소경보.jpg
▲ 소경보 안산단원경찰서 수사과 사이버범죄수사팀 경위
노벨 물리학상 수상자이자 양자역학의 거두인 리처드 파인만은 금고 비밀번호를 깨는 독특한 취미를 갖고 있었다.

 그가 인류 최초 핵폭탄 프로젝트인 맨해튼 계획에 참여했을 때에도, 핵개발과 관련된 연구 특성상 극비 문서를 보관하는 로스 앨러모스 연구소 금고들을 대상으로도 비밀번호를 깨는 취미를 가졌다.

 그가 사용한 주요 원리는 물리학자들이 자주 사용하는 자연상수 조합, 동료 물리학자의 생일 또는 기념일 등으로 유추해 그 사람이 사용하는 방 자물쇠의 비밀번호를 맞힌 후, 그 방의 다른 금고들의 비밀번호가 방 자물쇠의 비밀번호와 모두 동일한 것을 이용해 모든 금고를 따고 "보안을 강화하시오 - 파인만"이라는 쪽지를 넣는 장난을 즐길 수 있었다.

 한 물리학자의 장난에서 비롯된 비밀번호 탈취 원리는 공개키 암호시스템, 단방향 암호시스템 등의 알고리즘으로 비약적으로 보안 기술이 강화된 오늘날에도 여전히 유효하다.

 수많은 상업용 인터넷 사이트에 회원 가입을 해야 하는 현실상 대부분의 이용자들은 사용하는 모든 사이트에 아이디와 비밀번호를 통일하는 경향이 있다.

 이를 노린 공격을 ‘크리덴셜 스터핑(Credential Stuffing)’이라 부른다.

 이는 보안 역량에 투자할 여력이 없는 소규모 사이트 또는 더 이상 관리를 하지 않는 사이트인 일명 ‘인터넷 폐가’를 해킹해 회원 아이디와 비밀번호를 획득한 후, 다른 사이트에도 그대로 입력해 로그인 하는 방법이다.

 한 곳의 아이디와 비밀번호를 획득했다면 다른 사이트에도 그대로 써먹을 수 있고, 비밀번호에 한두 글자 변동을 줬다 하더라도 큰 틀을 바꾸지 않는 특성 상 대입할 변수는 제한적이므로, 예측 가능한 단어 조합을 사전으로 등록하여 딕셔너리 어택으로 통과할 수 있다.

 이렇게 되면 목표가 된 업체나 개인이 아무리 기술적인 보안에 투자해도 모두 허사이다.

 금융거래와 직결되거나 업무상 비밀에 관련된 중요 사이트는 결코 일반적인 사이트와 비밀번호를 동일하거나 유사하게 설정해서는 아니 된다.

 언제 가입했는지도 모를, 기억 속에서 잊고 있던 어떤 인터넷 사이트가 해킹당해 그 아이디와 비밀번호를 이용해 내가 모르는 사이에 어떻게 로그인해 나의 재산, 내 업무상 비밀을 탈취할지도 모를 일이다.

 경찰서에 해킹 신고를 접수하는 민원인들의 PC나 스마트폰을 대상으로 라이브 포렌식을 실시하면 백도어나 키로거 등 악성코드가 없는 경우가 종종 있다.

 철저히 관리했음에도 불구하고 비밀번호를 탈취당하니 귀신이 곡할 노릇이다.

 아마 파인만의 쪽지를 보기 전까지 로스 앨러모스의 물리학자들도 자신들의 금고가 왜 털렸는지 알지 못하였을 것이다. 인터넷 이용자들의 깊은 주의가 필요한 시점이다.


기호일보 - 아침을 여는 신문, KIHOILBO

저작권자 © 기호일보 - 아침을 여는 신문 무단전재 및 재배포 금지