[CS:통신]웹 공격(보안 위협)

곳곳에 도사리는 위험

오늘은 웹 공격과 보안에 대한 내용을 다룬다.

보안 위협은 대체로 3가지 범주로 나뉜다.

1. 클라이언트(사용자) 공격
2. 서버(기업 또는 온라인 매장) 공격
3. 전송 중인 정보(무전 통신, 광케이블상의 모든 트래픽) 탈취

클라이언트 공격

사용자에 대한 공격에는 스팸(spam)이나 추적 같은 단순히 골칫거리를 만드는 공격뿐만 아니라 사용자 사칭이 가능케 하는 신용카드 번호, 은행 계좌번호 또는 비밀번호 같은 개인 정보 유출도 해당된다.

• 스팸(spam)

사용자가 솔깃할만한 내용들로 메일을 전송해 관심과 응답을 끌어낸다. 메일은 전국, 전세계 사람에게 보내도 무료이다. 수백만명의 일부 수신자 중 극히 일부만 응답하더라도 수익을 유지하기에 충분하다.

많은 스팸 메일이 해킹된 개인 컴퓨터에서 전송되며, 흔히 윈도우 운영체제를 사용한다. 보안 허점이 보이거나 사용자의 관리가 소홀해지면 악성코드(malware)를 설치하는 공격에 취약해진다.

스팸 메일을 필터링 하기 위해 수 많은 노력을 한다. 누적되는 스팸 메일 패턴을 기반으로 분석하고 조합하여 필터링한다. 스팸 필터링은 머신러닝의 주요 응용분야이다.

• 피싱(phishing)

피싱 공격은 도용에 사용할 수 있는 정보를 수신자가 자발적으로 넘겨주도록 설득하는 방법이다. 외국인이 꼭 나에게 편지를 보낸 것 처럼 메일이 오는 경우가 있다고 한다. 이러한 메일에 누가 답장을 하겠어? 라는 생각이 들지 모르겠지만 실제로 그런 사람들이 꽤나 존재한다고 한다.

SNS에서 사용자의 친구 또는 직장동료를 알아낸 후, 지인인 척 사칭하여 연락을 하여 문서를 읽거나 자격 증명 같은 요구를 한다. 요청에 응하는 순간 피싱을 시도하려는 상대방은 사용자의 컴퓨터에 악성코드를 설치하거나 개인 정보를 얻어낸다.

이렇게 특정 사용자를 표적으로 삼아 사용자의 주변 환경을 알아내 공격하는 것을 스피어 피싱(spear phishing)이라고 부르기도 한다.

• 스파이웨어(spyware)
  스파이웨어는 컴퓨터에서 실행되며 사용자에 대한 정보를 다른 곳으로 보내는 프로그램이다. 악의적인 공격이지만 때로는 상업적인 스누핑 용도로 사용 되기도 한다.

예를 들어, 컴퓨터를 사용하다 보면 운영체제(OS) 소프트웨어를 업데이트 하라는 알림이 여러분을 귀찮게 하는 경험을 분명 해보았을 것이다. 어찌보면 내 컴퓨터가 업데이트를 했는지 안 했는지 계속해서 감시를 받고 있다는 것이다. 더 나은 보안, 문제 해결에 대한 업데이트를 권장하는 것이라 좋은 것이라 여길 수 있겠지만 한 편으로는 프라이버시 침해가 될 수도 있다.

누군가 스파이웨어를 악의적으로 사용한다면 사용자의 컴퓨터에 좀비(zombie)를 설치하는 일이 일어난다.

좀비(zombie) : 스팸 메일을 보내라는 명령에 따라 움직이는 봇(bot)이다. 수 많은 봇의 네트워크를 봇넷(botnet)이라고 한다.

• 랜섬웨어(ransomware)

악성코드가 컴퓨터에 있는 콘텐츠를 암호화하여 복호화 비밀번호에 대한 금액을 요구하며 사용자의 금전을 탈취하는 공격이다. 정말 너무나 중요한 내용이 담겨 있다면 울며 겨자먹기로 금액을 지불할 수 밖에 없을 것이다.

• 스케어웨어(scareware)

랜섬웨어 중 한 부분이다. 정보를 탈취해 금전을 요구하는 협박과는 다르게 컴퓨터가 악성코드에 감염이 되었다는 문구의 팝업과 함께 명시된 번호로 전화를 걸어 금액을 지불하라며 겁을 주는 공격 방식이다.

---

서버 공격

서버 공격은 사용자에게 직접적인 공격을 하지 않지만 결과적으로는 사용자에게도 상당한 피해를 입힐 수 있다. 서버가 해킹 되면 DB도 모조리 노출되기 때문에 클라이언트의 개인 정보가 유출 되게 된다. 개인 공격보다 훨씬 더 막대한 피해를 입힐 수 있다.

• SQL 주입(SQL injection)
  서버는 보통 DB(데이터베이스)의 지원을 받는데 DB는 SQL(Structured Query Language)이라는 표준 인터페이스를 사용해 접근 가능하다. 백엔드 측에서 접근을 신중하게 제한 하지 않으면 공격자가 SQL 구문(쿼리, Query)를 코드에 주입하여 DB 정보 탈취 뿐만 아니라 통제권 마저 빼앗기게 된다.

그렇게 되면 피해는 단정 지을 수가 없을 것이다.

• DoS(Denial of Service, 서비스 거부)
  공격자가 순전히 트래픽 용량만으로 사이트를 마비시키기 위해 대량의 트래픽이 사이트로 향하게 만드는 것이 DoS 공격이다. 흔히 봇넷(botnet)으로 제어된다. 해킹 된 컴퓨터들이 특정 시간, 특정 사이트로 요청을 보내라는 명령을 받고, 조직화된 트래픽 범람으로 이어지는데 이처럼 여러 많은 출처에서 동시에 오늘 DoS 공격을 DDos(Distributed Denial of Service, 분산 서비스 거부)라고 한다.

---

전송 중인 정보 탈취

앞의 두가지 공격에 비해 크게 중요하게 여겨지지 않을 수 있지만, 심각한 문제임을 인지해야 한다.

사용자와 은행간의 전화통화를 도청하여 정보를 가로챌 수도 있고, 사용자의 화면을 해킹하거나 웹사이트를 해킹하여 사용자가 입력하는 주민번호, 계좌번호, 비밀번호를 캡쳐할 수도 있다. 입력되어 DB로 전송된 비밀번호는 암호화 되어 복호하기 어렵겠지만 사용자가 작성하는 순간 캡쳐한다면 이야기가 달라진다.

또 개방형 무선 액세스 포인트를 제공하는 곳이면 어디서든 공격자가 암호화되지 않은 연결을 프로그램을 스누핑하며, 사용자를 가장할 수 있다.

• HTTPS

HTTP와 다른 버전으로 TCP/IP 트래픽을 양방향으로 암호화 한다. 앞서 말한 도청이나, 사용자를 가장하는 일이 불가능 해진다. 그래서 HTTPS가 빠르게 확산 되고 있지만 모든 웹사이트가 적용을 한 것은 아니다.

• VPN(Virtual Private Network)

두 컴퓨터 간에 암호화된 통신 경로를 설정하여 일반적으로 정보 흐름을 양방향으로 안전하게 보호한다.

VPN은 기업에서는 직원들이 재택근무 하거나, 통신 네트워크 보안을 신뢰할 수 없는 곳에서도 일할 수 있게 하고자 VPN을 이용한다.

VPN업체를 선정할 때는 신중하게 해야한다.
연결 기록을 남기지 않겠다고 큰 소리친 다수의 무료 VPN 서비스에 보안 침해 사고가 일어났고, 사용자 연결 기록 정보 1TB 이상이 유출 되었다. 연결 날짜, 시간 IP주소 심지어 암호화 되지 않은 비밀번호까지 포함되어 있었다. 큰 소리 친 것과는 다르게 남 모르게 기록하고 있었다는 것이다.

그리고 사용자 정보를 공개하라는 정부의 압박에 얼마나 맞설 수 있는지도 잘 보고 판단하여야 한다.

• 보안 메시징 앱
  시그널(Signal), 왓츠앱(WhatsApp), 아이메시지(iMessage), 페이스북 메신저(Facebook Messenger) 등이 있고 사용자 간에 암호화 된 음성, 비디오, 텍스트 통신을 제공한다. 모든 통신에 종단 간 암호화가 적용되는데 업체가 서비스에 직접 개입하는 것이 아니라 종단점에만 존재하는 키를 사용해서 소통이 가능한 것이다.

이론상으로는 도청이나 중간에 다른 누군가 개입될 수 없다.

페이스북 메신저(Facebook Messenger)는 암호화 옵션을 제공하지만 현재는 암호화를 기본으로 사용하지는 않는다. 암호화를 사용하지 않으면 공격에 더 취약해진다.

이렇게나 많은 공격을 모두 막아내기 위해서는 느슨해지면 안된다. 개인 사용자는 조금 더 수고로울 수 있겠지만 환경설정에서 보안 설정을 조금 더 강화하도록 하고, 기업이나 플랫폼 서비스 같은 경우 서버 보안에 대해 더 심혈을 기울여야 한다.

여담이지만 해커들이 참 대단하다는 생각이 들었다. 해킹을 하기 위해서는 일반적인 프로그래밍 개발자 보다 더 많은 지식이 필요하다고 들었다. 여러 언어의 개발 지식에 대해서는 기본 베이스이고 거기에 해킹 기술까지 익혀야 한다는건 쉽지 않은 일이다. 그런 명석한 두뇌와 재능이 있다면 충분히 높은 연봉을 받으며 양지에서 행복하게 살 수도 있을텐데, 그런 재능을 조금 더 좋은일에 사용하면 어땠을까 하는 아쉬움도 들었다.