“스마트폰 해킹, QR코드 찍자 30초만에 끝”

■ 첫 금융권 주도 해킹방어대회 ‘시큐인사이드’ 가보니

‘시큐인사이드 2011’ 해킹방어대회가 서울 강남구 역삼동 리츠칼튼호텔에서 24일부터 이틀간 밤낮없이 진행됐다. 35개국 400개 팀이 예선을 치러 본선에 진출한 8개 팀 해커들이 제시된 문제를 풀기 위해 안간힘을 쓰고 있다. 홍진환 기자 jean@donga.com

“스마트폰으로 QR코드(격자무늬 바코드)를 찍는 것만으로 어떻게 통화기록, 사진정보를 비롯한 금융거래 정보 등을 단숨에 해킹할 수 있는지 직접 보여드리겠습니다.”

해킹방어대회 및 정보보호 콘퍼런스인 ‘시큐인사이드(Secuinside) 2011’이 열린 25일 서울 강남구 역삼동 리츠칼튼호텔 한편에서는 즉석에서 삼성 갤럭시 제품을 통한 해킹 시연이 펼쳐졌다. 스마트폰으로 QR코드를 찍자 유령 웹사이트에 접속되면서 악성코드가 자동 다운로드된 뒤 실행됐고 불과 30초 만에 휴대전화 안의 모든 정보가 줄줄이 유출됐다. 금융거래 정보는 물론이고 공격자가 문자로 명령어를 보내자 녹음기능이 작동돼 도청까지 가능했다. 이런 해킹은 악성코드 감염 여부를 알아보는 프로그램을 설치해도 제대로 걸러낼 수 없도록 돼 있어 사용자는 피해 여부조차 인지할 수 없다. 안드로이드 운영체제의 보안상 결함을 이용한 삼성 갤럭시 제품 해킹 시연은 이 자리에서 최초로 공개된 것이다. 유동훈 아이넷캅 연구소장은 “해킹 툴만 알면 전문 해커뿐 아니라 초보자도 몇십 초 만에 모든 정보를 해킹할 수 있다”며 “이렇게 해킹된 ‘좀비폰’이 3G망에 접속할 경우에는 피해 규모가 엄청나게 확산될 수 있지만 이에 대한 문제의식은 낮다”고 말했다.

올해 농협 현대캐피탈 등 금융회사에서 대형 해킹사고가 잇따라 발생했는데도 정작 금융보안의 중요성에 대한 인식은 미흡한 상태다. 코스콤과 동아일보는 국내외 우수 보안전문가 발굴 및 국내 금융보안 환경 개선을 목적으로 24일부터 이틀간 ‘시큐인사이드’를 개최했다. 35개국, 400개 참가팀 중 예선을 통과한 8개 팀이 해킹방어대회 본선에 진출해 실력을 겨루는 한편 국내외 유명 해커들이 해킹과 관련된 새로운 위험과 트렌드, 대응 방안 등을 교류하는 콘퍼런스 등을 함께 가졌다.

이번 행사에 참가한 국내 보안전문업체들은 중국 해커들이 국내 지방자치단체, 기업 홈페이지를 해킹하는 과정을 시연했다. 인터넷 게시판 등을 통해 공유되는 해킹 툴에 구글 검색 몇 번만으로 한 지자체 홈페이지에 수록된 개인정보가 1, 2분 만에 모두 새나갔다. 씨엔시큐리티 금재덕 부장은 “해킹 툴 공유에서 유출된 개인 정보의 거래에 이르기까지 중국 해킹은 상상 이상으로 광범위하고 조직적으로 이뤄지고 있다”고 말했다. 전문가들은 △신뢰할 수 없는 사이트나 ‘어플’ 주의하기 △발신인이 불명확한 e메일은 바로 삭제 △운영체제와 백신프로그램 최신버전 업데이트 등을 실천하는 정도가 개인이 할 수 있는 대응책이라고 소개했다.

이날 해킹방어대회에서는 최근 농협 사태를 재현한 듯한 문제들이 출제돼 눈길을 끌었다. 외부 직원의 노트북에 악성코드를 감염시킨 뒤 시스템 제어권을 탈취해 기밀정보를 빼오도록 하거나 개인 금융거래나 기업 전산망에 접속할 때 주로 사용하는 일회용 비밀번호를 탈취하도록 한 문제들이었다. 해킹대회 현장에는 노트북마다 콘솔화면(서버에 명령어를 입력하는 화면)을 띄워 놓고 정신없이 키보드를 두드리는 해커들의 침묵 속 신경전이 팽팽했다. 김승주 고려대 정보보호대학원 교수는 “한국은 정보기술(IT)인프라 구축 수준에 비해 보안의식이 유난히 취약해 특히 금융부문에서 대형사고가 발생할 위험이 매우 높다”며 “보안전문가들을 발굴하고 국내외 최신 정보를 수집하는 등 해킹 위협에 신속하게 대응할 수 있는 체계를 구축해야 한다”고 말했다. 한편 올해 해킹방어대회 우승은 미국 카네기멜런대의 PPP(Plaid Parliment of Pwning)팀이 차지했다.

박선희 기자 teller@donga.com