2001년 가을의 Nimda, 2002년의 SQL 슬래머, 2003년의 Blaster... 그리고 그 이외의 잡다한 바이러스 및 웜들... 이들은 모두 관리자의 부재나 소홀로 이루어진 결과라고 할 수 있다. 물론 불가항력은 당연히 있을 수 밖에 없다는 것을 안다.
위에 3가지는 너무나 유명해서 대부분 패치가 된 상태이다. 하지만, 여전히 다른 부분을 이용한 해킹은 계속 이루어지고 있다. 최근에는 자주 NTFAQ Help Call로 서비스에 문제가 있다고 지원을 요청하기도 하는데, 실제로 확인을 해보면 실 서비스에 문제가 생긴 경우보다는 해킹이나 웜에 의한 서버의 비정상적인 동작이 대부분을 이룬다. 이런 경우가 아니더라도 실제 확인을 해보면 이미 해킹을 당한 상태에서 실컷 쓰다가 버린 서버가 된 흔적을 찾아 볼 수 있다. Help Call에 도움을 요청한 서버의 대부분은 이미 해킹을 당한 상태에서 패치를 한 것이거나, 해킹을 당한 경우 대부분이 관리자의 부재나 관리 소홀, 또는 능력 부족에 의한 사고라고 할 수 있다. 위 3가지를 막을 수 있는 것 이외의 부분에는 전혀 관리가 되지 않는 경우도 있다.
최근에는 해커들도 해킹된 윈도우 시스템을 효율적으로 관리하기 시작했다. 정상적인 서비스처럼 보이게도 하며, 백신이 지운 경우 자체적으로 복구할 수 있는 능력의 부여는 물론, 찾을 수 없는 장소에 파일을 둔 경우, 백신을 피하기 위해서 아예 자체적으로 개발한 경우까지 다양하게 있다. 이렇게만 글을 짧게 쓰면 따른 서버 이야기인줄 알고 재미있어하는 사람이 있을 것 같아 자신의 서버는 아닌지 한번쯤 의심해보라고 몇 개의 재미있는 사진도 함께 있으니 계속 보기 바란다.




[그림2][그림1] Open Relay로 사용


그림 1, 그림 2의 경우는 메일 서버라면 누구나 다 걸릴 수 있는 경우이다. 처음부터 Open Relay였던 것이 아니라 해커가 Open Relay로 메일서버를 변경한 다음에 사용한 것이다.







Surv.exe의 아이콘은 Surv-U라는 FTP 서비스의 프로그램이다. 근데 왜 이런 것이 웹 서버에 있는가? 참고로 백신이 시스템 감시를 하고 있는 중이다.



System Volume Information 폴더는 SYSTEM 계정을 제외하고는 접근 불가능하다. 근데 저렇게 큰가? Windows 2000/XP를 사용하고 있다면 한번 체크해보라. 기껏해야 몇 메가 수준의 크기를 가지고 있다



프린터가 동작하면서 동시에 sk.exe라는 프로그램이 실행된다. 이 정도면 정말 즐겁지 않은가?





다른 윈도우를 해킹하기 위한 도구와 관리하기 위한 도구들.









그림 5부터 그림 13까지는 모두 백신이 정상적으로 시스템 감시를 하고 있는 서버에서 캡쳐한 사진이다. 정말 못 잡는가 싶어서 수동 검사를 했더니 그때는 일부를 잡았다. 하지만 여전히 정상 동작하고 있는 부분과 해킹툴 부분(그림9)은 잡아내지 못하였다. 참고로 그림9에 있는 프로그램들의 일부는 바이러스가 아닌 지극히 정상적인 프로그램이다. 단지 해커들이 사용할 뿐이다.
그림 12의 TCPservice는 누가 봐도 윈도우의 일부인 것처럼 보이게끔 해두었다. 가끔은 TCPservice대신에 WINS Client라는 부분이 올라가 있기도 한다. 이런 부분은 관리자가 윈도우 시스템을 철저하게 알고 있지 않는다면 해결하기 어려운 부분이다. 즉, 해커의 실력이 옛날에 비해 많이 향상된 것이다. 더 재미있는 사실은 이런 해킹과 함께 몇 개의 알 수 없는 계정이 생겨있다는 것이다. 이 부분에 대한 캡쳐는 회사의 계정부분과 관련이 있는 부분이라 올리지 않았다.

위 그림들은 사용자들이 생각하는 ‘나만 안전하면 되’, ‘나는 아니겠지?’라는 생각이 가져온 아주 작은 실수가 가져온 부분이다. 확실하게 자신이 알고 있어야 하는 것은 “내가 앉아있는 이 PC/Server는 내 책임이며, 내가 관리자이다”라는 사실이다. 컴퓨터에 대해 잘 모른다면 누군가에게 도움을 청하는 것도, 아니면 책임질만한 관리를 누군가 대신 해 줄 수 있도록 마련하는 것도 좋은 방법이 될 것이다.

작성자 : 이종량님
편집자 : 홍순성님