해커가 싹 털어가기 전에 귀찮아도 꾸준히 '다중 방어벽' 세워야[정은진의 기술을 기술하다]

(6) 오랫동안 널리 공유되는 해킹 아이디·비밀번호

대부분 같은 아이디·비밀번호로
여러 웹사이트 사용하는 점 노려
해커들 유출 정보로 로그인 시도
신용카드 번호·배송지 정보 빼내

이달 초에 신용카드 웹사이트 계정을 해킹당해서 신용카드 포인트를 몽땅 털렸다는 것을 발견했다. 안 좋은 일이 생기면 누구나 그러듯이 ‘아니, 어떻게 나에게 이런 일이!’라고 생각했고, 정황 파악에 나섰다. 신용카드 웹사이트는 새로운 기기나 환경에서 로그인을 시도할 경우 1회성 비밀번호를 등록된 문자나 e메일 주소로 받아서 정확하게 입력해야 로그인이 가능하게 되어 있었다. 문자로 받은 게 없으니 혹여 e메일 주소로 그런 비밀번호를 받은 적이 있는지 검색해보았지만 없었다. 그렇다면 혹시 e메일을 받아서 로그인하고 지운 것은 아닐까? 비밀번호가 해킹당한 것은 아닌가 로그인 기록을 조회해보니 역시나 의심스러운 기록이 있다.

신용카드 웹사이트 계정과 비밀번호를 알아내고, 신용카드에 연결된 e메일 계정과 그 비밀번호를 알아내 조용히 신용카드 웹사이트에 로그인한 다음 등록된 주소와 연결된 e메일 계정을 바꾸어 신용카드 포인트로 산 상품들을 다른 장소로 배송시켰다. 어떻게 아이디와 비밀번호를 알아냈을까?

■아이디와 비밀번호, 한번 해킹당하면

안타깝게도, 내가 자주 쓰는 아이디는 다른 웹사이트가 해킹당하면서 이미 해커들에게 알려져 있었다. 신용카드와 연결된 e메일 계정도 그 웹사이트에서 사용한 e메일이어서, 이 e메일 주소를 쓰는 사용자가 이 아이디를 쓴다는 정보가 알려진 것이다. 이런 정보는 해커들이 사용하는 암거래시장에서 비교적 싸게 거래되고 있어서, 사용하는 웹사이트 중 하나라도 해킹을 당하면 거의 모든 해커들에게 공개된다고 보아도 무방하다.

이렇게 아이디와 비밀번호를 얻은 해커들이 가장 쉽게 할 수 있는 일은 사람들이 많이 사용하는 웹사이트에 이렇게 공개된 아이디와 비밀번호로 로그인을 해보는 것이다. 많은 사용자들이 같은 아이디와 비밀번호를 여러 웹사이트에서 사용하기 때문에, 이렇게 유출된 정보로 다른 웹사이트에 접속할 수 있는 경우가 종종 있다. 그중에서 신용카드 번호 같은 지불수단 정보나 보통 자택 주소인 배송지 주소를 빼낼 수 있다면 이제 해커들이 알고 있는 정보는 ‘e메일 계정, 아이디, 비밀번호, 집 주소, 지불수단 정보, 이 정보를 사용 가능한 웹사이트 주소들’로 늘어난다.

해킹당한 웹사이트가 영업을 제대로 하고 있으면 해킹을 당했다는 연락을 해주지만, 많은 경우 이런 연락은 해킹이 일어난 며칠 뒤, 혹은 몇 달 뒤에 오기 때문에 해커들이 이미 다른 웹사이트들에 접속을 시도해본 다음인 경우가 많다. 영업을 제대로 하고 있지 않거나 해킹을 당해 연락처조차 제대로 복구하지 못하면 연락을 받지 못할 수도 있다. 이런 연락을 받으면 사용하던 비밀번호를 바꾸는 게 좋지만, 모든 사람이 바꾸는 것은 아니다. 바꾸기 전에 이미 피해가 발생했을 수도 있다.

■비밀번호 얼마나 안전할까?

특수문자 등 복잡한 비밀번호도
‘무작위 비밀번호 생성’ 공격에
하루 만에 풀려 계정 못 지켜내
무료 와이파이선 금융정보 해킹도

우리 모두의 생활에 각종 웹사이트와 앱이 차지하는 비중이 늘어나면서 제일 불편해진 게 무엇일까 물어보면, 비밀번호 관리가 꽤 높은 순위를 차지할 것이다. 도대체 왜 비밀번호에 대문자, 숫자, 특수문자 포함이라는 까다로운 조건을 붙여서 우리를 힘들게 하는 걸까? 올바른 아이디와 비밀번호를 넣어 특정 사용자라는 것을 증명하는 과정은 ‘인증’이라 불리고, 이러한 인증 방식은 비밀번호를 다른 사용자나 해커가 ‘우연히’ 맞히기 어려워야만 사용자의 정보를 보호할 수 있다. 얼마나 어려우면 안전하다고 할 수 있을까? 컴퓨터의 성능이 발달한 요즘, 웬만한 비밀번호는 무작위로 비밀번호를 생성해서 맞히는 데 만 하루가 걸리지 않는다.

■무작위 비밀번호 공격을 막는 방법들

이런 무작위 공격을 막기 위해 쓰는 가장 흔한 방법이 비밀번호를 몇 번 이상 틀리게 입력하면 계정을 동결하고, 사용자가 (휴대폰을 이용한 본인 인증 같은) 다른 방법으로만 계정을 다시 활성화할 수 있도록 하는 것이다. 5번 이상 잘못된 비밀번호가 입력되면 계정을 동결하는 경우, 사용자가 이 웹사이트에 다시 방문할 때까지 계정이 동결되므로, 사용자가 매일 이 웹사이트에 방문한다고 해도 백만번의 시도를 위해 500년 이상이 걸리게 된다.

해커들이 자신의 거주지를 노출시키지 않기 위해 다른 나라의 컴퓨터를 거쳐서 공격하는 경우도 많이 있다. 따라서 사용자가 평소 접속하는 지역이 아닌 지역에서 인증을 시도하는 경우 계정을 일시 동결하기도 한다.

같은 비밀번호를 오래 쓰면 결국에는 무작위 비밀번호 생성 공격이 성공할 수 있으므로 많은 웹사이트들이 30일, 60일, 혹은 90일에 한 번씩 비밀번호를 변경하라고 권장한다.

이렇게 사용자들이 귀찮아하고 불편해하는 까다로운 기준에 맞는 비밀번호를 만들고, 몇 번 이상 틀리면 계정을 동결하고, 외국 IP 접속을 막고, 일정 기간마다 비밀번호를 바꾸기만 하면 내 계정은 안전할까? 무작위로 생성하는 비밀번호를 통한 공격은 막을 수 있을지 몰라도, 웹사이트가 해킹을 당하거나 사용하는 기기가 해킹을 당하는 경우에는 비밀번호 유출을 막을 수 없다.

■무료 와이파이의 함정

휴대폰 사용이 늘어나면서 데이터 사용량도 늘어났지만 데이터 가격은 만만하지 않다. 그렇다보니 자주 사용하게 되는 것이 무료 와이파이인데, 무료 와이파이는 보안이 허술한 경우가 많다. 아예 비밀번호가 없는 경우도 종종 있고, 비밀번호가 있어도 웹사이트에서 비밀번호를 입력하면 인터넷에 연결해주고, 와이파이 자체는 암호화되지 않은 경우가 종종 있다. 이런 경우 같은 와이파이를 사용하는 누구나 다른 사용자의 기기에 오가는 정보를 엿들을 수 있어서 비밀번호를 포함한 개인정보가 유출될 수 있다. 보안 전문가들은 이런 암호화되지 않은 와이파이에서 절대로 은행 거래 같은 민감한 작업을 하지 말라고 권고한다.

한번 연결했던 와이파이와 같은 이름의 와이파이가 근처에서 사용 가능하면 자동으로 연결하는 기능을 악용해서 유명 커피체인점의 와이파이 이름과 같은 이름을 붙인 공유기를 사람들이 많이 다니는 지역에 설치하고 사용자들의 개인정보를 엿듣는 해킹 방법도 알려져 있다.

■훔쳐낸 비밀번호로 국가 기밀 해킹

2014년 미국 연방정부 인사관리처(OPM)는 두 차례 해킹을 당했다. 이때 유출된 데이터베이스에는 2200만명에 달하는 사람들의 개인정보가 포함되어 규모로도 큰 문제가 되었지만 정부의 기밀을 취급하는 공무원들을 고용할 때 반드시 거치는 보안 등급 관련 조사 결과가 포함되어 있어 더욱 큰 파란을 일으켰다. 정체를 감추고 활동하는 정보기관 직원들의 신원이 공개된 것은 아닌지, 그들의 가족이나 친구들이 위험에 빠진 것은 아닌지 보안부서에 비상이 걸렸다. 인사관리처의 정보 관련 업무를 책임지는 CIO(Chief Information Officer)도 사임했다.

이 두 차례에 걸친 해킹의 시작이 바로 비밀번호였다. 보안 등급 조사를 하는 하청업체 직원의 아이디와 비밀번호를 입수한 해커가 직원을 사칭하고 시스템에 접근, 관련 문서들을 입수해 결국 개인정보가 포함된 데이터베이스까지 공격했다. 이 비밀번호를 입수한 경로는 알려져 있지 않지만, 무작위로 비밀번호를 생성해서 여러 차례 공격을 시도한 것이 아니어서 다른 경로로 유출된 것으로 보인다.

■다중 인증의 필요성

휴대폰 본인인증·OTP 사용부터
비번 잘못 입력 땐 계정 동결
카드 사용·개인정보 변경 알림 등
‘다중 인증’ 설정, 피해 최소화해야

비밀번호가 유출되는 경우에도 계정이 무단으로 이용되는 것을 막기 위해서 보안 전문가들이 이구동성으로 추천하는 방법이 ‘다중 인증(Multi-Factor Authentication)’이다. 사용자가 ‘기억하는’ 정보뿐만 아니라 다른 정보까지 인증에 요구하는 것을 다중 인증이라고 하는데, 흔히 사용자가 ‘가지고 있는’ 정보나 사용자의 생체 정보를 추가로 요구한다.

사용자가 ‘가지고 있는’ 정보의 예로는 은행 거래에 사용되는 보안카드나 OTP(One-Time Password) 생성기가 잘 알려져 있다. 유출된 계정 정보를 이용해서 은행 웹사이트나 앱에 로그인해 계좌 내역은 조회할 수 있지만, 사용자가 가지고 있는 보안카드나 OTP 생성기 없이는 계좌의 잔액을 다른 계좌로 이체할 수 없다. 사용자의 생체 정보를 사용하는 경우, 휴대폰으로 결제할 때 지문인식 기능을 사용해서 확인하도록 한다거나, 얼굴 전체 영상 정보를 이용하는 기능 등이 이미 널리 사용되고 있다.

다중 인증을 제대로 하려면 비밀번호에 추가로 요구되는 정보는 반드시 사용자가 기억하는 정보가 아니어야 한다. e메일로 1회용 비밀번호를 전달받아서 사용하면 다중 인증이라고 생각하는 경우가 있는데, 이 경우 웹사이트 비밀번호와 e메일 비밀번호가 둘 다 유출되면 글 첫머리에 언급한 신용카드 해킹 같은 경우를 막을 수 없다. 웹사이트 비밀번호를 잊어버렸을 때 비밀번호 재발급 링크를 e메일로 받는 경우라면, e메일 계정의 비밀번호만 유출되어도 해커가 웹사이트에 무단으로 로그인할 수 있다. e메일 계정의 비밀번호가 유출되면 각종 웹사이트에서 받은 e메일이 해커의 손에 고스란히 들어가므로, e메일 계정 비밀번호는 해커들 사이에서 거래가 활발한 상품이다.

보안카드를 웹하드에 저장해서 사용하지 말라는 권고도 같은 맥락이다. 웹사이트 비밀번호와 웹하드 비밀번호 둘 다 유출되면 더 이상 다중 인증의 역할을 할 수 없다. 심지어 두 사이트 비밀번호가 같은 경우도 종종 있다. e메일 계정을 제공하는 회사의 웹하드 서비스도 쓰는 경우, e메일 계정 비밀번호가 유출되면 해커가 웹사이트 비밀번호를 재발급받고 보안카드도 다운받을 수 있다.

■해킹으로부터 계정을 지키는 방법

웹사이트에서 비밀번호가 유출될 가능성을 완전히 막기도 어렵고, 보안이 설정되지 않은 와이파이를 이용했을 때 비밀번호가 유출될 가능성까지 생각하면 비밀번호만 가지고 계정을 지키기는 어렵다. 보안 전문가들이 다중 인증을 강력 추천하는 이유이기도 하다.

해킹의 피해 규모는 해킹을 얼마나 빨리 알아차리느냐에 달려 있다. 카드 사용 명세를 휴대폰 문자로 받아보면 이상한 사용 내역이 떴을 때 바로 대응이 가능한 것처럼, 비밀번호를 바꾸거나 개인정보가 변경되었을 때 문자나 e메일로 알림이 오도록 설정하면 해킹에 빠르게 대응할 수 있다. 필자의 신용카드 해킹도 새로운 기기에서 접속했다는 알림을 받고 바로 대응해서 금전적 피해 없이 수습할 수 있었다(포인트도 돌려받았다). “귀찮은 일을 매일 하는 것이 장기적으로 좋다”는 인생의 진리가 보안에도 적용된다.

▶정은진 교수



서울대 전산과학과를 졸업하고 미국 오스틴에 있는 텍사스주립대학에서 전산과학 석·박사 학위를 받았다. 현재 샌프란시스코대학 부교수로 재직 중이다. 분산시스템과 인터넷에서의 보안을 연구했고, 최근에는 게임이론을 이용해서 합리적인 사람들이 블록체인처럼 탈중앙화된 시스템을 안전하게 사용할 수 있게 해주는 방법을 연구하고 있다. 최신 기술의 발전을 가까이 볼 수 있는 실리콘밸리에서 컴퓨터과학을 오래 가르치면서 기술이 사회에 미치는 영향에 대해 깊이 생각하게 되었고, 그 영향력을 선한 방향으로 이끌어가기 위해서는 더 많은 사람들이 기술을 쉽게 이해할 수 있어야 한다고 믿는다.