[2000-11-05]

인터넷 해킹 관련 사이트 접속(1분)→해킹 프로그램 내려받기(5분)→무작위 IP(개별 인터넷 주소)범위 입력(1분)→공무원 K씨와 컴퓨터 공유(共有)(2분)→공동작업?…

작업 시작 10분도 안돼 한 공무원 PC의 문서파일 전체가 취재팀의 노트북 화면에 그대로 잡혔다. 컴퓨터의 심장부라 할 수 있는 하드 드라이버 전체도 들락날락할 수 있었다.

마음만 나쁘게 먹는다면 바이러스를 심어 놓을 수도 있었고, 명령어 하나로 컴퓨터 전체를 다운시키는 것도 가능했다.

국가 기간시설 보안설계 도면, 구청 지방세 체납자 명단, 선관위 관내 감시.단속활동 내부 보고서, 퇴출기업 임직원 동향 경찰 자료, 기업 상품개발 프로젝트, 인터넷 쇼핑몰 회원 신상정보, 철거민 신상 및 계좌번호, 청와대로의 부식 납품 내역서….

인터넷에 나도는 가장 초보적인 해킹 툴(tool) 한개로 접근할 수 있었던 자료들이다. 특별한 장치나 별다른 해킹기술도 필요없었다.

많은 인터넷 사용기관들이 네트워크 운영자나 PC 사용자들의 보안 불감증 때문에 '대문' 을 버젓이 열어놓고 있었기 때문이다.

◇ 해킹 모의실험〓지난달 25일 오후 11시 서울 강남의 한 PC방. 취재팀은 표적기관 직원들의 PC로 직접 들어가기로 했다. 메인 컴퓨터를 공격하는 대신 좀 돌아가지만 가장 손쉬운 방식을 택한 것이다.

인터넷에서 내려받은 해킹 툴(스캐닝) 한개와 윈도만 있으면 됐다. 초등학생이라도 단 10분이면 배울 수 있다는 소위 '공유망 침입기법' . 그런데도 작업을 시작한 지 불과 수십초 만에 실험대상 공공.민간기관 2백여개 중 절반에 가까운 90여개 단체 직원들의 PC와 연결됐고, 마치 내 PC처럼 마음대로 들락거릴 수 있었다.

지방자치단체의 경우 15개 광역단체 중 8곳이 외부에 노출돼 있었으며, 서울시내 25개 구청 중 12곳이 무방비 상태였다. 비교적 보안의식이 투철하다는 민간기업들도 사정은 크게 다르지 않았다.

'프로젝트' 란 제목이 달린 A기업 직원의 문서파일을 마음대로 열람할 수 있었고, 인터넷 주소만으로 들어가 본 B은행엔 메인 컴퓨터의 소스코드(프로그램 구성내용)가 알몸으로 노출돼 있었다.

악의적인 해커에게 유출될 경우 고객과 관련된 모든 데이터베이스(DB)가 한순간에 훼손될 수 있는 1급 기밀코드다. 동석한 아마추어 해커 P씨가 보여준 장면은 더욱 충격적이었다. 해당기관 웹사이트 상의 몇 가지 키보드 조작으로 서버 전체를 장악할 ID와 비밀번호를 수초 만에 알아냈다.

◇ 충격적인 해킹의 흔적들〓모 광역단체 직원들과 일부 기업 직원들의 PC에 '트로이안(Trojan)' 바이러스가 깔려 있는 것을 발견한 사실은 한마디로 충격적이었다.

'트로이안' 은 트로이 전쟁 당시 목마 속에 병사들을 숨겨 전승(戰勝)을 이끈 '트로이안 목마' 에서 유래한 용어. 일단 표적 PC 속에 숨어들면 입력되는 모든 정보가 고스란히 해커에게 유출되는 해킹 바이러스의 일종. 주로 e-메일 등을 통해 상대방에게 전송된다.

직원들 PC에 '트로이안' 이 들어있다는 것은 이미 해커의 침입을 받았고, 해당 직원의 업무가 해커에게 완전히 노출돼 있다는 얘기가 된다. 더 중요한 것은 '스캐닝(검색작업)' 한번이면 이같은 해킹 프로그램의 침입을 충분히 감지해낼 수 있다는 사실이다. 치명적인 '덫' 을 무방비로 방치했던 것이다.

◇ 한국은 세계 해커들의 놀이터〓얼마전 한국정보보호센터(KISA)가 국내 쇼핑몰.공공기관.일반기업 등 1천여 기관을 점검한 결과 개인정보 암호화 장치를 사용한 기관은 10%에 불과했다. 한국이 소위 '세계 해커들의 놀이터' 로 불리는 것은 당연한 결과다.