루이스 폰 안 박사가 발견한 ‘무엇’이 리캡챠 프로젝트를 만들게 된 배경이 됐다.

◆리캡챠 프로젝트는 어떻게 나오게 됐을까

우선 리캡챠 프로젝트를 이해하기 위해서는 종이책(혹은 고서(古書))을 전자책으로 변환하는 과정에 대한 이해가 필요하다.

도서관에 있는 출간된지 오래된 책들은 텍스트 파일이 남아있지 않거나 애초에 텍스트로 존재하지 않기도 한다. 순수한 종이책이라는 것이다.

이를 텍스트 파일로 변환하기 위해서는 스캐너를 통해 종이책의 이미지를 읽어오고 읽어온 이미지를 광학 문자 인식(OCR) 솔루션을 사용해 변환해야한다. 아래 이미지 처럼 말이다.

여기서 문제는 아직까지 OCR의 품질이 그렇게 우수하지 않다는 것이며, 다음 무제로는 책이 낡았거나 오물로 인해 문자가 제대로 이미지로 변환되지 않았을 경우가 흔하다는 것이다.

실제 출판된지 50년이 넘은 책의 30%가 정상적으로 입력되지 않는다고 한다.

여기서 30%는  결국 사람이 일일이 수작업을 진행해야하는데 수천, 수만권의 책을 일일이 사람이 입력할 수는 없는 일이다.

여기서 리캡챠 프로젝트가 나오게 됐다.

OCR이 인지하지 못한 문자열을 인터넷을 사용하는 사람의 눈과 손으로 직접 입력하도록 하는 셈이다.

루이스 폰 안 박사는 “캡챠코드를 입력하기 위해 사람들이 쓰는 10초를 종이책을 전자책으로 변환시키는 것에 활용시키도록 한 것이 리캡챠 프로젝트”라며 “사람들이 인증을 받기 위해 입력하는 캡챠코드를 디지털화하는 것이 활용하고 있다”고 설명했다.

캡챠코드를 입력하는 사용자들은 자신도 모르는사이 종이책의 디지털화를 돕고 있는 셈이다.

◆리캡챠, 어떻게 동작하나

리캡챠 프로젝트는 두 개의 이미지가 뜬다. 왼쪽에는 문서를 디지털화 하는 과정에서 컴퓨터가 제대로 인식하지 못한 부분이고, 오른쪽에는 컴퓨터가 인식한 문자다.

인증을 받기 위해서는 두 개의 이미지 단어를 모두 입력해야하는데, 오른쪽의 이미지는 스팸을 걸러내는 역할을, 왼쪽의 이미지는 집단지성으로 활용된다.

왼쪽의 이미지를 보고 10명이 모두 ‘following’이라고 답했다면, 앞으로 그 이미지의 캐릭터는  ‘following’으로 확정되게 된다.

리캡챠 프로젝트는 2009년 구글에 인수됐는데 구글은 리캡챠 프로젝트를 자사 제품인 ‘구글 북스’ 프로젝트에 활용하고 있다.

지난해 10월 스팸메일 중 성인관련 메일은 2.5%에 불과했습니다. 크리스마스와 연말이 코 앞인 11월에는 12.5%로 급증했습니다. 해가 바뀐 1월에는 22.5%를 기록하며 폭발적인 성장을 보였습니다.

이에 대해 시만텍은 “스패머들은 이 날의 로맨틱한 의미를 악용해 발기 부전 치료제 등을 홍보하거나 익명의 흠모자로 가장한 스팸을 발송해 부지불식간에 악성코드를 설치하거나, 발렌타인데이 특별 할인 프로모션 등으로 사용자들을 속여 개인 정보를 빼돌린다”고 설명했습니다.

이를 확인하기 위해 지난 2011년, 2010년의 보고서를 살펴보니 유난히 성인관련 스팸메일의 증감율이 눈에 띱니다.

'대출'과 관련된 내용이 많은 국내 스팸메일과 달리 해외에서는 시계, 보석, 제약 쪽 스팸이 부동의 1위를 차지하고 있는 것도 흥미롭습니다. 그 이유에 대한 코멘트는 없습니다.

다만 개인적인 생각으로는, 아마도 서양이 우리와는 완전히 다른 금융 문화이기때문에 나타난 현상으로 분석됩니다. 서양에선 신용카드 발급을 포함해 '대출'프로세스가 우리보다 훨씬 엄격합니다.  

이번에는 국내 스팸동향을 알아보겠습니다. 국내 스팸메일 동향 분석보고서(2011년 3/4분기, 지란지교소프트 제공)에 따르면 3/4분기 전체 메일 중 약 69%를 스팸메일이 차지하는 것으로 나타났는데, 이 가운데 성인관련 스팸메일이 전체 스팸메일의 73.22%를 차지했습니다.

성인관련 스팸메일의 경우는 50% 이상이 비아그라와 같은 성인약품과 관련된 스팸메일이었고, 음란 사이트로 유도하는 스팸메일이 그 뒤를 이어 점차 증가하고 있는 것으로 집계됐습니다.

그 다음으로는 제품홍보 스팸메일(11.64%), 각종 금융사기성 피싱(9.28%), 대출 등 금융관련(0.72%) 등의 순으로 스팸메일이 많은 것으로 나타났습니다.

이 같은 스팸메일 이외에도 트렌드를 반영한 스팸도 다수 발견됐습니다.

지난해 페이스북이 대폭 성장하자 페이스북 친구 요청 메일로 위장한 악성코드 메일이 새롭게 등장 하기도 했습니다.

최근에는 김정일 사망과 관련된 스팸이 유행해 전세계적으로 이슈가 되기도 했습니다.

스팸문자도 찾아봤습니다.

한국인터넷진흥원은 매월 휴대전화 스팸트랩에 탐지된 불법 스팸으로 부터 스팸에 자주 이용된 문구를 10위까지 선정해 배포하고 있습니다. (그런데 2011년 2월이 최신자료네요)

2011년 2월 스팸 문구를 살펴보면 ▲당일 ▲고객 ▲현금 ▲인터넷 ▲최저 ▲무료 ▲상담 ▲금융 ▲할인 ▲입금입니다.

대부분 대부업과 관련된 문구들이네요. 혹자들은 지난 2008년 세계 금융위기 이후 대부업체, 사채업자들이 보내는 메시지가 급격히 늘어났다고 얘기 합니다. 깊게 생각해볼 것도 없이 침체된 경제상황을 고스란히 반영하고 있음을 알 수 있습니다.

퍽퍽한 서민들의 생활고가 되짚어보면 스팸 메시지 트렌드에도 그대로 반영된 것 같아 씁쓸합니다.

최근 국내 주요 금융연구기관들은 우리나라의 가계대출 규모가 1000조원에 육박하고 있고, 이에 대해 이미 경고를 보내고 있습니다. 은행들은 가계대출 창구를 닫을테고 결국 서민들은 2금융권이나 대부업으로 발길을 돌릴 수 밖에 없을 겁니다.

결국 '대출'과 관련한 스팸 문자는 앞으로도 지속적으로 기승을 부리겠지요.

그럼 KISA에서 조사된 자료중 가장 오래된 2006년 1월 당시의 스팸 문구를 살펴볼까요? ▲연체 ▲카드 ▲거부 ▲대출 ▲080 ▲분할 ▲결제 ▲자금 ▲상환 ▲신용입니다.

대부업과 관련된 문구도 있지만 080과 같은 ARS 번호, 카드발급과 같은 키워드가 눈에 들어옵니다.

역시 이 때도 서민들에게 살림살이는 여전히 퍽퍽했었나 봅니다.

이름만 그럴 듯 하게 지어놓은, 결국은 피싱 프로그램이었던 것이죠.

이번 포스팅에서는 온라인게임 피싱 프로그램의 시작과 역사를 짧게나마 써보려고 합니다.

온라인게임 피싱 프로그램의 역사는 매우 길고 깁니다.

피싱이라는 용어자체는 2000년 후반부터 쓰이기 시작했으나 그 개념 자체는 온라인 게임의 등장과 그 맥을 같이 하고 있습니다.

다양한 기법이 등장하고 있지만 결론은 같습니다. 해당 사용자의 아이디와 패스워드를 탈취해 금전적인 이득을 얻고자하는 것은 예나 지금이나 동일합니다.

우리나라 최초의 온라인게임 피싱 방법은 프로그램이 아닌 게임운영자 사칭이었습니다. 이는 게임마스터(GM)의 아이디와 유사하게 만든 다음 사용자들에게 접근, 개인정보를 탈취하는 방법이었습니다.

그러나 이 방법은 오래가지 않았는데, 게임업체들의 모니터링이 강화됨과 동시에 게임마스터의 아이디와 유사한 아이디는 생성조차 불가능하게 만들었기 때문입니다.

운영자 사칭 피싱은 향후 지인 사칭 피싱으로도 이어집니다. 지인인척 하고 게임아이템을 탈취하는 방법으로 진화한 것이죠.

이러한 사칭 피싱은 최근에는 ‘사회공학적 해킹’으로 불리고 있죠. 이는 사람과 사람사이에 존재하는 기본적인 신뢰를 바탕으로 공격을 하거나 원하는 정보를 취득하는 행위를 뜻합니다.

운영자 사칭 피싱 이후에 등장한 피싱 기법은 웹메일링 서비스를 이용한 것이었습니다. 이 기법은 ‘게임을 좀 더 편하게 즐기고자 하는 사용자들의 심리’를 교묘하게 이용한 방법으로 지금까지도 이어오고 있습니다.

“보안인력이 아무리 부족하다고 해도 학점만 볼 수는 없죠. 보안에 대한 열정이 얼마나 뜨거운지가 더 중요합니다.”

최근 기자는 보안업체를 비롯해 포털업체들 보안담당자를 만나 신입사원을 뽑을 때, 어떤 기준이 있는지 물어봤다.

보안담당자들은 모두 공통으로 학점이나 어학성적보다는 ‘과외활동(동아리, 학회 등)’을 얼마나 많이 했는지가 중요하다고 한다.

안철수연구소 시큐리티대응센터의 이호웅 센터장은 “정보보호 업무를 하기 위해서는 기본적으로 컴퓨터 시스템에 대한 지식이 있어야하고 그 위에 보안에 대한 지식이 추가돼야 한다”며 “이말은 컴퓨터공학과나 정보보호학과를 나온다고 해서 정보보호 업무를 수행하기 최적의 상태는 아니라는 의미”라고 말했다.

즉 일반적으로 컴퓨터공학과를 졸업한 학생들은 정보보호나 해킹에 대한 ‘감’을 잡기가 힘들다는 것이었다. 반대로 정보보호학과를 졸업한 학생들은 정보보호 업무의 기본인 프로그래밍에 약하다는 것이 그의 주장.

이 센터장은 “이러한 이유 때문에 학점이 높거나, 낮아도 업무를 수행하는 것에는 큰 차이가 없다는 것이 일반적인 보안실무자들과 인사담당자들의 생각”이라며 “차라리 그렇다면 정보보호 학회나 해킹 동아리와 같은 과외활동이 많은 학생들이 오히려 우리 과업에는 도움이 된다”고 덧붙였다.

그의 말을 가혹하게 해석하자면 ‘어셈블리어(Assembly語)’를 다뤄보지도 않은 사람은 보안업무를 할 기본도 안돼 있다고 할 수 있다. (참고로, 어셈블리어는 국내 대학에선 가르치지 않는다. 이는 보안에 열정이 있다면 어셈블리어를 한 번쯤은 다뤄볼 것이라는 추론에 근거한 생각이다.)

어셈블리어는 기계어와 1대1로 대응하는 언어로 사람이 이해하기 쉽게 약간 변형시킨 언어다. 기계어와 가장 가깝기 때문에 그 기계의 특성을 가장 잘 살릴 수 있다는 것이 장점이다.

어셈블리어를 배우는 목적은 컴퓨터의 작동원리 자체를 이해하기 위해서 이며, 특히 해킹이라는 프로세스를 이해하기 위해서는 필수적인 요소다.

이 센터장은 “학점이 낮더라도 해킹 동아리 등을 통해 어셈블리어를 직접 다뤄보고, 파일을 크래킹해보거나 해킹대회 등에 참석해 본 인재. 즉, 보안에 대한 흥미와 열정이 있는 인재를 보안업체들은 요구한다”고 설명했다.

안철수연구소에서는 지난해 50여명의 신입사원 공채공고를 냈으나 30여명이 최종합격했다. 올해 20명을 추가로 채용 할 예정이다.

한편 SK인포섹 역시 학점과 같은 숫자보다는 ‘대학생활을 어떻게 보냈는지’를 중점으로 본다고 한다.

SK인포섹은 지난해 11월 신입사원 공채로 20명을 선발했고 올해에도 수시채용을 통해 신입

사원을 모집할 계획이다.

SK인포섹 보안기술연구소 양만석 소장은 “신입사원을 뽑을 때 가장 먼저 보는 것은 성적이지만, 성적이 좋고 나쁨에 대한 것을 보는 것은 아니다”고 운을 뗐다.

이어 “성적이 나쁘다면 분명 이유가 있을 것이고 생각한다. 성실한 사람이 결과가 나쁘게 나쁘게 나왔다면 거기에 대한 이유가 있기 때문”이라며 “그 이유가 타당하고 열정과 성의를 보여줄 수 있다면 그걸로 성적이 나쁜 것에 대한 것은 모두 사라진다”고 설명했다.

실제로 SK인포섹은 컴퓨터공학과나 정보보호학과 출신이 아닌 기계과 출신 학생을 선발한 적이 있다. 그 학생 학점은 일반적인 학생들에 비해 많이 낮았다고 한다.

양 소장은 “그 학생은 전공 대신 자신이 좋아하는 C언어만 열심히 공부했고, 거기에 대한 성과도 있었다. 이런 학생이 우리에게 필요한 인재”라고 강조했다.

보안업체뿐 아니라 인터넷서비스업체들 역시 보안인력을 뽑는 것에 대해서는 매우 엄격했다.

모바일 악성코드가 국내 포털 자료실을 통해 배포된 사례가 나왔습니다.

아직까지 피해가 보고되진 않았지만 국내에서 안드로이드 기반 악성코드가 국내 포털 자료실을 통해 배포된 첫 사례로 남을 것 같습니다.

문제가 되는 앱은 ‘새해 2012 라이브 월페이퍼’라는 앱입니다. 해당 앱은 안드로이드폰에서 배경화면을 바꿔주는 앱으로 중국 개발사로부터 제작, 배포된 것으로 알려졌습니다.

이번 사례에서 눈여겨봐야할 점은 대형 포털 자료실에서 이 파일이 배포됐다는 것입니다. 해당 앱은 안드로이드 마켓과 LG유플러스에서 서비스되고 있는 심파일에서 배포됐으며, 약 40여명이 내려받은 것으로 알려졌습니다.

아울러 최근 안드로이드 운영체제(OS)를 노린 모바일 악성코드가 급증하고 있다는 사실도 디도스 공격의 연장선으로 봐야한다는 주장도 나왔다.

한국전자통신연구원(ETRI) 이성원 선임연구원은 “실례로 안드로이드 기반 악성코드는 2010년 16개에서 2011년 7월에만 107개로 급증하는 추세를 보이고 있으며 그 성향도 PC용 악성코드와 유사한 형태가 다수 보이기 시작했다”고 분석했다.

그는 “모바일은 PC와 달리 소량의 트래픽만으로도 효율적인 공격이 가능하기 하다. 특정 이동통신 네트워크 구간에서 이동통신에 필요한 자원을 소모시켜 서비스 장애를 일으킬 수 있다”고 설명했다.

이어 이 연구원은“모바일 디도스 공격에는 네트워크 제어계 공격, 자원고갈형 공격, 간접공격 등이 있으며 네트워크 운영을 위한 오버헤드를 증가시켜 서비스 장애를 일으키는 것은 유사한 점이다”고 덧붙였다.

최근 디도스 공격은 L4, L7단의 공격의 혼합형태로 나타나고 있으므로 이를 구분해서 대책을 수립할 필요가 있으며, 클라우드 서비스나 디도스 봇넷 시뮬레이터를 이용해 충분한 대책을 마련돼야 한다.

네이버, 다음 등과 같은 포털사이트를 자주 방문하시는 분들은 로그인 폼 옆에 있는 ‘보안2단계’라는 글귀를 보신 적이 있으실겁니다.

포털들은 기본적으로 사용자가 로그인할 때 ‘보안2단계’를 권장합니다.

보안2단계는 플래시와 암호화 기술을 통해 브라우저 내부의 악성코드로부터 개인정보를 스니핑하는 것을 막아주는 기능을 갖추고 있죠.

사실 일반 사용자들에게는 이 정도의 설명만으로도 충분합니다. 여기서 더 깊이 들어간다면 전산학에 대한 지식이 필요하기 때문입니다.

보안2단계의 프로세스는 플래시의 RSA 공개키(PKI) 연산을 사용합니다. RSA 공개키 연산은 암호방식을 가진 암호키와 암호를 해독하는 복호키 중에서 암호키를 외부에 공개하고, 복호키는 포털 서버에 놓고 사용자가 암호키를 입력하면 로그인이 되는 방식입니다.

브라우저에 심어져 있는 악성코드가 사용자의 정보 입력을 스니핑하더라도 이미 암호화가 된 키이기 때문에 쓸모가 없어진다는 것입니다.

(스니핑은 로그인 버튼을 눌러 입력된 정보를 포털의 로그인 서버로 전송했을 때 주로 이뤄집니다. 비밀번호로 ‘1234’를 입력하고 로그인을 시도하면 aSx1 이라는 식으로 암호화돼 전송된다는 의미입니다. 로그인서버는 aSx1 이라는 비밀번호를 1234 로 다시 복호화해 로그인합니다)

다만, 보안2단계를 사용하기 위해서는 플래시플레이어가 필요합니다. 이는 플래시플레이어를 지원하지 않는 브라우저(일부 모바일브라우저)에서는 사용할 수 없다는 의미입니다.