나라에서는 ActiveX로 된 보안 솔루션을 설치하기 위해 운영체제 수준의 최신 보안 기능을 해제해야 하는 촌극이 오늘도 어딘가에서 벌어지고 있다.]

몇몇 사람들은 영화나 몇몇 뉴스를 보고 해킹이 흥미나 자신의 능력을 시험하는 등의 이유로 행한다고 보는 경우가 있는데 당연히 현시창. 대다수의 해킹은 돈을 목적으로 하는 것이며(즉 크래킹) 대표적인 예가 중국에서 커뮤니티등을 해킹한 다음 돈을 요구하는 것이나, 러시아에서 악성코드에 감염된 봇넷을 가지고 DDoS 공격을 가하겠다고 기업들을 협박하여 돈을 뜯어내는 것[* 이런 종류의 범죄는 현재 범죄조직에 의해 철저한 분업화가 되어 있으며, 이를 통해 몇 시간 단위로 악성코드를 바꾸어 백신이 미처 대응하지 못하도록 만들도록 하는 모습까지 보인다.]다.

호텔 이용객 해킹

• '다크 호텔'의 위험

2014년 11월 21일

5성급 호텔에 투숙한 엘리트를 작정하고 노린 정보보안 집단범죄의 정체가 드러나다.

소위 '다크 호텔 APT' 사건.

'APT'는 Advanced Persistent Threat의 약어로서 흔히 '지능형 지속 위협'으로 번역된다. 어감이 어째 좀 '무섭긴 한데 그게 뭔지 정체는 모르겠음'의 뜻을 품고 있는 듯하고, 실제로도 대략 그러하다.

APT란, 금전적이든 정치적(이라고 해도 대개 실상은 금전적)이든 특정한 목적을 달성하기 위해 공격대상을 정해 두고 장기간에 걸쳐 지속적 공격을 가해 허점을 발견하고 목표했던 바 정보를 탈취하거나 파괴하는 등의 공격을 말한다. 노리는 바가 비싼 정보다 보니 흔한 해킹 수법으로 그치지 않고 '사회공학' 등 여타 수법을 총동원하는, 일종의 정보범죄 총동원령이라 할 수 있다.

사회공학이란, 전통적 도청이나 IT기술 등 기술적 수법이 아니라 사람과 사람 사이의 신뢰를 기반으로 어떤 사람을 속여 정보에 접근하는 수법을 말한다. 사람과 사람 사이 선의에 의한 상호작용을 악용한다는 점에서 죄질이 매우 나쁘다. 하지만 수법의 효율성만 따지자면 매우 효과적인 접근방법이라 보안수준이 높은 곳일수록 사회공학 없이는 접근이 불가능할 정도.

'다크 호텔' 건에서 사회공학의 도구는, 호텔 자체의 높은 신용도다. 살펴보자.

정보의 값

이들은 미리 고급 호텔에 잠입해 밑작업을 해 두고 먹이를 기다린다. 일본>대만>중국>러시아>한국 순으로 많은, 주로 아시아 지역의 고급 호텔에 투숙하는 방산 금융 자동차 제약 등 정보가치가 높은 회사의 C레벨급 임원진과 최고위급 연구원이 먹잇감이다. 주요국가 고위당국자와 세계적으로 영향력이 큰 비정부기구 NGO 간부도 적절한 표적.

비싼 정보만 골라서 노렸다는 점이 가장 중요하다. 2011년 2월 16일 서울 소공동 롯데호텔에서 일어났던 인도네시아 특사단 숙소 침입사건만 보더라도, 호텔에 투숙하는 외국 엘리트가 가진 정보의 가치는 '노릴 만하니까' 노리는 자들이 많다.

브랜드 신뢰성 악용

'비싼 사람들'이 비싼 호텔에 머물며 호텔 공용 와이파이(Wi-Fi) 네트워크에 접속하면, 접속을 위해 입력한 객실 번호를 통해 신원을 파악한다. 호텔이 통째 이미 털렸으니 신원 확인이 어려운 일도 아니다. 싼 사람은 건드리지 않는다. 이건 순전히 비즈니스니까. 괜히 아무나 건드려 봐야 얻을 게 없고 또 발각 위험만 커지기 때문이다.

그리고 인터넷 사용을 위해 필요하다며 구글, 마이크로소프트, 어도비 등 유명한 회사의 이름을 도용한 가짜 팝업 창을 띄운다. 대개 의심 없이 '확인'을 누른다. 혹시 의심한다더라도 일본어 중국어 한국어를 모르니 그냥 누를 수밖에 없다. 외국의 분위기에 따른 소위 '객기'도 방심의 이유다. 클릭 즉시, 백도어가 설치된다.

https://www.huffingtonpost.kr/pakghun/story_b_6196828.html

관련 문서

• 프로그래밍
• 프로그래머
• 해커
• 크래커(cracker)
• 크래킹(cracking)

* PWN2OWN
* Uplink
* ARP spoofing
* Hack 'n' Slash
* 백트랙
* 해커
* 개인정보 유출사태
* 악성코드
* APT 공격
* 제로 데이 공격
* 스턱스넷
* 해킹대회
* 어나니머스
* 사회공학
* 와치독[* 본 게임의 주제가 바로 해킹이다. 물론 우리가 알던 컴퓨터로 하는 해킹은 아니지만..]
* ~~우송대~~[* 백악관 해킹 광고로 유명하다]
* 씬커[* 해킹과 파쿠르를 소재로 한 네이버 웹툰]