AI나 IoT 등을 악용하는 해킹 늘어나

해킹은 대상을 가리지 않고, 갖가지 기상천외의 수법을 동원하곤 한다. 주로 해킹은 금전적인 사기나, 정보 탈취를 위해 행해지는 경우가 많지만, 때론 장난과 재미를 목적으로 자행되는 사례도 적지 않다.

최근 국내외 보도에 따르면 AI나 IoT 등을 악용하는 해킹이 늘어나고 있으며, 비밀번호, 로그인 증명 등을 절취하는 전통적 방식도 여전히 기승을 떨고 있다.

해커들의 수법은 개인의 사적공간이나 공적 영역을 가리지 않는 가운데, IT기술 발전 속도를 뛰어넘는 진화를 거듭하고 있다. 사진은 한 전시회에 출품된 삼성전자 IoT조명 솔루션으로서 본문 기사와 직접 관련되지는 않음. (사진=김홍기 기자)
해커들의 수법은 개인의 사적공간이나 공적 영역을 가리지 않는 가운데, IT기술 발전 속도를 뛰어넘는 진화를 거듭하고 있다. 사진은 한 전시회에 출품된 삼성전자 IoT조명 솔루션으로서 본문 기사와 직접 관련되지는 않음. (사진=김홍기 기자)

수조 센서 통해 카지노 정보 탈취
그 중엔 역시 IT기술을 활용하는 경우가 대표적이다. 물고기 관리를 위해 수조를 PC와 연결하는 IoT센서를 이용한 해킹도 그 중 하나다.

미국에선 인터넷에 연결된 수조를 사용하여 한 카지노에서 데이터를 훔친 해킹 사례가 뒤늦게 발견되기도 했다. 수온과 수조의 청정도를 통제, 관리하며 물고기 상태를 감시하는 PC에 연결된 IoT 센서를 이용한 것으로 밝혀졌다.

해커는 이런 수법으로 수조를 이용하여 네트워크에 침투한 후 카지노 정보를 빼낸 것으로 알려졌다.

AI 활용한 비싱(vishing)이 극성
흔히 보이스 피싱은 사기성 전화번호가 담긴 이메일을 보내거나 인터넷 전화를 이용하여 마치 금융기관에서 거는 듯한 자동 전화를 걸어서 개인 신상 정보나 금융 정보, 비밀번호 등을 불법으로 알아내는 행태다.

최근엔 AI를 활용해 음성을 변조해서 사기를 치는 ‘비싱(vishing)’이 극성을 떨고 있다. 이는 첨단 AI 기술을 이용함으로써 보이스 피싱을 한 단계 뛰어넘는 수법이라고 해서 ‘비싱’으로 불리고 있다. 

실제로 영국에선 상업용 음성 생성 AI 소프트웨어를 사용한 비싱이 여러 차례 발생했다. 해커들은 AI의 딥 러닝 기술로 피해자의 상사와 똑같은 목소리를 재현, 거액의 돈을 해외 지사로 송금할 것을 요구했다.

그 억양이나 음성 패턴이 너무나 흡사해서 피해자는 별 의심없이 돈을 보냈고, 결국 큰 피해를 보고 말았다. 그야말로 이는 AI 기반 딥페이크(Deepfake)의 전형인 셈이다.

공공안내판에 엉뚱한 낙서도
프랑스에선 주유소 펌프 기기를 해킹해 기름을 훔치기도 했다.  범인들은 펌프의 잠금을 해제하는 특수 리모콘으로 기름 펌프를 해킹했다. 이는 일부 주유소 관리자들이 기름 펌프의 기본 비밀번호를 변경하지 않아 가능했다. 해커들은 PIN 코드를 사용하여 연료 가격을 재설정하고 충전 한계를 없앰으로써 마음껏 기름을 빼돌렸다.

장난 내지 심술로 해킹을 하는 경우도 있다. 미국에선 도로 전광판이나 전자 안내판을 갖고 장난치는 해커들이 종종 적발되기도 한다. 이들은 보안에 취약한 로그인 자격 증명을 악용하는 경우가 많다.

예를 들어 운전자들을 위해 설치한 ‘공사 중 서행’이란 전자 표지판도 그런 대상이다. 해커는 곧 전자 표지판 사용자의 이름과 비밀번호를 어렵사리 알아낸 다음,  ‘공사 중 서행’을 다시 ‘미친듯이 운전 하시오!’라는 메시지로 바꿔놓기도 했다.

중심가 대형 전광판에 하드코어 성인물 올리기도
공공을 위한 전광판이나 전자게시판에 음란한 성인물을 게시하는 경우도 왕왕 있다. 이런 해킹 사례는 국내에선 아직 찾아보기 어렵지만, 잊을만 하면 생겨나서 외신을 장식하곤 한다.

그 중 무슬림 국가인 인도네시아 자카르타에서 있었던 일은 한때 외신을 떠들썩하게 했다. 교통 체증으로 인해 도로 갇혀있던 한 IT 전문가가 무심코 도로변 전자 게시판을 올려다보다가 화면에 잠시 실수로 표시된 로그인 자격 증명을 포착했다.

이에 그는 그 자리에서 시스템을 해킹하여 매우 충격적인 성인 포르노를 게시판에 올린 것이다. 이 영상은 꽤 오랜 시간 방영됨으로써 당시 도로를 지나던 운전자나 보행자는 물론, 언론의 현장 중계를 통해 전국에 방영되는 사태까지 빚어졌다.

재난 경고 시스템으로 장난치기도
때론 공공의 이익을 크게 훼손하거나, 많은 사람들을 위험과 혼란에 빠뜨리는 중범죄를 저지르기도 한다. 실제 미국에선 해커들이 토네이도 경고 시스템을 오작동시켜 사람들을 혼란에 빠뜨리기도 했다.

예를 들어 토네이도가 자주 발생하는 지역의 토네이도 사이렌을 갑자기 울리게 함으로써 주민들이 대피하는 소동이 벌어지기도 했다. 복합적인 실외 경고 사이렌 네트워크를 의도적으로 표적으로 삼은 것이다.

재해 당국이 밝혀낸 바에 의하면 해커들은 ‘라디오 리플레이’ 라는 기법으로 이전에 울렸던 사이렌 소리를 녹음하고 반복적으로 재생한 것이다. 그 과정에서 연쇄 사이렌 장난마(Spoofer)가 잡히지 않은 탓도 있었다.

그런 일이 몇 차례 반복되자 마치 ‘양치기 소년의 거짓말’처럼 주민들은 실제 사이렌이 울려도 반응하지 않았다. 결국 재해 당국은  더 큰 혼란을 막기 위해 경고 시스템 전체를 꺼버렸고, 시민들은 폭풍이 다가오는 상황에서도 사전 경고없이 속수무책으로 당해야 했다.  시스템 없이 지내야 했다.

이 밖에도 해커들은 가정 보안 시스템이나 아기 모니터링 시스템처럼 취약한 컴퓨터 보안시설을 침투하는 경우가 많다. 이런 경우 자격 증명 스터핑(Stuffing)이나 취약한 또는 기본 비밀번호 이용하기 등의 기법을 통해 쉽게 타인들의 안방까지 염탐할 수 있는 것이다.

키워드

#IT #해커 #AI #IoT
저작권자 © 애플경제 무단전재 및 재배포 금지