네트워크에 침투하거나 여타 사기를 치기 위해 해커들이 이용하는 방법은 다양하다. 개중에는 엉뚱하거나 심지어 멍청해 보이는 것들도 있다.
해커들은 으레 단호하고 끈질기며 똑똑하고 적응력이 뛰어나며 눈에 띄지 않고 무자비하다. 이를테면 그들은 코로나19 팬데믹을 포함한 모든 비극을 이용하며 네트워크의 모든 취약성을 이용한다.
대부분의 해커는 저항이 가장 작은 길을 선택하며 피싱, 취약한 비밀번호, 패치되지 않은 시스템, 소셜 엔지니어링을 통해 네트워크를 공격한다. 그리고 때로는 해킹이 그냥 괴상할 수 있다. 8가지 가지 예를 살펴본다.
IoT 수조를 통해 훔친 데이터
사이버 보안 기업 다크트레이스(Darktrace)는 2017년 인터넷에 연결된 수조를 사용하여 북미의 한 카지노에서 데이터를 훔친 해킹 사례를 발견했다고 발표했다. 수조에는 수온과 수조의 청정도를 모니터링하고 조절하며 물고기 섭식을 통제하는 PC에 연결된 IoT 센서가 탑재되어 있기는 했다.
다크트레이스의 사이버 정보 및 분석 책임자 저스틴 피어는 “누군가 수조를 이용하여 네트워크에 침투하여 다른 취약성을 스캔하여 발견한 후 네트워크의 다른 곳으로 횡 이동했다”라고 말했다.
이 카지노의 이름은 공개되지 않았지만 보고서에 따르면 데이터가 외국에 있는 장치로 전송됐다. 핀란드라고 생각했다면, 정답이다. 다크트레이스의 CEO 니콜 이건은 런던에서 열린 한 행사에서 참석자들에게 해커들이 네트워크에 침투한 후 하이 롤러 데이터베이스에 액세스했다고 설명했다. 참고로 하이 롤러 데이터베이스는 ‘고래’라고도 불린다. 말 그대로 ‘작은 물고기’에서 ‘고래’로 이동한 셈이다.
CEO를 속인 비싱(Vishing) 공격
우리 모두가 이메일 피싱 공격에 주의하고 있지만 상사가 전화를 해서 무엇인가를 부탁한다면 어떨까? 자신이 보이스 피싱이나 비싱 공격의 피해자가 될 수도 있다고 의심할까?
AI 기반 비싱 공격의 첫 보도 사례는 2019년 잉글랜드에서 발생했다. 범죄자들은 상업용 음성 생성 AI 소프트웨어를 사용하여 영국에 위치한 에너지 기업을 소유한 한 독일 기업의 상사를 사칭했다.
범죄자들은 영국의 CEO에게 전화를 걸어 헝가리의 한 공급회사에 24만 3,000달러를 송금하도록 속였다. CEO는 상사의 독일식 억양과 음성 패턴을 인지했으며 통화 중 의심이 들지 않았다. 그러자 범죄자들은 더 큰 욕심을 부리게 되었고 다시 큰 금액을 송금하도록 요청했다. 이번에는 CEO가 거부하게 되면서 책략이 실패했다.
하지만 경찰은 범인을 잡거나 돈을 돌려받도록 도와줄 수 없었다. 이것은 새롭고 무서운 AI 기반 딥페이크(Deepfake) 시대의 시작에 불과할 수 있다.
펌프 해킹으로 얻은 공짜 기름
해커들은 일반적으로 현금이나 암호화폐를 노린다. 그러나 2019년, 프랑스 경찰은 토탈(Total) 주유소에 설치된 특정 브랜드 펌프의 잠금을 해제하는 특수 리모콘으로 기름 펌프를 해킹함으로써 파리 인근의 주유소에서 약 2만 5,000갤런의 연료를 훔친 5명을 검거했다.
이 해킹은 일부 주유소 관리자들이 기름 펌프의 기본 비밀번호(0000)를 변경하지 않아 가능했다. 해커들은 PIN 코드를 사용하여 연료 가격을 재설정하고 충전 한계를 없앴다.
그 팀의 한 해커가 리모콘을 사용하여 기름 펌프의 잠금을 해제하자 뒷편에 큰 탱크를 실은 밴이 들어와 한 번에 최대 750갤런의 기름을 충전했다. 그들은 그 기름을 어떻게 했을까? 그들은 소셜 미디어에서 광고를 하고 기름을 할인된 가격으로 재판매 했다. 경찰은 일당이 체포되기 전까지 약 17만 달러를 벌어들였을 것으로 추정하고 있다.
지역 경찰을 화나게 한 도로 표지판 해킹
취약한 로그인 자격 증명은 계속 반복되는 보안 문제이다. 일단의 해커들은 전자 게시판과 표지판이 보급된 점을 감안해, 이에 대한 제어권을 확보했다. 그들은 우스꽝스럽거나 선정적인 메시지를 표시하는 장난을 쳤다.
텍사스의 한 남자가 개와 함께 산책하다가 운전자들에게 공사에 대해 경고하는 표지판을 발견했다. 그는 곧 전자 메시지판의 사용자 이름/비밀번호를 추측하고 표지판 내용을 변경했다. ‘미친듯이 운전 하시오!’(Drive Crazy Yall.)라는 메시지였다. 한 이웃이 현장을 보고 경찰에 연락했다. 경찰은 이를 ‘유머’로 인정하지 않았으며, 그 남자는 범죄 혐의로 기소됐다.
지난 9월에는 후드티를 입고 마스크를 착용한 2명의 젊은이들이 미시건의 오번 힐스에 소재한 고속도로 옆에 있는 디지털 게시판에 성인물을 표시했다. 게시판 아래의 작은 건물에 침입해서였다. 경찰에 따르면 감시 영상에 찍힌 두 사람은 침입한 지 15분 만에 자리를 떠났다는 점에서 비밀번호를 크랙킹 하기가 그리 어렵지 않았던 것 같다. 운전자들이 20분 동안이나 이 영상을 본 후에야 경찰이 출동하여 영상을 껐다.
자카르타에서 교통 체증을 겪고 있던 24세의 한 IT 전문가는 거대한 전자 게시판을 올려다 보다가 화면에 잠시 실수로 표시된 로그인 자격 증명을 포착했다. 이에 그는 시스템을 해킹하여 하드코어 성인물을 스트리밍했다. 인도네시아는 매우 보수적인 무슬림 국가이기 때문에 당국은 매우 분개했다. 이 장난을 한 사람은 기소됐다. 최대 6개월의 징역이 선고될 수 있다.
이메일 신용 사기에 희생된 샤크 탱크(Shark Tank) 스타
TV 프로그램 샤크 탱크의 샤크 중 한 명인 바바라 코르코란은 최근 참신한 이메일 신용 사기로 약 40만 달러를 강탈당했다. 해커는 코르코란의 비서인 척하면서 코르코란의 재무 담당자에게 가짜 청구서가 포함된 이메일을 전송했다. 재무 담당자는 답신 이메일 주소가 정상이 아니라는 사실을 알아차리지 못했다.
재무 담당자가 약 40만 달러를 독일의 은행 계좌로 전자 송금해 달라는 요청에 대해 이메일로 질의하기는 했다. 그러나 해당 이메일은 당연히 해커들에게 전달되었고 그들은 청구서 요청을 승인했다. 이후 재무 담당자가 올바른 비서의 주소로 이메일을 전송하며 질의했을 때에야 이런 사실이 발견됐다.
안타깝게도 코르코란은 38만 8,700.11달러를 잃었다. 재무 담당자가 일자리를 잃었을 것이라고 생각할 수도 있지만 코르코란은 용서를 잘 하는 타입인 것 같다. “나는 내 회사로 전송된 가짜 이메일 때문에 38만 8,700달러를 잃었다. 내 비서가 재무 담당자에게 보내면서 부동산 개보수에 대한 대금 지불을 승인하는 청구서처럼 보였다. 내가 많은 부동산에 투자하고 있기 때문에 의심스러워 보일 이유가 없었다. 처음에는 화가 났지만 그것은 그저 돈일 뿐이라는 사실을 깨달았다”라고 그녀는 밝혔다.
경쟁사 네트워크 해킹으로 인한 역효과
때로는 해커가 놀랍도록 똑똑할 수 있다. 하지만 그렇지 않은 경우도 많다. 캘리포니아 급식 제공 기업 초이스런치(Choicelunch)의 CFO 케이스 코스비는 2019년 신원 절도 및 불법적인 컴퓨터 액세스 혐의로 기소되었다.
경찰에 따르면 코스비는 경쟁사인 런치마스터(LunchMaster)의 컴퓨터를 해킹하여 이름, 학년, 식사 선호도, 알러지 정보 등 수백 명의 학생의 민감한 개인 정보에 액세스했다. 수지(Susie)가 올 A를 받은 채식주의자라는 사실을 알게 되었을 때 코스비는 이 귀중한 정보의 보물로 무엇을 했을까? 그는 익명으로 해당 데이터를 캘리포니아 교육부로 전송하고 런치마스터가 학생의 프라이버시를 충분히 보호하고 있지 않다고 주장했다.
주 당국이 FBI의 도움을 받아 런치마스터의 네트워크에 침입한 것이 코스비였다는 사실을 발견하고 그가 체포되면서 경쟁사가 도리어 반격할 수 있게 되었다.
해커들이 토네이도 경고 시스템을 활성화시켜 사람들을 혼란에 빠뜨리다
2019년 3월 12일, 디소토(DeSoto)의 댈러스(Dallas) 외곽과 랭커스터(Lancaster)의 조용한 밤중에 새벽 2시 30분 30데시벨의 토네이도 사이렌이 갑자기 울렸다. 그 소리는 4시까지 이어졌다. 하지만 토네이도는 없었다. 해킹이었다.
시민들은 처음에 혼란에 빠졌다. 이 지역은 ‘토네이도 골목’으로 유명하며 3월과 5월 사이에는 토네이도가 많이 발생하기 때문이다. 해당 주의 일기예보에 따르면 심각한 뇌우와 회오리바람이 발생할 가능성이 있었다.
시 관계자들은 “랭커스터를 포함한 두 도시에 위치한 실외 사이렌의 광범위한 영향을 생각할 때 적대적인 의도를 가진 사람이 우리의 복합적인 실외 경고 사이렌 네트워크를 의도적으로 표적으로 삼은 것이 확실했다”라고 밝혔다.
관계자들은 시스템 전체를 꺼야 했고, 결국 시민들은 폭풍이 다가오는 상황에서 경고 시스템 없이 지내야 했다. 단 시민들은 문자 메시지를 통해 경고를 수신할 수 있었기 때문에 완전히 무방비 상태는 아니었다.
더 흥미로운 사건도 있다. 2017년 4월 한 해커가 한 밤중에 댈러스 전 지역에 있는 156개의 토네이도 사이렌을 작동시켰다. 조사관들은 해당 해커가 ‘라디오 리플레이’ 라는 기법을 사용하여 해당 시스템의 이전 테스트를 녹음하고 반복적으로 재생했다고 밝혔다. 연쇄 사이렌 장난마(Spoofer)가 잡히지 않은 것 같다.
해킹된 아기 모니터로부터 경고를 수신한 부모들
가정 보안 시스템이나 아기 모니터링 시스템과 관련된 잠재적인 취약성은 여러 차례 보도된 바 있다. 자격 증명 스터핑(Stuffing)이나 취약한 또는 기본 비밀번호 이용하기 등의 기법을 통해 해커는 쉽게 시민들을 염탐할 수 있다.
실제로 한 해커가 오하이오에 거주하는 한 가족의 아기 모니터링 시스템을 장악하고 아기가 자는 모습만 지켜보고 있었다. 지루해진 해커는 “아기야 일어나!”라고 외치기 시작했다. 깜짝 놀란 부모는 아기의 방으로 달려갔다. IoT 기반 장난 사례가 전국적으로 보고되고 있다.
dl-ciokorea@foundryco.com
