라도 잘못을 시인하고 뉘우쳤다면 한국과학기술원 역사상 유례없는 재학생 구속사태는 피할 수 있었을 것이다. 그러나 '잡을 능력이 있으면 잡아봐라'는 식으로 끝까지 검찰과 사회를 우롱하려던 학생들의 오만과 비도덕성은 마침내 관용의 테두리를 벗어나고야 말았다.
국가 수사기관의 조사를 받으면서도 자신들의 해킹 기술을 적발할 수는 없을 것이라는 자만심으로 똘똘 뭉친 이들 앞에서 수사 팀의 선택은 오로지 명백한 증거를 찾아내는 것 외에 뾰족한 대책은 있을 수 없었다. 사흘 낮밤을 꼬박 지새우며 시스템을 분석한 결과 실낱같은 희망이 찾아 왔다. 5월 2일 새벽 엄습하는 졸음을 쫓으며 컴퓨터와 씨름하던 중 식목을 새벽 해킹이 발생한 시간대에 스팍스의 김세환씨가 시스템을 사용한 흔적을 찾아냈다. 마치 드넓은 백사장에서 잃어버린 반지를 찾아내듯 미처 지워버리지 못한 단 1줄 분량의 로그 파일의 내용을 발견해 낸 것이다.
완강히 버티던 학생들이 그 한 줄의 파일 기록에 힘없이 주저앉아 버렸다. 검찰소환 조사 만 4일만에 학생들은 모든 사실을 시인했다. 이 과정에서 해킹에는 참여하지 않았으나 검찰수사가 시작되자 로그파일 기록을 삭제해 수사에 혼선을 빚게 한 조용상씨의 범죄 사실도 확인됐다. 죄질이나 수사과정에서 보여준 이들의 태도는 정상의 참작여지를 상실케 했다. 노씨와 조씨는 전산망 보급확장 및 이용촉진에 관한 법률위반 혐의로 구속되었고 김씨와 정군에 대해서는 불구속 입건이라는 최종 결정이 내렸졌다. 식목일 새벽 해킹에 참여한 인물은 노씨 김씨, 정군 등 3인으로 밝혀졌다.
슬래머(Slammer)란 신종 해킹 프로그램과 컴퓨터의 해킹 프로그램과 컴퓨터의 주소를 조작하는 방식으로 불법 접속하는 스푸핑(Spoofing) 기법이 설치된 마루시스템(maru.kaist.ac.kr)을 이용, 포항공대에 앞서 이화여대 전자 계산학과의 아크시스템(arch.ehwa.ac.kr)에 침투했다.
NIS셋업상의결함을 이용해 아크시스템의 시스템 관리자 권한으로 침투해 전산망 보호조치를 침해했다. 또 자신들이 보유한 비비에스 계정(zec)에 시삽 권한을 가질 수 있도록 소스를 수정해 차후에 시삽 권한으로 언제든지 접속할 수 있도록 했다. 이어 새벽 2시 20분경 마루시스템에서 여러 개의 쉘을 띄워 놓고 그 중 한 쉘인 백두시스템의 쉘에서는 아이피(IP)스푸핑 방법으로 포항공대 전자전기공학과의 포스비시스템(posb.pdstech.ac.kr)에 침투를 시도했다. 또 다른 쉘에서는 NFS 버그를 이용하여 타 시스템에서 가져온 해킹 프로그램 슬래머를 사용하는 등 2가지 경로로 해킹을 시도했다. 해킹에 성공한 뒤 사전에 띄워놓은 셀을 이용, 두 개의 시스템을 경유하여 포스비시스템으로 침투했으며 다시 2시 56분쯤 이 시스템에 NFS로 묶여 있는 포항공대 하이트 시스템에 침입해 시스템 관리자 권한을 획득하고 포항공대 총동창회 비비에스의 소스 파일을 수정하여 노씨가 이 비비에스 의 관리자인 시삽(SYSOP)권한을 갖게 했다.
같은 방법으로 포스비와 항트 시스템에 NFS로 묶여 있던 토리(tori)에 에로스(eros), 웬지(wensy), 카스(cass) 등에 침입, 물리학과 교수 및 연구원들이 연구자료, 전기전자학과 연구자료와 학생들의 각종 과제물들을 삭제했다. 일부 시스템에 대해서는 이이피롬(,EEP-ROM)의 패스워드를 변경해 이 부품을 교체하지 않고는 복구가 불가능하도록 했다. 노씨 와 함께 구속된 조씨는 4월 16일 자신이 속한 쿠스 회원들에 대한 수사가 시작되자 수사관들이 조사대상 시스템을 백업시키는 틈을 이용, 기숙사 터미널실에서 이들 시스템에 접속해 해킹 관련 자료와 등이 저장된 쿠스의 전산시스템홈디렉토리내의 모든 파일들을 삭제했던 것이다.
5. Packet Sniffering
최근 널리 쓰이고 있는 대표적인 방법으로 tcpdump, snoop, sniffer 등과 같은 네트워크 모니터링 툴을 이용해 네트워크 내에 돌아다니는 패킷의 내용을 분석해 정보를 알아내는 것이다. 이 방법은 네트워크에 연동돼 있는 호스트뿐만 아니라 외부에서 내부 네트워크로 접속하는 모든 호스트가 위험 대상이 된다. 이를 위해 해커는 먼저 자신의 시스팀이나 보안 취약점을 가지고 있는 시스템에 침입하여 루트 권한을 획득해야 한다. 그 후 이 시스템에 다시 로그인 하기 위해 백도어를 설치한 후 그 시스템이 속해 있는 네트워크상의 모든 ftp, 텔넷 그리고 rlogin 세션의 처음 128개의 문자를 가로챌 수 있는 네트워크 모니터링 툴을 설치해 실행하는 것이다. 이 패킷 스니퍼링은 일종의 엿보기로서 효과는 확실하나 실력자가 행할 방법은 아니다. 즉, 해커들 사이에 비열한 방법으로 취급되고 있는 방법중의 하나이다.
6. 참고문헌 및 사이트
(주)코코넛 시큐레터 03. 6월호, 9월호
http://info.ahnlab.com/securityinfo/info_view.jsp
http://info.ahnlab.com/securityinfo/trojan_info.html#1
http://wiki.kldp.org/HOWTO//html/Security/Security-HOWTO-6.html
http://my.netian.com/~solme1092/intro/intro5.htm
http://www.giveyou.pe.kr/htm/nt/nt_security.htm
http://bc.netian.com/2.htm
http://www.hackersnews.org/pds/sniffer.html
http://www.microsoft.com/korea/technet/security/prodtech/windows/windows2000/staysecure/secops02.asp
http://javastudy.co.kr/docs/techtips/020821.html
http://ohhara.4dl.com/history/info/olymfair/crlab.html
http://www.certcc.or.kr/cvirc/R%26D/Unix_Virus.html
http://news.empas.com/show.tsp/20031112n01686/?s=319&e=496