요즘 시대에 주위를 둘러보면 쉽게 볼 수 있는 것이 웹캠이다. 노트북, 휴대폰에도 달려있고 스마트 홈 카메라, 애완견을 확인하는 카메라 등 각양각색으로 사용되고 있는 웹캠을 볼 수 있다. 그리고 어디선가 한 번쯤은 이런 웹캠을 통해 해킹할 수 있다는 것을 들어봤을 것이다. 카메라 해킹을 통해 개인의 사생활이 쉽게 노출되고 이를 이용해 금전적인 이득을 얻거나 부당한 이유로 해킹하기도 한다. 오늘은 요즘 많이 사용하고 있는 카메라 해킹에 관하여 이야기해보려 한다.
2016년 9월 21일, 보안전문가가 운영하는 KrebsOnSecurity 블로그가 엄청난 규모의 DDoS 공격을 받는다. 공격은 엔지니어의 노력 덕분에 성공하지는 못했지만, 보안회사 Akamai에 따르면 이전에 보았던 공격에 거의 2배에 달했고 여태까지 보았던 DDoS 공격 중 가장 큰 규모의 DDoS 공격이었다고 한다. 초기 보고서를 보면 9월 20일 20시경 공격은 초당 대략 665 Gbps를 기록했으며 보통 공격 규모는 620 Gbps, 평균 500 Gbps의 트래픽을 발생시켰다. 이는 2015년 초 가장 컸던 DDoS 공격의 363 Gbps, 거의 2배 가까이 되는 양이었다. 2016년 10월 21일 오전 7시경 두 번째 공격은 시작되었다. 이번에는 미국 북동부 뉴햄프셔에 있는 인터넷 인프라 회사인 Dyn을 겨냥했다. 첫 번째 공격은 2시간 후에 해결되었지만 12시가 되기 전 다시 한 번 두 번째 공격이 시작되었고 16시 Dyn은 세 번째 공격이 들어왔다고 발표했다. 수천만 개의 IP 주소가 공격자가 되어 미국 전역에 있는 Dyn의 인터넷망을 공격하였고 결국 엄청나게 몰아치는 트래픽으로 Dyn의 서비스는 중단되었다. DDoS가 만들어낸 트래픽 200 Gbps만 되어도 많은 트래픽 양이라고 얘기했던 옛날과 달리 갑작스레 커진 공격 규모의 모두가 속수무책이다. 갑작스럽게 나타나 사람들에게 혼란과 불편을 주고 여태까지 보아왔던 공격과 비교도 되지 않는 양의 트래픽 공격을 하는 DDoS 공격의 최대 무기, 미라이 봇넷(Mirai Botnet)이다.
영화 속에서 연출되는 해킹은 화려하다. 그래서인지 해킹에 대해 여러 사람은 환상을 품고 있다. 하지만 영화와 현실은 다르다. 컴퓨터만 두들긴다고 해서 해킹되는 것도 아니고 화면이 순식간에 바뀌면서 마지막에는 해골문양으로 해킹 성공을 알리지 않는다는 말이다. 사실 이 글을 보고 있는 사람이라면 이 정도는 알고 있을 것으로 생각한다. 그래서 준비해봤다. 오늘은 환상이 아닌 현실에 가까운 해킹과 관련한 영화 6편에 관해 이야기해보자. 영화와 관련한 스포가 있을 수 있으니 내용을 보고 싶지 않다면 큰 글씨만 보고 넘어가도 좋다.
며칠 전, 회사에 출근을 했는데 사장님이 맥주를 마시며 코딩하고 있었다. 저 사람이다!! 회사에서 짬밥이 제일 적은 내가 사장님을 모셔와 앉혀놓고 다짜고짜 인터뷰를 진행했다. 이왕이면 사장님이 곤란해 하길 바라는 마음으로 곤란한 질문들을 생각해내려 애썼다. 페이스북에 이벤트도 걸어 좀 더 곤란한 질문들을 받아봤다. . 닉네임 beist, 이승진이다. 시스템 해킹의 대가이며 국내 해킹하는 사람, 보안을 하고 있는 사람이라면 그의 이름 혹은 닉네임은 들어봤을 것이다. 국내외를 막론하고 다수의 컨퍼런스에서 발표자로 모셔가려 하고 블랙햇에서 스마트TV 해킹과 관련하여 발표도 하셨다. 글로벌 해커 beist 님과의 인터뷰를 진행해보았다. 그와 관련된 한 가지 썰을 풀자면, 필자가 BOB 프로젝트를 할 당시 새벽에 팀원들이랑 프로젝트를 진행하고 있었다. 그 때, 이승진 멘토님이 술을 드시고 들어와 옆에 있던 아주 잠시 쉬고 있던 다른 팀 한명씩 리버싱을 시키며 멘토님은 그 뒤에 앉아 질문하고 물어보고 왜 그렇게 하냐며 따스한 말씀을 전하시기도 했었다. 필자는 취약점 트랙이 아니어서 열심히 하라는 응원의 말씀만 전해주셨지만 다른 취약점 트랙의 친구들은 이 곳에 올 엄두를 못냈다. 큰 키와 동굴같은 목소리, 날카로운 질문으로 BOB 친구들을 공포에 떨게 했던 그 유명한 멘토님이다. 소문에는 BOB 면접시에 정말 무섭고 피하고 싶은 여러 방들 중에 이승진멘토님 방을 꼽지만 이래뵈도 한참 어리고 가장 말단 계급인 필자가 다짜고짜 인터뷰! 라고 해도 받아주시는 천사같으신 분이시다. 더군다나 회사 내에서 자리 위치가 변경되더라도 가장 안좋은 의자, 안좋은 책상과 위치는 항상 사장님의 자리다. 물론, 그 자리에 사장님이 안계셔서 그런 것도 있다. 정말 무서운 분들은 회사에 계신 분들이지 않을까 싶다. beist님과의 인터뷰를 영어로 작성하여 널리널리 알리면 더 좋을텐데.... 정말 아쉬운 부분이다.
보안 공부를 하려고 하면 무엇을 해야 할지 막막한 생각부터 든다. 요즘 유행한다는 디바이스 해킹을 한다고 해도 어디서부터 무엇을 어떻게 해야 할지, 어떤 제품이나 프로그램에서 버그를 찾아야 할지 총체적 난국이다. 가장 난감한 것은 직접 해볼 곳이 없다는 것이다. 물론, 알아서 잘하는 사람은 잘 찾아서 하겠지만 오늘은 공부를 시작하는 이들에게 도움이 될 만한 것을 소개해볼까 한다. 막상 공부를 시작하면 책으로만 보는 이론 지식이 제대로 발휘될 리가 없다. 합법적으로 웹 해킹해볼 수 있는 공간, Webgoat다.
모든 윈도우 버전에서 권한 상승 및 세션을 하이재킹을 할 수 있는 취약점이 발견되었다. 취약점을 발견한 Nopernik는 평소 sethc와 utilman 로그온 화면 백도어를 가지고 놀았다. 그는 작업 관리자 taskmgr.exe를 실행한 후, 사용자 탭에 있는 연결 버튼을 누르니 놀랍게도 선택한 사용자의 세션으로 연결되었다. 더욱이, 로컬 관리자 권한으로 다시 했을 때도 사용자의 암호를 묻지 않았다. 이게 왠 황당한 해킹인가.
본 글은 모바일보다 컴퓨터로 보시길 추천합니다. 오늘은 게임이나 프로그램에서 간혹 특정조건이 맞으면 뜬금없이 나타나는 이스터에그에 대해 소개해보려 한다. 게임 스토리나 프로그램의 기능상 전혀 무관한 효과지만 이를 찾거나 보게 되면 상당히 눈길을 끌게 된다. 사실 이러한 효과를 역으로 이용하여 홍보로 잘 사용하는 게임 회사들도 몇몇 있다. 그 중 블리자드의 오버워치와 GTA가 가장 돋보이지 않을까 생각한다. 사실, 필자가 다른 게임을 안해봐서 다른 게임의 이스터에그는 잘 모르겠다. 어쨌든, 예를 들어보면 블리자드의 오버워치는 숨겨진 이스터에그를 통해 광고를 하기도 하고 스토리의 일부분을 보여주며 심지어는 앞으로의 나올 캐릭터를 암시하기도 한다. 솜브라가 한창 나왔을 때 기억하는가. GTA 역시 이스터에그를 많이 넣기로 유명한데 일부러 이스터에그만 찾는 플레이어도 종종 있다. 이스터에그, 그것은 개발자들이 숨겨놓은 코드로 특정 조건에 만족하게 되면 모션이나 화면 등이 나타나 사용자를 깜짝 놀라게 하거나 흥미를 유발시킨다. 즉, 이렇게 숨겨진 장난 같은 기능을 이스터에그라 하며 개발자의 메시지 혹은 장난이라 여겨진다.
멕시코의 유명한 마약 조직 중 하나인 로스 제타스(Los Zetas)와 어나니머스(Anonymous)가 서로 맞붙었던 적이 있다. 제타스는 그들의 주업인 마약 밀매를 비롯하여 살인, 강탈, 납치, 인신매매 등 여러 분야에서도 악명이 높다. 그들이 하는 일이 법으로 금지되어 있고 좋지 못한 것도 사실이지만 그들의 높은 악명에 가장 큰 이유는 그들이 무척이나 잔인하고 폭력적인 것으로 유명한 집단이라는 것이다. 그런 의미로 제타스는 멕시코의 군사, 정부, 타국까지 수 많은 적이 존재한다. 특히나, 그들의 수많은 적들 중 눈길을 끄는 것은 그 중 해커 집단 ‘어나니머스’가 있다는 것이다.
애플의 보안 정책은 날이 갈수록 강화되어 최근에는 아이폰에서 사용자의 흔적을 찾기란 쉬운 일이 아니다. 미국 동부 샌 버나디노에서 발생한 총기 사건의 용의자 사예드 파룩은 사건 현장에 아이폰을 남겼다. FBI는 사건현장에서용의자의 아이폰을 찾아 증거를 확보했지만 막상 아이폰을 둘러싼 3대 방패막이 때문에 FBI도 아이폰을 어떻게 하질 못했다. 이 때문에 FBI는 애플에게 자신들이 아이폰을 분석할 수 있는 방안을 달라 요청하였지만 애플은 이러한 요청을 거절했다. 결국, FBI는 용의자의 아이폰을 전문 포렌식 업체에 맡겨 아이폰의 보안을 해지하는 데 성공했지만 FBI의 능력에 대한 위상은 곤두박질쳤다. 이와 반대로 아이폰을 만들어낸 애플의 위상은 높아졌고 아이폰을 둘러싼 보안정책이 다시 한 번 이슈가 되었다.