드라마 '유령'과 디지탈범죄 관련용어(기술)들

오늘은 드라마 '유령' 이 방송되는 날, 이 글을 쓰는 시점, TV는 켜지않고 딴짓하며 놀고있다가 인터넷을 보고 알았습니다.(요즘 기자들은 미리 대본을 받아두나? 드라마 끝나자 마자 줄거리 기사가 올라오다니.. ) 

(이틀 연속 드라마 이야기를 하려니 이상하긴 한데...) 2주전쯤 우연히 만난 동호회 후배들이 드라마 이야기를 하며 해킹이 어쩌구저쩌구 하길래 무슨 드라마냐 물어봤습니다. '사이버 수사대' 이야기랍니다. "응 사이버수사대?"   관심이 생겨 구체적으로 어떤 내용이 나오냐고 물어봤더니, 돌아온 대답은 '그냥  해킹' + '꺄~악 멋진 소지섭' 의 두가지뿐이더군요. ^^'

그래서 찾아봤습니다. 어떤 사이버 범죄들이 전개되는지, 그리고 어떻게 막아내는지...  생각보다 꽤 많은 (해킹) 형태가 소개되었고, 드라마답게(?) 조금은 비현실적인 공격과 방어 이야기도 나오더군요. 이야기 중에는 제가 실제 겪은 것들도 많고해서 (어쩌면 모두 겪어 본 것일지도 모르겠습니다.ㅎㅎ) 드라마 홈피를 뒤져, 그동안 나왔던 사이버범죄 관련용어들을 정리 해봤습니다. (솔직히 드라마는 두어번 정도 본 것이 다여서.. 드라마 홈피와 인터넷에 올라 온  각 편의 줄거리만 참고 ^^') 포스터까지 소지섭이라니.. 이러니 언니들이 드라마 내용은 기억을 못하지. -.-;;

먼저 언니들의 로망 소간지가 뚝딱뚝딱거리며 증거를 찾아내는 일이 바로 사이버(디지탈)범죄 수사의 가장 기본이 되는 '디지탈포렌식(Digital Forensics, 과거 컴퓨터 포렌식, 사이버 포렌식등으로도 불렸다.)' 입니다. 이것은 디지탈화(쉽게 말해 컴퓨터 파일로) 되어 있는 범죄관련 증거들을 (법률적 증거가 될 수 있도록 법적 절차에 의해 오염없이) 수집, 분석하여 증거자료로 만들어 내는 일련의 절차와 방법을 통합해서 일컫는 말인데, 원래 해킹과 같은 협의의 컴퓨터범죄 조사를 위한 자료 분석에서 출발했지만, 현재는 모든 범죄들에 대한 디지탈화된 자료(메일, 문서, 데이타, 자료유출, 탈취등)의 법적 증거 수집과 분석이라는 광범위한 의미로 사용되고 있습니다. 이 용어는 증거 수집 절차에 대한 용어이기도하면서, 이런 자료를 분석하는 소프트웨어툴등을 일컫는 용어이기도 합니다. (오래전 한때 저도 경찰청 사이버수사팀과 함께 노트북 탑재형(휴대용) 디지탈포렌식 소프트웨어를 만드는 회사에 투자한 투자자이며 기술자문이기도 했었습니다. 지금은? 망했습니다. ^^') 

CSI 처럼 범죄증거들을 수집, 분석하여 법률적 증거로 만들어 내는 일이 바로 포렌직(식)Forensics

컴퓨터나 인터넷등에 흘러다니는 디지탈 자료들에 대한 범죄증거를 수집하고 찾아내는 것은 디지탈포렌식

 자동차 해킹,  급발진 사고유발?  이 편은 인터넷으로 잠깐 봤습니다. ^^'  결론부터 이야기하자면 가능하기도, 불가능 하기도 합니다. 요즘의 자동차는 엑셀레이터, 브레이크, 기어변경등의 모든 동작을 ECU(전자제어장치 : Electronic Control Unit)로 처리 합니다. 그리고 이 ECU 는 일종의 작은 컴퓨터로 자동차의 동작데이타가 미리 프로그래밍 되어 있습니다. 이 ECU의 프로그램을 조작(해킹)하여 시동을 거는 순간 엑셀레이터는 최고신호를 입력하게하고, 브레이크 페달의 동작신호가 브레이크에 전달되지않게 고치면... 부~웅... 꽝!  단, 드라마처럼 원격조정은 조금 어렵습니다. 원격조정을 시도 하려면,  전화기던 무선기기던 서로 통신이 되는 장치가 있어야 하는데, 아직 그런 자동차가 흔치 않죠. 물론 원격시동장치를 복제한 후에, 특정 신호를 보내서 ECU가 오작동하게 프로그래밍 한다면 가능하겠죠.  이렇게 특정 기계와 동작만 관리하도록 측화되어 만들어진 소형제어기기(임베디드 기기라고 합니다.)를 직접 해킹하는 것을 하드웨어 해킹 또는 임베디드 해킹이라고 하는데, 이런 방식으로 집에 있는 스마트 TV, 원격검침장치, 전기제어장치등도 해킹이 가능합니다.

ECU를 제어할 수 있는 프로그램

ECU 장치-소형컴퓨터입니다.

요즘의 ECU는 자동차의 모든 장치를 제어합니다.

발전소 해킹도 있었죠.(아.. 요편도 잠깐 봤습니다. ^^') 발전소, 교통통제장치, 전철, 가스제어시스템 같은 특정 공공망을 망가뜨려 사회혼란을 유발하는 악성코드를 스턱스넷(Stuxnet) 공격이라고 합니다.   이 해킹에 대한 것은 영화 '다이하드4'에서 잘 표현되어 있습니다.(안 보신 분은 꼭 한번 보세요. ^^) 이 악성코드는 ''공격이라는 단어가 붙는 경우가 많은데, 이유는 특정 공공재를 대상으로만 동작하게 만든 경우가 많기 때문입니다. 때문에, 국가간의 해킹에 주로 사용되어 사이버무기 형태로 쓰이기도 합니다.(최근 미국과 이란이 사이가 안 좋죠. 그 와중에 이란의 핵발전소와 핵관리시설등이 악성코드 감염으로 꽤 많이 손상되었습니다. 이 악성코드를 다른 이름으로는 '플레임'이라고 하는데, 이란은 이 악성코드의 개발주체로 미국을 의심하고 있습니다.)  이 스텍스넷은 대부분 폐쇄망(발전소등의 데이타 전송망은 외부 네트웍-인터넷과 완전히 단절된 페쇄 네트웍임)에 있는 특정 네트웍이나 접속된 기관을 공격하는 용도로 주로 쓰이기 때문에 ,공격을 위해서는 반드시 내부망에 직접 들어가서만 가능합니다.(다이하드4에서는 악당들이 발전소 하나를 점령한 후에 그곳에서 공격을 시도하죠) 그런데 드라마에서는 외부에서 공격을 하는 것으로 나옵니다. 이것은 사실 거의 불가능합니다. ^^ (단, 내부에 침입해 감염된 USB를 직접 내부 PC에 퍼트리고, 이를 통해 내부망에 저절로 퍼져나가게 만들 수는 있습니다.)

테러리스트가 발전소와 도시의 신호등을 해킹하게 만듭니다.

컴퓨터를 전혀 못 만져도, 총 한자루만 있으면 이런것쯤이야 바로 해결할 수 있는 사람도 있습니다. ^^

또 무엇이 있었던가요?... 

아, 파일 안에 숨겨진 장부(데이타?)를 찾는 것이 있었죠. 이렇게 특정한 데이타를 잘 알려진 그림파일이나 문서파일의 데이타  사이사이에 끼워 넣거나 덧씌워 데이타(정보)를 숨기는 기법을 스테가노그래피(Steganography, 심층 암호화 은닉기술) 라고 합니다. 그리스어로 "감춰진 글" 이란 의미의 이 기법을 이용하면 남몰래 데이타를 서로 주고 받을 수도 있고(빈라덴이나 간첩들이 즐겨썼다고 합니다.^^), 또 이 파일 내부에 특정 코드나 인터넷주소를 삽입시켜 (그림이나 글)열어보는 순간 정보를 빼내서 지정해 둔 곳으로 전송하거나, 자동으로 특정 사이트로 강제접속하게 만들 수도 있습니다. 이 파일은 아주 쉬운 툴로도 만들 수 있기 때문에 연인들끼리 비밀 연애편지에 사용해도 됩니다. ^^ 

 그림들처럼 그림데이타의 사이사이에 특정한 데이타를 덧씌워 숨기는 암호화 기법입니다. 

그림파일등에 특정 데이타를 숨기는 암호화 기법, Steganography

이런 정보가 든 파일은 사진이나 그림의 형태로 있는 경우가 많은데 상대편을 감염시킬때도 이 방법이 쓰이기도 합니다. 즉, 이메일 같은데 첨부파일로 사진을 넣어서 보내고 받아 보는 사람이 의심없이 열어보면 저절로 감염이 되게 하는 겁니다. (무섭죠...ㅎㅎ) 

행운의편지?

문제는 아무리 조심한다고 하더라도 자기와 친한 사람들이 보내온 메일을 의심하며 열어보지 않는 경우는 거의 없다는 것 입니다. 이렇게 상호간의 신뢰 관계를 이용하여 암호를 빼내거나 심리관계를 이용하여 공격을 하는 것을 보안용어로는 사회 공학(社會工學, social engineering) 공격이라고 합니다. 이 사회공학 해킹은 주로 보안관리자나 정보관리자등 보안시스템을 통제할 수 있는 권한을 가진 사람을 공격대상으로 좁혀, 인간적 신뢰 관계를 구축 후에 그 사람의 PC나 노트북을 직접 해킹 시도 한다는 특징이 있습니다.

 스푸핑(Spoofing) .. 네트웍 해킹의 가장 기초(?) 입니다. 스푸핑은  도용, 위장이라는 뜻으로 네트웍을 통해 서로 주고 받는 정보의 수신자를 자신인 것처럼 위장하여 보내온 정보를 중간에 가로채는 기법입니다. 스푸핑의 종류는  IP,  DNS,  ARP,  이메일 스푸핑등으로 다양하게 있는데,  드라마에서 범인은 ARP 스푸핑 공격을 통해 학교 네트워크를 함께 사용하는 친구들의 PC 정보를 가로채는 것으로 나옵니다. (IP - 컴퓨터끼리 통신을 하기 위해 정해 둔 주소, 전화번호라고 생각하면 쉬울 듯/ DNS - 인터넷을 통해 접속할때 찾아가야 할 상대쪽 서버의 문자로 된 주소정보, 집주소 같은 것임 / ARP - 상대편 컴퓨터와 연결될때 사용하는 기계적인 주소정보, MAC Address 라고 함) 

네트웍에 접속하는 H/W적 주소(AMC Address) 정보를 위변조하여 데이타를 가로채는 ARP 스푸핑

웹사이트로 가는 주소나 접속 정보를 중간에 가로채는 DNS 스푸핑, 또는 웹스푸핑

그리고... 고전중의 고전... 아득한 옛날이 생각나는 용어들  Y2K와 CIH 및 멜리사 바이러스 ... 

CIH 바이러스 -  1998년 대만에서 만들어진 것으로 알져진 이 바이러스는 체르노빌 원전 사고일(4월26일)에만 동작해서 일명 체느노빌 바이러스라고 불렸는데, 현대적인 모든 컴퓨터 바이러스의 원형(?) 같은 것이다.  이 바이러스는 다른 바이러스와 달리 컴퓨터의 CMOS 칩의 프로그램을 망가뜨려  컴퓨터 보드 자체를 못쓰게  만든 그야말로 무시무시한 바이러스 였다. (동일 내용이 프로그램된 CMOS 칩을 바꿔 끼워면 되긴 했지만 그 당시에는 구하기가 하늘에 별따기, 덕분에 MOS칩 프로그램머나 복제기를 가진 사람들은 대박 내기도 했었다. 그때 내가 손에 넣을 수 있던 롬프로그래머의 용량이 작은 것이어서 대박난 엔지니어가 되지 못했었다. ^^;  )

CIH바이러에 감염되는 특정일에 하드디스크의 데이타를 모두 포맷해 버리거나, BIOS 칩의 정보를 파괴해 버린다.

Y2K -  밀레니엄 버그를 의미하는 것으로 컴퓨터가 2000년 이후의 연도를 제대로 인식하지 못해 컴퓨터로 된 데이타나 업무가 완전 마비될 수 있다는 경고로부터 출발했다. 특히, 1999년 말에 이르러서는 종말론과 연계되면서 전 세계적으로 큰 혼란이 야기된 적이 있었지만,  결론적으로  별다른 피해는 없었다. 하지만, 어느 조사결과에 따르면 이와 관련해 발생한 비용이 8,286억 달러로 기록될 정도로 큰 후유증을 남겼다.  (나 또한 1999년초부터 12월 31일 자정이 될때까지 약 1년동안을 고객사들 컴퓨터와 네트웍장비 업그레이드를 지원하느라 거의 매일처럼 출장과 밤샘을 반독했었다. - 그땐 날씬했었다.-.-;  1999.12.31.자정에 모 시청 전산실에서 초시계를 바라보며 날 밤을 샌 기억이 아직 생생하다.)

Y2K 버그. 결론은 컴퓨터 회사들의 날조된 협박이었다는 이야기가 떠 돌았다. Y2K 를 지원하지 않는다는 이유를 들어 수많은 장비를 새로 바꾸고 기존에 사용하던 프로그램을 수정하는 비용을 지불하게 만들었다.

멜리사 바이러스 -  1999년 3월 발견된 바이러스로 당시 MS사 회장이었던 빌 게이츠의 부인 이름인 멜리사를  따 명명됐는데, 이메일을 통해 자동 발송된 최초의 바이러스다. 이메일에 악성코드를 첨부해 메일을 받는 사람의 컴퓨터를 감염시키는  타깃형 APT 공격이나 사회공학적 기법의 시초라고 볼  수 있다. CIH 바이러스와 함께 전 세계적으로 큰 피해를 입혔던 바이러스.

글을 쓰다보니 드라마에서 취급한 내용들이 꽤 많아 정리하는데 오래 걸렸습니다. (괜히 시작했어. T.T') 중간중간에 놀면서 쓰다보니 문맥이 매끄럽지 않은듯 하지만... 더 궁금한 점 있으면 댓글 달아주시면 아는대로 답변해 드릴께요~ ^^