뉴스에서 한번 씩은 봤던 보이스피싱, 스팸메일과 랜섬웨어, 디도스 등 해킹에 관한 설명
079, 곳곳에 도사리는 위험
1. 클라이언트 공격
웹은 상당수의 복잡한 보안 문제를 제기한다. 보안 위협은 대체로 세 가질 범주로 나뉜다. 클라이언트(여러분) 공격,서버(가령 온라인 매장 또는 은행) 공격, 그리고 전송 중인 정보 공격(무선 통신을 스누핑하거나 NSA가 광케이블상의 모든 트래픽을 탈취하는 행위 등). 각각의 위협에 대해 살펴보자
이것들에 맞서 방어 태세를 유지 하는것은 귀찮은 일인데, 보호 수준을 최대한으로 설정해 두면 번거롭고 많은 웹사이트를 제대로 사용할 수 없기 때문이다. 하지만 별도로 설치하는 애드온 같은 차단 프로그램도 여전히 쓸모가 있다.
해커들의 추적을 줄이려면 제3자 쿠키금지, 트래커 비활성화, 자바스크립트 차단등의 방법을 쓸 수 있다.
- 스팸(Spam)
인터넷을 이용하여 다수의 수신인에게 무작위로 발송된 이메일 메시지
이토록 우리 메일함에 차단을 해도해도 오는 이유는 거의 무료로 보낼 수 있기 때문이다. 수백만 명의 수신자 중 극히 일부만 응답해도 수익을 유지하기에 충분하기 때문이다.
스팸필터링은 머신러닝의 주요 응용 분야다. 스팸 또는 스팸이 아닌 것으로 태그된 예시 훈련 집합이 주어지면 머신러닝 알고리즘은
훈련 집합 특성과의 유사성을 기반으로 이후에 입력되는 데이터를 분류한다.
- 피싱 공격(phishing)
도용에 사용할 수 있는 정보를 수신자가 자발적으로 넘겨주도록 설득하는 방법이다. 동료가 보낸것 같은 메일을 보내, 웹사이트를
방문하거나 문서를 읽거나 어떤 자격 증명(credential)을 확인하도록 요청한다.
사진처럼 '엄마'라는 정확한 표적 공격을 스피어 피싱(spear phishing)이라고 부르기도 한다.
일종의 소셜 엔지니어링(social engineering)이다. 지인인척하여 돈을 보내도록 유도하는 것이다. 여러분이 페이스북이나 링크드인 같은 곳에서 자신의 모습을 더 많이 공개할수록 누군가가 여러분을 표적으로 삼기 더 쉬워진다. 활발한 SNS활동은 소셜 엔지니어링 사기꾼에게 도움을 준다.
20년 7월 트위터는 빌게이츠, 제프베조스 등 비트코인을 보내달라는 글을 올리는 난처한 공격을 받았다. 본사는 '공격자는 직원 정보를 이용하여 계정 관리 툴에 접근할 수 있는 직원을 대상으로 공격을 수행했다고' 밝혔으며 주범은 플로리다 사는 17세 소년과 두 명의 젊은 공범으로 기소되었다.
- 스파이웨어(Spyware)
공격자가 몰래 설치한 좀비가 컴퓨터에서 실행되면서 사용자에 대한 정보를 다른곳으로 보내는 프로그램을 뜻한다.
좀비란 인터넷에 연결되어 잠에서 깨어나 스팸 메일 전송 같은 적대적 행위를 수행하라는 명령을 받을 때까지 기다리는 프로그램이다. 이런것을 봇bot이라 불리며, 공통으로 제어되는 봇의 네트워크를 봇넷이라고 한다. 언제든 투입 준비된 봇넷이 수천개, 봇은 수백만 개 정도 있으며 봇을 판매하는 사업은 번성하고 있다.
키 로거(key logger)는 클라이언트에서 일어나는 모든 키 입력을 모니터링하는 프로그램으로, 키가 입력될 때 비밀번호 를 캡처한다. 암호화는 이를 막는데 도움이 되지 않는다. 악성코드로 컴퓨터의 마이크와 카메라를 켤 수도 있다.
- 랜섬웨어(Ransomware) *ransome 몸값
최근 뉴스에 나왔던 랜섬웨어는 악성코드가 컴퓨터에 있는 콘텐츠를 암호화하여 복호화 비밀번호에 대한 금액을 지급하기
전까지 사용할 수 없게 한다. 거기 있는 수신자 부담 번호로 전화를 걸어 적당한 돈을 주면 구출된다.
이것은 일종의 스케어웨어(Scareware)다. 하지만 돈을 받고 풀어줄 지는 잘 모르겠다.
휴대전화도 마찬가지로 여러 앱을 다운로드하게되면서 개인정보들에 접근하게 되는데
이 정보들을 여러분에게 불리하게 사용할 수 있다. 그렇기에 여러곳에서 자신들을 방어하는데 도움을 주는 방향으로 개선되고 있으나 여전히 '천천히' 일어나고 있다.
2. 서버 공격
- SQL 주입(SQL injection)
서버에서 자주 일어나는 공격으로 사용자 접근을 신중하게 제한하지 않으면 영리한 공격자가 데이터베이스 구조를 드러내고 인가되지 않은 정보를 추출하며 심지어 공격자의 코드를 서버에서 실행하기 위한 쿼리를 제출한다. 이 공격은 잘 알려져 있으며 방어책도 있지만, 여전히 놀라울 정도로 자주 발생한다. * 그래서 로그인도 '당신은 컴퓨터입니까?' 라는 걸로 봇을 한번 걸르나보다
- DOS(Denial of Service), DDOS(Distributed Denial of Service)
Dos 공격자는 순전히 트래픽 용량만으로 사이트를 마비시키기 위해 대량의 트래픽이 사이트로 향하게 만든다. 공격은 흔히 봇넷으로 조정된다. 시간을 맞춰 특정 사이트로 요청을 보내라는 명령을 받고 이는 조직화된 트래픽범람으로 이어진다. 많은 출처에서 동시에 오는 이것을 DDOS공격이라고 한다. 20년 아마존은 역대 최대 규모의 DDOS 공격에 성공적으로 대체했는데, 최대 트래픽 속도가 2.3Tbps였다고 한다.
3. 전송 중인 정보 공격
- 무선 액세스 포인트를 제공하는 곳이면 어디서든 공격자가 암호화되지 않은 연결을 프로그램으로 스누핑하며, 거의 감지하기 어렵게 사용자를 가장한다. 신용카드 데이터 대량 도용 사건 중 하나는 매장에 있는 단말기 간 암호화되지 않은 무선 통신을 엿듣는 방법을 이용했다. 매장 바깥에 주차하고 있던 범인들은 신용카드 정보가 전송될 때 그 정보를 캡처했다.
- 중간자 공격
공격자가 메시지를 가로채서 바꾼 다음, 마치 원래 출처에서 바로 온 것처럼 수신자에게 보내는 공격이다. 적절한 암호화는 이러한 종류의 공격도 막아준다. 국가 방화벽은 또 다른 종류의 중간자 공격으로, 트래픽을 느리게 하거나 검색 결과를 반영한다. - VPN(Virtual Private Network, 가상 사설망)
두 컴퓨터 간에 암호화된 통신 경로를 설정하여 일반적으로는 정보 흐름을 양방향으로 안전하게 보호한다. 기업에서는 직원들이 집에서 일하거나 통신 네트워크 보안을 신뢰할 수 없는 국가에서 일할 수 있게 하고자 VPN을 자주 이용한다. 개인 사용자는 VPN을 사용하여 개방형 와이파이를 제공하는 카페나 다른 장소에서 더 안전하게 작업할 수 있다. 하지만 사용 중인 VPN을 어느 업체가 운영하는지 확인하고, 사용자 정보를 공개하라는 정부 압력에 그 업체가 얼마나 맞설 수 있을지 생각해 보기 바란다.
실제로 2020년 7월에 연결 기록을 남기지 않는다고 주장했던 무료 VPN 서비스가 공격을 받아 사용자 개인정보를 1TB이상 도난당했다. - 보안 메시징 앱
시그널(signal), 왓츠앱(whatsapp), 아이메시지(iMessage)같은 사용자 간에 암호화된 음성, 비디오, 텍스트 통신을 제공한다. 모든 통신에 종단 간 암호화가 적용되는데, 이 말은 서비스 제공 업체에는 없고 종단점에만 존재하는 키를 사용해서 메시지가
발신지에서 암호화되고 수신지에서 복호화된다는 뜻이다. 이렇게 하면 이론상으론 아무도 도청하거나 중간자 공격을 할 수 없다.
요즘 많은 사람이 사용하는 줌 화상 회의 시스템은 AES-256(256비트 암호화 알고리즘)을 사용해서 종단 간 암호화를 제공한다고 주장해 왔다. 하지만 2020년 미국 연방거래위원회(Federal Trade Commission, FTC)에서 제출한 소장에 따르면 실제로는 줌이 내부적으로 암호화 키를 보유했고, AES-128 암호화만 사용했으며, 사파리 브라우저의 보안 메커니즘을 우회하는 소프르웨어를 모래 설치했다고 한다.
시간이 지날수록 다양하고 강력한 공격들이 나오는 상황에
전문 지식이 없는 사람들은 평이 좋은 보안앱을 사용할 수 밖에 없다
내 개인정보는 어디로~