아마존 창업자이자 최고경영자인 제프 베이조스의 모바일 폰은 그가 왓츠앱을 통해 들어온 영상을 클릭했을 때 해킹을 당한 것으로 보인다, 그러면서 그의 폰과 그 안에 담긴 모든 콘텐츠의 통제권은 해커들 손으로 넘어갔다. 세계에서 가장 돈이 많은 남자의 보안을 위태롭게 만든 것은 별 볼일 없는 성과가 아니다. 하지만 해커들은 사람들의 재정 생활에 접근해 재산을 위태롭게 만드는 데 보다 더 은밀한 방법을 사용하고 있다.
보안 전문가들은 지난 2년 사이 폰이나 컴퓨터를 실질적으로 장악해 피해자들의 재정 생활을 컨트롤하는 복잡한 해킹뿐 아니라 피싱처럼 계좌에 침입하는 단순한 해킹 범죄가 지속적으로 증가해 왔다고 말한다. 가장 무서운 것은 범죄자들이 거래 승인을 받기 위해 어드바이저나 종업원 심지어 가족으로 가장해 해킹을 저지르는 경우들이다.
언제든지 타깃 될 수 있다는 경각심 필요
무분별한 소셜미디어 포스팅 범죄 불러
공공 네트웍 사용시 금융계좌 접속은 금물
전문가들은 고객들에게 휴가 중 온라인에 포스팅을 하지 말라고 하거나 귀중품들이 많은 집이 비어있다는 티를 내는 것을 피하라는 등의 조언을 하던 시절은 지났다고 말한다. 해킹 공격들의 복잡성이 문제라기보다는 해커들이 누군가의 폰과 생활에 너무 손쉽게 접근할 수 있다는 게 문제라고 할 수 있다.
재산관리 회사인 보스턴 프라이빗의 패밀리 오피스 책임자인 에드워드 마샬은 “사람들은 새로운 라이프스타일을 위해 해킹을 한다”며 “이들은 일과가 끝난 후 밤에 이것을 하며 해커가 되는 법을 배우는 데는 돈이 많이 들지 않는다”고 말했다. 그는 보안의 취약성을 계몽하는 윤리적 해커들을 훈련시키는 ‘화이트 햇’(white hat) 코스의 경우 비용이 10달러에 불과한 경우도 있다고 말했다. 하지만 이런 지식들은 악용될 수 있다.
피싱의 무작위성에 비춰볼 때 누구나 목표물이 될 수 있다. 그러나 큰 먹이들은 보다 더 정교하고 지속적인 방법으로 공격을 받는다. 폭스 로스차일드 법률회사의 수석 프라이버시 책임자인 마크 매크리어리는 “고액 자산가들이 알아야 할 가장 중요한 것은 자신들이 항상 목표물이 되고 있다는 사실”이라고 강조했다. 그러면서 “셀럽들은 끊임없이 자신들이 어디에 있는지, 그리고 어디에 있을 것인지를 포스팅한다”고 지적했다.
매크리어리는 소셜미디어가 범죄자들에게 기회를 줄 뿐 아니라 당신에 대한 보다 상세한 개인정보들을 그들에게 제공한다고 말했다. 범죄자들은 이것들을 이용해 당신으로 가장할 때 사용할 수 있는 모자이크를 만드는데 이용한다. 당신을 보호하는 일은 얼마나 당신이 공격에 취약한가를 아는 것에서부터 시작된다. 가장 흔한 취약점들과 그에 대한 해결책을 살펴본다.
■걱정 근심 없는 휴가를 가져라
모든 것을 공유하는 시대에 당신의 매 순간을 담은 사진들을 소셜미디어에 포스팅 하지 않는다는 것은 결코 받아들일 수 없는 생각일 것이다. 집에서 구운 양고기를 포스팅하던 사람이 어떻게 카사블랑카 교외에서 먹는 양고기 사진을 올리지 않을 수 있겠는가?
그러나 이런 인스턴트 포스팅은 범죄자들에게 당신이 뒷마당에서 양고기를 굽고 있지 않다는 걸 알려주는 이상의 해를 가할 수 있다. 이것들은 범죄자들에게 당신의 호불호에 대한 정보를 알려주고 그들이 당신이 누구인지 더 상세한 초상화를 그리는 걸 도와준다.
보통 휴가는 위험투성이다. 호텔 와이파이는 결코 사용해선 안 된다. 당신 기기를 해킹에 노출시킬 수 있기 때문이다. 대신 당신 폰의 핫스팟을 사용하라. 그리고 공공 네트웍을 사용할 경우 절대 당신의 금융계좌에 접속해서는 안 된다.
일부 호텔 와이파이는 완전 가짜다. 노던 트러스트의 글로벌 패밀리 및 프라이빗 투자 부문 사장인 데이빗 폭스는 고객들에게 진짜처럼 보이지만 호텔 이름을 약간 변형시킨 네트웍은 조심하라고 조언한. 그는 “그것에 접속해 클릭하고 들어가는 순간 당신 폰의 모든 정보들이 다운로드 된다”고 경고했다.
당신 폰을 렌탈 카와 동기화 시키는 것도 위험하다. 폰의 전화번호들만 차에 저장되는 게 아니다. 범죄자들은 차에 악성웨어를 심어 가장 빈번한 통화번호 이상의 정보를 빼내갈 수 있다. 마찬가지로 호텔 룸의 차징 스테이션에서 폰 충전을 해서도 안 된다. 당신의 데이터에 접근할 수 있도록 만들 위험이 있기 때문이다.
■자녀들의 스크린 타임 제한하라
아이들은 포스팅을 너무 많이 한다. 하지만 이게 가장 걱정거리는 아니다. 아이들은 주의력을 잃고 충동적이 된다. 해커들이 모든 정보들을 빼내기 위해 악용할 수 있는 청소년들의 두 가지 성향들이다. 범죄자들은 악성웨어를 깔아 폰을 장악한다. 폭스는 이렇듯 정교하게 만들어진 프로그램은 예방이 사실상 불가능하다고 말했다.
하지만 그는 고객들과 함께 어카운트에 아이들에 대한 아주 엄격한 시간제한과 더 강력한 암호를 설정하는 작업을 벌여왔다. 그는 “한꺼번에 두 개의 키를 누르는 것과 같은 모든 실수를 막을 수는 없다는 것을 안다. 다만 우리는 무언가가 빠져나갔을 때 그것이 해독될 수 없도록 만들기를 원한다”고 말했다.
■보다 좋은 관계를 만들어라
아주 정교하게 만들어진 ‘딥페이크’(deep fake) 비디오들은 보는 이들로 하여금 정말인 것처럼 여기도록 만든다는 얘기들을 많이 해왔다. 이런 조작된 비디오들은 영상을 많이 찍고 각종 발언들과 특징 등을 많이 남겨 진짜처럼 보이게 만들기 좋은 공인들을 이용하는 경우가 많다. 매크리어리는 와이어 송금을 하도록 만들기 위해 딥페이크 오디오 녹음을 이용한 사례를 알고 있다고 말했다. 이런 전략은 먹힐 수 있다. 예를 들어 아래 사람에게 지시를 하는 집안 어른의 목소리처럼 말이다. 이에 대응할 수 있는 간단한 방법은 없다. 매크리어리는 고객들에게 강력한 방법을 조언한다. “누가 전화를 걸어오던 즉각 그 당사자에게 다시 전화를 걸어 확인하는 시스템이 가족 안에 자리 잡고 있어야 한다”는 것이다.
딥페이크 비디오의 확산은 이를 생성하는데 요구되는 테크놀러지의 수준 때문에 그리 우려할만한 일은 아니라고 사이버 보안 전문가인 레이첼 윌슨은 말했다. 윌슨은 기업의 직원들을 함정에 빠뜨리는 보다 단순한 트릭이 더 우려된다고 덧붙였다. 여기에 필요한 테크놀러지는 딥페이크 생성에 필요한 것보다 훨씬 덜 정교하다. 해커들은 전화를 걸어 기업의 와이파이 패스워드를 물어본다. “그들은 50명에게 물어볼 수 있다. 그러다 누군가로부터 패스워드를 알아 낼 것”이라고 한 보안 전문가는 말했다.
가족 구성원들 여럿이 돈의 이체권을 갖고 있는 패밀리 오피스의 경우 급히 돈을 보내도록 분위기를 조성하는 수법도 있다. 워싱턴의 사이버보안 전문가인 크리스토퍼 오트는 “당신에게는 올드스쿨의 아날로그 관계가 필요하다”며 “인간들 사이의 의례와 고객-전문가 사이의 관계는 이것을 퇴치하는 가장 좋은 방법”이라고 조언했다.
■중개인을 검증하라
당신을 도와주기 위해 고용된 사람들, 즉 회계사들과 변호사들은 순진하게 누군가 당신의 재정생활에 침투할 수 있는 길을 제공해줄 수 있다. ‘중개인 사기’의 경우 해커들은 당신의 이메일을 가로채 재정관련 정보들에 접근한다. 오트는 플로리다의 한 콘도를 사려는 고객을 대표한 적이 있다. 해커들은 고객의 부동산 변호사 이메일을 해킹해 구입 자금을 다른 계좌에 입금토록 지시했다. 고객이 상황을 알아차리지 못했더라면 돈은 영원히 사라졌을 것이다. “정보기관에서 이를 추적해 돈의 90%를 회수했으며 나머지는 보험합의로 처리했다”고 오트는 밝혔다.
이런 범죄에 어떻게 대응해야 할지 고정된 방법이 있는 것은 아니다. 오트는 “해결방식이 하나일 수는 없다. 보안문제는 항상 변할 수 있는 비즈니스 프로토콜처럼 여길 필요가 있다”고 말했다. 할 수 있는 가장 좋은 방법은 기본적인 인간들 사이의 상호 작용을 통해 모든 것을 철저히 확인하는 것이며 이것을 통해 해커들을 무력화시킬 수 있다. 오트는 “사이버 보안은 곰으로부터 달아나는 것과 같다. 곰보다 빠를 필요는 없다. 그저 마지막 사람보다 빠르기만 하면 된다”고 말했다.
<By Paul Sullivan>