영화 '존 윅'이나 '몬테 크리스토' 같은 복수 이야기는 항상 쾌감을 주기 마련이다. 이 괴짜 보안 전문가의 사례도 이런 복수 스토리와 맥락이 비슷하다.
이메일이나 전화번호 등 나의 개인정보가 유출됐는지를 알려주는 'Have I Been Pwned' 웹사이트의 운영자 트로이 헌트의 이야기다(이 웹사이트에 미리 등록해 놓으면 나의 개인정보가 유출됐을 때 알림을 보내주기도 한다). 헌트는 이 사이트 운영 외에도 다양한 활동을 하는데, 스패머를 괴롭힌 이른바 '암호 감옥(password purgatory)' 활동을 정리해 최근 공개했다.
그는 마이크로소프트 파워 오토메이트(Microsoft Power Automate)와 클라우드플래어(CloudFlare) 툴을 이용해 쉽게 시스템을 악용할 수 있는 것처럼 속여 스패머가 사이트로 끌어들였다. 스패머가 해야 할 작업은 웹사이트에서 사용자 이름과 암호를 등록하는 것이 전부였다. 그러면 쉽게 가짜 사이트 링크를 만들 수 있었다(그런 것처럼 보이게 했다). 하지만 다음 화면처럼 이는 헌트가 스패머를 농락하는 것이었다. 스패머가 암호를 입력하면 '대문자를 1개 이상 사용하세요', ''dog' 문구로 끝나도록 암호를 설정하세요', ''cat'으로 시작하는 암호를 설정하세요', '숫자가 1개 이상 포함되도록 암호를 입력하세요' 등 스패머가 계속해서 새로운 암호를 만드는 데 시간을 허비하도록 하면서 괴롭힌다. ⓒ Troy Hunt / troyhunt.com
헌트는 그가 던진 미끼를 문 스패머가 점점 늘어나는 바보 같은 암호 설정 조건을 얼마나 참아내는지를 지켜봤다. 그리고 이렇게 스패머를 괴롭힌(?) 결과를 블로그를 통해 상세하게 공개했다. 마치 '글리터 밤(glitter bomb, 남의 택배를 훔치는 사람을 골탕 먹이는 것으로 포장을 뜯는 순간 굉음과 함께 반짝이 가루가 주변으로 흩뿌려진다)'의 소프트웨어 엔지니어 버전인 셈이다.
헌트가 암호 감옥으로 어떻게 스패머를 괴롭혔는지 전체 내용은 그의 블로그를 참고하면 된다. 또한, 그는 이번 작업에 사용했던 소스 코드가 담긴 깃허브 리퍼지토리도 공개했다. 이 소스를 이용하면 누구나 스패머를 유인해 골탕 먹일 수 있다.
editor@itworld.co.kr
Tags
글리터 밤
암호 감옥
추천기사
