ETC
2017년 1월을 장식한 Free Hacking Tools
2017 02 13
  • Facebook
  • Twitter
  • Copy URL

2017년 1월, 거대한 두 곳에서 해킹 툴이 무료로 풀렸다. 웹 애플리케이션과 관련한 해킹 툴들을 판매하는 아큐네틱스(Acunetix)는 웹 사이트의 취약점을 찾아내는 데 도움이 될 만한 해킹 툴을 무료로 공개했다.[1] 또한, NSA의 사이버 감시 및 스파이 도구를 훔친 혐의를 받고 있는 해킹 그룹 셰도우 브로커스(Shadow Brokers) 역시 윈도우 시스템을 집중적으로 공격할 수 있는 툴을 무료로 가져왔다.[2]

이미지를 불러오는데 실패했습니다.

드라마나 영화 속에서 연출되는 해킹은 검은색 창에 흰 글자들이 막 올라오는 장면을 보여 주곤 순식간에 해킹되었다고 표현한다. 사실 이런 장면은 연출이고 해커들은 뚫어지라고 모니터만 보며 드륵드륵 딸칵딸칵 ESC, 드륵드륵 딸칵딸칵 ESC 정도다. 간혹 사이사이 엄청나게 빠른 키보드 타이핑 타타타타닥 소리가 간간이 들려온다. 해커들은 정말 다양한 방법으로 소프트웨어나 시스템에 침입한다. 그들은 상대방을 속여 악성코드를 상대방 컴퓨터에 설치하거나 해킹 툴을 이용하여 침입하기도 한다.

해킹 툴(Hacking Tools)이란 해커가 시스템에 설치된 보안 장치 및 정책을 우회하거나 시스템에 있는 취약점을 스캔 및 이용하여 시스템에 있는 데이터 및 자료를 추출하는데 사용되는 프로그램이다. 일반적으로 해킹 툴이라고 불리며 해킹 도구라고도 말한다.[3] 갈수록 치밀해지는 시스템에서 해커들이 프로그램을 뚫을 수 있는 곳을 보기에 너무 많은 부분을 봐야 한다. 해커들은 다양한 시점에서 취약점을 찾아야 하므로 바쁘다. 이를 돕기 위해 나온 것이 해킹 툴이다. 해킹 툴을 이용해 하나하나 봐야 하는 수고를 덜고 더 빠르게 자신들이 봐야 하는 부분을 찾아낼 수 있다. 해킹 툴의 종류는 너무 많아 손에 꼽을 수는 없지만, 대표적으로 아이다(IDA), 와이어샤크(Wireshark), 올리디버그(Ollydbg), 엔맵(Nmap) 등 여러 분야에서 다양한 해킹 툴들이 존재한다.

이미지를 불러오는데 실패했습니다.

이번에 무료로 해킹 툴을 공개한 아큐네틱스(acunetix)는 2004년에 창립한 기업으로 웹 애플리케이션에서 공격과 취약점을 자동으로 탐지하고 웹 응용 프로그램 보안 기술의 선두주자로 자리매김하고 있는 기업 중 하나다. 실제로 그들의 제품은 이미 전 세계 기업과 개인 사용자들에게 많이 사용되고 있으며 펜타곤, 나이키, 디즈니, 어도비 등 여러 500대 기업과 정부, 군대, 교육, 통신, 은행, 금융 및 전자 상거래 분야에서 많이 쓰이고 있다.[4]

이미지를 불러오는데 실패했습니다.

2017년 1,월 아큐네틱스는 수동으로 웹 사이트를 모의해킹 할 수 있는 툴을 무료로 공개했다. 해커는 이 툴의 기능 HTTP 에디터(editor)를 이용하여 HTTP의 요청을 수정하거나 조작하여 응답을 분석할 수 있으며, 통합 HTTP 스니퍼(sniffer)를 사용하여 즉석에서 HTTP 트래픽(traffic)을 가로채고 수정할 수 있다. 또한, 퍼저(fuzzer)를 통해 HTTP 요청을 검사하고 블라인드 SQL 인젝터(Blind SQL Injectionor)를 사용하여 블라인드 SQL 인젝션 취약점을 찾아낼 수 있다. 외에도 여러 기능을 사용할 수 있으며 현재 이러한 서비스는 웹 페이지 상에서 간단한 양식을 작성해 제출하면 서비스를 사용할 수 있도록 제공하고 있다.[6]

본래 이런 수동 취약점 해킹 툴은 돈을 지불하는 유료 결제를 한 사람한테만 제공이 되었었다. 하지만 아큐네틱스는 더 많은 보안 연구가와 해킹을 하는 모든 이들에게 도움이 되길 바라는 마음으로 수동 해킹 툴을 무료로 배포하기 시작했다. 이를 통해 아큐네틱스는 더 많은 이들이 손쉽게 웹 애플리케이션의 취약점을 찾아내고 보안이 더 강화되길 바란다고 말했다.[7]

아큐네틱스 취약점 스캔 도구의 가장 좋은 점은 사용하기 좋은 UI와 다른 제품에 비해 가격 대비 성능이 좋다는 것이다. 또한, 아큐넥티스는 3,000가지가 넘은 웹 애플리케이션의 취약점을 탐지하고 가장 다양한 SQL 인젝션 및 XSS 취약점을 탐지한다. 많은 취약점을 찾기 위해 가능한 한 제한된 영역에도 쉽게 접근할 수 있는 기능과 보고서 역시 ISO 27001 및 PCI 준수 사항을 적용하여 광범위한 관리 및 규제 보고서를 작성할 수 있다. 이를 통해 통합적으로 취약점을 관리하고 취약적인 위협을 포괄적으로 우선순위를 지정하여 제어 및 관리할 수 있다.[8]

기업체가 해킹 툴을 무료로 배포하였다면 이번에는 해커 그룹 셰도우 브로커스(shadow brokers)가 해킹 툴 58개를 무료로 공개하였다.[9] 셰도우 브로커스는 NSA 시스템을 해킹했다는 혐의가 있는 해커 그룹으로 이번에 그들이 풀어버린 해킹 툴들은 NSA의 해킹 툴이라는 이야기가 있다.[10] 전문가들은 이들이 어떻게 해킹했는지 여러 가지 가설을 내놓았지만 이렇다 할 확실한 것은 없어 추측만 했다.

이미지를 불러오는데 실패했습니다.

2016년 8월, NSA가 해킹당했다는 소식이 일파만파 퍼져 나갔다. 비영어권 단체로 보이는 셰도우 브로커스[11]는 블로거를 통해 NSA의 해커 그룹이라 추측되는 이퀘이젼 그룹(Equation Group)의 사이버 무기를 공개한다며[12] 256MB의 첨부 파일을 함께 올렸었다.[13] 이 256MB의 첨부 파일은 많은 보안 전문가들이 다운로드 받아 분석한 결과, 2010~2013년의 자료로 대충 파이썬으로 코딩된 스크립트[14]와 이 기술들을 가지고 있었던 본래 출처가 엄청난 기술력을 보유하고 있을 것이라 예상했다.[15] 또한, 익스플로잇, 라우터 방화벽을 공격하고 통제할 수 있는 툴들과 이 툴들로 공격할 수 있는 업체는 시스코 등 여러 대기업을 겨냥할 수도 있다.[16] 마지막으로 익스플로잇 중 한 파일 코드 내에 들어있는 IP 주소 중 하나가 미국 국방부의 것과 일치한다는 점이다.[17] 이를 봤을 때 IP 주소가 나왔다 하지만 이것만 가지고 NSA의 해킹 툴이라 결론을 내릴 수 없다는 의견과 파일 일부가 아닌 모든 파일을 봤다면 대단했을 것으로 보고 있다. 더불어 당시 전문가들 사이에서도 의견이 분분하여 이에 대해 결론을 내리기가 애매했다.[18]

그렇게 한 차례 논란을 휘몰아친 셰도우 브로커스는 현재 올리는 이 파일은 일부의 파일이고 더 많은 파일을 보유하고 있다고 말과 함께 남은 파일들은 경매로 판매할 예정이라 밝혔다. 이에 대해 대부분의 전문가는 미국 정부의 것일지도 모르는 민감한 데이터를 사들이는 위험한 일이라며 한 소리로 팔지 못할 확률이 높다며 셰도우 브로커스의 말을 되받아쳤다.

그 후 약 5개월 후, 셰도우 브로커스는 자신들이 얘기한 것처럼 NSA에서 해킹된 자료로 추정하는 58개의 해킹 툴을 트위터를 통해 판매하기 시작했다.[19] 셰도우 브로커스는 이를 판매하고 원하는 비트코인 10,000되면 나머지 프로그램은 무료로 푼다고 얘기했다.[20] 또한, 해킹 툴 하나의 최소 금액은 900만 원으로 모두 사려면 7억 원이 필요했다.[21] 셰도우 브로커스의 판매 홍보가 시작되고 보안 컨설팅 그룹인 인포섹의 창립자 제이콥 윌리엄스(Jacob Williams)는 셰도우 브로커스가 트위터로 공개한 윈도우 해킹 툴들을 보면 아직 해결되지 않는 제로데이 공격용 툴일 것으로 추측되며 만약 알려진 취약점을 공격하는 툴 치고는 가격이 높은 편이라고 말했다.[22] 한 차례 논란의 행보를 만들어 내던 셰도우 브로커스는 판매를 시작한 지 일주일 만에 판매가 안 된다며 이를 무료로 배포해 버렸고 자신들의 은퇴를 발표했다.[23] 

이미지를 불러오는데 실패했습니다.

해킹 툴은 위에서도 말했다시피 해커들에게는 하나의 공격무기다. 더군다나 이러한 툴을 이용해 얻을 수 있는 효과는 생각 외로 크다. 해커가 해킹 툴을 사용하면 작은 취약점이라도 찾아 줄 수 있도록 도움이 되기 때문에 해킹 툴의 유무는 사실상 크다. 실제로 작은 취약점이라고 하더라도 이 작은 취약점이 시스템의 판을 완전히 뒤집을 수 있어서 이런 거 하나하나 놓쳐서는 안 된다. 해킹 툴은 해커가 해킹하는데 같은 시간 내에 더 많은 부분을 볼 수 있도록 도와주며 사용법만 알면 잘 모르는 사람이 다루더라도 쉽게 해킹할 수 있을 정도로 해킹하기 쉽게 만들 수 있다. 즉, 해킹 툴은 시간적으로나 능률적으로나 좀 더 효율적으로 해커를 돕는 도구이며 보안 연구가들이 이러한 해킹 툴을 이용하여 더 깊고 많은 연구를 할 수 있는 부분이 될 수 있다.

반대로 이러한 툴들이 무료로 많이 풀린다면 좀 곤란할 수도 있다. 왜냐하면, 해킹 프로그램은 안에 구조가 어떻게 되어있는지 모르더라도 자동으로 취약점을 찾아주고 해킹을 해주기 때문에 사용법만 안다면 어린아이들도 해킹할 수 있는 것이 해킹 툴이다. 그런 의미로 강력한 해킹 툴이 무료로 많이 풀린다면 일반인들도 너무 쉽게 해킹할 수 있어 가장 염려가 되는 부분이다. 즉, 해킹 툴이 해커들을 도울 수 있는 도구도 되지만 아무것도 잘 모르는 어린 해커들이 장난질 치기 딱 좋은 장난감으로도 사용될 수 있어 위협이 되곤 한다. 실제로 해킹 사건 중에 해커가 높은 수준의 기술과 지식을 갖지 않더라도 간단한 해킹 툴을 이용하여 해킹한 사건이 심심치 않게 나온다.

또 한편으로 염려스러운 것은 무료 탓에 많이 풀어진 해킹 툴은 너도나도 사용하는 해킹 툴로 사용되고 이는 정당하지 못한 사용과 많은 이의 사용으로 혼란을 주지 않을까 염려된다. 한 가지 예시를 들자면 해킹 툴을 핵이라고 생각해서 오버워치만 해도 핵 문제로 상당히 시끄럽다. 경쟁전 하는데 상대 팀에서 핵을 들고 나오면 우리 팀에서도 걱정하지 말라며 핵을 키곤 한다. 쉽게 구할 수 있는 핵 프로그램이기도 하고 이런 핵 사용에 제재를 가하지 않아 너도나도 사용하기 바쁘다. 물론, 곧 있으면 오버워치에서 핵을 사용할 시에 벌금을 물린다고 하니 쓸 생각은 하지 말자. 핵은 실력 없는 손 멍청이들이나 하는 짓이다. 결국, 해킹 툴 역시 높은 지식과 올바른 인성을 가진 사용자가 사용해야 하지 않나 생각된다. 해커에게 많은 도움이 되고 금전적으로 부담 없는 무료 해킹 툴이 풀리는 것에 대해 개인적으로 좋은 마음이 크지만 이렇게 보면 무작정 해킹 툴이 무료로 많이 풀리는 것이 답은 아니라고 생각된다.

유성경 yuopboy@grayhash.com