당신의 개인정보를 노리는 해킹 공격
March 30, 2017

위시본

개인정보 대상의 해킹 공격은 꽤 흔한 편으로, 주변에서도 사례를 쉽게 찾아볼 수 있다. 해커는 탈취한 민감한 개인정보를 바탕으로 다른 웹사이트나 채널에 접근권한을 얻어 추가적인 해킹공격을 하거나, 그 정보를 하나에 20원~500원 정도의 가격으로 매매하기도 한다. 미국의 검색 엔진 야후는 지난 2014년, 해킹 공격으로 5억명 이상의 회원들의 개인정보를 도둑맞았다고 털어놓기도 했다. 이런 해킹 공격은 회원들의 불만을 키웠고, 야후와 버라이즌간의 인수합병 딜에도 매우 부정적인 영향을 끼쳤다. 또한, 현재까지의 수사에 의하면 러시아의 개입 의혹도 있어 사건의 심각성은 점점 더 커지는 중이다.

메이저 웹사이트들만 희생양이 되는 건 아니다. 회원 가입을 유도하고 정보를 수집하는 애플리케이션도 이런 해킹 공격의 타깃이 될 수 있다. 지난주 발표된 자료에 따르면, 해외의 십대들 사이에서 인기를 얻고 있는 '위시본(Wishbone)' 이라는 퀴즈 앱이 해킹을 당해 약 220만 개의 이메일 주소와 28만 개 이상의 이름과 전화번호가 유출됐다. 생년월일을 입력했던 회원들은 그 정보마저 완전히 유출됐다고 한다.

위시본이 해킹된 이유는, 해커가 앱의 API에 접근해 데이터베이스에 무단으로 접근할 수 있었기 때문이다. 위시본은 해킹 공격을 가능하도록 만든 보안 취약점을 수정했다고 밝혔지만, 이미 수많은 개인정보들이 유출된 이후였다. 이 사례는 철저한 보안 적용과 점검이 있었더라면 예방할 수 있었던 공격이어서 뒤늦은 처치가 더욱 아쉽게 느껴진다.

회원들의 소중한 개인정보를 지키고, 사업에 부정적인 영향을 끼치지 않기 위해서는 개발자들이 웹 서비스와 애플리케이션을 개발하는 과정에서 보안에 더욱 신경을 써야 한다. 우선 안전한 코딩을 실천해보기를 권한다. 코딩이란 것도 사람이 하는 일이어서 인간으로서 불가피한 실수가 있게 된다. 게다가 대다수의 개발자들이 짧은 시간 안에 프로젝트를 마치기 위해서 급히 코딩을 하는 경우가 많은데, 이런 경우에도 실수가 발생할 가능성이 크다. 아울러, 오픈소스 등 기존에 사용되던 코드를 복사하는 과정에서 이미 취약점을 가진 모듈을 재사용하는 경우도 있다. 이를 방지하기 위해서는 개발자들이 체크리스트를 수시로 참조하면서 실수를 미연에 방지하는 것이 좋다. 오픈소스의 이용이나 기존에 이미 제작된 코드의 무절제한 사용을 줄이는 것도 방법일 수 있다.

지속적인 업데이트와 패치도 보안에 큰 도움을 준다. 해커들이 충분한 시간과 노력을 투자하면 대부분의 보안은 우회할 수 있다. 또한, 새로운 버그와 제로데이 등 보안 취약점은 매일 발견되며, 해킹 기술도 하루가 다르게 발전하고 있다. 개발자들은 이런 현실에 대처할 수 있는 보안 업데이트와 패치를 제공해 지속적으로 보안을 강화시켜야 한다. 코드와 서버간의 커뮤니케이션을 암호화하고 난독화하는 방법도 추천한다. 해커들이 앱과 웹 서버간 통신을 쉽게 장악해 중요한 정보에 접근하는 경우가 흔하다. 이런 침입을 방지하려면 미리 모든 통신들을 암호화해야만 한다. 암호를 풀 수 있는 키를 코드에 숨겨놓는 경우가 많은 점을 감안하면 복호화 키가 쉽게 발견되지 않도록 코드 자체를 암호화, 난독화하는 일은 매우 중요하다.

충분한 보안을 미리 적용한다면, 야후나 위시본에게 발생했던 일처럼 회원들의 중요한 개인정보가 어처구니없는 규모로 유출되는 사태를 막을 수 있을 것이다.

조 성
샌프란시스코의 모바일 보안 전문 스타트업 'SEWORKS'에서 마케팅 총괄(Head of Marketing)로 일한다. '티파니 앤 코(Tiffany & Co.)'에서 글로벌 마케팅을 담당했고, 뉴욕 대학교(New York University)에서 국제 정치와 비즈니스(International Politics and Business)로 석사 학위를 받았다. 글로벌 비즈니스에 관심과 열정을 갖고 있다. 'SEWORKS'에서 일하며 느낀 보안의 중요성을 널리 알려, 전 세계 앱 개발자들이 해킹 공격으로부터 안전해지기를 바라고 있다.