어느덧 우리에게 중요한 키워드가 되어버린 보안에 대한 이야기를 영화라는 매개체를 통해 좀 더 쉽고 재미있게 다뤄보고자 한다. [편집자말]

    
지난 8월, 11년 만에 오션스 시리즈의 신작 <오션스8>이 개봉했다.

7천만 달러의 제작비가 투입된 이 영화는 국내에선 133만 명의 관객을 동원했고, 북미 1억3천만 달러를 포함, 전 세계 약 3억 달러의 극장수입을 기록하며 안정적으로 시리즈 복귀를 알렸다. 감독은 <헝거게임: 판엠의 불꽃>의 게리 로스가 맡았다.
이번 작품은 기존 조지 클루니가 맡았던 대니 오션이 아닌 그의 누이 데보라 오션을 주인공으로 내세웠다. 그리고 그녀를 중심으로 한 8명의 여성 사기단의 활약(?)을 그린 작품으로 사실상 리부트에 가깝다. 
 
사기죄로 5년 동안 옥살이를 한 데보라 오션(산드라 블록)은 가석방으로 출소하자마자 옛 파트너 루(케이트 블란쳇)를 찾아가 유명스타 다프네 크루거(앤 해서웨이)를 이용해 1억5천만 달러짜리 다이아몬드를 훔치자고 제안한다. 그리고 둘은 디자이너, 해커, 장물아비, 소매치기, 보석상을 팀으로 끌어들인다. 그렇게 결성된 여성 사기단은 데보라의 설계대로 세계 최고의 다이아몬드 '투상' 탈취 작전에 착수 한다.
 
<오션스8>은 오션스 시리즈 답게 호화 캐스팅을 자랑한다. 산드라 블록, 케이트 블란쳇, 앤 해서웨이, 그리고 헬레나 본햄 카터까지 단독주연이 이상하지 않은 배우들이 주연진에 포진하고 있다. 여기에 다코타 패닝, 세레나 윌리엄스, 하이디 클룸, 케이티 홈즈, 마리아 샤라포바 등 유명스타들의 카메오 출연까지 그야말로 '별' 보는 재미가 쏠쏠한 작품이다.
 
이 영화에서 제일 먼저 눈에 들어오는 건 역시나 주인공들이 여자들로만 꾸려진 '여성 사기단'이란 점이다. 영화를 통해 금남의 지역에서 남자들을 따돌리고 '거사'를 진행하는 장면과 남자에 대한 복수 장면들을 볼 수 있는데, 이 장면들을 최근 불고 있는 페미니즘 운동과 연관지어 생각해보면 상당히 상징적으로 다가오기도 한다.
 
시리즈의 시작점인 <오션스 일레븐>에 대한 오마주를 접하는 것도 영화의 재미 중 하나다. 우선 주인공의 가석방 인터뷰로 시작하는 오프닝 자체가 <오션스 일레븐>과 똑같다. 가석방 뒤 제일먼저 옛 파트너를 찾아가 팀을 꾸리기 시작하고, 파트너의 만류에도 불구하고 옛 연인을 찾아가는 구도도 같다. 심지어 설정한 목표 금액도 1억 5천만 달러로 동일하다. 
 
케이퍼 무비치고 긴장감이 부족한 편이지만 <오션스8>은 화려한 비주얼과 적절한 유머 그리고 절묘한 속임수로 약점을 커버하고도 남는다. 특히 케이퍼 무비답게 최신기술을 활용하는 장면들이 인상적이다.

지르코늄을 원료로 가짜 다이아몬드 목걸이도 뚝딱 만들어내는 3D 프린터와 안경을 이용한 3D 스캐닝 기술, 그리고 마그넷 락 등 다양한 첨단기술들을 선보이고 있다. 하지만 영화 속 최신 기술은 현실 보다 앞서있는 상태다. 영화에 사용된 3D 프린터는 'Makerbot Z18'이지만 해당 모델로 지르코늄을 프린팅할 순 없으며, 안경으로 된 3D 스캐닝 기술도 그렇게 간단하게 구현될 수 없다. 그렇다고 영화의 내러티브에는 큰 지장을 주지 않는다. 
 
이제 긴 서론을 뒤로하고 보안쟁이가 들려주는 영화속 보안 이야기를 해보고자 한다. 케이퍼무비 답게 <오션스8> 안에는 보안쟁이의 눈을 사로 잡는 장면들이 여럿있는데, 그중에 꼭 소개하고 싶은 장면이 하나 있다. 영화에선 그저 웹 서핑만 했는데, 왜 랜섬웨어에 걸리거나 회사 서버가 털리는지를 알려주는 장면이다. 바로 해커로 등장하는 리한나가 박물관 내부PC의 제어권을 획득하는 장면이다.
 
기존에 많은 케이퍼 무비들은 해킹 장면을 비교적 간단하게 처리하곤 했다. 영화에 뛰어난 해커가 등장하여 자판만 열심히 두드린 후 목표기관의 방어벽을 뚫어 정보를 탈취하거나 내부시스템의 제어권을 가져오는 식이다. 
    
하지만 <오션스8>에서는 사회공학적 공격을 활용한 해킹 장면이 등장한다. 극중 해커 나인볼(리아나)은 보안회사의 홈페이지에서 박물관의 담당 보안직원의 이름을 알아내고, 그 이름으로 그 직원의 SNS를 알아낸다. 해당 직원의 SNS 속 일상 사진들을 통해 그가 강아지 애호가임을 파악하고 그 직원의 '클릭'을 이끌어 낼 만한 사이트를 만들고 그안에 악성코드를 심어둔다. 그리고 그 직원이 회사에서 근무할 것 같은 시간에 SNS로 초대장을 보낸다.

귀여운 강아지 사진의 유혹을 뿌리치지 못한 해당직원은 회사PC로 알람을 클릭하고 PC의 제어권을 나인볼에게 내주고 만다. 나인볼은 그렇게 내부직원을 자신이 만들어 놓은 악성 웹사이트로 유인한 것 만으로 내부직원의 PC 제어권을 획득하고, 박물관의 카메라 제어권까지 얻어 오는데 성공한다. 
 
리한나가 구현한 것은 바로 드라이브 바이 다운로드(Drive by downroad) 기법이다.
드라이브 바이 다운로드는 말 그대로 '지나가며 다운로드 한다'는 뜻인데, 문제는 사용자가 웹상에서 지나가며 다운로드 한 것이 악성코드라는 점이다. 이 공격은 사용자 몰래 웹페이지에 스크립트 코드를 이용해 악성코드가 심어져 있는 웹페이지로 이동시켜 악성코드를 다운로드 하게 하는 방법이다.

이때 해커는 이것을 들키지 않기 위해 보이지 않는 여러개의 경유 페이지들을 만들어 놓는다. 그리고 스크립트 코드 분석을 최대한 지연시키기 위해 코드를 난독화 시키기도 한다. 그렇게 사용자는 자신도 모르게 악성코드가 심어져 있는 웹페이지에 들러 악성코드를 다운로드하게 되고 바이러스에 감염되는 것이다.
 
영화속에서 리한나가 구사한 방법은 해커들이 실제로 특정인을 타깃으로 벌이는 해킹공격이다. 영화에서처럼 드라이브 바이 다운로드는 스피어 피싱(Spear-Fishign) 같은 사회공학적 공격과 함께 병행되곤 하는데 이를 워터링 홀 공격이라고 한다. 워터링 공격은 일반적으로 특정인의 정보를 수집한 다음 그 사람이 자주 접속하는 사이트 등을 분석하여 클릭을 유도 할 수 있늘 링크를 보내고 악성코드가 심어져 있는 웹사이트에 방문 할 때 그의 PC를 감염시키는 방식이다.

이것을 '워터링 홀 공격'이라고 부르는 이유는 악어의 사냥법과 유사하기 때문이다.
악어는 주로 물웅덩이 속에 숨어 있다가 얼룩말이나 물소 같은 먹잇감들이 물을 마시러 오거나 지나갈 때 공격하여 사냥하곤 한다.
    
이러한 해킹 공격을 대비하기 위해선 알지 못하는 사람이 보낸 메일이나 메시지 속 링크나 첨부파일은 열어보지 않는 것이 좋다. 설사 아는 사람에게 온 것일 지라도 내용 의심스럽다면 조심하자! 당신의 지인 계정이 해킹되었을 수도 있으니 말이다. 
드라이 바이 다운로드 공격은 웹브라우저, 자바, 플래시 플레이어, 어도비 등의 취약점을 이용하는 경우가 많다. 그리고 항상 소프트웨어의 최신 보안 업데이트를 유지해야 한다. 또한 브라우저의 웹필터링 기능을 꼭 활성화 시키놓는 것이 좋다.