Vulnerabilities
야후 웹메일 취약점
IE 6.0 DoS 취약점
[HL2003-124]Microsoft Messenger 서비스 버퍼오버플로우 취약점
[HL2003-122]HP HP-UX dtprintinfo DISPLAY 환경변수 버퍼오버플로우 취약점
[HL2003-121]Sun Solaris aspppls의 임시화일 생성오류
Section Stories
머피의 법칙 그 유래를 찾아서 4부작 2편
지구상에서 가장 빠른 사나이(2편) 우리가 이제껏 알고 있는 머피에 법칙에 관한 모든 것은 잘못된 것이다. ...
얼음렌즈로 불 붙이기
호수나 샘에서 깨끗한 물을 퍼 온다. 물 속 가스가 제거되도록 약 10 분 간 끓인다. 그런 뒤 은박지 호일을 접어 약 5cm 정도 깊이의 접시를 만들어 물을 담고 천천히 얼린다. 아니면, 판매하 ...
머피의 법칙, 그 유래를 찾아서 4부작 1편
"세상에 어떻게 이럴 수가... 나는 도대체 되는 일이 하나 없는지..." 머피의 법칙이 뭔지는 알면서도 막상 그 유래에 관해서는 여러가지 설이 분분합니다. 희귀한 연구 결과를 주로 싣는 핫에어 사이트에 "머피의 ...
[2003/05/27] 바실리 고르슈코프


"러시아 해커들을 조심하라" FBI의 경고에도 미국 보안 전문가들은 그다지 놀라지 않았다. 동유럽 해커가 셰계에서 가장 실력이 뛰어나다는 것은 익히 알고있는 사실이기 때문이다. 과거나 지금이나 조직이 굵직굵직한 크래킹사건들의 배후에는 항상 러시아 해커들이 연관되어 있다. 2002년 미국 내 금융기관 및 전자 상거래 업체들의 웹사이트를 해킹해 금품을 요구하다가 FBI가 짜놓은 덫에 걸려 체포된 사건 역시 마찬가지. 3년형을 선고받은 러시아인 알렉세이 이바노프(20)와 바실리 고르슈코프(25)... 이들이 범죄를 시작하기까지에 관한 사연들이 워싱턴 포스트지에 "범죄가 된 인터넷 드림"이라는 제목으로 최초로 보도되었다. 아래는 기사 요약:

===================================

그의 친구나 친척들은 그가 아마존이나 이베이, 야후같은 사이트를 구축하고 싶어하는 줄로만 알았다. 하지만 2000년 봄, 가진 돈 전부를 웹사이트 구축에 탕진한 그는 여러 곳으로부터 압력을 받았다. 그 중 제일 못견디겠는 것은 수입의 몇퍼센트를 주지 않으면 사무실 유리창을 깨고 기물을 파손하고 뼈를 부러뜨리겠다는 그 지역 범죄단의 협박이었다.

당시 24세였던 고르슈코프는 돈이 없었다. 심지어 고용한 4명의 프로그래머에게 월급 줄 돈도 없었다.

프로그래머 중 한 사람인 19세의 알렉세이 이바노브가 돈을 버는 방법을 안다고 말했다. 6천마일 멀리 떨어진 미국과 온라인 비즈니스를 하면 된다고 했다. 고르슈코프의 눈이 번쩍 뜨였다.

고르슈코프와 이바노브는 미국 기업 사이트를 돌아다니며 취약점이 있는지를 탐색하기 시작했다. 취약점이 있는 사이트의 시스템에 침입하면 그들은 고객의 크레딧 카드 번호같은 중요한 정보를 훔쳤다. 그런 후 사이트 운영자에게 연락해, 돈을 주면 취약점을 픽스해 주고 훔친 데이타도 돌려 주겠다고 했다.

몇 달 만에 센트럴 네셔널 뱅크, 로스앤젤레스 나라 은행, ISP 스피크이지 등을 포함한 미국의 은행, 전자상거래, ISP 들이 타겟이 되었다. 온라인 지불 서비스인 PayPal을 이용, 훔친 크레딧 카드 번호를 가명계좌를 사용해 현금으로 바꾸는 등 미국 기업을 수천만 달러의 손해에 노출시켰다.

고르슈코프와 이바노브는 두곽을 나타내지만 가상적으로 추적이 불가능한 인터넷상의 수백 수천명의 해커들 중 하나였다. 이들은 바이러스를 유표시키고, 컴퓨터 시스템을 망가뜨리고, 사기 주문을 하고, 이메일을 위조했다.

지난 몇 년 간 미국 법무부, FBI, 비밀첩보부를 비롯, 기타 정부 기관들은 사이버범죄 방지에 주력했다. 지난주 법무장관 존 애쉬크로프트는 2003년 초부터 인터넷을 사용해 8만 9천명에게 피해를 주고 기업에 1억 7천 6백만 달러의 손해를 입힌 사기 용의자 130명 이상을 체포했다고 발표했다.

인터넷을 이용하면 검은 돈을 대륙에서 대륙으로 신속하게 이동, 은닉할 수 있다." 어메리컨 대학 다국적 범죄 부패 센터 소장인 루이스 쉘리의 말이다.

사이버 범죄를 다루는 수사관들은 종종 국제법이라는 난관에 부딪힌다. 사이버 범죄에 관한 각국의 견해가 충돌하기 때문이다. 가해자에 대한 처벌 규정은 국가에 따라 다르다.

"우리는 FBI 생각은 전혀 못했다." 고르슈코프는 말했다. "왜냐면 FBI는 러시아에 들어올 수 없기 때문이다."

하지만 고르슈코프의 생각은 틀렸다. 심심해서, 혹은 정치적 내용의 메세지를 올리기 위한 해킹이 아니라, 돈을 벌기 위한 범죄 세계로 빠져든 그와 이바노브를 검거한 것은 바로 미 FBI였다.

이 사건은 사상유례없는 드문 사건이 되었다. 그 이유는 그들이 잡혔기 때문이다. 컴퓨터 관련 범죄 수사관들은 이런 범죄자들 대부분 잡히지 않는다고 말했다.

러시아 첼랴빈스크는 아마도 지구상에서 가장 오염된 마을일 것이다. 왜냐면 1950년 핵폭탄 제조 공장이 폭발해 구소련은 유출된 방사능을 우랄 산맥의 강으로 몰래 버렸다. 이 일은 수십년간 비밀로 지켜졌다. 냉전 시대 이 마을 주민들은 극비리에 붙여져 번호로만 알려진 첨단 군사 시설에서 일하며 별다른 경제적 어려움 없이 살았다. 그러나 구소련이 붕괴된 후 이 지역 주민들은 생활고에 시달리고 있다. 이전만한 새로운 일을 찾기 어렵기 때문이다.

고르슈코프와 이바노브는 이 마을에서 어린 시절을 보냈다. 두 사람은 성인이 될 때까지 서로를 알지 못했다. 고르슈코프는 외향적인 성격으로 말재주를 타고 났다고 한다. 그 지역 최고 학부인 서우랄 주립 대학을 졸업, 역학 엔지니어링 학위를 수여받았다. 도시에 사는 그의 친구들과는 달리 그는 검정이나 회색 옷을 즐겨 입었다. 가냘픈 체구에 이목구비가 뚜렷한 그는 친구들이 모임에 오렌지색이나 분홍색처럼 튀는 색깔의 셔츠를 입고 나타나는 것을 보고 가끔 쇼크를 받곤 했다.

이바노브는 16세 되던 해 집을 떠나 형무소 근처의 작은 4층짜리 아파트에 살았다. 그는 컴퓨터 재주꾼이었다. 아주 어린 시절 역사 교사였던 어머니의 사무실에서 컴퓨터와 놀 기회가 있었다. 이바노브는 서우랄 주립대학에서 컴퓨터 과목을 수강했지만 학교측에 의하면 신입생 시험에 2번이나 낙제해 쫒겨났다고 한다.





첼랴빈스크 마을 어린이들은 고철 탱크를 가지고 놀았다. 구소련 붕괴 후 많은 주민들은 이전만한 일자리를 찾지 못했다. 2000년 2월 고르슈코프는 자동차 부속상 일을 그만두고 첼래빈스크 섬유공장 502호를 임대해 그의 회사 tech.net.ru를 오픈했다. 첫달에 임대료 40달러를 지불한 그는 가까스로 사무실을 유지했다. 책상은 폐품을 주워다 만들었다. 그러나 프로그래머들에게만큼은 최고의 대우를 해주었다.

처음 몇 달간 고르슈코프는 회사 2군데와 계약을 맺고 그 회사의 웹사이트를 구축하는 일을 했다. 그러나 너무 싼 가격으로 일을 해서 돈은 곧 바닥이 났다. 이바노브는 고르슈코프에게 한 그룹을 소개시켜 주었다. "해커를 물리치는 보호 전문가 그룹"이라는 이름의 그룹이었다.

이 그룹은 여러명의 해커들로 이루어져 있었다. 첼랴빈스크에 사는 12세에서 15세 소년들. 모스크바, 세인트 피츠버그 등 러시아 도시에 사는 해커들... 전부 몇 명인지는 확실히 알려지지 않았다. 수많은 실력있는 프로그래머들이 러시아 전역에 흩어져 있었지만 번듯한 직장을 가진 이는 드물었다. 첼랴빈스크의 프로그래머는 한달에 약 2백 - 3백달러를 벌 수 있다. 하지만 다른 나라처럼 바이오테크, 텔레콤, IT 관련 직종은 없었다. 그래서 다른 곳을 알아보는 프로그래머도 있었다.





섬유공장 사무실을 임대한 고르슈코프는 인터넷 회사를 차렸고, 거기서 그와 그의 직원들은 미국 웹사이트를 해킹했다.

미 법무부에 의하면 러시아 해커들은 전형적으로 2개나 3개의 그룹 단위로 일한다고 한다. 이들은 서로를 온라인상으로만 알고 서로를 전혀 모르는 경우가 많았다.

각각 그룹 혹은 구역은 자주적으로 운영되었다. 스스로 해킹 목표를 정하고 스스로의 방식을 사용했다. 하지만 수입의 30%은 반드시 "보호자"에게 상납해야 했다. 그 "보호자"가 누군지는 아무도 "감히" 입을 열지 않았다. "나는 그가 누군지 모른다. 알고 싶지도 않다"고 말할 따름이었다.

고르슈코프와 이바노브는 19세의 시베리아 태생이자 이바보브의 대학 동창인 마이클과 한 조로 움직였다. 각각에는 별개의 주어진 역할이 있었다고 마이클은 말했다. 마이클이 취약한 시스템을 찾아내면 이바노브가 해킹을 하고, 고르슈코프는 관리자와 흥정을 했다.

수사관에 의하면 tech.net.ru 사는 효율적으로 범행을 저지를 수 있도록 조직되었다 한다. 범행 대상에 관한 정보는 범죄 대상 시스템 파일에 저장되었다. 해킹 프로그램은 "badstuff"라는 폴더에 위치했다. 처음엔 범행 대상 기업을 아주 랜덤하게 골랐다고 마이클은 말했다. 돈만 있어 보이면 일반 기업, 전자 상거래 사이트, 은행 사이트 등 무엇이든 가리지 않았다. 그러나 범행 대상 선정에 단 한가지 규칙이 있었다. 러시아 기업은 절대 건드리지 말 것.

"러시아 기업을 건드려 감옥에 가는 것은 최고로 운이 좋은 편에 속한다. 잘못하면 살해당할 수도 있다."

이바노브는 구글을 이용해 "은행", "카지노", "전자" 등의 키워드를 검색하는 프로그램을 만들었다. 그런 후 이 프로그램으로 고른 범행 대상 시스템에 알려진 취약점이 있는지 스캔하는 프로그램을 실행했다.

"이들이 주로 널리 사용되는 마이크로소프트 NT 소프트웨어의 알려진 취약점을 통해 기업 웹사이트에 침입했다. 디폴트 유저네임과 패스워드를 입력하는 것만으로 간단히 로그인할 수 있는 사이트가 태반이었다. 이런 방법으로 이들은 네트워크 내부에 침입했다." 미국 법무부 직원이 고르슈코프와 이바노브를 수사하도록 도움을 준 보안범죄 컨설턴트 케빈 먼디아의 말이다.

이들은 상당히 뻔뻔했다. 추적을 피해 자신의 흔적을 지우는 수고를 굳이 하지 않았다. 먼디아에 의하면 "은행을 머신건으로 휩쓰는 것과 같았다" "잡힐 확률이 거의 없는데 뭐하러 귀찮게 흔적을 지우겠는가?"

이들은 해킹한 후 제일 먼저 회사 책임자나 시스템 관리자에게 이메일을 보냈다. 메일의 내용은 난폭하지만 공손했다.

    "Hello Mr.

    저희는 은행 및 크레딧 카드 서비스를 전문으로 하는 보안 컨설팅 그룹으로, 대형 온라인 상점과 보험회사를 소유하고 있습니다. 저희 업무는 미국 정부의 제어권 밖에 있으며, 저희 정부의 법은 이런 형태의 컴퓨터 행위를 범죄로 간주하지 않습니다"

이것은 이바노브가 변호사에게 자문을 받아 작성한 내용으로 해킹이 러시아 내에서는 합법임을 확실히 하기 위해서였다.

메일은 "귀하 회사 네트워크의 취약한 컴퓨터는 몇 대고, 그 내용은 이러하니 보안 서비스를 받을 것을 제안한다" 는 내용으로 이어졌다. "당신의 사이트 전체가 취약합니다!!!" 이것은 엄포가 아닙니다. 네트워크 사용자라면 누구든 당신 사이트의 어떤 어카운트라도 개인 정보를 얻을 수 있습니다" 등의 내용으로 이어졌다.



러시아 해커 알렉셰이 이바노브


재판 문서에 의하면 이바노브는 피해자와 이메일이나 온라인 채팅, 전화 등으로 연락을 취했다고 한다. 이바노브는 훔친 전화카드 번호를 사용하거나 위성 음성 시스템을 가로채 느긋하게 통화를 했다.

이바노브는 대담하게 자신의 이력서와 사진까지도 보냈다. 이력서에는 자신의 집 전화번호와 경력이 상세히 기록되어 있었다. 그는 약 6개 컴퓨터 언어 전문가며, 여권을 소유하고 있지만 미국에 취업하려면 비자가 필요하다는 내용이었다.

이들이 요구한 금액도 천차만별이었다. 돈이 많아 보이는 기업에는 수백 달러를 요구했다. 돈은 이들이 개설한 러시아, 루마니아, 사이프러스 구좌로 송금되었다. 마이클에 의하면, 이렇게 해서 이들은 9개월간 5십만 달러의 수입을 올렸다 한다.

고르슈코프와 이바노브가 부정 사용한 크레딧 카드가 몇 개인지는 확실치 않다. 수사관에 의하면 "전문가 그룹"은 크레딧 카드 번호를 서로 거래하고, 다른 단체에 넘겨주고 정보를 돈을 받고 넘겼다고 한다.

미국에서 임의로 조사를 벌인 결과 tech.net.ru가 갈취한 약 1천 3백개의 크레딧 카드 번호가 캐나다, 프랑스, 구아테말라, 이스라엘을 비롯한 많은 국가에서 부정사용 되었음이 밝혀졌다.

피해자들의 반응은 다양했다. 해커를 저주하는가 하면, 측은한 마음을 갖고 도와주려 하는 사람도 있었다.

ISP 스피크이지는 이바노브의 협박에도 굴하지 않았다. 이바노브는 파일을 삭제하고, 고객 정보를 웹사이트에 게시했다. 하지만 스피크이지는 한사코 돈을 내놓기를 거부했다. 스피크이지의 관리자 맥스 챈들러는 온라인 채팅을 통해 이바노브에게 불법 행위를 저지르지 말라고 촉구했다.

이바노브는 다음과 같이 대답했다: 나를 절대로 감옥에 넣을 수 없을 것이다. 왜냐면 나의 행위가 내 나라 법에는 저촉되자 않으며, 내 나라는 강력한 컴퓨터 범죄 관련법이 없기 때문이다."

그러다가 이바노브는 챈들러에게 취직을 부탁했다. 대화 내용을 보면 그는 마치 어린애 같다는 걸 알 수 있다"

    이바노브: 나는 돈이 필요하기 때문에 직장만 있으면 된다. 친구가 있는 회사 이름을 대 보라

    챈들러: 마이크로소프트... 아마존

    이바노브: 훌륭하군. 나는 많은 CD/DVD를 아마존에서 훔쳤는데... 맥스, 마이크로소프트나 아마존에서 일하는게 가능한가?

    챈들러: 그렇다. 상시모집한다.

    이바노브: 내가 거기에 취직하는게 가능하냐는 말이다

    챈들러: 이력서를 보내야 한다. 하지만 특정 부서에 말을 잘 해주겠다

    이바노브: 좋다. 그렇게 해 달라.

이들의 협박을 사업상 거래로 간주한 기업도 있었다. 캠브리지의 ISP 채널1 커뮤니케이션스 사장 브라이언 밀러는 이들과 싸우느니 차라리 돈을 주는게 낫다고 생각, 250달러를 이바노브가 알려준 구좌로 송금하고 도와줘서 고맙다고 인사까지 했다.

"그에게 아주 많이 동정심이 들었다" 밀러는 말했다. "머리가 좋은 아이 같았다. 돈을 벌고 자기 나라를 벗어나고 싶어했다."

고르슈코프는 합법적인 사업을 계속해서 할 수 있으리라 믿었다. 그는 프로그래머에게 150달러의 월급을 주었다. 그는 미국 실리콘 밸리 닷 컴이 미국 문화를 바꾸었듯이 자신의 프로젝트를 통해 러시아인들의 인터넷에 대한 인식을 바꿀 것이라 생각했다. 프로그래머 한 명은 이메일 필터링 시스템 작업 중이었다. 다른 프로그래머는 인터넷 날짜 서비스를 설정하고 있었고, 다른 프로그래머는 온라인 경매 사이트를 프로그래밍하고 있었다.

프로그래머 중 맥심 세메노브와 데니스 버카로브는 이 사건에 연루되지 않았다 한다. 이들은 고르슈코프의 회사에서 일하는 것이 즐거웠다고 한다. 고르슈코프는 근무시간 일부를 신기술을 습득하는데 보내라며, 야망을 가지라고 말했다.

"이제 어디 가도 tech.net.ru 만큼 재미난 직장을 얻을 수 없을것 같다" 버카로브는 말했다.

이들은 자신들이 천하무적이라고 생각했으려, 어떤 경우 그 생각은 옳았다고 마이클은 말한다. 어느날 밤, 고르슈코프와 이바노브, 마이클 3명은 보드카를 마셨더. 평소 오래된 러시아 영화음악을 좋아하는 이바노브가 큰 소리로 힘차게 노래를 부르기 시작했고, 고르슈코브와 마이클도 같이 따라 불렀다. 이들은 흥이 나면 날수록 희생자들에게 더 관대했다.

미국 기반의 싱가폴 ISP 관리자에게 마이클은 돈을 안 내면 시스템을 파괴하겠다고 협박했다. 관리자는 여자였는데 아주 친절하게 온라인상으로 대화를 나누어 그들로 하여금 미안한 마음을 갖게 했다. 마이클은 관리자에게 Happy Birthday 노래를 부르면 봐주겠다고 했다. 관리자는 노래를 불렀고 마이클은 약속을 지켰다.

이렇게 번 돈은 어떻게 사용했을까? 아무도 비싼 옷을 사거나 비싼 레스토랑에서 저녁을 먹을 정도로 사치나 낭비를 하지는 않았던 것 같다. 이바노브는 여전히 구제 청바지를 입었고 다 떨어진 부츠를 신었다고 올 73세인 이바노브의 할머니 라이사 고르슈코프는 말한다. 담배도 아주 싸구려만 피워서 아무도 눈치채지 못했다.

이들은 돈을 지불하기를 거절한 회사 사이트에서 훔쳐낸 크레딧 카드 번호를 사용해 DVD 플레이어를 15개를 주문해 집에서 채 한 시간도 걸리지 않는 카자크스탄으로 배달을 시켰다. 이들은 음악 CD, 영화, 랩탑, 셀폰, 위성전화 등등의 전기제품을 온라인을 통해 구입했다. 이들은 PayPal 시스템을 조작, 온라인 경매의 파는 사람과 사는 사람으로 둔갑해훔친 크레딧 카드 번호를 사용, 현금으로 전환시켰다.





2000년 11월 고르슈코브는 집에서 파티를 벌였다. 모인 사람 6명 중 하나인 펠레스코바는 고르슈코프의 절친한 친구로 의과 대학생이다. 펠레스코바는 당시를 회상했다. 그들은 맥주를 마시고 "Gone in 60 Seconds,"라는 영화를 보았다. 이 영화는 어떤 잠금장치도 열 수 있고, 절대 잡히지 않는 천재 자동차 도둑에 관한 이야기였다. 고르슈코프와 이바노브는 미국에 취직이 되었다며 기뻐했지만 이들이 회사라 생각했던 인비타사는 FBI가 그들을 유인하기 위해 만든 유령회사였다.

워싱턴 포스트

[14] [13] [12] [11] [10] [9] [8] [7] [6] [5] [4]
F.H.Z Server 접속자
2014/10/22 04:53 AM
DRILL 23명 / IRC 6명
Errata
BBUWOO


시작하는 모든 사람들을 위한 필독서 "질문은 어떻게 하는것이 좋은가"로 "시원한데 긁어줬다", 혹은 "너 잘났다"는 등의 극에서 극을 달리는 반응으로 리눅스계에 일대 센세이션을 일으켰던 장본인, OOPS.ORG를 통해 약 1만 8천...
Book Review
Spidering Hacks


[Anonymous님 曰] 서핑만으로는 부족하다고 느껴질 때가 있는 법이다. 좋아하는 책이 판매순위 몇위인가를 체크하는 것도 지겹고, 다운로드하...
Free Hacking Zone
Copyright © 1999-2003 by (주)해커스랩
개인정보 보호 정책