[단독]노트북으로 만든 가짜 무선접속장치로 스마트폰 통신 해킹 시연해보니…

폰, 포털에 로그인 하자마자 ID-비밀번호-메일내용 줄줄이

크게보기

지난달 28일 오전 10시 UNIST(울산과기대) 공학2관 연구실. 연구실 앞에서 기자를 맞은 서의성 전기전자컴퓨터공학부 교수는 인사 대신 “무선인터넷이 되면 e메일함을 한번 열어보라”고 말했다. 기자는 별 생각 없이 스마트폰이 ‘네스팟’이라는 이름의 무선접속장치(AP·Access Point)에 연결된 것을 확인한 뒤 평소 즐겨 쓰는 포털 홈페이지에 들어가 ID와 비밀번호를 넣고 ‘로그인’했다.

스마트폰 화면에 새로 온 e메일 목록이 나타났다. 그 순간 서 교수는 “해킹이 끝났다”면서 “ID가 ‘hhlee389’가 아니냐”고 물었다. 놀라서 서 교수 쪽을 보니 책상 위에 노트북PC가 보였다. 노트북 화면에는 기자가 스마트폰으로 포털사이트에 접속한 ID뿐 아니라 비밀번호와 e메일을 주고받은 내용까지 고스란히 나와 있었다. 기자는 스마트폰으로 인터넷에 접속할 때 ‘통신망이 해킹됐다’는 것을 알려주는 어떠한 신호도 받지 못했다.

○ 가짜 AP로 ‘보안 인증키’ 중간에서 가로채

기자는 일반 사람들처럼 속도가 느리고 값이 비싼 이동통신망(3G) 대신 빠르게 인터넷 서핑을 하기 위해 익히 알고 있는 무선랜(와이파이) 접속장치를 찾아 접속했을 뿐인데, 서 교수 연구팀은 개인 정보를 다 빼냈다. 서 교수는 “ID나 비밀번호는 인증키가 있어야만 볼 수 있도록 특별히 암호화돼 있지만 해커가 중간에서 ‘키’를 가로챌 경우엔 속수무책으로 당할 수 있다”고 말했다.

무선랜이 보안에 취약하다는 것은 어제오늘 알려진 얘기가 아니다. 이미 보안업계에서는 수년 전부터 일반적인 무선랜 접속 암호 방식은 쉽게 해킹될 수 있다고 경고해왔다. 또 지난해 12월 8일 한국인터넷진흥원이 개최한 ‘웹사이트 보안 강화 콘퍼런스’에서는 가짜 무선랜 접속장치를 통한 스마트폰 정보 해킹 시연을 했다.

정보통신업계는 이런 취약점을 보완하기 위해 유선인터넷상에서 사용했던 SSL(Secure Sockets Layer) 인증 방식을 무선에 도입했다. SSL은 스마트폰, 컴퓨터 등을 켜고 인터넷 사이트 서버에 처음 접속할 때 사용자와 서버가 서로 ‘열쇠(key)’를 주고받는 방식이다. 일단 접속한 뒤에는 부여받은 열쇠인 ‘SSL 인증키’를 이용해 정보를 주고받을 수 있다. SSL 인증키는 국가 공인된 인증기관에서만 발급할 수 있기 때문에 보안성이 높다. 공인인증기관은 금융결제원, 한국증권전산, 한국정보인증, 한국전산원, 한국전자인증, 한국무역정보통신 등 6개 기관이다.

하지만 서 교수팀은 가짜 AP를 이용해 SSL 인증키를 단 1초 만에 해킹했다. 기자가 처음 접속했던 ‘네스팟’은 KT가 제공하는 진짜 무선랜 AP가 아니라 해킹을 위해 연구팀이 만든 ‘가짜 AP’였다. 서 교수가 노트북PC 바닥 덮개를 열자 노트북 한쪽 귀퉁이에 엄지손톱 두 개만 한 크기의 부품이 꽂혀 있었다. 노트북PC가 AP 역할을 할 수 있게 만드는 부품으로 1만 원 정도면 누구나 쉽게 살 수 있다.

기자가 ‘가짜 네스팟’에 접속해 서버에 인증키를 요청하자 ‘가짜 AP’는 기자에게 ‘가짜 SSL 인증키’를 제공했다. 동시에 인터넷 사이트로부터 전송된 ‘진짜 SSL 인증키’는 연구팀의 컴퓨터에 저장했다. 그런 다음 기자의 스마트폰과 인터넷 사이트를 연결해줬다. 이 과정에서 기자의 개인정보와 서핑 내용이 연구팀에 고스란히 노출된 것이다. 서 교수는 “양쪽에 대한 비밀 키를 모두 알고 있기 때문에 기자와 서버가 각각 보낸 정보 모두를 읽어낼 수 있다”며 “사용자와 서버는 자신이 해킹당한다는 사실을 알 수조차 없다”고 설명했다.

○ 전산학 전공 대학생, 2주면 해킹 가능한 기술

더욱 놀라운 것은 서 교수팀이 이번에 시연한 해킹이 전산학을 전공하는 대학생이라면 1, 2주 만에 구현할 수 있을 만큼 어렵지 않은 기술이라는 점이다. 실제로 이날 시연한 해킹 프로그램도 UNIST 2학년 학부생이 2주 만에 만든 프로그램이었다.

서 교수는 “이번 시연에서는 단순히 ID와 비밀번호를 알아내 e메일을 보기만 했지만 같은 방식으로 사용자인 척 가짜 e메일을 보내고, 사용자에게 오는 e메일을 누락시킬 수도 있다”며 “암호화된 정보를 조작하기 때문에 기존 해킹 방식보다 훨씬 더 위험하다”고 말했다.

현재 SSL 인증은 인터넷 통신 기술 표준으로 국내 웹사이트 대부분에 적용되고 있다. 기자는 해당 포털 외에 다른 웹사이트의 SSL 인증도 같은 방식으로 해킹할 수 있는지 궁금했다. 연구팀은 기자와 연구원들의 허락을 받아 유명 포털, 소셜미디어 홈페이지, 정부 산하 홈페이지 등 10곳의 접속 ID와 비밀번호를 빼내기로 했다. 실험 결과 자체 암호화 단계를 추가로 둔 네이버와 넥슨 두 곳을 제외하고는 ID와 비밀번호가 모두 쉽게 유출됐다.

기자와 서 교수팀이 이야기하는 동안에도 끊임없이 노트북 컴퓨터에는 인터넷 개인정보가 업데이트됐다. ‘가짜 네스팟’을 사용하고 있는 사용자의 ID나 비밀번호가 실시간 해킹되고 있다는 뜻이다. 서 교수는 “악의를 가진 사람이 지하철역이나 기차 안과 같은 공공장소에 불법 인터넷 접속 장치를 설치한다면 불특정 다수가 해킹 피해를 입을 수 있다”며 “대부분의 스마트폰은 한번 접속했던 AP에 자동 접속하도록 설정돼 있기 때문에 파장이 클 것”이라고 말했다.

울산=이영혜 동아사이언스 기자 yhlee@donga.com@@@
:: AP(Access Point·무선접속장치) ::

인터넷을 연결해 데이터 통신을 가능하게 하는 중계 장치. 사용자가 이동하면서 인터넷을 사용할 수 있다. 최근 스마트폰 사용자가 늘면서 수가 급증했다.

:: Wi-Fi(Wireless Lan·근거리 무선통신기술) ::

무선접속장치(AP)가 설치된 지점의 일정 거리 안에서 무선인터넷 통신을 할 수 있는 근거리 통신 기술.

:: SSL(Secure Sockets Layer) ::

인터넷 사용자와 서버가 인증기관에서 발급한 비밀 키를 암호로 정보를 교환하는 방식. 공인된 인증기관에서만 ‘키’를 발급하기 때문에 보안성이 높은 것으로 알려져 있다.