안녕하세요 오늘은 ENA에서 절찬리에 종영한 <이상한 변호사 우영우> 드라마에서 나온
해킹 사건에 대해 간단히 알아보겠습니다.
작중 태수미의 아들 최상현이 온라인 쇼핑몰 ‘라온’을 해킹한 범인임을
직접 태수미에게 밝히는 내용이 나옵니다.
이 해킹사건으로 인해 라온은 ‘한바다’의 변호사를 고용했으며
라온의 고객들은 ‘태산’을 통해 개인 정보 유출 관련 공동 소송을 하게 됩니다.
실제 사례
<이상한 변호사 우영우> 작중에서 등장하는 가상의 온라인 쇼핑몰 기업
‘라온’에서 발생한 개인 정보 유출 사건은 실제 한 기업에서 발생한 사례와 매우 유사합니다.
2016년 5월 주식회사 '인터파크'에서 사내 PC 전산망이 해킹되어
약 2540만명의 고객 개인정보가 유출된 사건이 있었습니다.
해당 사건을 법무법인 ‘예율’에서 개인정보가 유출된 2403 명을 대리해
인터파크 상대로 소송을 한 사건이 있었습니다.
그 결과 인터파크 상대로 2016년 12월 최종 승소하여 재판에 참여한 피해자 2403명에게 1인당 10만원의 위자료 처분을 물었습니다.
또한 인터파크 측은 방통위 상대로 과징금 처분 불복 소송을 했으나
패소하여 최종 45억 원가량의 과징금을 물게 되었습니다.
이제 드라마의 내용을 살펴보면 작중 해커 최상현과 태수 미가 모자 관계라는 설정, 법무법인 한바다와 태산의 라이벌 관계 등
다양한 설정이 있지만 많은 부분이 흡사합니다.
예를 들어 개인정보보호에 대한 법을 어기는 기업들에게 억 단위의 과징금 처분을 내려
늑장대응을 보여주는 듯한 모습이라거나
개인정보 유출이 발생한 기업측에서는 과실을 인정하지 않고 불복 소송을 거는 등
여러 모습이 비슷하다고 할 수 있습니다.
또한 이러한 개인 정보 유출 사건은 보안의식이 부족한 중간관리직의 실책이 크다는 것입니다.
실제로 DB(데이터베이스)관리자가 동생이 보낸 것처럼 꾸며진 피싱 메일을 의심 없이
열어보는 모습에서도 느낄 수 있습니다.
APT(Advanced Persistent Threat) 지능형 지속 공격
-스피어 피싱-
천재 해커라 불리는 최상현이 라온을 해킹한 기법은 APT 공격입니다.
하지만 APT 공격은 지능형 지속 공격이라는 단어 뜻 그대로
지능적으로 지속적으로 공격하는 광범위한 해킹의 종류일 뿐입니다.
즉 최상현은 APT 기법에 속하는 ‘스피어피싱’이라는 더 세분화된 공격을 시도했습니다.
스피어 피싱은 기존의 불특정 다수의 개인정보를 캐내는 기법인 피싱에서 파생된
‘특정인’의 정보를 빼내기 위한 피싱 공격의 일종입니다.
실제로 드라마에서 온라인 쇼핑몰 라온의 DB(데이터베이스)를 운영하는 최진표 팀장을 타깃으로 한 피싱 메일이 도착했고 그걸 그대로 열어볼 최진표 팀장은 스피어 피싱을 당한 사실을
알게 되었습니다.
즉 이 내용을 정리하자면 최상현은 스피어 피싱을 통해 특정인(최진표)을 대상으로
피싱 메일(동생이 보낸 걸로 위장한 메일)을 보냈고 그 메일을 열람하여
APT 공격이 이루어진것입니다.
스피어 피싱 예방, 방지법
모든 해킹 공격이 완벽할 수 없는 만큼
정보보호 방지책 또한 완벽할 수 없습니다.
즉 아무리 수많은 대비책을 수립해도 모든 해킹 피해를 원천 차단할 수는 없습니다.
이번 우영 우에서 다루어진 스피어 피싱에 대한 해킹 피해는
중간관리자인 최진표 팀장의 실수로 인해 발생했다고 볼 수 있지만
실제 현실에서는 더 많은 다양한 변수가 존재합니다.
완벽한 정보보호는 없다고 할지언정
수많은 해킹 기법에 대한 방지법을 알아야 합니다.
기존에 많이 사용되던 피싱 대응 방안에 대해 알아봅시다
- 정기적인 보안 교육 : 스피어 피싱은 특정인에 대한 개인화된 이메일을 통해 메일이 전달되기 때문에 피싱 메일 탐지 설루션으로는 한계가 존재합니다. 그렇기에 가장 근본적인 정기적인 보안 교육을 통해 스피어 피싱의 위협에 대한 인식을 제고하는 방법입니다.
- 피싱 모의침투 훈련 : 스피어피싱의 위험성과 경각심을 일깨우기 위해 모의 침투 훈련을 진행하는 것
- 기술적 솔루션 : 메일에 첨부된 파일에 대한 세부적인 탐지 설루션,혹은 확장자 제한
- 공격 대상에 대한 내부적 모니터링 : 공격대상이 될 확률이 높은 특정인과 특정 재산에 대한 지속적인 모니터링 필요
관리적/기술적 설루션 두 가지의 종류로
이 정도의 방지책이 존재한다고 볼 수 있습니다.
사건 정리
해당 사건은 드라마의 내용을 다룬 만큼
최상현이 ‘천재 해커’라는 타이틀을 가지고 있어서
어느 정도 판타지에 불과하다고 생각할 수 있겠지만
실상은 전혀 다릅니다.
APT-스피어 피싱
2016년도 약 2500만 명의 개인정보가 유출된 인터파크 해킹 사건
2014년도 첨단 국방 산업전에서 대규모로 발송된 스피어 피싱 메일 등등
이 외에도 수많은 사례가 존재합니다.
아 물론 드라마 속에서는 메일 한번 잘못 열었다가 라온의 약 4000만 명 이상의
고객 개인정보가 유출되었는데 이 피해규모만이 제대로 된 현실성을 보여준다고 할 수 있겠습니다.
위 내용은 한국인터넷진흥원-개인정보 침해신고 센터에 접수된 개인정보 침해 상담 신고 건수입니다.
이 수치는 많은 의미를 담고 있습니다.
기사로만 쏟아지는 공, 사기업체의 개인정보 유출 수는 약 몇천만에 달합니다.
하지만 위 수치를 보면 자신의 개인정보 유출 여부조차도 인지하지 못하는 사람이 더 많다는 뜻이고
다른 의미로는 이렇게 많은 개인정보가 유출되고 있다는 점입니다.
마치며
드라마에서 비치는 해커의 모습은 신비하고 멋있습니다.
그렇기에 해커가 어떤 의도로든 해킹을 해 사건을 발생시켜도
‘천재’, ‘해커’라는해커’ 라는 수식어들만 붙으면 사람들은 범죄자도 옹호하기도 합니다.
하지만 드라마와 현실의 다른 점은 분명합니다.
현실에서는 굳이 천재가 아니더라도 타인에게 피해를 끼치는 일반적인 실력의 해커들도
수두룩하게 많으며 해킹은 아무나 함부로 해서는 안 되는 활동이며 그리 쉬운 기술도
아니라는 것을 알아야 합니다.
작중에서는 작품의 개연성과 개성을 위해 천재 해커라는 캐릭터를 부여받은 배우에게
약 4000만 명의만명의 개인정보를 탈취했다는 스토리가 부여되었겠지만
이건 절대로 가볍게 보고 넘길 수 있는 일이 아닙니다.
드라마에서 보이는 줄거리가 현실에서 너무 아무렇지도 않게 발생하고
무관심에 묻히고 있기 때문입니다.
조금 더 많은 사람들이 개인정보와 정보보안이라는 분야에
경각심을 가지고 살았으면 좋겠습니다.
감사합니다.
참고자료 및 출처
그림 1 – 이상한 변호사 우영우 이미지
그림 2 – 픽사베이, 저작권 프리 이미지
그림 3 – 픽사베이, 저작권 프리 이미지
그림 4 - 스피어피싱 이미지 자체 제작
그림 5 – 픽사베이, 저작권 프리 이미지
그림 6 – 픽사베이, 저작권 프리 이미지
그림 7 – 한국인터넷진흥원 자료제공
우영우 드라마 줄거리 : https://www.insight.co.kr/news/408458
우영우 드라마 줄거리 2 : https://www.insight.co.kr/news/408374
우영우 해킹 기법 정리 : https://mobile.newsis.com/view.html?ar_id=NISX20220819_0001984227#_enliple
APT 공격 정리 : https://brunch.co.kr/@ka3211/23
스피어 피싱 정의&해결법 : https://m.blog.naver.com/skinfosec2000/220591191289
Apt - 스피어피싱 관련 정리 https://blog.alyac.co.kr/163
스피어피싱 방지법 논문 : https://koreascience.kr/article/JAKO201303840302801.pdf
개인정보 유출 동향 : https://blog.lgcns.com/2787
개인정보 유출건수 : http://m.ddaily.co.kr/m/m_article/?no=202756
우영우 해킹 관련 정리 https://biz.chosun.com/opinion/journalist/2022/08/26/N7TNWZB7PZGLJDF3LLQ536EZDU/
'정보보안 > 보안뉴스' 카테고리의 다른 글
| 카카오 데이터센터 화재 사건과 정보보안의 관련성 (0) | 2022.10.23 |
|---|---|
| 네이버 애드포스트 사용자 개인정보 유출사례 (0) | 2022.10.09 |
| 이상한 변호사 우영우 속 해킹사건으로 알아보는 개인정보보호법 (0) | 2022.09.26 |
| 국방부 인트라넷 해킹사건에 대한 나몰라식 대응과 허술한 보안 - 정보보호 뉴스레터, 보안기사 (0) | 2022.08.25 |
| 여기어때에서 발생한 개인정보 유출사건 ++ SQL Injection, 여기어때 (0) | 2022.04.29 |
댓글