유지보수를 핑계삼아 컴퓨터 내부의 자료를 뽑아 가는 행위를 일컫습니다. 즉, 프로그래머가 프로그램 내부에 일종의 비밀통로를 만들어 두는것입니다 자신만이 드나들 수 있게하여 자료를 빼내는 방법이죠. 실제로 풀그림을 수행시키면서 중간에 이상한 것이 출력되지 않는지와 어떤 메시지가 나타나지 않았나 살펴보고 이상한 자료의 누출이나 어카운트에는 계산된 것이 없는데 기계시간이 사용된 경우 추적하여 찾아내야 합니다.
아. 비동기성 공격(Asynchronous Attacks) 컴퓨터 중앙 처리 장치 속도와 입.출력 장치 속도가 다른 점을 이용해 Multi-programming을 할 때 Check-point를 써서 자료를 입수하는 방법이죠. 어떤 자료와 프로그램이 누출된것 같은 의심이 생기거나 컴퓨터 성능과 출력 자료가 정상이 아닐 때 시스팀 로그인 테이프를 분석해 작업 지시서와 대조해 지시없이 작업을 수행한 기록이 있는지 조사해 봐야합니다. 이 방법은 최근에도 이용되고 있는 방법입니다. 사용하기 쉽고 효과는 상당히 큰 해킹방법중의 하나죠. 미리 작성해둔 침투 프로그램으로 시스템 운영자를 속인채 목적하는 해킹을 하는것입니다.
1-2-2. 최근 해킹 동향과 침투대상
해킹에는 위에서 말한것처럼 여러 가지 유형이 있습니다. 최근 CERT(Computer Emergency Response Team) - 컴퓨터 보안에 관련된 그룹 -에 따르면 가장 많이 발생하는 침투방법으로 IP Spoofing, Packet Sniffering, NFS Attacks, Sendmail Attack, Nerwork Scanning 등이 있다는 보고입니다. 최신 해킹동향을 보면 다음과 같습니다.
가. IP 스푸핑(IP Spoofing)
인터넷 프로토콜인 TCP/IP의 구조적 결함, 즉 TCP 시퀀스번호, 소스라우팅, 소스 주소를 이용한 인증(Authentication) 메커니즘 등을 이용한 방법으로써 인증(Authentication) 기능을 가지고 있는 시스팀을 침입하기 위해 침입자가 사용하는 시스팀을 원래의 호스트로 위장하는 방법입니다. 즉, 이 방법은 자신이 침투하고자 하는 컴퓨터를 무력화하기위해 자신이 그 컴퓨터인것처럼 가장하는 것입니다. 아무리 방어가 잘 되어있는 컴퓨터라도 자기자신을 경계하지는 않기 때문이죠. 이러한 방법으로 NASA나 미 국방부까지 뚫을수있는 최고의 방법입니다. 전에 붙잡힌 미국의 악질 해커 '미트닉'도 이 방법의 대가입니다.
나. 패킷 스니퍼링(Packet Sniffering)
최근 널리 쓰이고 있는 대표적인 방법으로 tcpdump, snoop, sniffer 등과 같은 네트워크 모니터링 툴을 이용해 네트워크 내에 돌아다니는 패킷의 내용을 분석해 정보를 알아내는 것입니다. 이 방법은 네트워크에 연동돼 있는 호스트뿐만 아니라 외부에서 내부 네트워크로 접속하는 모든 호스트가 위험 대상이되죠. 이를위해 해커는 먼저 자신의 시스팀이나 보안 취약점을 가지고 있는 시스템에 침입하여 루트 (ROOT) -주인- 권한을 획득합니다. 그후 이 시스템에 다시 로그인하기 위해 백도어(뒷구멍)를 설치한 후 그 시스템이 속해 있는 네트워크 상의 모든 ftp, 텔넷 그리고 rlogin 세션의 처음 128개의 문자를 가로챌 수 있는 네트워 크 모니터링 툴을 설치해 실행하는 것입니다. 이 패킷 스니퍼링은 일종의 엿보기로서 효과는 확실하나 실력자가 행할 방법은 아닙니다.
다. Sendmail 버그
Sendmail은 네트워크 간에 메일을 전송해 주기 위해 만들어진 메일전송 프로그램입니다. 이 프로그램은 TCP/IP, UUCP, BIT NET 등 다른 네트워크 간의 전송도 가능하게 하므로 거의 모든 유닉스 기종에서 사용되고 있죠. 따라서 Security Hole(보안상의 헛점)이 발견되면 그 여파가 어떤것보다 큽니다. 대부분 자사 유닉스에 버전 5의 이 프로그램을 함께 배포하는데, 많은 버그를 가지고 있는 것으 로 알려지고 있죠. 88년에 인터넷에 연결돼 있던 7천 5백대의 컴퓨터가 정지되어 사상최대의 해킹사건으로 기록된 '인터넷 웜(InternetWorm)' 사건 때에는 'debug'라는 버그로 인해서였습니다. 당시 이 '인터넷 웜'사건으로 엄청난 혼란과 충격이 있었고 이로인해 'CERT'가 결성되게 되었습 니다. 아직까지도 많은 문제점을 지니고 있다고 할 수 있습니다. 이외에 몇가지 수법들이 더 있는데 자세한 얘기는 뒤에서 다루겠습니다. 그럼 해커들이 침투하기 좋아하고 침투를 즐겨하는 곳에는 어떤곳이 있을까요? 침투하기 가장 쉬운곳은 운영체제의 설치를 방금 끝낸 호스트입니다. 인터넷에서 중요한 게이트웨이나 서비스 호스트들은 성격상 OS를 업그레이드 하거나 새로운 OS를 설치하는 경우에 사용자들이 이용하지 못하므로 대부분 언제 새로운 OS를 설치한다는 것을 네트워크를 통해서 공지하게 되죠. 하지만 OS 설치를 막 끝낸 호스트는 루트의 패스워드가 없거나 보안 검사(Security Check) 기능이 거의 작동되지 않는 상황이므로 누구나 쉽게 침투할 수 있습니다. '새술은 새 부대에' 라는 말이 있으나 '새로운 호스트는 새로운 주인에게'로 바뀌어야 하겠군요. 이러한 침투대상에는 상업 통신망을 빼놓을수 없습니다. 하이텔, 천리안, 나우콤 등과 같은 상업 통신망은 인터넷과 연결되기 이전부터 자체적으로 내부의 네트워크를 사용하고 있었죠. 그러나 실제 서비스 이용자들은 유닉스 위에서 작동되고 있는 메인 프로그램에서 빠져 나오는 경우가 거의 없었으므로 서비스를 하고 있는 유닉스 호스트와 네트워크는 허술하게 세팅돼 있었던게 사실입니다. 즉, 자체의 메인 프로그램이나 방화벽만을 믿고 허술하게 관리하다 큰 코 다치는 경우입니다. 예전에도 몇가지 버그로 인해 유닉스 상태에서 해킹을 당했던 사건이 있었습니다. 또한 아이네트나 코넷 같은 인터넷 서비스 공급업체나 이 업체에 연동해서 인터넷 서비스를 받는 기관 역시 많은 문제점을 안고 있습니다. 망서비스를 하는 회사는 각 서비스마다 전담하는 인원을 두게 마련인데, 이런 경우 한 호스트에서 시스팀을 총체적으로 관리할 수 없어서 여러 가지 잠재적인 문제점을 안게 되는것이죠.