전체메뉴

[애플경제 이보영 기자] 해커들이 사이버 공간을 활보하며 해킹을 일삼는 가운데, 이들 전문 해커들을 고용한 사이버 공격이 거대한 ‘산업’을 형성하고 있다. 덕분에 이들 전문 해커들은 국제 해킹 시장에서 날로 그 몸값이 비싸지고 있다. 최근 기술매체들이 전하는 사이버 공격 동향을 종합해보면, 이들 고용된 해커들은 주로 이메일 박스를 공격, 손상시키는 것을 전문으로 한다. 그런 가운데 이들을 해킹을 위해 이들을 고용하려는 시장은 급성장을 거듭하고 있다.

불법 사이버 활동의 세계에선 다양한 종류의 고용 해커들이 활개치고 있다. 이들은 개인 또는 기업, 심지어는 공공기관이나 특정 국가의 정부에게 고용되어 사이버 공격을 감행하는 경우도 많다. 최근 구글의 사이버 위협 분석 팀(태그, TAG)은 이러한 고용 해커 시장의 생태계에 관한 자세한 보고서를 내놓아 외신들의 주목을 받기도 했다. 이 보고서는 특히 인도, 러시아, 아랍에미리트 등 고용 해커 시장이 특히 발달한 나라의 사례를 들어 그 생태계를 파헤치고 있다.

고용 해커들은 계정을 손상시키거나, 데이터를 탈취해내는 전문가들이다. 그들은 그런 기술이나 능력이 없는 개인, 혹은 집단이나 조직에게 일시적으로 고용되어 일하기도 한다. 최근엔 고용 해커들이 개인 단위를 벗어나, 일종의 회사 조직을 만들어 본격적인 해킹 ‘사업’을 벌이기도 한다. 이런 회사는 아예 해커를 고용할 만한 잠재적인 고객이나 소비자들을 겨냥해 공개적으로 광고를 하는 경우도 있다. 때로는 해킹 수요가 있을 만한 제한된 대상들을 향한 맞춤형 광고를 하기도 한다.

일부 고용 해커나 해킹 조직들은 고객과 자신들 사이의 중개 역할을 하는 제3자를 내세우기도 한다. 일종의 에이전시인 셈이다. 이런 경우는 에이전시를 통해 해킹 계약을 맺음으로써 프리랜서 해커들이 직접 고객에게 고용되지 않도록 하는 방법을 택하기도 한다.

구글 태그는 인도의 고용 해커들 사례를 들었다. 이에 따르면 사이버 공격에 대응하는 인도의 보안 회사 앱인 ‘시큐리티’와 ‘벨트록스’ 등 보안회사에서 일한 적이 있는 전문가들이 아예 프리랜서 해커로 나서고 있다. 인도의 고용 해커 시장은 이들을 중심으로 생태계가 형성되고 있다는 얘기다.

태그에 따르면 인도의 두 보안 회사 출신 해커들로 구성된 회사(렙섹, Rebsec)는 상업 웹 사이트에 기업 스파이 활동을 공개적으로 광고하기도 했다. 렙섹은 자사 웹사이트에서 각종 스파이웨어 리스트나 이메일 해킹 기술 ‘상품’을 나열하고 있을 정도다.

러시아 해커들, 혹은 해킹 조직들은 한술 더 뜬다. 해커들을 대거 고용하고 있는 러시아의 해킹 회사는 2017년부터 구글 태그팀이 추적, 조사한 결과 러시아와 주변국의 일반 시민들을 포함해 언론인, 정치인, 각종 NGO와 비영리 단체를 해킹 대상으로 삼고 있다. 그 과정에서 해커들은 대상이 누그든 유사한 자격 증명 피싱 전자 메일을 사용하곤 했다. 피해자들이 속아넘어 가는 피싱 페이지는 지메일(Gmail)이나, 다른 웹메일 제공업체, 혹은 러시아 정부 기관을 사칭하곤 한다. 러시아에선 해커들의 채용 사이트도 활성화되고 있다. 이곳에는 프리랜서 해커들의 수완과 능력에 따른 보수 내지 견적이 자세히 소개되고 있다.

아랍에미리트 해커 시장도 만만찮다. 태그가 추적한 어느 해커 고용 단체는 주로 중동과 북아프리카 지역에서 활동하면서, 유럽의 중동 관련 NGO나, 팔레스타인 정당 ‘파타’를 포함한 공공조직과 각국 정부, 교육기관, 정당과 단체를 목표로 하고 있다.

구글 태그는 “이들 해커들은 주로 구글이나 아웃룩 웹 액세스(OWA) 암호 재설정 기능을 악용한다.”면서 “웹 브라우저에서 작업을 자동화하는 데 유용한 도구인 셀레늄을 사용하는 사용자 지정 피싱 ‘툴킷’을 사용하여 대상으로부터 유효한 자격 증명을 훔치는 수법을 구사한다.”고 전했다. 또 ‘OAuth’ 토큰을 썬더버드(Thunderbird)와 같은 합법적인 전자 메일 클라이언트에 부여하거나, 공격 대상자의 지메일 계정을 해커가 소유한 다른 전자 메일 계정에 연결하기도 한다.

그러면 해커들이 노리는 대상은 주로 누구일까. 구글 태그를 인용한 기술매체 테크리퍼블릭은 “이러한 종류의 작전의 가장 일반적인 대상은 정치 운동가, 언론인, 인권 운동가 등 전 세계의 고위험 사용자들”이라고 했다. 이른바 ‘고위험 사용자들’이 주요 대상인 셈이다. 특히 기업이나 변호사들이 대표적이다. 일부 해커들은 예상되는 소송에 앞두고, 혹은 소송 중에 그들을 공격하기 위해 소송 상대방에 의해 고용되는 경우가 많다. 기업 역시 산업 기밀 탈취의 표적이 될 수 있다.

이들 고용 해커들은 마치 사설 탐정과 같은 역할도 한다. 즉, 남편이나 아내 등 부부 간에 상대방의 불륜을 감시하기 위해 고용되기도 한다. 또 이혼 소송 중인 경우 상대방에게 이기기 위해서 현재 타협하고 진행 중인 문제에 대한 정보를 찾는 목적으로 고용되기도 한다. 그래서 일부 해커들은 기업보다는 한층 저렴한 가격을 제시하면서, 이들 평범한 생활인들에게 접근하여 ‘바겐세일’을 하기도 한다. 그야말로 모든 시민들이 이제 고용 해커들의 고객이 되는 셈이다.

이런 상황에서 그러면 이들 프리랜서 해킹에 어떻게 대응해야 할까. 이에 대해 사이버 보안 기업이나 전문가들은 나름대로 대응 방안을 제시하기도 한다. 우선은 이들 고용 해커들은 이메일 피싱을 출발점으로 사용하며, 이메일 박스 손상이나 데이터 유출 정도에 그치는 경우가 많다. 이는 악성코드가 반드시 필요하지 않을 만큼 손쉬운 수준이기 때문이다. 그럼에도 “기업이나 일반인 모두 이메일 피싱이나, 관련 사기행각에 대한 경각심을 높여야 한다. 가능한 한 이러한 공격자에 대한 보안 계층을 추가하기 위해 다중 요소 인증을 배포하는 것이 바람직하다”는게 전문가들의 권고다.

구글의 경우 앞서 언급한 ‘고위험 사용자’들에게 전문적 수준의 보호기능과 함께 구글 계정에 대한 향상된 안전 검색을 사용하도록 설정하고 모든 장치가 업데이트되도록 권장하고 있다. 무엇보다 “이메일 링크를 클릭할 때 나타나는 그 어떤 웹 페이지에 대해서도 인증해서는 안 된다. 사용자는 항상 서비스의 합법적인 페이지로 이동하여 링크를 사용하지 않고 인증해야 한다”는게 구글 태그의 조언이다.