본문 바로가기

Repositorium/IT

해킹과 악성코드 예방를 위한 보안 10대 법칙

 

 

해킹과 악성코드 예방를 위한 보안 10대 법칙

 

현재 상영 중인 '토탈리콜'이라는 외화를 보면 '라콜사'라는 사람이 등장한다. 리콜사는 고객이 원하는 기억을 뇌 속에 심어주는 사람이다. 아직까지는 현실 속의 이야기는 아니지만 가까운 미래에 가능하지도 않을 까 생각된다.

 

 

 

 

그런데 몇일 전 미국 CBS방송 인터넷 판에 뇌 해킹을 성공했다는 기사가 올라왔다.

기사 내용은 과학자들이 시중에서 쉽게 구할 수 있는 기구로 머릿속 정보를 빼내는 데 성공했다고 보도했다. 캘리포니아 대학과 옥스퍼드 대학 연구자들은 이모티브(Emotiv)사의 미화 299달러짜리 브레인 컴퓨터 인터페이스 장치로 은행 비밀번호와 같은 중요한 정보를 알아냈다고 한다.

 

이들은 실험 대상자를 컴퓨터 앞에 앉힌 뒤 은행, 사람, 비밀번호 이미지를 보여주고 뇌에서 나오는 P300 신호를 읽었는데, P300 신호는 자주 만나는 사람이나 물건과 같이 의미 있는 것을 인지했을 때 나오는 뇌파라 한다.

 

아직은 P300 신호에서 원하는 정보를 얻기에 많은 연구가 필요하고 해킹이라고 하기에는 아직 먼 얘기지만 만약에 영화 속 얘기처럼 사람의 뇌 속에 인공적인 기억을 심을 수 있다면 그 반대도 당연히 가능할 것이다. 인간의 뇌를 전자화하여 뇌에 접속하는 것이 가능해진다면 누군가 우리의 뇌를 해킹하는 일도 가능할 것이며 해킹을 통하여 가짜 기억을 심어 놓는 일도 충분히 가능할 거라 생각하면 과학 기술의 발전이 한편으로는 두렵기 까지도 하다. 

 

이처럼 아직은 인간의 머리 속까지는 해킹하지는 못하지만 IT 기기에 대한 해킹은 너무나 일상적인 일이 되었다.  

 

 

점차 지능화되는 해킹, 악성코드 유출

 

해킹이라는 용어는 다른 사람의 컴퓨터나 시스템에 무단으로 침입하여 자료와 프로그램을 열람하고 변조하거나 파괴하며 유출시키는 등 컴퓨터를 비정상적으로 작동시키는 '불법적'이고 '부정적'인 행위를 말한다.

 

한편으론 용어 자체에 대한 논란때문에 중립적인 의미로 네트워크를 통해 컴퓨터 시스템에 접근하는 행위를 '해킹'이라하며, 대신에 불법적인 네트워크 침입을 '크래킹'이라고도 한다. 이번 글에서는 해킹을 일반적으로 사용하는 불법적인 컴퓨터 시스템 침입의 뜻으로 사용하겠다.

 

 

 

 

21세기 시작과 함께 일본 정부기관의 웹페이지가 포르노물로 뒤바뀌거나 일본인을 비난하는 글이 게시되는 사건이 있었다. 요사이 일본의 행위를 보면 왜 지금 그런 일이 안 일어날까하는 생각이 들 정도로 고소한 일이지만, 하여튼 이러한 일이 발생한 원인은 불법적 해킹때문이다. 그 후에도 야후, 아마존, CNN, 이베이 등의 유명 인터넷 사이트들의 서비스가 불법 해킹으로 인해 서비스가 마비되는 사고가 끊이지 않는다.

 

최근에는 아이클라우드 개인 계정이 해킹당하여 모든 자료가 날러가는 사고가 발생했다는 외신보도도 있었다. 애플의 경우는 폐쇄적인 정책으로 인해 애플의 모든 제품과 기기들은 바이러스에 잘 해킹되지 않게 설계되었다고 자랑해 왔었다. 이 일이 있은 후 애플의 광고에서 '바이러스가 없습니다'라는 광고가 '바이라스에 취약하지 않습니다.'라고 광고 문구가 수정되었다.

 

이처럼 불법적인 해킹으로 인한 피해는 해마다 급증하고 있으며 그 기법 또한 점차 진화하고 있다. 뚫는 자와 막는 자 사이의 치열한 경쟁 속에서 해킹의 기법은 점차 에이전트화, 분산화, 자동화, 은닉화의 특징을 갖는 새로운 패러다임으로 변해가고 있다.

 

 

 

 

해당 컴퓨터가 해킹된 것은 아니지만 악성코드의 감염, 요즘 뉴스에 자주 등장하는 디도스도 마찬가지로 본인의 의도와는 상관없이 불법적인 피해를 당한 경우이다. 디도스는 네트워크에 분산되어 있는 대량의 컴퓨터가 특정 서버에 일제히 패킷을 내보냄으로써(서버를 공격함으로써) 서버의 통신에 부하를 주는 것으로 서버가 해킹되는 것과는 다르나 개인 컴퓨터가 숙주 컴퓨터로 이용된 경우이며, 악성코드 역시 감염경로가 해킹에 의한 것보다는 사용자의 부주의로 인해 발생하는 경우이나, 모두 불법적인 행위로 피해를 입는 것이다.  

 

 

 

 

이러한 악성코드 감염의 가일반적인 경우 악성코드가 숨겨진 트로이목마 유형이다. 최근에는 온라인 게임 사용자의 증가와 함께, 특정 온라인 게임에 접속할 때 입력한 아이디와 패스워드 정보를 특정 메일 주소로 전송하는 트로이목마도 급증하고 있다. 그리고 최근엔 서비스 중인 P2P 사이트를 통해 성인 음란 동영상으로 위장한 악성코드가 유포되는 경우도 자주 발생하고 있다.

 

자취 생활 2년 차의 화려한 싱글 B군은 외롭다. 결국 오늘도 P2P 사이트에 접속해 성인 동영상을 다운로드한다. 업로더가 시키는 대로 업데이트를 하고 동영상을 감상하려는 찰나, 무언가 잘못됐다는 걸 느꼈다. 외로운 밤 말없이 그의 곁을 지켜준 컴퓨터가 갑자기 꺼졌다. 그리고 다시는 켜지지 않았다...

도대체 무슨 일이 일어난 것일까? <자료 : 안랩>


 

 

보안의 법칙

 

최근에 악의적인 해킹과 악성코드의 유포가 활발해짐에 따라 보장 치원에서 보험에 가입하는 경우도 늘고 있다. 그러나 보험은 사후 대책이며 컴퓨터의 보안을 지키고 악성코드로부터 보호하기 위해서는 자신의 컴퓨터 상태를 제대로 진단하고 예방하는 것이 최선이다. 

 

MS의 보안대응센터는 다년간의 연구 결과를 통하여 '보안의 10대 법칙'을 개발하여 게시하였다.

 

법칙 1 : 누군가 자신의 프로그램을 당신의 컴퓨터에서 실행하게 하였다면, 이제 컴퓨터는 더 이상 당신의

            것이 아니다.

법칙 2 : 누군가 당신의 컴퓨터 운영체제를 변경할 수 있다면, 이제 컴퓨터는 더 이상 당신의 것이 아니다.

법칙 3 : 누군가 당신의 컴퓨터에 물리적으로 자유롭게 접근할 수 있다면, 이제 컴퓨터는 더 이상 당신의

            것이 아니다.

법칙 4 : 당신의 웹 사이트에 프로그램을 업로드할 수 있게 했다면, 이제 웹 사이트는 더 이상 당신의 것이

            아니다.

법칙 5 : 비밀번호가 노출되면 강력한 보안도 소용이 없다.

법칙 6 : 컴퓨터는 관리자를 신뢰할 수 있는 정도 만큼만 안전하다.

법칙 7 : 암호화된 데이터는 해독된 키만큼만 안전하다.

법칙 8 : 기한이 만료된 바이러스 백신은 백신이 없는 것보다 크게 나을 것이 없다.

법칙 9 : 절대적인 익명성은 실생활에서나 웹에서나 가능하지 않다.

법칙 10 : 기술은 만병통치약이 아니다.

 

이상의 법칙들은 컴퓨터 보안이 완벽할 수 없고 사소한 방심에도 노출될 수 있으며 예방이 최선이라는 것을 알려주고 있다. 물론 일부 법칙은 개인 사용자에게 해당되지 않을 수도 있으나, 전반적인 보안 의식의 경각심을 갖기에는 꼭 숙지해야할 내용들이다. 

 

 

 

악성코드를 예방하기 위해서는

 

개인 사용자에게는 해킹의 피해보다는 악성코드에 의한 개인정보의 유출이 더 심각하다. 앞에서 살펴본 성인 음란 동영상으로 위장하여 유포되는 악성코드 뿐만아니라 모든 컴퓨터 악성코드로부터 피해를 예방하기 위해서는 어떻게 해야할까?

 

1. 윈도우 OS 및 각종 응용 프로그램의 보안 패치를 설치한다.
2. 파일을 실행할 때에는 파일의 확장자(.exe, .zip)를 확인한다.

3. 출처가 불분명한 파일은 바로 실행하지 않고 안티바이러스 프로그램으로 검사한 후 실행한다.
4. 사용 중인 안티바이러스 프로그램은 항상 최신 버전으로 유지하고, 실시간 감시 기능을 사용한다.


 

많은 사람들이 P2P 사이트를 통해 미처 보지 못한 드라마나 영화 등을 다운로드한다. 그런데 과연 이런 동영상 파일들은 안전할까를 한번 쯤은 의심해 볼 필요가 있겠다.