사이버 하이재킹의 정의와 9가지 대표적 유형

미국 서부시대 강도들이 강제로 마차를 세우며 마부에게 ‘하이 잭(Hi, Jack)’이라고 말했던 것에서 유래 되었습니다. 현재는 주로 항공기 납치의 의미로 사용되고 있습니다. 사상 최악의 항공기 사고로 여겨지는 911 테러가 바로 이 하이재킹 범죄에 해당합니다.

사이버 하이재킹이란 공격자가 IT 시스템의 제어권을 탈취하여 시스템을 악의적인 용도로 이용하는 형태의 공격을 의미합니다. 공격 대상은 개인용 컴퓨터나 모바일 뿐 아니라 라우터, 기업용 서버 등 거의 모든 종류의 장치가 해당됩니다. 사이버 하이재킹을 통해서 해커는 시스템을 조종하여 개인 정보, 기업의 민감 정보 등에 불법적으로 접근을 할 수 있습니다. 간혹 은행 정보까지 탈취를 하여 금전적인 손해를 입히기도 합니다. 이런 하이재킹은 시스템에 존재하는 보안 취약점을 통해 공격자가 침입한 뒤 발생합니다.

사이버 하이재킹의 뜻을 위에서 설명을 했지만 무엇인지 잘 감이 오지 않을 수 있습니다. 실제로 국내에서 발생한 사이버 하이재킹의 사례를 한 번 살펴봅시다.

2017년 4월 ‘여기어때’ 라는 국내의 숙박 어플리케이션에서 하이재킹 피해를 입었던 적이 있습니다. 해커들은 ‘세션 하이재킹’이라는 방법을 이용하여 관리자 권한을 탈취하였습니다. 세션 하이재킹을 하기 위해서는 해커가 XSS(크로스 사이트 스크립팅)이라는 방법을 사용하는데요. 주로 악의적인 스크립트를 미리 웹사이트에 심어둡니다. 그리고 그 스크립트를 통해 수집된 쿠키를 받아내고, 세션을 가로챕니다. 세션 하이재킹에 대해서는 이 글의 아래에서 좀 더 설명할 예정입니다.

이로 인해서 회원 99만명의 개인정보 341만건이 유출되었습니다. 당연히 해커들은 경영진에게 거액의 금전을 요구하였습니다. 거래를 거부하자 해커들은 어플리케이션 사용자들에게 장난 문자를 보내며 조롱하기 시작했습니다. ‘여기어때’ 기업은 결국 사용자들에게 집단 소송을 당했으며, 그 결과 거액의 손해배상을 해야 했습니다. 회원들에게 신뢰를 잃었고, 많은 회원들이 앱 이용을 중단하였습니다. 국내 최대의 숙박 앱에서도 하이재킹에 대비하는 보안 시스템이 제대로 갖추어져 있지 않다는 것이 여실히 드러난 셈입니다.

‘사이버 하이재킹’이란 용어가 꽤나 생소한 탓에 우리와는 꽤나 먼 일로 여겨질 수 있습니다. 하지만 누구나 하이재킹 공격을 당할 가능성은 언제든지 있습니다. 그렇다면 공격을 당할 경우 어떤 피해를 보게 될까요? 다음과 같은 피해가 나타날 수 있습니다.

• 

  해커가 계정이나 시스템 권한을 취득하여 소셜 엔지니어링 기법으로 피싱 범죄를 일으킬 수 있습니다. 가족, 친구, 동료, 고객 등에게 신원을 사칭하며 사기 범죄를 저지릅니다. 당신이 하지 않은 일로 주변 사람들에게 오해를 사게 되어 곤란해 집니다. 주변인들은 당신이 요청한 것으로 믿고 돈을 송금하여 금전적인 손해를 얻게 되는 경우가 많습니다.
• 

  해커가 시스템에 있는 민감 정보를 빼돌려 악용하고, 심지어는 정보를 돈을 받고 외부에 판매하기도 합니다. 기업이 정보를 제대로 관리하지 못한 것을 고객들과 거래처가 알게 된다면 신뢰를 잃게 됩니다. 신뢰를 잃으면 거래가 중단되고, 이는 반드시 매출의 하락으로 이어집니다.
• 

  금융 관련 정보가 유출되어 해커가 금융 시스템에 접근하게 될 경우에는 금전적 손해도 감수해야 합니다. 해커가 당신의 신용 카드로 결제를 하거나 돈을 다른 계좌로 이체할 수도 있습니다. 일단 해커의 계좌로 송금된 금액은 다시 찾기가 매우 어렵습니다. 비트코인 지갑 등으로 송금되었다면 불가능하다고 봐야합니다.
• 

  개인 사생활이 유출되어 해커에게 공갈 협박을 받게 될 수 있습니다. 금전을 요구하며, 승낙하지 않을 시 사진이나 영상을 유포하겠다고 협박하는 형태입니다. 이는 온라인 공갈죄에 해당합니다.
• 

  피해 입은 시스템을 복구하기 위하여 시간과 비용이 들어갑니다. 일부 손실된 데이터들은 노력에도 불구하고 끝끝내 복구할 수 없을 수도 있습니다. 또한 시스템이 정상화 되는 동안 비즈니스를 제대로 운영할 수 없어서 경영상 손실을 얻게 됩니다.

이와 같은 피해의 공통점은 한 번 당하면 보상을 받기 힘들다는 것입니다. 사실 공격자가 국내에 없는 경우가 비일비재합니다. 만약 운이 좋아 범인을 잡는다고 해도 실제적으로 보상을 받기는 힘듭니다. 그러므로 피해를 당하기 전에 먼저 예방을 철저히 하는 것이 최선입니다.

사이버 하이재킹 기법은 나날이 진화하고 다양해지고 있어서 사용자들을 혼란스럽게 합니다. 하지만‘지피지기면 백전백승’ 이라는 말이 있습니다. 적을 알고 나를 알 때에 하이재킹 범죄로부터 잘 대비해서 우리의 시스템을 지킬 수 있습니다. 사이버 하이재킹에는 어떤 유형이 있는지 하나씩 같이 살펴보며 알아봅시다.

브라우저 하이재킹이란 공격자가 브라우저 설정을 변경하여 제어하는 형태의 하이재킹을 말합니다. 브라우저를 통해서 하는 활동을 모두 감시하고, 엉뚱한 사이트로 보내기도 합니다. 브라우저 하이재킹이 얼마나 위험할까요? 브라우저 하이재커 프로그램에는 스파이웨어라고 불리는 악성코드가 심어져 있을 확률이 큽니다. 이 스파이웨어를 통해서 사용자 개인 정보, 사업상의 기밀 정보 등이 그대로 해커에게 전송되어 타인에게 유포될 수 있습니다.

도메인 하이재킹이란 등록되어 있는 도메인을 불법적으로 이전하는 것을 의미합니다. 해커가 소셜 엔지니어링 또는 이메일 해킹 등을 이용하여 도메인 등록 시스템에 접속을 합니다. 그리고 등록 기관에 등록된 정보를 해커의 것으로 바꾸어 버리면 사용자의 도메인이 탈취되는 것입니다. 아래에서 볼 DNS 하이재킹과 언뜻 비슷하게 느껴질 수 있으나, 도메인 하이재킹은 기술적인 하이재킹이라기 보다는 소셜 엔지니어링 또는 스캠에 가깝습니다.

DNS 하이재킹이란 사용자가 보냈던 DNS 쿼리를 가로채서 원래 목적지가 아닌 다른 악성 웹사이트로 트래픽을 유도하는 것을 말합니다. 다른 말로 DNS 리디렉션, DNS 포이즈닝으로 부르기도 합니다. 대표적으로 ‘DNS 스푸핑’ 이라고 불리는 방식의 공격을 많이 사용합니다. 이는 DNS 쿼리를 가로채어 본래의 사이트 IP가 아닌 악성 웹사이트 IP 주소를 응답으로 보내주는 형태의 공격입니다. 또 다른 공격 방식은 ‘캐시 포이즈닝’이 있습니다. 이는 해커가 잘못된 정보를 DNS 캐시에 저장하고, 그렇게 DNS 쿼리가 엉뚱한 응답을 하도록 만드는 것입니다.

세션 하이재킹이란 한마디로 사용자가 체결한 인증 상태를 가로채는 공격 행위입니다. 로그인이 필요한 시스템이라면 서버가 ID와 PW, 또는 OTP 등의 다른 인증 방법으로 사용자 확인을 합니다. 그러면 서버가 신뢰할 수 있는 클라이언트로 생각을 하고 네트워크 세션을 만들어내고 통신을 시작합니다. 해커는 네트워크 세션에 끼어들어서 마치 인증된 사용자인 척 서버와 통신을 주고받습니다. 2000년대 초반에 많이 이용된 해킹 기법이며 아직도 이용되고 있습니다.

클립보드란 사용자가 복사 및 붙여 넣기 기능을 사용할 때 필요한 메모리를 말합니다. 이 클립보드에 저장된 내용을 해커가 멀웨어를 통해 바꿔치기를 할 수 있습니다. 예를 들어, ‘가나다’라고 복사를 하였는데 해커가 클립보드 버퍼의 내용을 ‘마바사’로 바꿔 버리는 식입니다. 아주 단순해 보이는 공격이지만 현재 많이 사용되고 있습니다. 비트코인 지갑 주소를 사용자도 모르게 바꿔치기 하여 엉뚱한 곳으로 송금을 하게 만들고는 합니다.

검색 엔진 결과 페이지(SERP)에서 당신의 웹사이트가 삭제되고, 해커가 만든 다른 웹사이트로 대체되는 공격입니다. 이는 302 리디렉션이라는 HTTP 프로토콜을 이용한 공격입니다. 해커의 웹사이트로부터 당신의 웹사이트로 302 리디렉션 설정을 해 두면 검색 엔진은 해커의 웹사이트가 원본 사이트라고 착각을 합니다. 웹 크롤러는 원본이라 착각한 해커의 웹사이트를 SERP 상위에 노출시킵니다. 이는 한 마디로 당신의 트래픽을 하이재킹 하는 방법입니다. 검색 엔진이 많이 발전됨에 따라서 현재는 발생 빈도가 많이 줄었습니다.

인터넷 서비스 공급업체(ISP)의 BGP(Border Gateway Protocol) 취약점을 이용한 공격입니다. MITM 공격의 일종으로, BGP 라우터를 거쳐가는 트래픽을 다른 곳으로 유도하는 것입니다. 해커가 본인이 소유하지 않은 IP를 본인 소유라고 주장합니다. 그러면 BGP 라우터가 해커 소유의 네트워크로 트래픽을 보내게 됩니다. 이 하이재킹은 개인이 하기에는 너무 난이도가 높아서 대규모 해커 조직에 의해 수행되는 경우가 많습니다.

QRL 재킹은 전 세계인이 사용하는 메신저 왓츠앱(Whatsapp) 해킹으로도 잘 알려져 있습니다. QR 코드란 Quick Response Code의 줄임말로, 정사각형 모양의 바코드를 의미합니다. 요즘은 ID, 패스워드 입력 없이 QR 코드 스캔만으로 웹사이트에 로그인 할 수 있습니다. 이를 악용해서 해커가 가짜 QR 코드를 만들고, 사용자 트래픽을 유인하여 그 QR 코드를 스캔하게 만듭니다. 그러면 해커의 서버로 사용자 인증 정보가 전송되고, 그때부터는 해커가 세션을 하이재킹 할 수 있게 됩니다.

이메일 하이재킹은 원본 이메일을 가로채서, 그에 대해 ‘회신’ 또는 ‘전달’하는 형식으로 악의적인 이메일을 수신자에게 전송합니다. 해킹 프로그램이 만들어 낸 이메일은 악성 PDF 파일을 첨부하였는데, 마치 정상적인 파일인 것처럼 속여서 열어보도록 유도합니다. 대표적으로 악성코드 ‘칵봇(Qakbot)’과 ‘범블비(Bumblebee)’가 있습니다.

어떻게 하면 하이재킹을 예방할 수 있을까요? 하이재킹을 예방하기 위해서는 보안에 대한 지속적인 관심과 관리가 필요합니다. 여기에 하이재킹으로부터 우리 자신을 지키기 위한 방법들이 나와 있습니다. 이대로 실천한다면 우리의 소중한 시스템을 공격자로부터 지킬 수 있을 것입니다.

• 

  보안 VPN: 공격자가 중간에 끼어드는 것을 막아주는 VPN을 사용하십시오. VPN의 바이러스 및 위협 방지 기능이 각종 멀웨어, 트래픽 감시, 악성 광고로부터 사용자를 보호합니다. 많은 하이재킹의 기법이 멀웨어를 사용하거나 당신의 트래픽을 트래킹하여 얻어낸 정보로 사기를 치는 것입니다. VPN은 멀웨어를 미리 감지합니다. 또한 트래픽이 암호화 되므로 사용자가 주고받는 정보를 숨겨줍니다. 이렇게 하이재킹의 위험요소를 원천 차단할 수 있습니다.
• 

  안티 바이러스 프로그램 사용: VPN과 더불어 안티 바이러스 제품을 사용하여 멀웨어, 악성코드 등이 시스템에 침입하는 것을 막을 수 있습니다. 정기적으로 스캔을 하면 시스템에 존재하는 하이재킹의 위험성을 미리 탐지할 수 있습니다.
• 

  로그인 정보 관리: 아이디, 비밀번호를 사용하고 있다면 영문, 숫자, 특수문자를 혼용한 강력한 비밀번호로 설정하십시오. 또한 주기적으로 비밀번호를 변경해야 합니다. 그리고 가능하다면 2채널 인증(2 Factor Authentication) 또는 다단계 인증(Multi Factor Autentication)을 사용하는 것을 권장합니다. 다단계 인증이 설정되어 있다면 해커가 아이디와 비밀번호만으로 하이재킹을 시도할 수 없습니다. Google Authenticator 설정이 가능한 경우 이를 잘 활용하는 것도 좋은 방법입니다.
• 

  안전한 웹사이트 방문: 아무 웹사이트나 방문하여 브라우징 하다가 하이재킹의 피해자가 될 수 있습니다. 웹사이트 방문 시 항상 뭔가 수상한 점이 있는지 살펴보시기 바랍니다. 브라우저 주소창의 자물쇠 모양을 클릭하면 SSL 인증서 정보를 열어볼 수가 있습니다. 해당 웹사이트가 공인 인증기관으로부터 SSL 인증을 받은 웹사이트인지 확인해 보시기 바랍니다.
• 

  소셜 엔지니어링 주의하기: 이메일, 메시지 등으로 오는 메시지에 즉각 반응하지 마십시오. 혹시 첨부 파일이나 링크 등이 포함되어 있다면 바로 삭제해 주세요. 소셜 엔지니어링은 해커가 아주 좋아하는 하이재킹 기법입니다. 내가 지금 누구와 대화하고 있는지, 내가 아는 사람이 맞는지 침착하게 체크를 하시기 바랍니다. 뭔가 수상하다면 피싱일 가능성이 높으니 답하지 말고 무시하는 것이 상책입니다. 주기적으로 ‘디지털 발자국‘을 지워주는 것이 필요합니다.
• 

  DNS 설정 관리: 도메인 관련 하이재킹을 막기 위해서 DNS 설정은 믿을 수 있는 관리자에게만 맡기시기 바랍니다. 또한 DNS 등록 시스템에 접근할 때에는 이중 인증을 꼭 사용하여 해킹을 방지합시다. DNS 등록 업체는 너무 저렴한 곳 보다는 믿을 수 있는 곳을 이용합시다.

맺음 말

다양한 하이재킹의 수법이 존재하지만 결국은 대동소이합니다. 소셜 엔지니어링을 이용하거나, 멀웨어로 시스템을 감염시키는 것입니다. 그러므로 스스로 경계하고 주의하여 사이버 하이재킹의 무고한 피해자가 되지 말아야 할 것입니다. VPN 사용, 안티 바이러스 제품 설치, 다단계 인증 등을 이용하여 만일의 공격과 해커의 감시로부터 벗어나세요.