토요일, 5월 19, 2012

[독서광] 네트워크 속의 유령

최근 EBS 해킹 사고로 인해 다시 한번 보안에 대한 경각심이 높아지는 상황이다. 따라서 오늘은 정말 간만에 보안 관련 책을 하나 소개하려고 한다. 컴퓨터 보안에 관심이 있는 분이라면 누구나 한번 쯤 케빈 미트닉이라는 이름을 들어봤을 것이다. 1995년 체포될 당시 미국에서 1급 수배자로서 악명을 떨쳤으며 대규모 보안 사건이 터질 때마다 언론에서 유력 용의자로 지목했던 보안 분야의 유명인이다. 이 책은 바로 전설의 블랙 해커인 케빈 미트닉이 펼치는 화려한(어지간한 책과는 스케일과 레벨이 다르다. 낄낄. 이중 스파이에 헬리콥터 추격전까지 나오는 한 편의 영화다.) 무용담을 장장 600페이지에 걸쳐 숨가쁘게 펼쳐내고 있다. 보안 쪽에 관심이 있고 시스템(특히 유닉스) 관리 지식이 있으며 평상시 사회 공학적인 장난(?)을 좋아하는 분들이라면 이 책을 정말 재미있게 읽을 수 있으리라는 생각이다.

미트닉의 어린 시절(어린 시절부터 이미 선수(?)였음을 알 수 있다)부터 결국 FBI에 잡혀 풀려날 때까지 연대기 순으로 미트닉의 관점에서 이야기를 서술하고 있으므로 기존 언론이나 영화에서 그려진 미트닉의 모습과는 또 다른 흥미로운 여러 가지 사실을 알 수 있다. 예를 들어, 미트닉은 해킹한 정보를 토대로 금전적인 이익을 얻거나 정부와 기업에 엄청난 피해를 입혔다고 주장하는 내용을 일관성 있게 부인하고 있으며, 자신을 잡는데 결정적인 기여를 했다고 알려진 시모무라도 사실상 FBI의 도움을 받았기에 다른 책이나 영화에 나오는 해커를 때려잡는(?) 영웅과는 거리가 멀다고 주장한다.

이 책은 미트닉이 사용한 사회 공학적인 접근 방법이 아주 상세하게 연대기 순으로 (게다가 서로 연관을 맺으며) 등장하므로 훌륭한 보안 지침서로 생각해도 무방할 정도다. 물론 미트닉이 쓴 다른 책인 '해킹: 침입의 드라마'를 보면 좀더 체계적이고 정리된 설명이 나오지만, 아무래도 실제 현장에서 벌어지는 가감없는 자신의 경험담이 훨씬 더 현장감이 느껴지므로 따분한 보안 관련 표준안을 읽느니 이 책을 읽는 편이 실제 보안 사고를 줄일 확률이 높다는 생각을 잠시 해봤다. 미트닉은 10명이 지켜도 1명 도둑을 못막는다는 옛말이 있듯이 완벽한 보안 정책과 기법과 제품이라는 존재하지 않는다는 사실을 적나라하게 보여준다.

미트닉이 사용한 기법을 잠시 같이 살펴볼까?

-------------
"혹시 .rhosts 파일이 있나요?"

"그게 뭐죠?"

하하 내가 기대하던 답변이었다. .rhosts 파일을 모른다는 말은 해킹을 하기 딱 좋은 대상이라는 의미였다. <중간 생략>

나는 제프에게 다음과 같이 입력하라고 말했다.

echo "+ +" > ~/.rhosts (B급 프로그래머: 번역서에는 ~.rhosts라고 나와있지만 명백한 오탈자다. .rhosts라는 사용자의 홈을 덮어쓰라니... T_T)

맞다. 이것은 .rhosts 해킹에 사용되는 명령이다. 나는 제프에게 입력을 지시할 때마다 매번 아주 태연하게 그럴싸한 설명을 해줬고, 따라서 제프는 자신이 지금 시스템에 어떤 명령을 내리는지 안다고 착각했다. <이하 생략>
-------------

뭐 요즘이야 누구나 알고 있는 전형적인 .rhosts 해킹이지? ㅋㅋ

-------------
나는 진저에게 전화로 도움을 줄 수 있다고 말했다. 나는 문제를 해결하는 절차를 가르쳐주면서 진저에게 시스템에 다음과 같은 명령문을 입력하게 했다.

nc -l -p 53 -e /bin/sh&

진저는 그 명령문을 입력하면 내가 법률사무소의 게이트웨이 서버에 접속할 수 있는 권한을 가지게 된다는 걸 몰랐다. <이하 생략>
-------------

netcat 명령은 B급 프로그래머도 즐겨쓰기에 미트닉의 순발력에 한참을 웃었다. 미트닉이 사용하는 수법은 위 사례를 보면 알겠지만 절대 어려운 공격 방법이 아니다. 그런데 이런 내용이 정말 말이 된다는 사실은 B급 프로그래머 경험으로 보증할 수 있다. 10년 전(아니 그보다 더 오래 전이구나)에 모 프로젝트를 진행하며 Solaris 운영체제로 동작하는 시스템에 소프트웨어를 설치해줬는데, 문제가 생겨 지원이 필요했다. 직접 들어가서 해결하는 방법이 최선이지만 거리상 원격으로 해결하려 마음먹고 생각해보니 외부에서 접속할 방법이 마땅치 않았다. 시스템 담당자가 문헌_정보_학과를 나온 신입 사서(상당히 귀여운 미인이었던 걸로 기억한다)라서 유닉스와 시스템에 대해 그야말로 기초적인 지식(로그인 방법 정도 T_T)만 알고 있었기에 전화를 붙잡고 즉석에서 vi 명령어도 가르치고 간단한 셸 스크립트도 작성하게 만들고 무려 root 권한으로 데몬을 재시작하고... 여튼 성공리에 문제를 해결했다. 물론 다음 번에도 여러 번 이 친절한 미인 사서의 도움을 받았던 걸로 기억한다(나의 시스템 관리 아바타라고나 할까? 응?). 만일 이런 상황에서 정상적인 업무가 아니라 사회 공학적인 공격을 마음먹었다면 어떻게 될까? 그냥 내부 시스템을 다 뒤지고 다니고도 충분할 상황이라고 생각하면 틀림없다.

내 맘대로 교훈: 요즘에는 기업과 기관들이 USB 장치를 막고 와이파이 재머를 가동하고 휴대폰 카메라에 스티커를 붙이고 온갖 보안 정책을 다 세우지만, 트럭이랑 탱크가 지나다닐 구멍은 도처에 존재한다. '도구'와 '기교'가 아니라 '사람'이 핵심이라는 평범한 진리를 다시 한번 곱씹어보자.

댓글 3개:

  1. 책 읽는 것 만큼 재밌네요 ㅎㅎㅎ

    (미인 사서 이야기가 나와서 더 그런가... 쿨럭.)

    답글삭제
  2. 이럴 줄 알았으면, 제 경험담(?)을 더 길게 쓸 걸 그랬네요. ㅋㅋㅋ

    - jrogue

    답글삭제
  3. 이 책은 해킹, 침입의 드라마(사이텍미디어)와는 다른 책인가요?
    저자는 케빈 미트닉과 윌리엄 사이먼 같던데 속편인가요?

    답글삭제