세계적인 해커그룹 DEFCON의 혹평... 어떻게 생각

geekforum의 이미지

오늘 아침 한국일보에 실린 기사임다...

"한국 보안시스템 형편없다"

거물해커 피터 쉬플리 방한 인터뷰

“한국의 보안시스템은 형편없는 수준입니다.”

3일 개막된 ‘세계 톱해커 인터넷 보안 2000’행사에 참석한 거물 해커
피터 쉬플리(34)는 “해킹을 시도하고 싶지도 않을 정도”라고 혹평했
다.

피터 쉬플리는 전세계 해커들의 언더그라운드 모임인 ‘데프콘
(DEFCON)’을 창설한 주역. 4일 오후 서울르네상스 호텔에서 ‘일반적
인 TCP 공격법’을 주제로 열릴 강연에 앞서 서울대에서 그를 만나봤다.

-한국에 온 이유는.

“해커에 대한 부정적인 시각을 해소하기 위해서다. 남의 네트워크 시스
템을 파괴하는 해커는 크래커다. 해커는 엄밀한 의미에서 정보공유자를
말한다. 해커를 올바로 인식했으면 좋겠다.”

-얼마전 한국에서는 PC방 등 공공장소에 있는 공용PC를 거점으로 해 외국
계 해커가 연구소 등을 해킹한 사례가 있었다. 이를 막을 방법은 없나.

“방화벽(파이어월)을 쓸 수 밖에 없다. 하지만 모든 공공PC의 서버에 방
화벽을 설치하는 것은 비용측면에서 어려울 것이다. 또 그렇게 방화벽을
설치해 놓으면 인터넷이 구동하기 어렵다. 가급적 침입후 나가는 해커를
추적하는 방법이 더 유용할 것이다. 이들을 추적하는 획기적인 소프트웨
어가 개발중인 것으로 안다. 물론 침입전에 이를 막는 것도 소홀히 해서
는 안된다.”

-한국의 보안수준을 어떻게 생각하나.

솔직히 형편없다. 해킹을 시도하지도 않았지만 시도할 마음도 나지 않을
정도다. 동아시아권이 전반적으로 그런수준이어서 해킹의 중간거점으로
많이 활용되고 있는 것으로 알고 있다.”

-이번의 사례를 보면 리눅스 서버가 집중적으로 공격을 당했다. 때문에
리눅스 서버가 보안에 약하다는 시각도 있는데.

“물론 소스코드가 공개돼 있으니 공격프로그램을 만들기도 어렵지는 않
을 것이다. 하지만 리눅스 사용자들은 문제점이 있으면 서로 지적해주고
보완해주는 상호협력이 강하다. 따라서 리눅스만 집중적으로 공격받았다
는 것이 이해가 안간다.”

-보안시스템을 이용하는 것 외에 인증으로 자신의 거래내역 등을 보호할
수도 있다. 인증의 안전성에 대해 어떻게 생각하나.

“공공인증, 사설인증 두가지가 인증에 의한 정보보호 방법이다. 내 생각
에는 개인의 전자서명을 공공인증기관에 맡기는 공공인증 방식이면 상당
히 안전하다. 사후에 공적으로 보장받을 수 있기 때문이다.”

-최근 마이크로소프트(MS)는 윈도NT와 윈도98을 최신화한 윈도2000으로
세계시장 공략에 나서고 있다. 윈도2000의 보안수준은 어떤가.

“내가 볼때는 별로 개선된 것이 없다. 보안프로그램을 패키지로 설치하
도록 나름대로 많은 배려를 한 것 같지만 침입가능한 홀(HALL, 보안구멍
을 의미)이 아직도 많이 보인다. 유닉스만 훨씬 못하다. 나같으면 안쓴
다.

■ 전설적 해커들 서울에 모였다

‘피터 쉬플리’‘톰 크로스’‘루카스 제이디키’’저스틴 청’…

3,4일 이틀간 서울에서 디지털해커협회 주최로 열리는‘세계 톱 해커 인
터넷보안2000’행사에 세계 거물급 해커들이 대거 참석했다.

이번 행사에 참석한 해커 8명 가운데 7명은 전세계 해커들의 언더그라운
드 모임인 ‘데프콘(DEFCON)’을 이끄는 정식멤버들이다.

데프콘은 고도의 해킹실력은 물론 까다로운 가입절차 때문에 데프콘의 멤
버라고 하면 해커계에선 최고수로 통한다.

미국 CNN, NBC 등 유수의 언론도 이들과 만나려면 사전에 반드시 예약
을 할 정도다. 이들은 지난달 29일 미 라스베이거스에스 열린 데프콘포럼
을 마치고 국내에 입국했다.

이들 중 가장 주목받은 해커는 피터 쉬플리(34). 데프콘 창립멤버로 해킹
사고가 발생하면 미 연방수사국(FBI)이 조언을 구할 정도로 유명하다.
NBC의 데이트라인에 최신 해킹기술을 소개한 적도 있다. 미 MIT에서 컴
퓨터공학을 전공해 이론적 기반도 갖춘 실력파. 현재는 보안업체인 원시
큐어의 연구실팀장으로 일하고 있다.

함께 동행한 톰 크로스(32)는 비밀번호 해킹 프로그램인 백오리피스를 개
발, 일반인들도 해킹을 시도하게끔 길을 열어 초보 해커의 대부로 통한
다.

리눅스서버 보안전문인 루카스 제이디키(21)도 이번 행사에 동참했다. 리
눅스 관련 해킹실력을 인정받아 약관에 네트워크 시스템즈사의 시스템담
당 이사에 오른 실력파로 이번 행사에서 리눅스계 서버의 해킹경로에 관
해 강연할 예정이다.

이밖에 행사에 참석한 스티븐 켄샬로 켐코사 기술이사, 프랑소아 리처드
슨, 토드 스미스, 토마스 와작 등도 세계에서 손꼽히는 해커들이다.

한편 레드햇의 창설자이자 자유소프트웨어(GNU)운동을 주도했던 GNU아이
디어소프트웨어 대표 저스틴 청도 4일 방한할 예정이다.

/황종덕기자

익명 사용자의 이미지

제 생각에는 아직까지는 어쩔수없는 일이라고 보여진다.

우리나라 사람들이(특히 윗분들이) 당장 부딪히는 일이 아니면

상관없는 일인거마냥 행동하는게 문제다.

크래커들한테 해킹당하면 끝내는 책임은 관리자한테 돌아오고

그때 되서야 보안의 필요성을 느낀다.

그전에 아무리 보안이 필요하다고 말해도 거의 대부분

경비나 시간드는일은 꺼려할것이다.

악순환의 반복이 어느정도되고 지금보다 더 언론메체들이

보안의 심각성을 떠들어야 어느정도 해결될것으로 보인다.

젤 중요한것은 관리자의 인식문제부터 바꿔지길 ...

익명 사용자의 이미지

리눅스는 보안용으론 최고에 위치에 있습니다

저도 보안쪽일를 하고 있습니다

간단히 말해서 리눅스 서버 패키지 업그래이드만 해도

엄청난 보안를 할수가 있습니다.

예를들어서 얼마전 wuftp6.0서버에 치명적인 보안버그가 발표됬었지만

아직도 패키지 업그래이드 하지 않는 서버들이 엄청나여...

현재 외국쪽에서 wuftp 서버 원격스캔 프로그램으로 세계각지에

인터넷망에 패킷를 쏘으면 해당wuftp가 답신를 보내는 스캔툴이 인기랍니

다.

이런겄만 봐도 문제가 있다고 생각하심됩니다.

절대로 리눅스는 보안에 허술하지 않습니다 .

여러분이 걱정하는 DOS 공격에도 걱정없습니다.

그만큼 소스에 수정를 해줘야 하지만여 ..

그리고 보안툴이 엄청많습니다.. 그정도만 해도 왠만한 크랙커들은

엄두도 내지 못합니다.. 참 애석한 일입니다..

데프콘애들이 한 애기처럼 보안에 문제는 OS에 문제가 아닙니다

바로 시스탬관리자들에 문제입니다..

익명 사용자의 이미지

아쉽지만, 현재로선 그네들 말의 상당부분을 인정해야 하는 현실이다.
이것은 인플라의 문제로서 누구 몇몇의 인식전환만으로 개선되는
상황은 아닐 것이다.

하지만 우리나라의 상황이 그리 절망적인 것만은 아니라고 나는
본다. 간단히 생각하자면 보안의 문제는 곧 사람의 문제이다.
시스템이나 OS 가 허술해서 뚫리느냐... 그것이 문제의 본질은 아니다.
결국은 관리자의 문제인 것이다.

사람 하면 우리나라는 결코 세계 어느 나라에 뒤쳐지는 나라가
아니다. 그리고 국내의 몇몇 그룹의 해킹 수준은 세계적인
수준이라 알고 있다.

우리나라는 굉장히 특이한 국민적 특성을 가지고 있다.
세계 어느나라보다 학습열이 높으며, 관심을 가지고 뛰어드는
분야는 아주 빠른 속도로 성장시켜 나간다.

우리에게 안좋은 뉴스라고 외면할 필요는 없겠지만,
궂이 안좋은 뉴스에 빠져 한탄하고 있을 여유가 별로 없다.
다른 어느 민족보다 많은 기회와 능력을 지금 우리가 또한
가지고 있음을 잊지 않았으면 좋겠다.

김정균의 이미지

솔직히 대학들이 크래킹 당하는 건 울나라나 미국이나 마찬가지
일겁니다. 소위 공부를 목적으로 운영하는 서버들이 뚫리기도
쉬울테니까요..

문제는 기업이나 관공서들의 서버가 뻥뻥 뚫린다는 겁니다.
DOS의 공격같은 것은 솔직히 막기도 힘들죠. 하지만 최소한 다른
서버에 물리적인 피해를 주지는 않습니다. (물론 DOS 당하고 있는
서버가 피해를 주지 않는다는 것이죠. 물론 연동이 되어 있으면
서비스에 피해가 되겠지만..)

근데 중요한 것은 미국과 울나라의 차이가 바로 이점입니다.
우리나라의 회사들이나 관공서에서의 관리가 너무 허술하다는
점입니다. 더구나 어느정도의 지식을 가진 관리자를 보유하고
있는 회사나 관공서가 별로 없다는 점이 아주 중요하지요.

제가 있는 회사 조차 그런 경향이 있으니까요.. 저희야 그래도
관리자가 2명이라도 있으니 그나마 버티는 편이지만..
관리를 해야 할사람에게 개발쪽 일만 시키려고 혈안이 되어 있어서..
솔직히 저 같은 경우에는 서버를 들여다 볼 시간이 거의 없는
편입니다.

관리자가 있어봤자.. 모니터링 하는 것을 노는 것으로 간주하고
다른일을 던져주는 그런 풍토가 고쳐져야.. 어느정도 위상을
회복할수 있을 겁니다. ^^;

우리나라에서 관리자들은 구조조정의 1순위이죠. (이는 시스템 관리
부서를 지칭하는 것은 아니고 모든 관리부서를 뜻하는 거죠 ^^)

익명 사용자의 이미지

음 정말 지당한 말씀입니다.
솔직히 알만한 사람은 다 아는 사실아닌가요.
저는 솔직히 고졸에다 하는 일도 일명 노가다죠
저녁마다 집에서 리눅스만지는게 취미죠.
그런데 인터넷의 이런저런 사이트를 돌아다니다 보면
서버관리자라면서 이러저런 질문을 올리는데 참 제가봐도 기가막히데요.
(도대체 뭐하는 사람들이지 모르겠네요)
수준이 이런데 더 이상무슨말이 필요할까요...

익명 사용자의 이미지

김정균님의 의견에 많은 부분들이 공감할 수 있는 내용들입니다. 솔직히
저도 시스템관리자로 있지만, 시스템관리를 할 수 있는 시간은 거의 없습
니다. 물론... 제가 못난 탓도 있겠지만...

정균님 말그대로.. 시스템관리자는 노는 것으로 간주하니까요... 맨날 모
니터 들여다보고... 리포트 작성하고 있으니깐...

그러다보면... 개발자 부족하니깐... 개발일 시키고...
정말..

시스템 공부할 시간이 없습니다...

- 꿔니

익명 사용자의 이미지

무능한 관리자는 무능해서 잘리고

유능한 관리자는 무능해 보여서 잘린다는 농담이 있죠. -_-;

익명 사용자의 이미지


열심히해야겠죠뭐

익명 사용자의 이미지

솔직히 쪽팔리기도 하구 기분나쁘기도 하지만 사실은 인정해야 한다고 생
각한다. 수많은 학생들이 리눅스에 대하여 설치는 많이 경험 하지만 제대
로 된 운영이나 보안까지는 이르지 못하는 것 같다.
이는 (이곳의 불타는 노력들에도 불구하고) 아직도 영어로 된 문서들이
대부분인 상황에서 오는 문제들과 또 개인들의 보안에 대한 개념없음,
또 잘 모르면서 아는척이라도 해야 대접을 받는 사회적 풍토도 일조를 했
을것이라고 생각을 한다.

결론적으로 지금 이야기한 거의 모든 문제는 우리들 자신의 문제라는 것이
다. 즉 좀더 신경을 쓰고 공부를 해 나간다면 언젠가 그넘들의 도메인을
해킹하여 "I am Korean! So Xucking What?" 이렇게 써줄수 있는 날
이 오지 않겠는가?

하여간 DEFCON의 혹평에 대한 신문기사를 읽고서 '우리나라는 안되'라든
가 아무생각 없이 '저 X노무 쇄이들'이라고 생각했을 수많은 한국인들이
걱정된다. 문제는 그들이 아니지 않은가? 하지만 나조차도 열받고 X같은
기분이 열나 든다. XXX미국 쇄이들.. 느그들은 인디펜던스 데이나 에어
포스원이나 보거라 남나라 약올리려거든 말이다. 또 잘나면 얼마나 잘났
냐? 두고보자.

익명 사용자의 이미지

음 미국놈들 잘 났습니다.
개인적으로 똑똑한지 아닌지는 잘 모르겠지만...

우선 여기 얘지간한 서민 집 한채가 100만불(10억)정도 합니다.
여기 대학 졸업하구, 컴퓨터쪽 일 하면 연봉 10만불(1억정도)합니다.
(캘리포니아 주 정부에서 최저 연금으로 5만불 정도는
무조건 받습니다. 잘나가는 사람은 20,30만불까지도요..)
정말 잘난 사람들이죠..
잘났으니까 그리 돈을 많이 벌고, 부자로 살죠..

그런데, 문제는 뭐가 그리 잘 났는지를 잘 모르겠어요?
토,일요일날 놀구
월-금요일날도 6-7시면 회사들이 다 텅텅비고,
일을 그렇다고 빡시게 하는것도 아니고(뭐 한국에서는
이사람들 담배피러도 안나가고 일 한다구 하는데, 순 거짓말 입니다.
담배를 원래 피우는 미국 사람이 없기 때문(10%도 안되는것 같네요..)
이며, 이사람들도 서로 잡담하고, 중간중간 쉽니다...)

그런데도 돈은 많이 받어요.?
미스테립니다.
정말 잘 났죠?