(주)코어시큐리티 :::Global Security Contents Leader:::
Phone: 02-3453-6630 Email: coresec@coresec.co.kr

상세 내용

세계 유명 해커가 모이면 뭘하고 놀까

'해킹방법을 감추지 말고, 드러내자.' 

 

우리나라에서도 많은 사람들이 지능형공격(APT공격)을 통한 정보유출, 스미싱, 보이스 피싱 등 수많은 해킹 및 사기사례로 몸살을 앓고 있지만 여전히 피해사례가 줄어들지는 않고 있다.

 

이런 와중에 전 세계 해커, 보안전문가, 보안에 관심 있는 일반인들이 어우러지는 글로벌해킹컨퍼런스 '데프콘23(DefCon23)'에서는 다양한 해킹사례가 공개적으로 발표되는가 하면 열쇠 없이 자물쇠를 열어보거나 물건에 손을 댄 흔적을 없애는 방법을 체험해 볼 수 있는 기회가 제공됐다. 백번 묻는 것보다 한번 보는 것이 낫다는 말처럼 소프트웨어든 하드웨어든 해킹을 체험해 보는 것이 이에 대비할 수 있는 가장 좋은 경험이 된다는 메시지를 던진 것이다.

 

해킹컨퍼런스라고해서 어둡고 침침한 곳에서 밤새 노트북만 들여다보는 이들의 모임으로 생각했다면 큰 오해다. 박수소리와 환호성이 끊이지 않고, 재미난 혹은 의미있는 놀거리들로 가득찼었던 현장 분위기를 전한다. 

  

회로기판을 만들고 있는 모습.

회로기판을 만들고 있는 모습.

 

데프콘23에서 흥미로웠던 것은 소프트웨어 뿐만 아니라 하드웨어가 해킹 대상으로 주목받았다는 점이다. 일반 참관객들이 직접 참여할 수 있었던 락픽 빌리지(Lockpick Village), 템퍼 에비던트 빌리지(Tamper Evident Village)가 인상 깊었다.

 

락픽은 우리나라 말로 하면 '자물쇠 열기' 정도로 옮길 수 있다. 쉽게 말하면 열쇠 없이 자물쇠를 열 수 있는 방법을 공유하는 자리다. 도둑에게나 필요할 법한 기술을 알려주는 것 아니냐고 여길 수도 있지만 이곳의 취지 자체는 오히려 반대다.

 

자물쇠를 포함해 우리가 안전하다고 믿고 있는 하드웨어가 얼마나 보안이 취약할 수 있는지를 체험하고, 더 나은 보안방법을 찾아보자는 뜻이 크기 때문이다. 하드웨어 해킹 도구를 판매하고 있는 툴닷어스(toool.us)에 따르면 2005년 데프콘13에서 처음으로 락피킹에 대해 언급했던 데비안트 올램은 "보안은 개방성으로부터 이뤄진다. 어떤 것을 분해하고, 갖고 놀아라...나쁜 보안을 노출시키는 것이 우리를 보호하는 일이다"라고 말하기도 했다.  

 

락픽을 위한 도구들을 팔고 있는 곳.

락픽을 위한 도구들을 팔고 있는 곳.

락픽을 체험하는 모습.

락픽을 체험하는 모습.

 

 

이들은 소프트웨어 해킹과 마찬가지로 락피킹을 포함한 하드웨어 해킹에 대해서도 자신 소유 자물쇠 등만 열어볼 것, 범죄에 악용되지 않도록 할 것 등 기본적인 윤리를 지켜야한다고 강조한다. 물론 참관객들이 보다 열을 올리는 것은 열쇠 없이 자물쇠를 열어보는 것이 재밌기 때문일 것이다. 

 

템퍼 에비던트는 어떤 물건 등을 누군가 허가없이 손 댄 흔적을 찾아내는 기술을 말한다. 물리보안에서 사용되는 이 용어는 컨테이너나 기타 물건들에 누군가 접근하거나 손상을 가하거나, 수리 혹은 교체했는지 등을 확인하는 방법을 다룬다. 템퍼 에비던트 빌리지에서는 어떻게 이러한 흔적들을 찾아내지 못하도록 할 수 있는지에 대해 체험해 볼 수 있는 자리가 마련됐다. 참관객들은 정사각형 종이박스에 붙여진 테이프를 특수용액을 사용해 마치 붙이지 않은 것처럼 떼낼 수 있는 방법을 공개했다. 주최측은 "템퍼 에비던트 빌리지는 이러한 기술이 어떻게 활용되는지, 얼마나 많은 템퍼 에비던트들의 흔적을 지울 수 있는지에 대해 알려주는 것"이라고 밝혔다. 

 

박스에 붙어있는 접착테이프를 흔적을 남기지 않고 떼어낼 수 있는 방법을 체험하는 모습.

박스에 붙어있는 접착테이프를 흔적을 남기지 않고 떼어낼 수 있는 방법을 체험하는 모습.

 

 

데프콘23에서 또 다른 흥미로웠던 곳을 꼽는다면 소셜엔지니어링 빌리지다. 소셜엔지니어링은 우리나라 말로 사회공학적 기법으로 불린다. 국내서는 보이스피싱, 스미싱과 함께 지능형 공격(APT 공격)을 위해 사용자들을 혹하게 하는 사기수법이라는 의미로 많이 사용된다. 그러나 데프콘23에서 관련 주제로 캡처더플래그(CTF)라는 대회까지 개최한 주최측은 소셜엔지니어링을 '사람들이 가장 좋아하는 관심사를 기반으로 (그 사람이) 어떤 행동을 취하거나 하지 않게 만드는 행위'로 정의하고, 하나의 연구 주제로까지 발전시켜가고 있었다. 


 

소셜엔지니어링 CTF에서는 대회 참여자들이 25분 간 통유리로 된 투명부스 안에서 특정 대상에게 전화를 걸어 소셜엔지니어링 기법이 어떻게 적용될 수 있는지를 시연했다.

소셜엔지니어링 CTF에서는 대회 참여자들이 25분 간 통유리로 된 투명부스 안에서 특정 대상에게 전화를 걸어 소셜엔지니어링 기법이 어떻게 적용될 수 있는지를 시연했다.

 

소프트웨어에 대한 해킹과 함께 락픽, 템퍼 에비던트, 소셜엔지니어링 등을 관통하는 주제는 보안에 취약한 어떤 것들을 감추고만 있을 것이 아니라 폭넓게 관련된 지식을 공유하면서 더 안전하게 어떤 것들을 지킬 수 있는 방법을 찾아보자는 것이다. 스미싱 사고가 많이 발생한다면 직접 스미싱이 어떻게 이뤄지는지 체험해보는 것이 백번 듣는 것보다 오히려 보안에 대한 인식을 높일 수 있는 계기가 될 수 있다는 취지다. 

 

출처 : ? ZDNet Korea 

Security Global Contents Leader Core Security!