50대 컴맹 1시간 만에 해커로 변신 `충격`
입력: 2012-03-30 17:10 / 수정: 2012-03-30 19:49
뉴스인사이드 - 경찰팀 리포트
"공인인증서 암호 OO 맞죠"…50대 컴맹 1시간만에 해커로
매뉴얼대로 따라해보니 상대방 컴퓨터 '내것처럼'
공인인증서 등 개인정보 빼내
손쉽게 구하는 해킹매뉴얼…'호기심' 10代 쉽게 유혹
처벌규정도 없어 단속 시급
"공인인증서 암호 OO 맞죠"…50대 컴맹 1시간만에 해커로
매뉴얼대로 따라해보니 상대방 컴퓨터 '내것처럼'
공인인증서 등 개인정보 빼내
손쉽게 구하는 해킹매뉴얼…'호기심' 10代 쉽게 유혹
처벌규정도 없어 단속 시급
“공인인증서 암호가 ‘g’로 시작하는 12자리 영어와 숫자 조합이네요. 컴퓨터 잠금장치의 암호는 ‘12345’가 맞죠?”
설마하면서도 조마조마하게 지켜보던 기자는 뒤통수를 한 대 맞은 느낌이었다. 환갑에 가까운 나이에, 겨우 이메일 관리가 컴퓨터 실력의 전부인 최모씨(58)가 인터넷에 나도는 해킹프로그램을 이용해 기자의 개인정보를 정확히 알아냈기 때문이다. 놀랍게도 ‘컴맹’에서 ‘해커’로 변신하는 데 채 한 시간도 걸리지 않았다. 도움이라고 해 봐야 해킹프로그램을 주고 10분가량 매뉴얼을 설명해준 게 전부였다. 해킹에 성공했다는 말에 본인도 깜짝 놀랐다. 그는 “해킹이라는 게 컴퓨터 전문가나 젊은이들이 하는 걸로 알았는데 내가 해놓고도 도무지 믿기지 않는다”며 의아해했다.
컴퓨터 초보자도 해킹프로그램을 이용해 개인정보를 빼낼 수 있는지 시연해보기 위해 지난 29일 찾아간 서울 안암동 고려대 정보보호대학원 이상진 교수 연구실에서 벌어진 실제 상황이다. 동행한 최모씨는 하루에 한 번 컴퓨터를 켤까말까하는 ‘왕초보’다.
컴퓨터 초보자라도 공인인증서 암호 등 개인정보를 손쉽게 알아낼 수 있는 해킹프로그램이 인터넷상에 넘쳐나고 있다. 이를 이용하면 나이나 컴퓨터 실력에 상관없이 금융거래에 사용하는 비밀번호 등 개인정보를 손쉽게 빼낼 수 있다.
최근 중·고교생 등 10대들이 정부사이트를 손쉽게 공략한 것도 인터넷상에 나도는 해킹프로그램이 있기 때문에 가능했다. 하지만 현행법으론 해킹프로그램의 유통을 막을 방법이 없다. 처벌할 근거가 없기 때문이다.
◆1시간 만에 컴맹이 해커로 변신
“컴퓨터 초보라고요? 50대 아저씨도 해킹을 배우는데 한 시간이면 충분합니다. 구글을 검색하면 쉽게 구할 수 있는 해킹프로그램 패키지를 사용하면 간단하죠.” 이날 해킹 시연을 도와준 손남흔 고려대 디지털포렌식연구센터 연구원은 “컴맹도 해커가 될 수 있느냐”는 질문에 이같이 대답했다.
과정은 아주 간단했다. 손 연구원은 먼저 리버스 셸(Reverse shell·해커가 상대 컴퓨터를 침입할 수 있는 경로를 만들어주는 프로그램) 등이 포함된 해킹프로그램 패키지를 최씨에게 전달했다. ‘소녀시대 동영상’이란 제목의 파일이었다. 손 연구원은 “이메일이나 메신저로 보낸 이 파일을 상대방이 다운로드하는 순간 해커의 침입은 시작된다”고 설명했다.
기자는 시험삼아 최씨가 보낸 ‘소녀시대 동영상’ 파일을 열어 보았다. 이때 최씨는 손 연구원이 가르쳐준 대로 명령어 3개를 연속 입력했다. 또 상대방 컴퓨터의 비밀번호를 알아내기 위한 프로그램인 ‘카인과 아벨’을 실행했다. 그러자 기자의 컴퓨터 화면이 최씨가 조작하는 컴퓨터 화면에 그대로 복제한듯 올려졌다.
손 연구원은 “‘해킹프로그램 패키지 전달→해킹 명령어 3개 입력→카인과아벨 프로그램 실행’의 3단계 과정을 통해 상대 컴퓨터 화면을 자신의 컴퓨터에서 그대로 들여다볼 수 있다”고 설명했다. 최씨는 잠시 후 컴퓨터 안에 있는 모든 파일도 마음대로 복제했다. 또 다른 해킹 프로그램을 실행하자 기자가 공인인증서 등 금융거래 암호를 입력할 때 사용하는 암호가 최씨의 컴퓨터 화면에 고스란히 나타났다.
전상준 디지털포렌식연구센터 연구원은 “이같이 간단한 해킹으로도 이메일 비밀번호, 공인인증서 파일과 비밀번호 등 개인정보나 각종 금융정보를 알아낼 수 있다”며 “최근 통합진보당을 해킹한 박모군도 홈페이지의 허점을 찾아 최씨가 사용한 해킹 방법을 약간 변형해 범행을 저지른 것 같다”고 말했다.
◆해킹프로그램, 호기심 많은 10대를 범죄자로
두 사건의 공통점은 10대가 저지른 범죄라는 것이다. 범행 동기는 ‘원한 관계’나 ‘금전적인 이득’을 취하기 위한 것이 아니라 단순히 ‘호기심’ 때문이었다. 통합진보당 홈페이지를 해킹한 박모군(18)과 최모군(18)도 경찰 조사에서 “호기심과 영웅 심리 때문에 범죄를 저질렀다”고 진술했다.
이처럼 10대 청소년들이 주요 공공기관을 공격하거나 개인정보·게임아이템을 빼내는 등의 범죄를 저지르는 사례가 늘어나고 있다. 인터넷상에서 해킹프로그램을 쉽게 구할 수 있기 때문이다.
경찰청 사이버테러대응센터에 따르면 지난해 적발된 해킹 등 사이버테러형 범죄는 1만3396건으로 집계됐다. 이 중 10대 청소년 범죄는 2344건으로 전체의 17.6%를 차지했다. 절도 등 전체 범죄 건수에서 10대가 차지하는 비율(2010년 4.8%)과 비교하면 상대적으로 높다.
이 교수는 이런 현상에 대해 “해킹 원리도 모른 채 인터넷에서 쉽게 구할 수 있는 해킹 매뉴얼을 그대로 따라하는 초보 해커인 ‘스크립트 키드’가 늘어났기 때문”이라며 “‘장난삼아’ 또는 ‘호기심’으로 해킹을 일삼는 10대들이 사회적 문제를 일으키고 있다”고 지적했다. 경찰 관계자도 “인터넷에 나온 해킹 매뉴얼을 그대로 따라하다 보면 자신도 모르는 사이 범죄자가 되는 경우가 많다”며 “특히 10대들은 ‘게임 아이템을 훔치기 위해’ ‘그냥 재미로’하는 등 해킹의 유혹에 쉽게 빠져 스크립트 키드가 되곤 한다”고 말했다.
◆수백만원에 거래되는 디도스 프로그램, 유통은 처벌받지 않아
10대 청소년들은 인터넷에서 해킹프로그램을 손쉽게 구할 수 있지만 이를 차단할 방법은 현재로선 없다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라 해킹은 ‘전자적 침해행위’로 규정돼 처벌된다. 하지만 해외서버를 통해 해킹 프로그램을 사고파는 ‘유통행위’를 처벌할 수 있는 법 규정은 없다. 이런 이유로 구글 등에서 ‘해킹 프로그램’을 어렵지 않게 검색할 수 있다.
컴퓨터 보안업계 관계자는 “디도스 공격을 할 수 있는 프로그램이 수백만원대에 인터넷에서 버젓이 거래되고 있다”며 “관계 당국이 단속을 강화하지 않으면 더 큰 사회적 문제가 발생할 것”이라고 우려했다.
각종 개인정보 유출사고로 보안을 강화한 유명 포털 사이트와 달리 국내의 개인 쇼핑몰이나 온라인 게임 사이트, 성인 사이트 등은 여전히 보안이 허술해 스크립트 키드에게 쉽게 해킹당할 우려가 있다. 개인정보가 유출될 수밖에 없다. 개인정보 2000만건이 100만원에 거래된 일도 있었다. 한국은 다른 나라보다 전자상거래가 발달해 공격할 대상도 널려 있다는 게 전문가들의 얘기다.