보통 편의성을 위해 보안을 안일하게 생각할지 모른다. 편의성과 보안은 반비례한다. 예를 들어 웹 사이트에 접속하였을 때 자동 로그인이 되어 있거나 혹은 비밀번호 자동완성 기능이 설정된 것은 편의를 위해 보안을 내어준 거와 같다. 이 글을 읽는 몇몇 분들은 떠오르는 사이트가 있을 거라 생각된다. 물론 옛날보다 보안에 대해 상대적으로 관심은 높아졌지만 알고 있는 것과 행동하는 것은 다르다. 오늘의 이야기는 해커들 사이에서도 어느 정도 인지도가 있는 해커가 익명의 해커 집단에게 역으로 해킹을 당했던 2009년도의 이야기다.

오늘의 주인공은 댄 카민스키(Dan kaminsky)이다. 그는 2008년 국제 보안 컨퍼런스인 ‘데프콘‘ 에서 DNS 프로토콜의 취약점을 최초로 발견하여 발표한 해커이다. DNS란 원래 웹 사이트의 주소는 숫자로 이루어져 있는데 흔히 알고 있는 ‘www.naver.com’와 같은 문자와 연결하여 우리가 쉽게 다른 사이트와 구별하여 찾아갈 수 있도록 해주는 서비스이다. 그는 이 DNS 서비스의 취약점을 발견하면서 그의 유명세도 확 올라갔다.

그가 유명해지고 난 후, 그가 사용하고 있는 개인적인 웹 사이트가 ‘블랙햇’이라는 익명의 해커집단으로부터 해킹을 당한다. 이 해커들은 댄 카민스키의 트위터 계정을 비롯하여 다른 보안 연구가들과 주고받은 이메일, 패스워드 등을 해킹했다. 그리고 댄 카민스키의 트위터 계정을 통해 자신들이 댄 카민스키의 웹 사이트를 해킹했다는 링크를 남겼고 링크를 따라 들어가면 웹 사이트상에 하기와 같이 자신들의 메시지를 볼 수 있게 하였다.

We hacked Dan’s assets first through finding bugs and writing 0day, and then through abusing him giving away passwords and his silly password scheme. Check out just some of his passes: fuck.hackers, 0hn0z (root account on his mail box), fuck.omg, fuck.vps, ohhai

Five character root password? Niiiiiiice.

From .mysql_history:

SET PASSWORD FOR ‘root’@’localhost’ = PASSWORD(’fuck.mysql’);

See the pattern?

메시지를 해석하면 자신들은 먼저 버그를 찾았고 0day를 써서 이 웹 사이트를 뚫어 댄 카민스키의 개인정보와 비밀번호를 볼 수 있었다고 한다. 그리고 그의 비밀번호들을 나열하고 비밀번호 패턴이 보이지 않느냐는 말을 덧붙여 적었다. 그뿐만 아니라 그들은 블로그 정보에 쉽게 접근할 수 있게 설정한 댄 카민스키의 낮은 보안인식에 대해서도 그를 비판했다.

현재 그의 웹 사이트는 다시 만들어져 운영되고 있다. 아래에는 당시 해커들이 트위터 계정을 통해 자신들이 댄 카민스키의 웹사이트를 해킹했다는 것을 알리는 트위터 메시지이다.

댄 카민스키는 이 일이 있고 난 후, 웹 사이트에 게재된 익명 해커들의 글은 삭제했지만 트위터의 글은 지우지 않고 남겨 놓았다. 또한, 그는 자신을 해킹한 해커들에게 데프콘에 오게 되면 맥주를 사겠다는 메시지를 남겼다.

이렇듯 어느 정도 보안에 대해 잘 알고 있다는 해커도 보안을 유지하는 것은 번거롭고 성가신 일임을 잘 보여주는 사례라 생각한다. 또한 이 사례는 왜 그렇게 보안 사고가 자주 발생하는지를 보여주는 단적인 사례라는 생각이 든다. 더군다나 보안을 잘 아는 해커들도 이러한 상황인데 다른 일반 개발자들이나 사용자들은 어떠할지 생각해 볼 법한 부분이다. 보안을 유지하는 것이야말로 단순히 귀찮고 번거로운 것이 아닌 얼마나 중요하게 생각해야 하는 부분인지에 대해서 인식의 변화가 필요한 시점이라는 생각이 든다.