무슨 일이 있었나
1990년대 미국을 떠들썩하게 했던 전설의 해커 케빈 미트닉, 이름 들어보셨나요? FBI가 대대적으로 추적해 체포했을 만큼 당대 가장 유명했던 해커인데요. 최근 알려진 훈훈한 일화 하나가 회자됐어요. 한때 미트닉의 체포와 수감에 관여했던 인물이, 정작 미트닉 본인에게서 평생 갖고 싶어 하던 '드림카'를 선물 받았다는 이야기예요. 자신을 감옥에 보낸 사람과 원수가 되기는커녕 친구가 되어, 그가 꿈꾸던 차를 안겨준 거죠.
미트닉이 어떤 사람이냐면
흔히 해커라고 하면 키보드를 현란하게 두드려 시스템을 뚫는 모습을 떠올리지만, 미트닉의 진짜 무기는 기술이 아니라 '사람'이었어요. 이걸 사회공학(social engineering)이라고 해요. 쉽게 말하면, 시스템의 허점을 찾는 대신 사람의 심리적 허점을 파고드는 해킹이에요.
예를 들어볼게요. 회사 전산망 비밀번호를 알아내야 한다고 쳐요. 미트닉은 코드를 분석하는 대신 전화를 걸어요. '안녕하세요, IT 보안팀인데요. 시스템 점검 중이라 잠깐 계정 확인 좀 부탁드려요'라고 능청스럽게 말하면, 의심 없이 비밀번호를 불러주는 직원이 꼭 있거든요. 아무리 방화벽이 튼튼해도 사람이 직접 문을 열어주면 소용없는 거죠. 미트닉은 이 '사람을 속이는 기술'의 달인이었어요.
죄수에서 보안 컨설턴트로
흥미로운 건 그다음이에요. 출소한 미트닉은 자신을 잡는 데 쓰였던 그 능력을 거꾸로 활용해서, 기업들에게 '당신 회사 직원들이 이렇게 쉽게 속아 넘어갑니다'를 증명해 보이는 화이트해커(좋은 일에 해킹 기술을 쓰는 사람) 보안 컨설턴트로 변신했어요. 사회공학을 다룬 책 '속임수의 기술'을 쓰고, 보안 교육 회사의 간판 얼굴로도 활동했죠. 안타깝게도 2023년 세상을 떠났지만, 그가 남긴 메시지는 지금도 보안 교육의 핵심으로 살아있어요.
한국 개발자에게
이 일화가 우리에게 주는 교훈은 두 가지예요. 첫째, 보안에서 가장 약한 고리는 거의 항상 '사람'이라는 거예요. 아무리 코드를 단단하게 짜고 암호화를 걸어도, 직원 한 명이 피싱 메일 링크를 클릭하면 무너져요. 요즘 한국 회사들을 노리는 공격도 대부분 이 사회공학에서 출발하거든요. 그러니 기술적 방어만큼이나 '한 번 더 의심하는 문화'를 만드는 게 중요해요. 둘째, 능력은 어느 방향으로 쓰느냐가 전부라는 거예요. 같은 기술이 누군가를 감옥에 보내기도 하고, 수많은 회사를 지키기도 하니까요.
마무리
한 줄로 줄이면, '가장 뚫기 쉬운 보안 구멍은 방화벽이 아니라 마음'이에요. 여러분 회사에서는 사회공학 공격, 특히 피싱 훈련을 정기적으로 하고 있나요? 안 하고 있다면 한번 제안해 보는 건 어떨까요?
🔗 출처: Hacker News