Vulnerabilities
야후 웹메일 취약점
IE 6.0 DoS 취약점
[HL2003-124]Microsoft Messenger 서비스 버퍼오버플로우 취약점
[HL2003-122]HP HP-UX dtprintinfo DISPLAY 환경변수 버퍼오버플로우 취약점
[HL2003-121]Sun Solaris aspppls의 임시화일 생성오류
Section Stories
머피의 법칙 그 유래를 찾아서 4부작 2편
지구상에서 가장 빠른 사나이(2편) 우리가 이제껏 알고 있는 머피에 법칙에 관한 모든 것은 잘못된 것이다. ...
얼음렌즈로 불 붙이기
호수나 샘에서 깨끗한 물을 퍼 온다. 물 속 가스가 제거되도록 약 10 분 간 끓인다. 그런 뒤 은박지 호일을 접어 약 5cm 정도 깊이의 접시를 만들어 물을 담고 천천히 얼린다. 아니면, 판매하 ...
머피의 법칙, 그 유래를 찾아서 4부작 1편
"세상에 어떻게 이럴 수가... 나는 도대체 되는 일이 하나 없는지..." 머피의 법칙이 뭔지는 알면서도 막상 그 유래에 관해서는 여러가지 설이 분분합니다. 희귀한 연구 결과를 주로 싣는 핫에어 사이트에 "머피의 ...
[2003/01/14] 케빈 미트닉의 저서 "사기의 예술" 중 검열 삭제된 1부 내용 소개
"나는 낙천적인 성격의 그러나 아주 지루해 하는 어린이였다. 아버지는 내가 3살때 이혼했고 어머니는 웨이스트레스 일을 하며 나를 키웠다. 당시 나는 어머니가 키우는 평범한 어린이였다. 어머니는 일하느라 나와 놀아줄 시간이 없어 내가 깨어있는 시간은 거의 혼자였다. 그래서 아주 힘든 시간을 보내고 별난 성격을 갖게 되었다. 나는 스스로를 돌보는 유모였다. "

2002년 10월 4일 출간된 미트닉이 속죄하는 마음으로 썼다는 The Art of Deception: Controlling the Human Element of Security(사기의 예술: 보안의 인간적인 측면 제어하기)은 상대방을 속여 원하는 정보를 얻어내는 소위 "사회공학" 교과서. 미트닉은 이 책을 통해 자신이 어떻게 대기업의 아이디와 암호를 알아냈는지를 회상합니다.

더구나 출판사의 자체 검열로 삭제되었다는 1부가 인터넷상에서 나돌면더 더욱 관심을 끌었었습니다. 1부는 미트닉의 어린 시절과 감옥 생활 그리고 불구대천의 원수 당시 뉴욕 타임즈 리포터 존 마코프에 대한 비난으로 구성되어 있습니다.

검열삭제된 1장 내용을 소개드립니다.

=============================================================

사실 이 장을 쓰는 것에 관해 좀 망서렸다. 틀림없이 잘난체 한다는 소릴 들을게 분명하기 때문이다. 그래도 좋다. 그런 소리 들으면 어떤가. 케빈 미트닉이 누군지 알고 싶어 내게 연락을 취해온 사람만도 그동안 수백만 명이다. 이 장은 그런 사람들을 위해 쓰여졌다. 읽고 싶지 않다면 2장으로 넘어가기 바란다. 이 장은 읽을 가치가 있다고 생각하는 사람들을 위해 쓴 나의 이야기다.

남의 파일이나 하드 드라이브 전체를 파괴하는 해커는 일부다. 이들은 크래커, 혹은 파괴자다. 기술을 배우기 귀찮아 해킹툴을 다운받아 그걸 이용해 시스템을 침입하려 하는 초보 해커가 있다. 이들은 스크립트 키디다. 프로그래밍 기술로 무장된 좀 더 경험있는 해커는 스스로 프로그램을 개발해 웹과 게시판에 올린다. 테크놀로지에는 전혀 관심이 없고 컴퓨터를 이용해 남의 돈을 갈취하고 서비스를 훔치는데만 관심있는 사람도 있다. 언론이 창조한 케빈 미트닉의 신화는 거짓이다. 나는 사악한 해커가 아니다. 내가 해킹을 시작했을 당시 내가 한 일들은 불법이 아니었다. 새로운 법률이 제정되고 나서 범죄가 된 것들이다. 나는 어쨌거나 해킹을 계속했고 잡히는 몸이 되었다.

미 연방정부는 나를 내가 지은 범죄에 의거해 다루지 않고 대신 시범 케이스로 삼으려 혔다. 나는 테러리스트나 폭력 범죄자 취급을 받을 이유가 없다. 백지 수색 영장으로 나의 집을 수색하고, 몇달 동안 격리시키고, 법을 어긴 사람에게 보장되는 헌법이 정하는 기본권마저 무정되고, 보석 뿐만 아니라 보석 심리조차도 거절당했다. 몇년을 증거를 얻기 위해 투쟁하는데 보냈다. 내 변호사가 나를 방어할 변호를 준비하도록 말이다.

신속한 재판을 받을 나의 권리는 어떻고? 몇년간 매 6개월마다 나는 헌법이 정하는 신속한 재판을 받을 권리를 포기하든지, 준비 안된 변호사와 재판에 임할 것인지 둘 중의 하나를 택하라는 강요를 받았다. 나는 신속한 재판을 받을 권리를 포기하는데 서명을 했다.

어린 시절 이야기부터 시작하기로 한다. 나는 낙천적인 성격의 그러나 아주 지루해 하는 어린이였다. 아버지는 내가 3살때 이혼했고 어머니는 웨이스트레스 일을 하며 나를 키웠다. 당시 나는 어머니가 키우는 평범한 어린이였다. 어머니는 일하느라 나와 놀아줄 시간이 없어 내가 깨어있는 시간은 거의 혼자였다. 그래서 아주 힘든 시간을 보내고 별난 성격을 갖게 되었다. 나는 스스로를 돌보는 유모였다.

12세가 되는 해 로스앤잴레스 전역을 버스 여행할 기회가 생겼다. 버스를 타면서 나는 버스를 갈아타는 시스템 보안에 문제가 있다는걸 발견했다. 버스를 갈아타고 목적지로 계속해 여행하려면 갈아타는 표가 있어야 한다. 갈아타는 표에는 펀치로 구멍이 뚫어져 있고, 기사가 날짜, 시간, 경로를 기재한다. 나는 기사와 몇마디 말을 나누었다. 기사는 친절하게도 나의 조심스런 질문에 답하면서 특수제작된 펀치를 어디 가면 구입할 수 있는지를 알려줬다. 나는 공짜 버스 여행 할 수 있는 방법을 계속해서 연구했다. 목적지가 기입되지 않은 표 다발을 구하는 건 누워서 떡먹기였다. 버스 터미널 쓰레기통에는 기사가 근무를 마치고 버리는 표 묶음으로 가득했다. 표는 일부만 사용되어 나머지는 새것이었다. 이 사용되지 않은 표 묶음과 펀치를 가지고 나는 갈아타는 표를 조작, 로스앤젤레스 어디든 버스가 가는 곳이면 여행할 수 있었다. 얼마 되지 않아 나는 전체 시스템의 버스 스케줄을 외웠다. 어린 시절부터 나는 특정 정보에 대해 놀랄만한 기억력의 소유자였다. 아직도 나는 전화번호, 패스워드를 비롯해 내가 어린 시절 외웠던 것을 죄다 기억한다. 어린시절 나는 마술에도 취미가 있었다. 새로운 트릭을 배우면 마스터 할때까지 연습하고 또 연습했다. 사람들을 골려주는 즐거움은 바로 마술을 통해서 발견한 것이다.

폰프레킹에서 해킹에 이르기까지 내가 사회공학이라 부르는 것들과의 최초의 만남은 고등학교이다. 폰프레킹을 취미로 가진 한 학생을 만났다. 폰 프레킹은 해킹의 일종으로 전화 네트워크 시스템을 익스플로이트하고, 전화회사 직원을 속여 전화 네트워크를 탐색하는 기법이다. 그는 내게 전화회사가 소유하는 고객 정보를 얻는 법, 장거리 전화를 무료로 하게 해 주는 비밀 테스트 전화번호를 가르쳐줬다. (실제로 그 테스트 번호는 무료 비밀 전화번호가 아니라 다른 회사로 청구되는 번호였음을 나중에 알게 되었다) 이렇게 해서 나는 사회공학에 관해 알게 되었다. 얼마 후 알게 된 다른 폰프레커들은 내게 전화 회사에 전화를 걸어 이런저런 핑게를 대면서 정보를 얻는 것을 듣게 해주었다. 전화 회사 직원들이 의심하지 않게끔 그럴사하게 말하는 법과 전문용어, 전화회사 정책 등에 관해 배웠다. 그러나 "교육" 기간은 그리 오래가지 못했다. 그럴 필요가 없었기 때문이다. 나는 곧 혼자서 모든것을 터득할 수 있었다. 이내 처음 가르쳐준 사람들보다 훨씬 잘하게 되었다. 향후 15년간 내 인생 경로가 정해진 것은 바로 이때다.

예나 지금이나 제일 재밌는 장난중 하나는 전화 스위치에 허가받지 않고 접속해 프래커 친구들의 가정 전화 서비스 등급을 바꾸는 것이았다. 친구가 집에서 전화를 걸려고 하면 동전을 넣으라는 교환원 목소리가 나온다. 전화회사 스위치에 친구가 공중전화를 거는 걸로 입력이 되어있기 때문이다. 나는 전화에 관한 모든것에 푹 빠졌다. 전기, 스위치, 컴퓨터만이 아니라 전화회사, 사내 정책, 전문 용어에도 관심을 가졌다. 아마도 전화 시스템에 관한 한 내가 전화회사 직원 어느 누구보다도 더 잘 알고 있었을 것이다. 나는 나의 사회공학 기술을 17세에 개발, 델코사 직원들과 전화상으로 혹은 얼굴을 맞대고 모든 것에 관한 이야기를 나누었다.

내가 해킹을 처음 시작한 것은 고등학교때다. 당시 해커라는 용어는 좀 더 효율적인 프로그램을 개발하거나 불필요한 것들을 통과하고 작업을 좀 더 빠르게 마칠 수 있게 하기 위해 하드워어와 소프트웨어를 만지작거리는데 엄청난 시간을 보내는 사람을 지칭하는데 사용되었다. 이 용어는 현재 사악한 범죄자라는 좋지 못한 의미로 사용된다. 1979년 말경 한 해커 그룹이 내게 디지털 이큅먼트사에서 자체 운영 시스템 소프트웨어인 RSTS/E를 개발하기 위해 사용하는 컴퓨터 시스템을 해킹하라고 했다. 나는 그녀석들 해킹 그룹에서 나를 받아주기를 원했다. 녀석들의 두뇌를 사용해 운영 시스템에 관해 좀 더 배우기 위해서다.

녀석들은 내게 DEC 컴퓨터 시스템 다이얼업 번호를 가르쳐주었다. 하지만 다이얼업 번호가 아무 도움이 안된다는걸 녀석들은 알고 있었다. 어카운트와 패스워드가 없으면 접속할 수 없기 때문이다. 녀석들은 어카운트와 패스워드를 구하려 백방으로 힘을 쓰던 참이었다. 어린 나이임에도 불구하고 나는 DEC 시스템을 해킹하는 것이 식은 죽 먹기라는걸 알았다. 나는 프로젝트 개발자 안톤 체르노프를 가장하고 시스템 매니저에게 전화를 걸었다. 내 어카운트로 로그인할 수 없다고 말하고 녀석을 갖은 구설로 꼬여 마침내 녀석이 나를 접속시키고 패스워드를 바꾸게 하는데 성공했다. 개발 시스템에 전화 접속하면 사용자는 다이얼업 패스워드를 입력해야 했는데 시스템 관리자는 내게 패스워드를 알려줬다. 5분도 안되서 나는 디지털사의 RSTE/E 시스템에 접속할 수 있었다. 게다가 일반 사용자로 로그온한게 아니라 시스템 개발자로서 모든 권한을 다 가진 사용자로 로그온했다. 처음에 녀석들은 내가 해킹에 성공했다는 것을 믿지 않았다.

내가 권한이 높은 어카운트로 로그온한 것에 대해 벌린 입이 다물지 못했다. 어지지 않았다. 녀석들이 다른 곳으로 자리를 옮겨 DEC사의 운영 시스템 소스코드를 다운받았다는걸 나중에야 알게 되었다. 녀석들은 원하는 소프트웨어를 모두 다운받고 나서 DEC사 보안 부서에 전화를 걸었다. 그리고 누군가가 회사의 상용 네트워크를 해킹했다고 말하며 내 이름을 알려주었다. 내가 알아낸 패스워드를 1급 비밀인 소스코드를 빼내는데 사용하고 내게 누명을 씌운 것이다. 소위 내가 친구라고 생각했던 녀석들이 말이다. 쓰라린 댓가를 지불하고 나서 교훈을 얻었지만 그 후 몇년간 나는 내가 친구라고 생각했던 사람들을 믿는 댓가로 계속해서 곤경에 빠졌다.

고등학교 졸업 후 나는 로스앤젤레스의 컴퓨터 교육 센터에서 공부를 계속했다. 몇 달 뒤 나는 학내 컴퓨터 운영 시스템의 취약점을 발견해 IBM 미니 컴퓨터 운영자 권한을 획득했다. 학내에서 내놓으라 하는 최고의 컴퓨터 전문가 조차도 내가 어떻게 발견했는지 추정조차 못했다. 학교측은 내게 뿌리치기 힘든 제안을 했다. 학교 컴퓨터 보안을 강화하고 시스템이 해킹당하는지를 감시해 달라는. 나는 이를 받아들였고 명예롭게 졸업했다.

아침에 침대에서 눈을 뜨면서 오늘도 반복될 일상적인 일에 대한 지겨움에 몸서리치는 사람도 있다. 그런 사람에 비하면 좋아하는 일을 돈을 받고 하는 나는 행운아였다. 나는 사회공학이라는 예술(사람들이 낯선 사람에게 통상 해주지 않는 것들을 하게 만드는)을 연마하고 그것으로 돈도 받는다. 사회공학의 달인이 되는 것은 내게 있어 그리 어려운 일이 아니었다. 아버지를 비롯, 선조님들이 몇 대에 걸쳐 세일즈업에 종사하셨다. 남을 설득하고 영향을 미치는 재능은 아마도 대대로 내려오는 혈통인지도 모르겠다. 남을 속이는데 소질이 있는데다가 남에게 영향력 있고 설득하는 재능마저 있다면 사회공학도로 대성할 가능성이 크다.

주어진 업무를 수행하는 방법이 따라 두 가지로 나뉜다. 남을 속여서 돈을 훔치는 사람은 사기꾼이다. 속임수나 영향력, 설득력을 비즈니스(주로 정보를 얻기 위한 목적)에 사용하는 사람은 사회공학도다. 버스 갈아타는 트릭을 발견했을 때 나는 너무 어려서 내가 하고 있는 일이 잘못이라고 생각하지 못했다. 단지, 내가 알아서는 안 될 비밀을 알아내는 재능이 있다는걸 인식하기 시작했다. 나는 속임수를 사용하는 재능을 연마했다. 용어를 익히고 교모한 조작의 숙련된 기술을 개발했다. 기술 개발을 위해 나는 내가 관심없는 정보를 수집해 누군가에게 전화로 알려주는 식으로 훈련했다. 마법 트릭도 사용했고, 핑게를 대는 것도 연습했다.

이런 연습 과정을 통해 나는 내가 마음만 먹으면 (가상적으로) 어떤 정보든 얻을 수 있음을 알게 되었다. 미 상원에서 연설하면서 나는 말했다. "저는 지구상에서 가장 큰 기업들의 컴퓨터 시스템에 허가받지 않고 접속했습니다. 가장 안전하다고 알려져 있는 컴퓨터 시스템에 침입했습니다. 저는 기술적인 면과 비기술적인 면 양쪽 모두를 사용해 여러 운영 시스템에 침입하고, 텔레커뮤니케이션 디바이스 소스코드를 구할 수 있었습니다. 취약점과 내부 작업을 공부하기 위해서입니다." 이 모든것은 나의 호기심을 충족시켰다. 내 호기심을 자극하는 것은 무엇이든 파고 들었다. 내 인생을 바꾼 연속되는 사건들은 1994년 7월 뉴욕 타임즈에 나에 관한 기사가 제 1면을 장식하면서부터 시작되었다. 그 기사 한 편이 무명의 골칫덩이 해커였던 나의 이미지를 "사이버공간상의 공공의 적 1위"로 바꾸어 버렸다. 기사를 쓴 뉴욕 타임즈 기자 존 마코프는 기사에서 "사기술로 무장된 테크놀로지의 천재 케빈 미트닉은 피에 굶주린 컴퓨터 프로그래머다."(뉴욕 타임즈 91994년 7월 4일자)라고 나를 묘사했다.

뉴욕 타임즈에 1면으로 기사를 실을 수 있다는 파워를 남용해 허위 비방 기사로 부당하게 부를 획득하려는 존 마코프야말로 피에 굶주린 리포터다. 마코프는 "케빈 미트닉의 전설"을 창조해 백만 달러 이상을 벌었다. 그로 인해 희생을 당한 사람은 컴퓨터 사용자나 시스템 관리자가 아니었다. 뉴욕 타임즈에 보도되는 모든 뉴스 기사를 신뢰해온 독자들이었다.

마코프는 타임즈에 나에 관한 허위 기사를 기고하는 것과 1991년 나에 관한 이야기를 쓴 책 사이버펑크로 백만장자가 되었다.

기사에서 마코프는 나에 관한 많은 이야기를 소스를 밝히지 않고 펼쳐나가며 모두가 진실이라고 주장했다. 가장 신뢰받는 신문사라면 최소한 기사의 진실성 여부를 체크했어야 하지 않을까? 그랬더면 사실이 아니고 증명되지 않은 허구임이 드러났을 것이다. 마코프는 허위날조 기사를 통해 나를 "사이버공간의 1위 지명 수배자"라는 낙인을 찍었다. 그리고 "국가 체포 1순위 컴퓨터 범죄자"라는 말을 정당한 이유와 증거없이 사용했다. 마코프는 기사에서 내가 FBI를 도청했다고 주장했다. 난 그런 적 없다. 마코프는 내가 NORAD 컴퓨터 시스템에 침입했다고 주장했다. 거짓말이다. NORAD 컴퓨터는 한 대도 외부 네트워크에 연결되지 않았다. 마코프는 내가 컴퓨터 파괴자라고 말했다. 나는 내가 접속한 컴퓨터는 단 한대도 의도적으로 파괴한 적이 없는데 말이다.

.........................중략..................

내 인생을 돌아보며 나는 지난 30년간 호기심에 이끌려, 테크놀로지를 배우고 싶어하는 열망으로, 지적인 도전으로 잘못된 판단을 했다는 것을 인정한다. 나는 이제 새사람이 되었다. 나의 재능과 정보 보안 및 사회공학 전술에 관한 풍부한 지식은 정부와 기업, 개인의 정보 보안을 돕는데 사용될 것이다. 나의 경험을 토대로 쓰인 이 책이 다른 이들이 사악한 정보 도둑이 되는 것을 막는데 도움이 되기를 바란다. 재미나고 유익하게 읽어주시길 바라는 마음 간절하다.

---케빈 미트닉

[25] [23] [22] [21] [20] [19] [18] [17] [15] [14] [10]
F.H.Z Server 접속자
2014/09/20 02:49 AM
DRILL 23명 / IRC 6명
Errata
BBUWOO


시작하는 모든 사람들을 위한 필독서 "질문은 어떻게 하는것이 좋은가"로 "시원한데 긁어줬다", 혹은 "너 잘났다"는 등의 극에서 극을 달리는 반응으로 리눅스계에 일대 센세이션을 일으켰던 장본인, OOPS.ORG를 통해 약 1만 8천...
Book Review
Spidering Hacks


[Anonymous님 曰] 서핑만으로는 부족하다고 느껴질 때가 있는 법이다. 좋아하는 책이 판매순위 몇위인가를 체크하는 것도 지겹고, 다운로드하...
Free Hacking Zone
Copyright © 1999-2003 by (주)해커스랩
개인정보 보호 정책