해커 입장에서 본 "스마트폰을 떨어뜨렸을 뿐인데"

 

넷플릭스에서 "스마트폰을 떨어뜨렸을 뿐인데"를 보고 많이 놀란 사람들도 있습니다.  "에이~~ 너무 현실성 떨어지는 스토리 아냐?" 하며 잠이 왔다는 사람들도 있습니다.

그런데 저는 해커는 아니지만 모의 해킹을 좋아하고 공부하는 사람의 입장에서 어느 정도 공감도 가고 Social Engineering 관점에서 진짜 가능할 것 같다는 입장입니다.  내용이 너무 방대해질 것 같기 때문에 정보 수집 단계에 대해서만 언급해 보겠습니다.

 

해커 입장에서 본 "스마트폰을 떨어뜨렸을 뿐인데"

 

"스마트폰을 떨어뜨렸을 뿐인데"라는 일본 원작을 리메이크 한 넷플릭스 영화입니다.  일본 영화에서는 한국 감성과 달라서 이질감이 많이 느껴졌었는데 한국 버전이라서 그런지 원작을 뛰어넘는 느낌이었습니다. 해커의 입장에서 각각 언급을 할 내용이 영화의 스포가 될 수 있기 때문에 아직 영화를 못 본 방문자라면 영화를 시청하고 다시 방문해 주세요(경고)~

경쟁 상대와 결투를 해서 승리하기 위해 바로 경기에 뛰어들기보다는 경기 상대의 경기 영상을 확보하고 상대방이 사용하는 기술, 강점, 약점 등의 정보를 먼저 수집하는 것이 일반적입니다.

Kali Linux의 기본 메뉴 01-Information Gathering은 정찰, 정보 수집에 관련된 도구들이 모여있는 메뉴입니다. 왜 정보 수집이 1단계일까요?  Target에 대한 정보를 수집하고 그 수집된 정보로부터 취약점을 파악해서 공략하기 위함입니다.

 

 

영화에서 천우희 배우는 버스에서 휴대폰을 떨어뜨립니다. 그리고 우연히도 그 휴대폰을 손에 넣은 사람은 연쇄 살인마를 연기한 임시완 배우입니다.

임시완은 획득한 휴대폰을 잠금 해제하려고 하지만 비밀번호를 도저히 알 수 없는 상태입니다. 휴대폰 배경화면에 천우희 배우의 사진이 있더군요... 매력적이고 흥미가 생길 외모라면 휴대폰을 획득한 사람의 Target이 될 수 있지 않을까요?

계속 비밀번호를 입력해 보는 임시완... 그러지만 도저히 풀리지가 않습니다. 획득한 사람의 이름, 등 아무런 정보가 없기 때문입니다. 그러던 중 "초미녀"로부터 전화가 걸려옵니다. "이나미 이직도 자?"라는 친구의 대화를 통해서 "이나미"라는 이름을 알게 됩니다.

그때 잠금 화면에 Instagram에 태그 되면서 Instagram 아이디 역시 노출됩니다. 임시완은 자연스럽게 Instagram에 방문하여 추가 정보를 획득합니다. 친구관계... 근무하는 카페... 등등.

 

잠금화면 알림

 

잠금 화면 알림을 따로 설정해서 사용하시나요? 카카오톡, Instagram, Facebook, Telegram, 메시지 등 휴대폰 잠금 상태에서도 화면에 알림이 나올 수 있는 앱은 "잠금 화면 알림" 기능을 비활성화하는 것이 안전합니다.

잠금 상태에서 카카오톡 메시지가 노출되는 경우 휴대폰을 습득한 사람 역시 그 내용을 파악할 수 있기 때문입니다.

 

 

영화에서는 친구 전화를 통해 이름을 알게 되고 Instagram 태그를 통해 Instagram 아이디를 알게 되었지만 매우 한정적인 정보를 통해서도 알아낼 수 있는 방법이 있습니다. OSINT라는 도구들을 사용하는 방법인데요. 

사용자의 이름, id 등을 해당 도구에 입력하면 자동으로 SNS 등 여러 사이트에 계정이 있는지 자동으로 검색이 됩니다. 검색된 계정에 각각 방문하면서 정보 수집이 가능한 것이죠.

 

 

처음 Facebook, Instagram, Twitter 등을 사용할 때에는 아무 생각 없이 학력, 학교, 실명, 나이, 등의 정보를 입력했었지만 지금은 전부 영문 가명(SNS에 별로 다른 영문 가명 사용), 계정별로 다른 프로필 사진사용,  비공개 또는 정보 삭제를 통해서 이런 정보 수집이 어렵게 만들어 사용하고 있습니다.

"태그 된 게시물" 기능 역시 자동으로 공개되는 대신, 비공개나 검토 후 공개하도록 환경설정을 수정하여 다른 사람 글에 태그 될 때 자동으로 노출되는 것을 차단하는 것이 좋습니다.(태그 된 게시물 검토)

많은 사람들이 SNS(카카오 스토리 포함)에 생일, 친구 이름, 가족 이름, 별명 등이 노출되고 있습니다. 아래 프로그램은 그런 정보를 통해서 사용자 맞춤형 비밀번호 사전을 만드는 프로그램입니다.  아무것도 모르는 상태에서는 어렵지만 정보들이 수집되면 공략할 수 있는 시간을 단축시킬 수는 있지 않을까요?

 

 

SNS에 공개된  e-mail로 또 정보를 수집할 수 있습니다. 이런 도구들이 위험한 이유는 e-mail OSINT tool을 사용해서 과거에 해당 계정이 해킹되어 비밀번호가 노출된 db가 공유되고 있는지까지 확인할 수 있기 때문입니다.

해커들이 토렌트로 공유하는 db에 해당 비밀번호가 있다면 해커는 10초 내에 그 비밀번호를 추출할 수 있습니다.

 

 

임시완은 노란 수첩에 이나미의 정보를 하나하나 기입하더군요. 그러나 실제로 해커들은 mysql db에 이런 정보를 수집, 저장합니다. db에 저장하기 때문에 언제든지 쿼리문을 사용해 필요한 정보만 쏙쏙 뽑아서 확인할 수 있고 효율적으로 관리할 수 있습니다.

정보 수집 모듈을 사용해서 프로그램을 실행하면, 결과는 자동적으로 mysql db에 저장이 됩니다.

 

 

workspaces라는 기능이 있어서 Target 별로 별도의 작업 공간을 만들어두고 관리도 가능하기 때문에 노란 수첩은 필요가 없네요... 실제라면 workspaces에 "이나미"라는 workspace를 생성하는 장면이 나오지 않았을까요? 노란 수첩은 영화적으로 쉽게 연출된 것 같아요.

 

 

프로필 사진 및 SNS에 공개된 사진의 위험성

 

SNS 프로필에 본인의 이쁘고 잘생긴 사진을 올려둔 사용자들이 많습니다. Google 이미지, Bing 이미지 검색을 사용해서 자신의 프로필 사진을 올려서 한 번 검색해 보세요. 

제 경우 Facebook, Instagram, 카카오톡 프로필에 제 개인 사진을 사용하지 않고 사물, 음식 등 저와 전혀 관련 없는 사진을 사용하고 있습니다. 카카오톡의 경우 멀티 프로필을 사용하여 친구, 가족들에게만 개인 프로필 사용을 공개하고 있습니다.

프로필 사진 이외에 전체 공개되는 사진과 친구에게만 공개할 사진을 구분해서 올리는 것이 좋습니다. Instagram, Facebook을 방문해서 수집할 수 있는 자료들이 의외로 많이 때문에 비공개 계정이나 친구들에게만 공유하는 것이 가장 안 전합니다.

스마트폰 액정을 부숴서 피해자를 유인하는 장면, 복제폰을 생성하는 장면은 과장된 것 같고, 미리 녹음된 음성 파일을 사용하여 대화하는 장면은 실제로 적용하기 힘든 영화적 발상  같지만 수집된 정보를 활용하여 사용자가 URL을 클릭하고 악성 프로그램을 설치할 만한 피싱 메시지를 보낼 수는 있을 것 같습니다.

사용자에게 악성 앱 설치를 유도하고 원격제어를 통해 화면, 문자, 갤러리, 카메라, 마이크 등 악성 앱이 허용된 모든 권한을 사용하여 모니터링하는 것은 가능합니다.

인터넷에 보면 가족을 사칭하여 부모에게 휴대폰이 고장 났으니 주민번호 사진과 앱을 설치해달라는 경우가 종종 있죠? 또는 운동을 좋아하는 남성을 노려 요가 사진을 프로필로 사용하는 여성이(여성 사칭) 자신의 바디프로필을 보여주겠다면서 apk 파일을 보내서 설치를 유도하는 경우가 있습니다. 개인 정보가 노출되면 이런 Social Engineering에 누구나 속을 수 있습니다.

무심코 찍어 SNS에 올린 사진에는 자주 가는 카페, 식당, 좋아하는 장소, 직장명, 가족 이름, 유니폼에 나오는 회사 이름, 명찰(이름, 직책), 회사 책상을 찍은 사진에 민감한 조직도, 업무 관련 정보(e-mail, 프로젝트 명) 등이 노출될 수 있습니다.

자주 방문하는 시간대, 운동하는 피트니스클럽, 얼굴이 노출된다면 영화처럼 사이코나 스토커가 카페, 헬스장 등에 몰래 출몰할 수 있겠지요?

또한 사진에는 Meta Data가 포함될 수 있기 때문에 더욱 위험할 수 있습니다. 사진 속에 포함된 Geo Location 정보를 확인할 수 있기 때문에 인터넷 쇼핑몰, 규모가 작은 포털사이트에 사진을 upload 하거나 할 때는 Meta Data가 잘 지워진 상태에서 업로드해야 합니다. 대형 쇼핑몰은 덜하지만 작은 규모의 쇼핑몰의 경우 upload 되는 사진에 그대로 Meta Data가 남아있는 경우가 있었습니다. 

참! 가장 위험한 것은 휴대폰 케이스에 개인의 신분증, 신용카드 등을 꽂아서 보관하는 것이라고 생각합니다. 만약 휴대폰을 잃어버린다면 바로 이름 등 민감한 정보가 노출되게 됩니다. 부모님들 휴대폰케이스에 만약 신분증이 꽂아있다면 바로 위험하다고 말씀해드리세요. 그리고 부모님 휴대폰에 비밀번호나 패턴 설정이 되어있는지 꼭 확인해주세요.