광파리의 글로벌 IT 이야기 - 한국경제 블로그

“야후 CNN 해킹 놀랍도록 쉬웠다” 마피아보이 [정보보안]

마피아보이 기억하십니까? 잘 모르시겠죠? 그럼 8년 전 야후, CNN, 이베이 등의 웹사이트를 마비시켰던 고등학생 해커는 기억하시죠? 그때 전 세계 언론이 요란하게 보도했는데, 그 해커가 최근 해킹에 관한 책을 냈습니다. ‘마피아보이: 나는 어떻게 인터넷을 해킹했나(Mafiaboy: How I hacked Internet)’입니다.

이제야 해커 이름이 밝혀졌는데 마이클 캘치(Michael Calce)입니다. 2000년 해킹 당시엔 캐나다 몬트리올에 사는 15세 고등학생이었죠. 그는 야후 CNN 이베이 이트레이드 델 등 5개 웹사이트를 해킹해 한참동안 마비시켰는데, 최근 CTV와의 인터뷰에서 “놀랍도록 쉬웠고 지금도 크게 달라진 게 없다”고 말했답니다.

[마피아보이가 펴낸 책 표지] [마피아보이 마이클 캘치 사진]

마피아보이가 사용했던 해킹 기법은 DoS 공격이었습니다. 대학교 사이트 등을 해킹해 맘대로 조종할 수 있는 꼭두각시(bot)로 만든 다음 DoS 공격을 했다고 합니다. 캐나다와 미국 경찰의 수사로 한 달만에 꼬리가 잡혀 한밤중에 집에서 검거됐는데 죄목은 무려 58가지… 8개월간 소년교도소에 갇히게 됐죠.

마피아보이는 요즘에는 자신의 지식과 경험을 살려 기업이나 개인을 상대로 온라인 보안에 관해 자문해주는 일을 하고 있답니다. 컴퓨터 유통회사에서 일한 적도 있고 신문에 보안 칼럼을 쓰기도 했대요. 책은 펭귄북스에서 발간했는데 지난 11일 판매가 시작됐습니다. 아마존에서도 판매하고 있습니다.

재미있는 것은 마피아보이가 해커로 변신하는 과정에 관한 대목입니다. 마피아보이는 여섯 살 때 컴퓨터를 처음 알았고 아홉 살 때 인터넷에 처음 접속했다고 합니다. 요약된 내용을 조금 읽었는데 호기심이란 게 얼마나 대단한지 깜짝 놀랐습니다. 꼬마가 해커로 변신하는 과정을 요약하면 이렇습니다.

[캐나다 CBC TV의 The Hour 프로그램 인터뷰 동영상]

1993년 일이니까 아홉 살 때였다. 집에 얇은 봉투가 배달됐는데 안에 CD가 들어 있었다. 발신자는 어메리카온라인(AOL)이었다. 처음 들어보는 회사였다. CD를 깔면 인터넷을 30일 동안 무료로 이용할 수 있다고 적혀 있었다. 그런데 모뎀이라는 게 있어야 한다고 했다. 모뎀이 뭐지? 어디서 구하지?

다른 사람과 온라인으로 게임을 즐길 수 있고 수십 마일 떨어진 사람과 채팅도 할 수 있다는 내용을 보고 호기심이 생겼다. 무조건 아빠를 졸랐다. 아빠의 첫 반응은 “팩스머신을 원하는 거냐?”였다. 아빠는 모뎀이 뭔지는 몰랐지만 아들이 끈질기게 졸라대고 사주면 좋아할 것 같으니까 사주셨다.

인터넷에 들어가 봤더니 많은 사람들이 있었다. 흥분에 사로잡혔다. 처음엔 무얼 어떻게 하는지 몰라 지켜보기만 했다. 채팅룸도 들락거렸는데 데이트 상대 찾는 방이 대부분이었다. 남자가 여자를 찾고 여자가 남자를 찾고 남자가 남자를 찾고…. 웃겼다. 그래서 게임을 내려받아 이용해 보기 시작했다.

유명한 게임이라도 와레즈 사이트에서 공짜로 내려받을 수 있다는 것도 알게 됐다. 그래서 그렇게 했다. 어느날 채팅룸에서 와레즈에 관해 얘기하다가 쫓겨났다. 어른 행세를 하다가 들통났기 때문이었다. 나를 강제로 쫓아낸 수법은 ‘펀팅’(punting: 많은 데이터를 발송해 접속이 끊어지게 하는 수법)이었다.

인터넷에서 다른 사람을 공격할 수 있다는 게 재미있었다. 펀팅이란 것은 당한 사람이 다시 접속하면 그만이니까 해를 끼치는 것도 아니었다. 펀팅을 해보고 싶어 해킹 툴을 찾아 다니다가 많은 툴이 있는 사이트를 발견했다. 하나씩 내려받아 사용해봤다. 이제 인터넷을 맘대로 조종할 수 있다는 생각을 하게 됐다.

그때만 해도 해커가 뭔지도 몰랐다. 남이 만든 프로그램을 이용하면서 어떻게 돌아가는지 알게 됐고 필요에 따라 프로그램을 수정할 줄도 알게 됐다. 애숭이는 대개 이런 과정을 거쳐 해커가 된다. 이름도 모르고 얼굴도 모르는 프로그래머들한테 호감을 갖게 됐다. 그들과 어울리고 싶었다. 해커가 되고 싶었다.

이런 식으로 얘기가 전개됩니다. 책을 읽은 것은 아니라서 장담은 못하겠지만 기자가 대필을 했다고 하니 재미있을 것 같네요. 마피아보이는 기업들한테 경고하고 싶어서 책을 썼다고 말하는가 봅니다. 하지만 네티즌 중에는 반감을 드러내는 분도 적지 않습니다. ‘진짜 해커는 잡히지 않는다’는 댓글도 있더군요.*

마피아보이, Mafiaboy, 해킹, 해커, 마이클 캘치, DoS 공격, 야후, 이베이, CNN

posted at 2008/10/12 09:48:00	트랙백(1) \| 댓글(19) \| 스크랩
트랙백 주소 : http://blog.hankyung.com/tb.php?blogid=kim215&id=190080 개인정보유출을 대하는 한국인의 산수부진 (Ubuntu Linux \| 자본주의 최고권력은 불매운동) \| 2008/10/12 17:02 사람들은, 과다한 개인정보를 요구하는 인터넷업체들의 요구에 별다른 저항없이 응해왔다. 개인정보를 요구하는 업체가 대형일수록 민감한 개인정보요구에도 거리낌없이 응해버린다. 이렇듯 넷상이건 오프라인상이건 누군가에게 건내진 개인정보는 결코 보호받을 수 없다는것을 생각해 보지 않는다. 설혹 유출을 의심한다해도 그것이 자신에게 어떤 피해를 입힐지 생각해보지 않는 경우가 많다. 그결과 우리 국민의 개인정보는 더이상 개인정보가 아닌 공유정보가 돼버리다 시피
도레미 \| 2008/10/12 12:55 \| DEL \| REPLY 크래커하고 도둑질하고 별반 다를게 없다고 생각합니다. 윤리적,도덕적 규범을 버리고 남의 집들어가서 뭐 하나 집어 들고 나오긴 쉽죠. 이게 하나둘 쌓이고 쌓여서 바늘도둑이 소도둑되고 잡히고... 정말 바늘만 훔쳐와서 안잡힐수도 있고요. 금전을 도둑질해서 안잡힐수도 있겠죠. 훔치면안된다,도둑질하면안된다라고 우리머릿속에 들어있기 때문에 감히 엄두를 못내는겁니다. 인터넷도 이렇게 크래커(도둑질)하지못하도록 도덕적 관념을 가르쳐야한다고 생각합니다. 사람들은 크래킹을하면 나쁘다고 생각하면서도 반면에 '와 어떻게 했지,궁금하다,대단하다,나도 해보고싶다'이런 생각을 사람들이 가지기 때문에 사회에서의 도둑질과 다르게 엉뚱하게 '존경'받는것입니다. 마피아보이가 크래킹을 해서 사회에 자기얼굴을 노출하여 보안관련 저술을 하고 자문을 한다는것 자체가 웃기는 일이죠. 이런사람들은 매장시켜야옳고,보안 전문인력을 양성하는 시스템을 구축해야합니다. 사이트의 보안이 정말 어처구니없게 허술하다면 물론 이건 고쳐져야겠죠. 하지만,수단과 방법을 가리지않고,댓가를 바라는 크래킹은 정말 사라져야할것입니다. 뭐냐이건... \| 2008/10/12 13:44 \| DEL \| REPLY 들어오자마자 내 알약이 감지하는 이 것의 정체는 뭔가 Trozan. JS. Downloader.H 광파리 \| 2008/10/12 13:50 \| DEL 감사합니다. 장날이면 소매치기들 설치듯 사람들 몰리는 곳만 찾아다니는 인간들이 있습니다. 정말 싫은데... 한경닷컴 측에서 빼내고 있습니다. - \| 2008/10/12 20:28 \| DEL 알약 .. 자신의 개인정보가 알약으로 정보가 빠져나가는거 알고 쓰시는거죠 ^^ 23 \| 2008/10/12 13:47 \| DEL \| REPLY 뭐냐 이 씨방구 블로그는 ㅅㅂ \| 2008/10/12 13:54 \| DEL \| REPLY 블로그에 무슨 트로이목마를 깔았나 후잡놈 .. 이 글 보시는 분들 이블로그에 접속하는순간 바이러스가 생기니 주의하시길 광파리 \| 2008/10/12 14:05 \| DEL \| REPLY 필자인 광파리입니다. 걱정 끼쳐드려 죄송합니다. 아마 제 블로그 사이트에서 뭔가가 잡히는가 봅니다. 현재 한경닷컴 엔지니어들이 점검하고 있습니다. 클릭 수가 많은 글만 찾아다니며 독약을 뿌리는 인간들이 있습니다. 전에도 몇 차례 애를 먹은 적이 있는데, 한경닷컴 측에서 최대한 빨리 뽑아내겠다고 합니다. 저도 정말 화가 나네요. 걱정 끼쳐드려 죄송합니다. Ashton \| 2008/10/12 14:06 \| DEL \| REPLY 위에.. 댓글들중에.. 블로그에 접속하기만 했는데 트로잔이 들어왔다.. 라.. 나는이블로그의 주인과는 아무관계가 없고, 단지 흥미로운 기사에 링크를 타고들어왔는데.. 위에걸린 댓글들이 눈에 거슬려 댓글을 답니다. 무슨 근거로? 알약이 감지해서?.. 블로그에 접속을 했을 뿐인데? 스크립트라도 깔려있는것인가?..그런데 트로잔이라구?! 내가 생각하기엔 댓글 다시는 분들이 어디서 잘못걸린걸 오해하신거 같은데?.. 그렇다고.. 욕부터 지껄이다니.. 심히기분이 상하네. 잘 알고이야기 합시다. 그리고 혹여.. 당신이 맞다고 치더라도.. 저 욕지꺼리는.. .. 정말 .. 한숨나오는 인터넷문화. 광파리 \| 2008/10/12 14:48 \| DEL \| REPLY 한경닷컴 측에서 처리를 했다고 합니다. 올림픽 이후 중국 애들이 한국 사이트들 돌아다니며 많이 설치는가 봅니다. 계속 워치하고 있다고 합니다. 감사합니다. greenfrog \| 2008/10/12 18:39 \| DEL \| REPLY 재미있는 글 잘 보고 가요 ~ ^^ 광파리 \| 2008/10/12 19:35 \| DEL 감사합니다. 마음이 좀 거시기했는데... 감사합니다. dd \| 2008/10/12 20:58 \| DEL \| REPLY 저도 알약 켜놓고 있는데 안 뜨는군요. 댓글들을 보고 놀랐는데, 안심해도 되는 걸까요.. 잘 읽고 갑니다. 광파리 \| 2008/10/12 23:33 \| DEL 안심해도 됩니다. 감사합니다. 890 \| 2008/10/13 03:59 \| DEL \| REPLY 이글을 보니까, 청와대 휴면계좌를 자기 계좌로 입금 시키려고 아이디랑 비밀번호 때려 맞추기로 알아낸후 은행에 청와대의 휴먼예금을 계좌로 입금시키라고 했던 분이 생각나는군요. 근데 졸지에 언론의 침소봉대덕분에 해커가 되서, 이후에 특채와 신지식인등에 선정되고 승승장구 하더군요. 당시 해커들 아무도 그 사람을 해커라 부른적이 없는데도 말이죠. 오히려 그 사람을 해커라 부르는건 모욕이라고 분개 하더군요. 광파리 \| 2008/10/13 06:29 \| DEL 그런 측면이 있습니다. 마이클 캘치에 대해서도 그와 비슷한 유형의 댓글이 많습니다. CBC 인터뷰 동영상을 봐도 영웅시하는 듯한 느낌이 듭니다. 물론 캐나다 자국 사이트가 아닌 미국 사이트를 해킹했기 때문이기도 하겠죠. 지적 감사합니다. 천하무적Vtm \| 2008/10/13 06:25 \| DEL \| REPLY .... 사이트를 마비시키는건 기본적 지식만 알아도 "굉장히" 간단합니다.... 일단 DoS는 저 사람이 어렸을 때 당했다던 펀팅과 비슷하다고 보면 됩니다 -_-)... 그리고 90년대와 2000년대 초반에는 보안이라는 개념이 많이 부족해서 권한 따내는 것 정도는 식은죽 먹기였죠.... 외부에서 접속만 해도 권한을 주는 서버가 지천이였죠..... 아직도 그런 서버가 많습니다. 우리나라 대학 홈페이지만 해도 상당히 취약합니다. 그리고 호스팅 업체 관리자들 보면 한심한 사람들 많습니다. (제가 블로그나 홈페이지를 안만드는 이유 ㄱ-) 결론적으로 2000년대나 지금이나, 서버 권한 따내는건 크게 어렵지 않고, DoS 공격은 물리적인 한계를 이용한 공격이니, 지금도 하라면 크게 어렵지는 않습니다. 아무튼 저 사람을 해커나 크래커라고 부르기에는 좀 무리가 있지 싶습니다. 스톨만이 정의내린 그 "해커"라면 어울릴지 모르겠군요. 광파리 \| 2008/10/13 06:29 \| DEL 감사합니다. 저도 무심코 '해커'라고 표현했는데, 영어 사이트에서도 해커란 말 함부로 쓰지 말라는 댓글 많더군요. 그리고...님이 블로그 안만드는 이유...공감합니다. niceThink \| 2008/10/13 12:24 \| DEL \| REPLY 역시 실력보단 언론 플레이가 더 -.-; 어떠냐 보단 어떤 식으로 보이느냐거 더 중요하단 걸 알 수 있는 사람이군요. 음.. \| 2008/10/13 13:37 \| DEL \| REPLY 마피아보이의 말이 맞잖아 ㅡㅡ; dos 가 뭘 그리 대단하다고... Name Password Homepage Secret