구독상품안내
정보의 출입을 전제로 한 인터넷이라는 방대한 네트워크는 태생적으로 보안 위협에 노출돼 있다.그런데 최근 들어 이 보안 위협의 양상이 바뀌고 있다.
시스템을 망가뜨리는 바이러스에서 컴퓨터에 저장된 정보를 훔치는 스파이웨어, 트로이목마로 그 무게중심이 급속히 이동하고 있다.
보안 위협의 전장에서 자신을 지킬 수 있는 방법은 무엇일까.
사람들은 자신이 외부 서버에 저장된 정보를 활용하는 일, 즉 ``’인터넷을 하는’ 과정에서 자신의 정보가 안전하게 처리되길 바란다. 하지만 해커나 스파이웨어 제작자는 다르다. 그들은 보안의 빈틈을 노려 개인 정보를 빼내길 원한다. 돈을 노린 보안 위협이 커지고 악의적인 생각을 가진 이들의 수법이 갈수록치밀해지면서 ‘인터넷을 한다’는 행위를 둘러싼 두뇌게임은 복잡해져 가고 있다. 지키려는 자와 빼앗으려는 자의 대결 양상을 들여다본다.
인터넷 하는 것만으로 개인정보 노출
1990년대부터 시작된 인터넷 게임 열풍이 요즘도 여전하다. 한 번이라도 인터넷 게임을 해 본 사람은 알겠지만 게임을 시작하기 위한 첫 관문은 바로 인증이다.
인증이란 자신의 아이디와 비밀번호를 입력해 이뤄지는 것으로 게임 서버는 이 아이디와 비밀번호만으로 사용자를 구분한다. 아이디와 비밀번호가 제대로 입력돼야 사용자는 서버에 저장된 자신의 정보를 활용할 수 있다는 얘기다. 인터넷 뱅킹도 마찬가지다. 아이디와 비밀번호로 사용자의 계좌 정보가 저장된 은행 서버에 접근한다. 은행이 게임과 다른 점은 공인인증서와 보안카드 등을 사용해 진입장벽을 높인 것이다.
게임이나 은행처럼 인터넷으로 서비스를 제공하는 업체는 자신들이 수집한 고객의 정보를 안전하게 보호하기 위해 다양한 보안 장비를 갖춘다. 보통 사람이라면 이름도 생소할 침입탐지시스템(IDS), 침입방지시스템(IPS), 방화벽이 대표적이다.
키보드 보안 프로그램과 트로이목마 탐지 프로그램도 고객을 위한 안전 장벽이다. 고객이 자신의 컴퓨터를 이용해 서버로 접근할 때 고객의 아이디와 비밀번호를 안전하게 보호하기 위해 이 같은 보안 프로그램을 작동시킨다. 원거리에서 해커가 사용자의 키보드 입력 내용을 몰래 들여다보는 것을 차단하려는 것이다.
하지만 문제는 이러한 노력에도 불구하고 사용자의 개인 정보가 유출되는 사고가 잇달아 발생하고 있다는 사실이다. 2006년 국내 한 은행에서 담당자의 관리 부주의로 고객 명단이 포함된 파일이 e메일로 유출돼 문제가 된 적이 있다. 지난해 1월에는 국내 온라인 쇼핑몰에서 고객 데이터베이스(DB)가 해킹돼 개인 정보가 흘러나왔으며, 같은 해 말에는 한 정유 업체에서 고객 정보가 담긴 CD가 유출돼 큰 파장을 일으키기도 했다. 다양한 기술적 노력이 전개돼 보안성이 높아지긴 했어도 사용자들이 완전히 마음을 놓을 수 없는 이유다.
그렇다면 여러 보안 장치를 해뒀는데도 개인 정보가 새는 이유는 무엇일까. 기술적인 관점에서 보면 이는 대부분의 컴퓨터가 인터넷에 연결돼 있다는 기본 전제 때문이다. 예를 들어 은행은 인터넷 뱅킹 서비스를 제공하기 위해서 당연히 인터넷과 연계돼 있어야 한다. 이런 구조를 이용해 해커는 사용자의 컴퓨터와 은행 서버 사이에서 보안이 가장 취약한 지점을 파고드는 것이다.
신종 스파이웨어 ‘리워드 프로그램’ 기승
지금까지 개인용 컴퓨터는 은행이나 게임 업체의 고객 서버보다 상대적으로 해킹의 제물이 될 가능성이 적었다. 축적된 정보의 양이 비교적 적은 데다 IP와 같은 정보가 외부에 노출돼 있지 않아서다. 하지만 최근 들어 상황이 달라지고 있다. 개인용 컴퓨터에 저장된 정보를 외부로 유출하거나 사용자의 인터넷 사용 습관을 이용해 수익을 올리는 프로그램이 많이 보고되고 있다.
안철수연구소의 분석에 따르면 최근 3년 동안 가장 많은 피해를 준 악성코드 톱 20위 안에 바이러스보다 스파이웨어, 트로이목마가 더 많았다. 악성코드의 유형이 사용자의 시스템을 파괴하거나 서비스 이용을 못하게 하는 웜과 바이러스에서 개인 정보 절취와 이를 통해 수익을 창출하는 스파이웨어와 트로이목마로 바뀌고 있는 것이다.
최근 문제가 되고 있는 대표적인 스파이웨어는 리워드 프로그램이다. 이 프로그램은 고객이 물건을 구매하거나 서비스를 이용할 때 다양한 보상을 통해 고객의 충성도를 높이는 마케팅 전략의 핵심 수단이다. 사용자가 인터넷 쇼핑을 이용할 때 수수료 수익 중 일부를 전자포인트 형태로 사용자의 서버에 적립해 준다는 게 혜택의 골자다. 이렇게 제공되는 포인트는 여러 제휴사에서 각자 제공하는 포인트와는 별도로 관리할 수 있어 사용자에게 더 큰 이익이 된다는 설명도 이들 업계에선 나온다.
사용자가 이 프로그램에 반감을 가질 이유가 적기 때문에 최근 리워드 프로그램 업체가 우후죽순으로 생겨나고 있다. 그렇다면 이 업체들은 어떻게 돈을 버는 것일까. 사용자가 인터넷 쇼핑몰을 이용할 때 생기는 중개수수료가 열쇠다. 사용자가 최저가 검색 사이트에서 제품을 찾은 뒤 이 사이트와 연계된 쇼핑몰을 방문할 경우 정보를 제공한 사이트는 쇼핑몰에서 수수료를 받는다. 그런데 리워드 프로그램은 이 정보를 중간에서 변조해 자신이 고객을 안내한 것처럼 가장한다. 가로챈 수수료에서 일부를 떼어내 고객에게 적립해 주는 것이다. 하지만 이렇게 적립되는 금액은 매우 적다. 사용자가 현금으로 돌려받을 수 있는, 약관에 정의된 금액을 채우기는 어렵다는 얘기다.
따라서 이런 리워드 프로그램은 사용자에게 별 혜택도 못 주면서 오히려 불공정 거래에 따른 부정적인 영향을 확대한다고 볼 수 있다. 특히 이 프로그램은 온라인 쇼핑몰 등 공신력 있는 곳에서도 배포돼 큰 사이트에 신뢰를 보내는 많은 소비자의 뒤통수를 치고 있는 격이다.
게임 계정 노리는 트로이목마 ‘요주의’
한편 주로 게임 계정을 노리는 데 쓰이고 있는 트로이목마에도 수많은 변형이 등장하고 있다. 이런 트로이목마는 유명 사이트를 해킹해 전파된다. 자주 방문하는 사이트에 접속만 해도 감염될 수 있다는 얘기다. 인터넷 뉴스 사이트가 전파의 근거지가 되는 일이 많다.
트로이목마는 사용자의 키 입력 내용을 저장하거나 화면을 캡처할 수 있으며, 저장된 파일을 외부에 유출할 수도 있다. 트로이목마는 평소에는 컴퓨터 활동 가운데 극히 적은 부분을 차지하고 움직임도 눈에 잘 띄지 않는다. 그러다 게임과 관련된 컴퓨터 동작이 실행될 경우에만 ‘키로깅’ 기능을 동작시켜 아이디와 비밀번호를 가로챈다. 트로이목마에 의해 수집된 정보는 특정 시간에 지정된 계정으로 e메일로 발송되거나 ftp 사이트로 올라간다. 사용자가 모르는 사이에 자신의 게임 계정이 유출돼 저장된 아이템이나 게임머니 등을 잃을 가능성이 매우 높다. 도둑이 현관문 번호키를 누르는 집주인 뒤에서 몰래 비밀번호를 훔쳐본 뒤 집에 침입해 물건을 훔쳐가는 상황과 비슷하다.
사용자 중에는 수많은 인터넷 계정을 관리하기 힘들어 ‘내 컴퓨터에 암호 저장하기’라는 기능을 이용해 로그인 정보를 저장해 두기도 한다. 이 경우 정보가 저장되는 위치는 대부분 동일하다. 컴퓨터에 저장되는 공인인증서 파일도 정해진 방법으로 저장된다.트로이목마는 범용적인 정보가 저장되는 경로를 잘 알기 때문에 미리 지정된 경로만을 검색해도 사이트의 로그인 정보나 공인인증서를 검색하는 일이 어렵지 않다. 올해 국내에서 발생한 인터넷 뱅킹 해킹도 이 같은 트로이목마를 이용했을 가능성이 높다는 분석이 나온다.
로그인 계정 각 사이트마다 달리 관리해야
사용자는 인터넷에 접속하는 순간, 누군가 내 정보를 호시탐탐 노리고 있을 수 있다는 점을 인식해야 한다. 눈앞의 컴퓨터 단말기만을 생각하지 말고 그 뒤로 이어진 드넓은 네트워크를 생각해야 한다는 얘기다.
개인정보 보호를 위해서 사용자는 편리함을 조금 양보해야 한다. 많은 계정 정보를 각 사이트마다 다르게 생성하고 컴퓨터를 사용한 후에는 인터넷 쿠키 파일(임시저장파일)을 모두 삭제하는 것이 좋다. 도둑이 들더라도 가져갈 수 있는 세간과 귀금속의 양을 최소화하는 셈이다.
또 비밀번호는 일정한 기간에 한 번씩 변경해야 한다. 하지만 수많은 비밀번호를 모두 일일이 기억해 변경한다는 것은 현실적으로 어렵다. 이런 어려움을 해결하기 위해 ‘일회용 비밀번호’(OTP·one time password) 장비를 사용하는 것도 좋은 방법이다. 매번 다른 비밀번호를 생성해 유출된 개인정보 자체를 무력화하기 때문이다.
공신력 있는 사이트에만 가입해 개인 정보를 최대한 적게 노출하고 인터넷 사용에 관련된 정보를 컴퓨터에 저장해 두지 않는 습관도 개인 정보 노출을 막는 중요한 방법이다.
온갖 보안장치를 해둔 집이라도 사용자 스스로 대문을 열어둔다면 도둑을 막을 순 없다. 복잡한 개인 정보 전쟁터에서도 방어의 핵심은 기본적인 ``문단속이란 점을 잊지 말아야 한다.
강동현 주임연구원은 동명정보대 컴퓨터공학과를 졸업했다. 네트워크 보안업체에서 직장 생활을 시작했으며, 현재 안철수연구소 시큐리티대응센터 분석1팀에서 소프트웨어 배포 방법과 악성코드 치료법을 연구하고 있다.
같은 팀에 재직 중인 주설우 주임연구원은 인제대 컴퓨터공학부를 졸업하고 현재 스파이웨어 분석, 치료 업무를 담당하고 있다.
