[대한민국 희망 프로젝트]<537>해킹

'해킹(hacking)'이라는 말이 부쩍 자주 들립니다. 사이버 공격에 쓰이는 범죄행위로 주로 인식되지만 애초에는 좋은 의미가 담긴 용어입니다. 해킹 자체가 범죄가 아니지만 의도에 따라 범죄행위가 될 수 있습니다. 알쏭달쏭한 해킹 속 세계로 들어가 보실까요.

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

Q: 해킹은 무엇인가요?

A: 해킹은 허가받지 않은 정보 시스템에 침투하는 행위입니다. 흔히들 컴퓨터 네트워크의 취약한 보안망에 '불법' 접근하거나 정보 시스템에 유해한 영향을 끼치는 범죄행위로 알려졌습니다. 하지만 해킹은 본래 컴퓨터 네트워크 보안 취약점을 찾아내 문제를 해결하고 이를 악의적 이용을 방지하는 행위라는 의미였습니다. 해킹 용어는 1950년대 말 미국 매사추세츠공과대학(MIT) 동아리 모임에서 처음 사용된 '해크(hack)'에서 유래했습니다. 해크는 '작업과정 그 자체에서 느껴지는 순수한 즐거움'이란 뜻으로 쓰였습니다.

해킹은 컴퓨터가 널리 보급되면서 점차 나쁜 의미로 변질됐습니다. 다른 사람 컴퓨터에 침입해 정보를 빼내고, 파일을 없애버리거나, 전산망을 마비시키는 등 악의적 행위가 일어났기 때문입니다. 하지만 해킹 자체가 나쁜 짓을 의미하는 것은 아닙니다. 나쁜 의도가 있을 때 범죄행위가 되는 것이지요. 이 때문에 나쁜 의도로 사용되는 해킹을 크래킹(Cracking)으로 분류해서 부르기도 합니다.

Q: 해킹 관련 기술은 어떤 것이 있나요.

해킹 기술은 매우 광범위합니다. 대표적으로 웹 해킹, 시스템 해킹, 버그 헌팅, 역공학(리버스 엔지니어링) 등이 있습니다.

웹 해킹은 웹사이트 취약점을 이용하는 해킹 기술입니다. 웹 애플리케이션이 활성화하면서 전자상거래, 금융, 전자민원 등 중요 서비스 다수가 웹을 통해 이뤄집니다. 일반 사람도 컴퓨터를 이용할 때 웹 애플리케이션을 가장 먼저 접할 정도로 웹 서비스가 많습니다. 이 탓에 해킹 입문 초기 단계로 알려졌습니다. 웹 해킹은 다른 공격보다 수법이 많이 노출됐습니다. 우리가 흔히 아는 7.7 디도스(DDoS)와 3.4 디도스 사고도 웹 해킹으로 일어났습니다.

시스템 해킹은 일반적으로 윈도, 리눅스, 안드로이드 같은 운용체계(OS)를 해킹하는 기술입니다. 취약한 인터넷 시스템을 찾아 스스로 복제하는 악성 프로그램인 '웜(worm)' 바이러스도 시스템 해킹 일종입니다. 컴퓨터를 장악하기 위한 가장 유효한 수단 중 하나입니다.

버그 헌팅은 소프트웨어(SW)에 나타나는 버그를 활용한 취약점 공격입니다. 윈도 같은 OS나 크롬·익스플로러 같은 웹 브라우저 등이 대상입니다. 취약점을 이용해 임의 권한을 얻고 공격합니다. 한 예로 윈도 사용자에게 윈도의 알려진 버그를 활용해 해킹할 수 있습니다.

리버스 엔지니어링(Reverse Engineering)은 우리말로 '역공학'이라는 의미입니다. 공학은 과학 원리나 지식, 도구를 활용해 새로운 제품, 도구를 만드는 것입니다. 리버스 엔지니어링은 반대로 만들어진 제품, 도구를 분해해 분석·재조합하는 것을 뜻하죠. 앞의 기술과 달리 프로그램 유지보수와 취약점 점검, 악성코드 분석 등에 쓰입니다.

해킹 기술은 기술 그 자체가 유해한 것은 아니지만 잘못된 의도로 사용하면 범죄 수단으로 쓰입니다.

Q: 최근 해킹 사례는 어떤 것들이 있나요?

A: 올해는 유난히 사이버 위협이 많았습니다. 특히 랜섬웨어로 인한 해킹이 유행했습니다. 랜섬웨어는 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 삼아 금전을 요구하는 악성코드입니다. 지난 5월 세계적으로 기승을 부린 워너크라이(WannaCry)와 국내 웹호스팅 업체를 공격한 에레버스(Erebus), 유럽을 강타한 페트야(Petya) 등이 모두 랜섬웨어입니다.

지난 2분기에는 정보탈취형 악성코드도 증가했습니다. 한국인터넷진흥원(KISA)은 지난 2분기 정보탈취형 악성코드를 130개 분석·수집했습니다. 지난 1분기 80개보다 50개 늘어난 수치입니다. 이외에도 현금지급기(ATM) 악성코드, 가상화폐 거래소 해킹, 모 투자선물회사 개인정보유출사고가 있었습니다.

Q: 해킹과 관련된 '해커(hacker)'는 어떤 사람인가요?

A: 해커는 악의적 목적을 달성하기 위해 불법을 저지르는 사람으로 흔히 인식됩니다. 그러나 본래 컴퓨터를 능숙하게 다루는 전문가, 시스템 프로그래밍을 잘하는 사람을 의미합니다. 컴퓨터 시스템 내부구조나 동작에 심취해 이를 알고자하는 사람이라는 의미도 있습니다. 기술이 급변하면서 해커 의미도 다양화·세분화되고 있습니다.

'블랙햇 해커(Black hat Hacker)'는 악의적 목적으로 컴퓨터에 침입해 개인 이득을 취하는 해커입니다. 해킹 목적 자체가 불법이고, 범죄와 연계된 경우가 많습니다. 악의적 목적을 가진 해커인 크래커도 블랙햇 해커로 분류합니다.

'화이트햇 해커(White hat Hacker)'는 선의 목적으로 보안 취약점을 찾아내고 해결책을 제시하는 해커입니다. 시스템을 보호하거나 해킹 대상 담당자 승인을 거쳐 합법적인 범위 내에서 해킹을 시행합니다.

'그레이햇 해커(Grey hat Hacker)'는 화이트햇 해커와 블랙햇 해커 중간 단계에 있는 해커입니다. 개인적 이득을 위한 목적보다 해당 시스템 취약점을 관리자에게 알려주는 등 선의 행위를 합니다. 그러나 행위 자체는 법 경계를 넘나듭니다.

최근 생긴 명칭으로는 '핵티비스트(Hacktivist)'가 있습니다. 핵티비스트는 해킹을 수단으로 사회, 사상, 종교, 정치 메시지를 전파하는 해커를 뜻합니다.

주최:전자신문 후원:교육부·한국교육학술정보원

[대한민국 희망 프로젝트]<537>해킹

◇'화이트해커를 위한 암호와 해킹' 장삼용 지음. 정보문화사

'화이트해커를 위한 암호와 해킹'은 보안 시작이자 끝인 '암호'와 사이버 공격을 수행하는 '해킹'을 이해하기 위한 도서다. 책에서 구현한 주요 프로그램은 스크립트 언어인 '파이썬'을 이용했다. 파이썬은 프로그래밍이 직관적이고 배우기 쉽다. 동일한 목적 프로그램을 C나 C++로 작성할 때 보다 힘을 덜 들이고 구현한다.

[대한민국 희망 프로젝트]<537>해킹

◇'오픈소스 도구를 활용한 웹 모의해킹과 침해대응' 석동현·김경원·양민철·조정원·박승우·김승록 지음. 한빛미디어

다양한 오픈소스 도구를 활용해 웹 취약점 진단부터 침입 탐지 분석까지 실무 내용이 담겨 있다. 웹 취약점 점검 도구 기능을 알아보고 스캔에 사용된 패턴을 확인하는 과정을 다룬다. 공개용 웹 취약점 점검 도구를 실습에 활용한다. 오픈소스는 무료라는 장점 덕분에 부담 없이 이용할 수 있다. 이 책에서 제시한 실무와 비슷한 환경에서 실습 진행이 가능하다.

[전자신문 CIOBIZ] 변상근기자 sgbyun@etnews.com