케빈 미트닉. 그는 미국에서 20년 동안 활동해온 전설적인 해커다. 퍼시픽벨·모토롤라·선마이크로시스템스를 해킹해 미국 연방수사국(FBI)이 1급 지명수배령을 내린 전적이 있다. 케빈 미트닉은 전화로 관리자라고 속이고 해당 기업의 정보자산에 접근하는 통칭 ‘사회공학기법’을 가장 많이 사용했다. 케빈 미트닉이 사용한 사회공학기법은 인간 상호작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안절차를 우회해 정보를 얻는 비기술적 침입 수단을 뜻한다.

내가 속해 있는 군과 더불어 공항·원자력발전소·전력공사 등 국가기반시설에서의 보안은 국가 경제와 안보에 큰 영향을 끼친다. 국가기반시설이 사회공학기법에 의해 바이러스가 침투해 물리적인 피해를 본 대표적인 사례로 스턱스넷을 꼽을 수 있다. 스턱스넷은 2010년 6월 발견된 웜 바이러스로, 윈도 운영체제(OS)를 통해 감염돼 지멘스 산업의 소프트웨어 및 장비를 공격한다. 2010년 8월 감염된 전 세계의 컴퓨터 중 60%가 이란에 있는 컴퓨터로 밝혀졌다.

당시 이란은 국제사회의 만류에도 핵실험을 강행하고 있었고, 스턱스넷의 목표가 이란의 핵시설에 최종적으로 침투해 실험을 방해하기 위한 것으로 추정하고 있다. 그 결과, 이란 핵시설에서 사용하는 장비에 바이러스가 침투해 원심분리기 1000~5000개가 파괴됐고, 핵실험도 지연됐다. 당시 이란의 핵시설은 외부에서 바이러스가 접근하기 어려운 단독망으로 이뤄져 있었으며, 바이러스 침투는 이란의 전자제품 공급자에 의해 감염됐다고 추정하고 있다. 스턱스넷 사례는 외부 바이러스가 침투하기 어려운 단독망이 인간에 의한 바이러스 침투로 무용지물이 될 수 있다는 점과 인적 보안의 중요성을 시사한다.

사회에서도 사회공학기법을 이용한 사이버 공격이 시도되고 있다. 최근 사례로는 세계적으로 유행하고 있는 코로나19 바이러스 감염 사태에 따른 시민들의 불안 심리를 이용한 사이버 공격이다. 공격 유형은 불특정 다수 혹은 특정 기관에 근무하는 관리자에게 이메일이나 문자메시지로 질병관리본부와 같은 정부기관을 사칭해 마스크를 무료 배포한다는 내용이 포함된 악성 앱(APP) 설치 인터넷 주소(URL)를 전송하는 것으로 알려졌다.

앞선 사례를 교훈 삼아 향후 해커는 정치·사회·금융·군사 등 다양한 분야의 정보자산을 취득하거나 정상적인 운용을 방해하기 위해 비기술적인 사회공학기법과 스니핑, 세션 하이재킹, 디도스(DDoS) 등 기술적인 수단을 융합한 공격을 할 것으로 예측한다. 우리의 적은 고도화된 기술적 수단뿐만 아니라 비기술적 수단으로도 국군의 정보자산에 접근을 시도할 것으로 예측된다.

케빈 미트닉은 “특정 집단이 쓰는 용어나 전문단어를 알면 상대방에게 신뢰감을 줄 수 있다”라고 말했다. 우리 군의 정보자산을 보호하기 위해 장병들은 신뢰하는 인물, 정보, 매체일수록 더욱 의심하고 다시 한번 확인하는 습관을 지녀야 할 것이다.