[정보보호법바로알기 29] 해커의 사랑법

남녀 간의 연애법과 사랑방정식으로 살펴본 해커들의 공격유형

해커가 상대방 마음 얻는 방법, ‘보안’에 응용할 수 있어

[보안뉴스=법률사무소 민후 김경환 대표변호사] 해커의 공격과 상대방의 방어는 흔히 창과 방패에 비유된다. 해커는 상대방의 시스템을 분석한 다음 어떤 공격을 하면 가장 잘 뚫릴까를 고민하고, 상대방은 예상되는 공격방법을 분석한 다음 어떤 방어를 하면 가장 잘 막을 수 있을까를 고민한다.

마치 펜싱이나 검도 선수들의 공격 및 방어와도 같은 구조이다. 창과 방패의 구조는 해킹에만 있는 것은 아니다. 남녀 간의 연애도 창과 방패로 볼 수 있지 않을까.

대체로 남자가 좋아하는 여자의 마음을 얻기 위해 온갖 시도를 하고, 여자는 남자에게 마음을 주기 전까지 방어하면서 남자의 시도를 좌절시키기도 한다. 그렇다면 해커는 어떤 식으로 상대방의 마음을 얻을 수 있을까?

먼저 ‘DoS(Denial of Service)’ 공격을 할 수 있다. DoS 공격이란, 시스템을 의도적으로 공격해 해당 시스템의 자원을 부족하게 하여 동작을 마비시키는 서비스 거부 공격이다.

해커는 좋아하는 이성에게 DoS 공격을 하여, 상대방에게 빈 시간을 주지 않고 아침부터 밤까지 온갖 애정 공세를 취함으로써 마음을 얻을 수 있다.

아침에 이성의 집에 도착해 이성을 학교나 직장에 태워주거나 대중교통 수단을 이용해 데려다주고, 수업도 같이 들으면서 필기 및 숙제도 대신 해주고, 점심이나 커피도 사주면서 쇼핑 갈 때에는 같이 따라가서 짐을 들어주기도 한다.

그리고 틈나는 대로 선물공세도 하며 저녁이면 집까지 안전하게 데려다 주거나 이성의 빈 시간을 완전히 소멸시킴으로써 이성이 다른 사람에게 접근하거나 세션 연결되는 것을 원천 차단해 이성의 마음을 얻는다.

또한 혼자의 힘으로 부족할 때는 ‘DDoS(디도스, Distributed Denial of Service)’ 공격도 할 수 있다. DDoS 공격이란 수십 대에서 많게는 수백만 대의 좀비 PC를 원격 조종해 동시에 서비스 거부 공격을 하는 방법을 말한다.

혼자만의 애정 공세가 힘들 때는 주변의 친구나 지인의 도움을 받아 DDoS 공격을 함으로써, 이성이 다른 사람에게 접근하거나 세션 연결되는 것을 원천 차단해 이성의 마음을 얻을 수 있다. 여기서 주변의 친구나 지인이 DDoS의 좀비 PC가 되는 것이다.

다른 공격 방법으로는 ‘스푸핑(spoofing)’이 있다. 스푸핑이란 다른 컴퓨터의 IP 주소를 자신의 것인 양 바꾸어서 이를 통해 해킹을 하는 방법이며 스푸핑의 핵심은 주체성을 속이는 것이다.

자기가 굉장히 잘 나가는 사람처럼 보이는 것, 돈이 많은 것처럼 보이는 것, 굉장히 사려 깊은 사람처럼 보이는 것, 착한 사람처럼 보이는 것, 부지런한 사람처럼 보이는 것, 청결한 사람처럼 보이는 것, 지적인 사람처럼 보이는 것, 몸 좋은 사람처럼 보이는 것 등 상대방이 원하는 항목이면 더 열심히 스푸핑을 해야 할 필요가 있다.

또 ‘스니핑(sniffing)’이라는 방법도 있다. 스니핑이란 네트워크상에서 다른 상대방들의 패킷 교환을 엿듣는 공격방법을 말한다.

좋아하는 이성의 최측근과 가까워져서 그로부터 정보를 캐내는 것, 이성의 집안 식구들과 친밀해져서 식구들로부터 이성의 시시각각 상황을 접하는 것, 좋아하는 이성의 전화통화 내용을 유심히 엿듣는 것 등등. 하지만 이성 몰래 이성의 스마트폰이나 일기 등에서 정보를 얻게 되면 불법이 되니 조심해야 할 필요가 있다.

단순히 정보를 엿듣는 것에서 만족하지 않고, 이성이 화장실 간 사이에 이성의 스마트폰에 와 있는 경쟁자의 문자에 이성 대신에 답해주는 것, 이성이 참여하지 않았으면 하고 바라는 모임에 이성 몰래 참여하지 않는다고 답해 주는 것 등은 능동적 스니핑으로 불리는 ‘세션 하이재킹(session hijacking)’이 될 수 있다.

처음 이성을 만나는 자리라든지, 이성의 기분이 좋지 않을 때에는 ‘포트스캔(port scan)’을 해야 한다. 포트스캔이란 해당 시스템의 포트 중 열려 있는 포트를 검색하는 것이다.

처음 이성을 만났을 때에는 이성이 좋아하는 취미나 관심사를 빠르게 찾는 것이 세션 연결이나 관계 증진에 도움이 되며, 이성의 기분이 좋지 않을 때에는 어떤 화제나 대화가 이성의 기분을 풀어줄 수 있는지 스캐닝을 해 보아야 한다.

이성이 오랫동안 사귀었던 옛 연인과 막 헤어졌을 때나 이성이 매우 힘든 시기를 겪고 있을 때 등 이성의 판단력이 흐릴 때 로직의 변경을 시도하는 공격 방법도 있는데, 예컨대 ‘SQL 인젝션(SQL injection)’이 그것이다.

‘SQL 인젝션’이란 DB에 접근하기 위한 SQL 구현의 취약성을 이용해 DB 권한을 얻는 방법이다.

해커는 옛 연인을 대신해 빈자리를 채워준다든지 또는 힘든 시기를 같이 겪으며 아픈 마음을 위로해 줌으로써, 판단력이 흐려진 이성의 마음에 쉽게 파고드는 것이다.

데이터를 과도하게 보내는 ‘버퍼 오버플로(buffer overflow)’의 방법도 가능한데, 예컨대 분위기를 좋게 만들어서 이성의 주량보다 더 많은 술을 섭취하게 하는 방법이 그것이다. 자신의 주량보다 많은 술을 마신 이성은 평상시에 굳게 닫아 두었던 마음을 쉽게 열게 되는 것이다.

해커가 상대방의 마음을 얻는 방법은 보안에도 응용할 수 있다. 해커가 접근하기 어려운 이성, 해커가 공격을 시도해도 꿈쩍하지 않는 이성, 해커에게 스푸핑이나 스니핑을 당하지 않는 이성, 해커에게 항상 화가 나 있는 이성, 어떤 경우에도 논리적 판단을 하는 이성, 부적절한 데이터 입력에도 마음의 문을 열지 않는 이성이 되는 것이 보안이라 생각한다.

[글_법률사무소 민후 김경환 대표변호사(hi@minwho.kr)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)