보안

글로벌 칼럼 | 모든 것이 해킹되는 시대… "근본 문제는 잡히지 않는 범인"

Roger A. Grimes | InfoWorld 2011.05.13
요즘 하루가 멀다 하고 해커들에 의해 주요한 자료를 대량 유출 당한 대형 기업들의 이야기가 들려오고 있다. 언젠가는 구글이나 소니, 심지어 정부 기관들도 그 피해자가 될 수 있다. 단지 이름만 바꾸고 똑같은 과정이 되풀이 되는 것이다.
 
최근 전국의 기자들이 해커들의 공격이 거세지고 있는 추세와 현재 보안 상태에 대해 필자의 의견을 물은 일이 있었다. 거기에 대해 한 바탕 이야기를 풀어놓고 나자, 그들은 꽤 충격을 받은 듯 보였다. 그들은 그들 나름대로 사태가 이정도 인 줄은 몰랐다는 눈치였으며 필자는 또 나름대로 “대체 이 많은 기자들은 어디에 숨어있다 이제야 나온 거지?” 궁금해 하고 있었다.
 
확실한 것은, 사이버 범죄가 오늘 내일로 사라질 문제가 아니라는 것이다. 거기엔 두 가지 이유가 있다. 우선, 사이버 상의 모든 것이 해킹의 대상이 될 수 있기 때문이다. 더 중요한 이유는 사이버 범죄는 검거하기가 힘들고 잡혀도 제대로 처벌받지 않는다는 거다. 사이버 범죄가 지금처럼 쉽고 수익성도 뛰어나다면, 그리고 잡힐 염려도 적다면, 사이버 범죄는 앞으로도 계속 될 것이다.
 
골라서 해킹하기
기업을 해킹하는 일은 눈을 감고, 손가락으로 목표물을 가리키며 “공격!” 하고 외치는 것만큼이나 간단한 일이다. 9년 동안 여러 단체의 IT 시스템에 침투하는 일을 업으로 삼아온 필자는(물론 언제나 책임자의 허가가 있었지만) 어떤 기업이나 병원, 은행, 금융 웹사이트, 심지어는 CIA나 FBI같은 주요 정부 기관도 한 시간 내로 침투할 수 있다는 사실을 알게 됐다. 하지만 예외는 있었다. 처음 필자가 그 회사 IT시스템에 한 시간도 걸리지 않아 침투를 성공하자 그들은 내 조언에 따라 취약했던 보안 문제를 개선했고, 두 번째 침투를 시도했을 때는 나로써도 세 시간 이상 시간을 소모해야 했다 (구조화질의어(SQL) SA암호를 사용했음은 물론이다.)
 
사실 필자는 그렇게 대단한 해커도 아니다. 1점부터 10점까지 매기자면, 한 5점쯤 될 것이다. 그런데도 시도하는 족족 해킹에 성공했다. 10점짜리 해커라면 아마 식은 죽 먹기였을 것이다.
 
방법만 안다면, 회사 웹사이트나 컴퓨터를 해킹하는 것은 일도 아니다. 우선 해킹할 회사를 정한다. 그 후 회사의 통제 하에 있는 컴퓨터가 어떤 것인지 알아 내어 포트 스캔을 통해 리스닝 서비스(listening services)를 찾아낸다. 제품 업체를 알아낸 후 버전을 확인한다. 그리고 관계된 취약점을 찾아내면 된다. 시큐니아(Secunia)의 취약성 리서치 권고(Vulnerability Research Advisory) 데이터베이스를 선호한다. 패치된 것과 패치되지 않은 것을 알려 줄뿐더러, 로컬 액세스가 나을지, 리모트 액세스가 나을지, 해킹 후 본인이 가지게 되는 통제력은 어떤 것이 있는지를 알려 주기 때문이다.
 
그러고 나면, 공격 프로그램 수색이나 익스플로잇 코드를 교대로 찾아서 시큐니아의 기록에 따라 하나를 만든다. 밀웜(MilW0rm)을 대체할 공격 사이트는 얼마든지 있는데, 그래도 난 항상 Metasploit.org를 사용한다(쉽게 할 수 있는 일을 왜 굳이 어렵게 하겠는가?). 이러한 기본기들만 알면, 나머지는 일사 천리로 진행된다.
 
패치가 안 된 소프트웨어나 취약점이 전혀 없는 기업이 있다 해도 걱정할 필요 없다. 사용자들에게 공격성 소프트웨어를 첨부해 이메일을 보내면 된다. 소셜 미디어와 관계된 이메일들은 만들기도 쉽고 효과도 좋다. 필자는 주로 그 회사 CEO나 CFO인 척 하면서 “2011년 해고 예정자들” 이라는 제목으로 이메일 보내는 방식을 좋아한다. 이러면 직원들은 이 메일을 열고 10초도 지나지 않아 공격 프로그램을 가동시킨다. 사실 직원들을 속이는 건 너무 쉬운 나머지 잘 사용하지 않게 되는 방법이기도 하다.
 
또, 즐겨 사용하는 다른 방법은 목표 회사가 파이어월이나 안티스팸, 이메일 게이트웨이 등 어떤 보안 하드웨어나 기기를 사용하는지 알아내는 것이다. 겉보기에는 완전히 패치 된 것 같지만, 무슨 버전인지를 적은 후에 새 패치가 나오면 알려 달라고 부탁하면 된다. 어느 회사가 패치를 새로 하게 되면 수 일, 늦어도 몇 주 내로는 알 수 있다. 다시 말하지만, 이건 어려운 일이 아니다. 필자도 그다지 뛰어난 해커가 아니고 말이다.
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.