내PC․스마트폰, 남의 곁눈질․훔쳐보기 ‘조심’

[애플경제 이윤순 기자] 카페에서 노트북을 펼쳐놓고 업무를 보거나 공부하는 사람들, 즉 ‘카공’족은 한국에서 특히 흔히 볼 수 있는 풍경이다. 그러나 이런 경우 주위에서 곁눈질이나 어깨 너머로 PC화면을 훔쳐보고, 비밀번호나 자격증명 등을 위해 민감한 정보를 빼갈 수도 있다. 해외에선 이를 ‘숄더 서핑’(Shoulder Shopping)이라고 한다. 글로벌 보안업체인 캐스퍼스키(Kaspersky)는 “이런 물리적 사회 공학 공격이 오늘날 가장 강력한 위협 중 하나로 남아 있음을 상기시켜 준다”며 다양한 사례를 전하기도 했다.

한국의 카페․공공장소, ‘숄더 서핑’ 천국?

이에 일부 외신에선 노트북 화면이 노출된 채 커피숍에서 다른 고객이 보이는 가운데 원격으로 일하는 남성을 보여주는 ‘숄더 서핑’ 이미지를 보여주며, 그 위험성을 지적하기도 했다. 실제로 최근 영국에서 발생한 사건을 살펴보면 숄더 서핑은 매우 현실적이지만 흔히 간과하기 쉬운 사이버 보안 위협이 되고 있다. 지난 주 영국의 유력 일간지 ‘The Times’는 영국의 한 장관과 같은 열차에 탄 승객이 그의 노트북 화면 사진을 찍은 사진과 함께 게재된 기사가 비상한 관심을 끌었다.

당시 장관의 노트북 메모에는 다우닝 스트리트, 내각 고위 장관, 특별 고문 등을 뭉뚱그려 “능력도 없는 사람이 승진이 빠르다”는 식으로 비난하는 내용이 담겨있었다. 이는 악의적인 행위자가 남의 컴퓨터나 디바이스를 어깨 너머로 살짝 훑어보는 것만으로도 얼마든지 중요한 정보를 빼낼 수 있음을 알려주는 일화다.

실제로 ‘숄더 쇼핑’은 이미 수십 년 동안 사용되어 왔다. 애초 지난 1980년대에 범죄자들이 공중 전화에서 전화 카드를 훔치기 위해 사용했던 수법이기도 하다. 최근에 와선 극소형의 카메라나 마이크 기술이 발달하면서, 더 이상 어깨 너머로 굳이 살펴볼 필요도 없이 장거리 숄더 서핑 공격을 할 수 있게되었다. 산탄데르(Santander) 은행의 사이버공격 관리 책임자인 크리스 앤슬리는 “그러나 최근 숄더 서핑이 다시 증가하고 있는데, 특히 휴대전화를 사용하는 모바일 뱅킹 사용자를 표적으로 삼는 경우가 많다”고 경고했다.

“가장 손쉽고 밑천 안드는 해킹”

런던 사이버 회복력 센터(Cyber ​​Resilience Center)의 CEO인 사이먼 뉴먼은 “숄더 서핑은 가장 간단한 형태의 사회 공학 공격기업 중 하나”라면서 “특히 유능한 카메라 모듈을 갖춘 스마트 장치의 확산으로 신종 사이버 범죄자들의 절도가 더 쉬워졌다”고 지적했다. 그는 “숄더 서핑은 사이버 범죄자가 민감한 정보를 훔치는 가장 쉬운 방법 중 하나”라면서 “주변에 누가 있는지, 무엇을 볼 수 있는지 생각하지 않고 여전히 공공장소나 대중교통수단을 이용하며 노트북을 사용하는 사람이 너무나 많다”고 우려했다.

특히 “지난 수 년간 스마트폰 카메라의 발전으로 화면 사진을 찍거나, 사용자가 로그인 정보를 입력하는 순간을 녹화하는 데 단 1초밖에 걸리지 않다보니, 사이버 범죄자는 이런 상황을 이용해 필요한 모든 정보를 얻을 수 있다.”고 우려했다.

'숄더 서핑', 하이브리드 작업 시대에 급증

역시 보안업체인 ‘ThinkCyber’는 특히 “하이브리드 작업의 증가로 인해 업무용 디바이스가 공공 장소에 노출되는 양이 증가하다보니, 숄더 서핑과 같은 사회 공학 공격이 필연적으로 급증할 수 밖에 없다”고 IT프로포탈에 밝혔다. 이에 따르면 공동 작업 공간이나, 원격 근무, 디지털 유목민의 증가로 인해 이러한 종류의 사회 공학 수법이 갈수록 널리 활용되고 있다. 이에 “공공 장소에서의 휴대폰이나 각종 디바이스 사용을 주의할 필요가 있다”는 것이다.

특히 카페나 공유 작업 공간에서 로그인하는 경우가 늘어나면서 숄더 서핑 공격이 더욱 빈발할 것이란 우려다. 보안업체 ‘Prism Infosec’의 보안 컨설턴트인 코트니 에반스는 “숄더 서핑으로 인한 위협은 매우 심각한 상황이며, 고난도의 해킹 후에도 그 흔적을 남기지도 않은채 공격을 마무리지을 수 있을 정도”라고 했다.

특히 이는 수법이 단순한 만큼 더욱 빠르게 확산되고 있다. 특히 날로 발달한 사이버 보안 조치를 회피하며 구태여 복잡하고 어려운 해킹을 시도하는 것보다 그저 단순하게 사용자 디바이스의 사진을 찍는 것만으로도 소기의 목적을 달성할 수 있다. 게다가 피해자에게 즉석에서 발각되지만 않으면 ‘숄더 서핑’이 이뤼졌는지조차 알길이 없다. ‘디지털 발자국’이 전혀 남지 않는다는 뜻이다.

원격․실외근무 늘어나면서 기승, ‘사이버 위생’ 강조

특히 보안 컨설턴트 에반스는 “만약 공격자들이 ‘숄더 서핑’과 AI 도구를 결합하면 이는 기존 사이버공격보다 더 심각한 위협이 될 수 있다”고 했다. 예를 들어 휴대폰을 사용하는 사람의 음성을 캡처하고, 이를 노트북에서 캡처한 정보와 결합해 보이싱 공격을 할 수도 있다. 또 이런 수법들이 다양하게 결합되면서 더욱 다양하고 치명적인 위협이 될 수도 있다.

보안업체 캐스퍼스키는 이에 ‘사이버 위생’을 강조했다. 즉 “공공 장소에서 민감한 자료에 대한 작업을 제한하는 등 예방 조치를 취하고, 필요한 경우 작업 디바이스에 다른 누구도 직접 시선이 닿지 않도록 주변을 조심하는 것이 좋다.”는 것이다. 또한 공공 장소에서 민감한 자료로 작업해야 하는 경우가 많은 사람들은 디스플레이의 ‘시야각’을 제한할 필요가 있다. 즉, 디스플레이에 적용할 수 있는 물리적 필터인 ‘프라이버시 디스플레이’도 유용한 방법이다. 또한 다중 요소 인증(MFA)이나 공용 와이파이 네트워크에 연결할 때 VPN을 사용하는 것과 같은 기타 예방 조치도 필요하다는 주문이다.