비트코인 등 가상화폐 보유자를 정조준한 해킹 사건이 줄줄이 터지고 있다. 개인정보 유출 등 직접적으로 해킹을 당한 적이 없는 코인원 사용자조차 불과 1시간여 동안 e메일과 유선전화를 이용한 사회공학적 해킹에 공격당한 사실이 확인되면서 가상화폐 보유자를 노린 해킹이 새로운 보안 이슈가 될 것으로 보인다.
해외에선 방지책 연구도 활발하지만 국내에선 사회공학적 해킹이란 개념조차 낯설다. 김승주 고려대 정보보호대학원 교수는 “보안 관련 가장 권위 있는 컨퍼런스인 블랙캣/데프콘에 참가하면 사회공학적 해킹 세션이 따로 있고 인기도 가장 많지만, 국내에선 아직까지 보안 기술에 주로 초점을 맞추는 경우가 많다”고 말했다.
사회공학적 해킹이 문제가 되는 것은 보안의 가장 약한 연결 고리를 공략하기 때문이다. 바로 사람이다. 미국의 전설적인 해커 케빈 미트닉은 “인터넷 보안의 최대 맹점은 컴퓨터가 아니라 사람”이라고 말했다. 김승주 교수는 “아무리 좋은 보안장치가 있다고 해도 그 접점엔 (약한 고리인) 사람이 있다”고 설명했다. 국내 한 IT기업에서 자사 보안망을 해커와 같은 방법으로 미리 해킹해 약점을 찾는 ‘침투 테스터’로 일하고 있는 한 해커는 기업에 침투할 때 사람을 공격하는 게 가장 쉽다고 말한다. 그는 “사람이니까 위험할 줄 알면서도 어떤 행동을 한다”며 “보안 사고가 터지는 것을 기술로 다 막기 힘든 이유는 사람이 보안에 가장 취약한 연결고리이기 때문”이라고 말했다. 사회공학적 해킹의 가장 흔한 예는 보이스피싱이다. 김승주 교수에 따르면 보이스피싱 조직은 자신들을 단속하던 경찰을 고용하고, 시나리오 작가를 영입해 사기 수법을 정교하게 다듬는다고 한다. 김 교수는 “사람을 속이겠다고 작정하면 넘어가지 않을 수 없다”고 말했다.