VOICE: 화이트해커, 해킹을 말하다
국내 최대 통신사인 SK텔레콤(SKT)은 지난 4월 2500만명의 가입자 유심 정보 대부분을 해킹당했다. 거대 기업뿐 아니라 일반인들도 스미싱 문자와 보이스피싱 전화는 흔히 겪는 일상이 됐다. 그야말로 ‘해킹 전성시대’다.
인터뷰를 위해 만난 8년 차 ‘화이트 해커’ 김한수 씨는 “피싱은 일종의 최면과 같아서 보안 전문가도 당한다”며 “피싱이나 해킹 범죄는 바보들이나 당한다는 오만함을 버려야 한다”고 강조했다. 피싱과 해킹 범죄의 타깃이 됐을 때 피해를 보지 않는 최선의 대처법은 뭘까. 또 해커와 피싱범은 어떤 전략을 갖고 피해자에게 접근하고, 그들을 어떤 태도로 상대해야 할까.
더중앙플러스 ‘VOICE:세상을 말하다’ (https://www.joongang.co.kr/plus/series/101)에선 ‘화이트 해커’ 김한수 씨 인터뷰 3편을 통해 스마트폰을 비롯한 공용 충전기와 와이파이, 홈캠, AI 스피커, AI 챗봇, 공용 PC 등 일상적으로 쓰는 전자 기기를 통해 어떻게 해킹과 스미싱 범죄가 시작되는지, 또 이에 대처하는 ‘화이트 해커’의 대처법은 무엇인지 상세히 전한다.
① 해커 최고의 먹잇감, PC방과 프린트 카페
개인적인 추측이지만, 대부분 공용 PC에 해킹 프로그램이 한 번쯤 깔리지 않았을까.
8년 차 화이트해커 김한수 씨는 “PC방, 프린트 카페, 주민센터, 도서관 등에 설치한 공용 PC에 특정 프로그램을 깔아서 누군가의 아이디와 비밀번호를 탈취하는 건 해커에게 매우 쉬운 일”이라며 이렇게 말했다. 그는 “특히 PC방 해킹 사건은 정말 끊이지 않는다”며 “(PC방에선) 로그아웃을 해도 구조적으로 해킹을 막을 수가 없다”고 했다. 해커는 공용 PC에 어떤 프로그램을 깔고 해킹을 할까. 또 해킹이 이렇게 쉽다면, 공용 PC에선 개인 계정 로그인을 하면 안 되는 걸까. 걱정 없이 공용 PC를 쓰는 법은 뭘까. 공공장소에 비치된 휴대폰 충전기나 카페 와이파이도 해킹에 이용될 수 있다는 연구가 나오는데 사실일까.
최근 ‘공공장소에서 충전기를 함부로 꽂지 말라’는 이야기가 나왔다.
최근 ‘충전기만 꽂으면 해킹된다’는 내용이 이슈가 됐다. 충전기 선인 줄 알고 꼽았더니, 콘센트 뒤에 숨은 해커 컴퓨터로 핸드폰 정보가 유출될 가능성이 있다는 얘기다. 이 개념은 과거 ‘주스 재킹(Juice Jacking)’이라는 기법을 통해 알려졌다. 쉽게 말하면, 휴대폰을 콘센트와 연결된 해커의 컴퓨터에 꽂으면 핸드폰 속 자료를 해커가 가져갈 수 있다는 말이다.
이걸 막기 위해 구글 안드로이드와 애플 iOS에선 휴대폰을 컴퓨터 장치에 연결하면 ‘신뢰하겠습니까’라는 메시지가 뜨게 설정했다. 사용자가 ‘허용’ 또는 ‘신뢰’를 해야만 기기 속 정보를 가져갈 수 있다.
그리고 작년에 ‘초이스 재킹(Choice Jacking)’이라는 개념을 통해 이를 우회할 수 있다는 내용의 논문이 발표됐다. 세 가지 방법으로 휴대폰 해킹이 가능하다는 걸 증명했다. 논문에 소개된 첫 번째와 두 번째 해킹 전략은 안드로이드 운영체제의 결함인데, 업데이트를 통해 보완됐다. 그리고 세 번째 기법은 블루투스를 이용한 수법인데, 필요한 동작이 많다.
결론적으로 외부 공용 충전기를 쓰는 건 문제가 없지만, 갑자기 ‘신뢰하느냐’라는 문구가 나오면 조심해야 한다. 그 외엔 안전하게 쓸 수 있다. 다만 업데이트를 열심히 했다는 조건이 필요하다. 만약 구글 안드로이드 운영체제를 사용할 때 업데이트를 안 했다면, 앞서 말한 두 가지 방식으로 해킹을 당할 수 있다.
카페 와이파이도 해킹에 이용될 수 있다는 연구도 나온다. 실제로 해킹이 가능하다면 어떤 원리로 이런 해킹이 이뤄질까. 이밖에 방범용 홈캠 등 IP 카메라, 인터넷 공유기, AI 스피커와 챗봇을 이용하는 사람도 많다. 김한수 씨는 “인터넷 공유기와 IP 카메라의 경우 설치만 하고, 바로 사용하면 쉽게 해킹당할 수 있다”며 “설치 후 반드시 몇 가지 설정을 바꿔야 한다”고 강조했다. 어떤 설정을 바꿔야 할까. 그는 전국 각지에 설치된 여러 IP 카메라가 해킹된 영상이 ‘전시’된 실제 해커의 사이트를 보여주기도 했다.
② ‘피싱 문자’ 눌러도 안 털렸다…실수로 클릭했을 때 대처법
스미싱(SMS 피싱) 문자가 시도 때도 없이 일상을 위협한다. 무심코 문자 속 링크를 눌러 황급히 ‘뒤로 가기’ 버튼을 눌러보지만, 이미 해킹에 노출됐는지 알 길이 없다. 김한수 씨는 “앱을 깔 때 접하는 ‘사진·연락처 접근 허용’ 안내도 가볍게 지나쳐선 안 된다”고 강조했다. 앱을 설치할 때 어떤 점을 미리 살펴야 해킹 위험에서 벗어날 수 있을까. 구글 플레이스토어나 애플 앱스토어 같은 공식 스토어에서 다운받은 앱도 문제가 생길까.
사이트에 가입할 때마다 새 아이디와 비밀번호를 만드는 건 귀찮다. 그래서 보통 자주 쓰는 아이디와 비밀번호 몇 가지를 ‘재활용’한다. 보안에 문제가 없을까. 보안 전문가도 비밀번호를 돌려쓸까. 만약 그렇다면 해킹을 피할 수 있는 비밀번호 관리법은 뭘까. 특정 파일이나 소프트웨어가 급하게 필요할 때 인터넷에서 무료 혹은 크랙 파일(crack file·소프트웨어 보호 기능을 우회하거나 해제하기 위해 사용되는 파일)을 다운 받아 쓰기도 한다. 김 씨는 인터뷰에서 악성 코드가 담긴 앱과 링크를 구별하는 법을 설명했다.
③ “SKT 사태, 사실은 해킹아냐” 화이트해커 충격받은 이유
지난 4월 SK텔레콤(SKT)은 ‘유심 관련 일부 정보가 유출된 정황을 발견했다’는 홈페이지 공지를 올렸다. 결과적으로 SKT 2500만 가입자 유심 정보 대부분이 해킹당한 것으로 드러났다. 해커들은 3년 전부터 SKT 서버에 잠입했다. 국내 최대 통신사에서 전 국민의 절반에 해당하는 규모의 개인정보가 유출된 셈이다.
그간 기업을 상대로 모의해킹을 해왔던 화이트해커 김한수 씨는 “지난달 4일 발표된 최종 조사(3차 조사) 결과는 1·2차 조사 결과 내용보다 훨씬 더 충격적”이라고 했다. 어떤 내용이 그에게 충격적이었을까.
추천! 더중플 - VOICE: 세상을 말하다
![[ET시론]새 정부의 보안 과제](https://img.etnews.com/news/article/2025/08/07/news-p.v1.20250807.65ff41fd1816472d905ad9b787e5c1c4_P1.jpg)
![[로터리] 보이스피싱, 사회의 갑옷이 필요할 때](https://newsimg.sedaily.com/2025/08/10/2GWKMAAOEG_1.jpg)
![[긴급] 데프콘 33 ‘프랙’ 40주년 기념호서 공개된 북한의 한국 해킹 파일…방첩사·대검찰청 등 국내 정부기관 및 통신사 표적 공격 드러나, 北·中 연계설 엇갈려](https://www.dailysecu.com/news/photo/202508/168668_197680_99.jpg)
!["가상자산 투자 사기에 속지마세요" 금감원, 소비자 경보 ‘주의’ 발령…"수지·송혜교 레드카펫 ‘픽’" 해외 인지도 높이며 존재감 [AI 프리즘*신입 직장인 뉴스]](https://newsimg.sedaily.com/2025/08/11/2GWL1AS6OL_1.jpg)