[pc활용강좌]IP 및 포트 스캐닝의 실상 -4

이번에는 앞에서 설명한 여러 가지 방법을 통해 크래커가 습득한 IP 어드레스 및 포트 번호를 활용하는 방법을 살펴보도록 하자. 사실 서버 해킹을 시도한다면 유닉스의 루트 권한을 획득하거나(비교적 양호한 해킹 집단인 Root Shell Hackers가 애용하는 방법이다) 윈도우 NT 및 2000 서버가 가지고 있는 보안상의 허점을 이용하는 경우가 많지만 여기서는 윈도우 95, 98, 98 SE가 가지고 있는 "공유"에 초점을 맞추기로 하겠다.

공유 프로토콜을 아예 설치하지 않는 것도 한 가지 방법이다

일단 필자가 당신의 IP 어드레스를 알아냈다고 하자. 어떻게 하면 별도의 프로그램을 사용하지 않고 당신의 PC에 효과적으로 침입할 수 있을까? 황당하게도 윈도우의 파일 공유 기능을 이용하면 간단히 끝난다. 물론 당신이 PC에 윈도우의 파일 공유 프로토콜을 설치하지 않았다거나, 공유 디렉토리에 모두 암호를 걸어놓았다거나 할 경우에는 이 시도가 무용지물이 되어버리겠지만, 아주 심각한 문제는 꽤 많은 수의 윈도우 사용자들이 컴퓨터에 포함된 하드디스크 전체에 아무런 암호 없이 읽기, 쓰기 공유를 걸어 넣고 있다는 점이다. 그러나 여기서는 IP 어드레스만 가지고 다른 컴퓨터의 공유 디렉토리에 접속하는 방법을 공개하지는 않겠다. 분명히 호기심 많은 독자 중 몇 명이 시도해볼 것이기 때문이다.

필자가 침입해 본 어느 사용자의 PC. 여기에도 VBS/Netlog 웜이 도사리고 있었다

앞서 잠깐 언급했던 VBS/Netlog은 이와 같이 쓰기 공유가 된 컴퓨터의 IP 어드레스를 세계 만방에 알리는 악의 선구자라 할 수가 있다. 여기서 안철수 바이러스 연구소의 자료를 참고해 보도록 하자.

Netlog 웜은 일단 임의의 IP 어드레스를 가진 컴퓨터의 공유된 C 드라이브를 찾아 J 드라이브로 매핑한 후 자신과 동일한 network.vbs 파일을 다음의 디렉토리에 복사한다.

"j:"
"j:windows"
"j:windowsstart menuprogramsstartup"
"j:win95start menuprogramsstartup"
"j:win95startm~1programsstartup"
"j:wind95"

한글 윈도우는 시작 버튼을 통해 사용할 수 있는 메뉴의 이름이 "Start Menu"가 아닌 "시작 메뉴"이므로 영문 버전 이외의 윈도우를 사용하면 웜이 다음 기동시 자동으로 실행되지 않는다. 그러나 만일 network.vbs 파일이 당신 컴퓨터의 "C:"에 존재한다는 것은 곧 C 드라이브가 쓰기 공유가 되어있다는 사실을 뜻하며, 이는 전 세계의 누구라도 당신의 컴퓨터에 접근해서 파일을 마구 지우거나 퍼갈 수 있다는 의미가 된다. 지금 당장 자신의 컴퓨터부터 확인해 보도록.

누군가의 컴퓨터에 저장된 수많은 동들 (...;;)

물론 이보다 더 심각한 문제가 발생할 수도 있다. 당신의 컴퓨터에 아무런 바이러스 백신 프로그램이 설치되어 있지 않은 상황에서 누군가가 나쁜 의도를 가지고 당신의 PC에 백오리피스 서버를 설치했다면 단순히 파일을 읽고 지우는 것뿐만 아니라 당신의 컴퓨터를 거의 완벽히 좌지우지할 수가 있다. 이에 대해서는 pcBee의 보안 관련 강좌인 쉬잇~~~내 컴퓨터의 정보가 새고있다!를 참고하는 것이 좋겠다.

또한 누군가가 VBS/Netlog 웜보다 더욱 큰 피해를 안겨줄 수 있는 바이러스를 간단히 개발해 낼 가능성은 얼마든지 있다. 만일 이런 스크립트형 바이러스가 자신의 공유된 컴퓨터의 루트 및 시작 프로그램 디렉토리에 복사하고 c:windows 디렉토리에 있는 아주 중요한 파일 몇 개를 지워버린다든지 한다면 바이러스에 감염된 사람은 영문도 모르고 윈도우를 다시 설치해야 하며, 이렇게 피해를 입는 이들의 숫자는 기하급수적으로 증가하게 된다.

예승철
자료제공:pcBee(http://www.pcbee.co.kr)