해커 측의 공격과 상대방의 방어는 흔히 창과 방패에 비유된다. 해커는 상대방의 시스템을 분석한 다음 어떤 공격을 하면 가장 잘 뚫릴까를 고민하고, 상대방은 예상되는 공격방법을 분석한 다음 어떤 방어를 하면 가장 잘 막을 수 있을까를 고민한다. 마치 펜싱이나 검도 선수들의 공격 및 방어와도 같은 구조이다.

창과 방패의 구조는 해킹에만 있는 것은 아니다. 남녀간의 연애도 창과 방패로 볼 수 있지 않을까. 대체로 남자가 좋아하는 여자의 마음을 얻기 위하여 온갖 시도를 하고, 여자는 남자에게 마음을 주기 전까지 방어하면서 남자의 시도를 좌절시키기도 한다. 그렇다면 해커는 어떤 식으로 상대방의 마음을 얻을 수 있을까?

DoS 공격

먼저 ‘DoS(Denial of Service)’ 공격을 할 수 있다. DoS 공격이란, 시스템을 의도적으로 공격해 해당 시스템의 자원을 부족하게 하여 동작을 마비시키는 서비스 거부 공격이다.

해커는 좋아하는 이성에게 DoS 공격을 하여, 상대방에게 빈 시간을 주지 않고 아침부터 밤까지 온갖 애정 공세를 취함으로써 마음을 얻을 수 있다.

아침에 이성의 집에 도착하여 이성을 학교나 직장에 태워주거나 같이 대중교통 수단을 이용하여 데려다 주고, 수업도 같이 들으면서 필기도 해 주고 숙제도 대신 해주고, 점심이나 커피도 사주면서, 쇼핑 갈 때에는 같이 따라가서 짐을 들어주고, 틈나는 대로 선물공세도 하며, 저녁 때는 집까지 안전하게 모셔다 주며, 이성의 빈시간을 완전히 소멸시킴으로써 이성이 다른 사람에게 접근하거나 세션 연결되는 것을 원천 차단하여 이성의 마음을 얻는 방법이다.

또한 혼자 힘으로 딸릴 때는 ‘DDoS(Distributed Denial of Service)’ 공격도 할 수 있다. 디도스 공격이란 수십 대에서 많게는 수백만 대의 좀비 PC를 원격 조종해 동시에 서비스 거부 공격을 하는 방법을 말한다.

혼자만의 애정 공세가 힘들 때는 주변의 친구나 지인의 도움을 받아 디도스 공격을 함으로써, 이성이 다른 사람에게 접근하거나 세션 연결되는 것을 원천 차단하여 이성의 마음을 얻을 수 있다. 여기서 주변의 친구나 지인이 디도스의 좀비 PC가 되는 것이다.

스푸핑(spoofing)

스푸핑이란 다른 컴퓨터의 IP 주소를 자신의 것인양 바꾸어서 이를 통해 해킹을 하는 방법이며, 스푸핑의 핵심은 주체성을 속이는 것이다.

자기가 굉장히 잘 나가는 사람처럼 보이는 것, 돈이 많은 것처럼 보이는 것, 굉장히 사려 깊은 사람처럼 보이는 것, 착한 사람처럼 보이는 것, 부지런한 사람처럼 보이는 것, 청결한 사람처럼 보이는 것, 지적인 사람처럼 보이는 것, 몸 좋은 사람처럼 보이는 것 등등. 상대방이 원하는 항목이면 더 열심히 스푸핑을 해야 할 필요가 있다.

스니핑(sniffing)

스니핑이란 네트워크 상에서 다른 상대방들의 패킷 교환을 엿듣는 공격방법을 말한다.

좋아하는 이성의 최측근과 가까워져서 그로부터 정보를 캐내는 것, 이성의 집안 식구들과 친밀해져서 식구들로부터 이성의 시시각각 상황을 접하는 것, 좋아하는 이성의 전화통화 내용을 유심히 엿듣는 것 등등. 하지만 이성 몰래 이성의 스마트폰이나 일기 등에서 정보를 얻게 되면 불법이 되니 조심해야 할 필요가 있다.

단순히 정보를 엿듣는 것에서 만족하지 않고, 이성이 화장실 간 사이에 이성의 스마트폰에 와 있는 경쟁자의 문자에 이성 대신에 답해주는 것, 이성이 참여하지 않았으면 하고 바라는 모임에 이성 몰래 참여하지 않는다고 답해 주는 것 등은 능동적 스니핑으로 불리는 ‘세션 하이재킹(session hijacking)’이 될 수 있다.

포트스캔(port scan)

처음 이성을 만나는 자리라든지, 이성의 기분이 좋지 않을 때에는 ‘포트스캔(port scan)’을 하여야 한다. 포트스캔이란 해당 시스템의 포트 중 열려 있는 포트를 검색하는 것이다.

처음 이성을 만났을 때에는 이성이 좋아하는 취미나 관심사를 빠르게 찾는 것이 세션 연결이나 관계 증진에 도움이 되며, 이성의 기분이 좋지 않을 때에는 어떤 화제나 대화가 이성의 기분을 풀어줄 수 있는지 스캐닝을 해 보아야 한다.

SQL 인젝션(sql injection)

이성이 오랫동안 사귀었던 옛 연인과 막 헤어졌을 때나 이성이 매우 힘든 시기를 겪고 있을 때 등 이성의 판단력이 흐릴 때 로직의 변경을 시도하는 공격 방법도 있는데, 예컨대 ‘SQL 인젝션(sql injection)’이 그것이다. ‘SQL 인젝션’이란 DB에 접근하기 위한 SQL 구현의 취약성을 이용하여 DB 권한을 얻는 방법이다.

해커는 옛 연인을 대신하여 빈 자리를 채워준다든지 또는 힘든 시기를 같이 겪으며 아픈 마음을 위로해 줌으로써, 판단력이 흐려진 이성의 마음에 쉽게 파고드는 것이다.

버퍼 오버플로(buffer overflow)

데이터를 과도하게 보내는 ‘버퍼 오버플로(buffer overflow)’의 방법도 가능한데, 예컨대 분위기를 좋게 만들어서 이성의 주량보다 더 많이 술을 섭취하게 하는 방법이 그것이다. 자신의 주량보다 많은 술을 마신 이성은 평상시에 굳게 닫아 두었던 마음을 쉽게 열게 되는 것이다.

해커가 상대방의 마음을 얻는 방법은 보안에도 응용할 수 있다. 해커가 접근하기 어려운 이성, 해커가 공격을 시도해도 꿈쩍하지 않는 이성, 해커에게 스푸핑이나 스니핑을 당하지 않는 이성, 해커에게 항상 화가 나 있는 이성, 어떤 경우에도 논리적 판단을 하는 이성, 부적절한 데이터 입력에도 마음의 문을 열지 않는 이성이 되는 것이 보안이라 생각한다.

* 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2013. 3. 12.), 로앤비(2013. 3. 15.), 리걸인사이트(2016. 2. 17.) 기고.