본문 바로가기
IT 동향

통신사 해킹에 사용된 Paros 어떻게 동작할까?

by SenseChef 2014. 3. 7.

통신사 홈페이지 해킹에 사용된 파로스(Paros), 무슨 기능을 하는 소프트웨어일까 ?

 

금융권의 개인 정보 유출 사건 이후 강력한 보안 체계를 갖추고 있을 통신사업자의 홈페이지가 해킹 되었다고 하여 논란이 되고 있다. 그리고 해킹에 사용된 소프트웨어가 누구나에게 공개되어 있는 Open Source의 파로스(Paros Web proxy)라고 하여 그것이 도대체 무엇인지에 관심이 모아지고 있다.


Paros(파로스)는 웹 프락시(Web Proxy) 소프트웨어 중의 하나이다. 이것이 어떤 것인지 알아보자.


아래 그림은 일반적인 인터넷 접속 형태를 보여준다. 가정에서 웹 브라우저로 어떤 사이트를 접속하면 이 요청이 인터넷 공유기를 통해 인터넷 통신망으로 전달 되는 구조이다. 중간에 아무런 중계자나 조정자가 없는 형태이다. 

[일반적인 인터넷 연결]



다음 그림은 웹 프락시 소프트웨어인 파로스를 설치 했을 때의 구조이다. 웹 브라우저와 인터넷 공유기 사이에서 파로스(Paros Proxy Server)가 중계 역할을 한다. 이렇게 되면 모든 트래픽이 파로스를 거쳐 가기에 중간에서 이를 변조하거나 훔칠 수 있다. 이것이 파로스 프로그램이 해킹 프로그램으로 사용될 수 있는 이유이다.


[웹 프락시 서버, 파로스 이용 시 인터넷 연결]


 

파로스(Paros)는 보안 강화 용도로 만들어진 소프트웨어이다.

 

해킹 소프트웨어와 보안 소프트웨어는 서로 양면성이 있다. 두개의 기능을 모두 할 수 있다는 의미이다. 파로스 소프트웨어를 이용하면 자신의 인터넷 접속이 외부와 어떻게 이루어지는지를 자세히 살펴 볼 수 있다. 특정 웹 사이트 접속 인증 과정에서 이용자 이름, 비밀번호 등의 중요한 정보가 암호화 되어 교환 되는지도 알 수도 있다.


파로스 소프트웨어의 태생적 목적이 보안 용도였기에 누구나 이용할 수 있는 공개 소프트웨어가 된 것이다. 단지 일부 사람들이 이를 해킹 목적으로 악용 했을 뿐이다. 목적의 순수성에 대한 화두를 던져 주는 사례이다.


 

파로스를 통한 웹 사이트 변조 사례 !

 

필자는 직접 파로스(Paros) 소프트웨어를 설치해 이용해 보았다. 컴퓨터에 Paros 소프트웨어를 설치하고 인터넷 익스플로러에 프락시 서버를 설정했다. 필자의 공유기에 접속한 뒤 이를 변조하는 테스트를 진행해 보았다. 다음은 이에 대한 내용이다.


파로스 소프트웨어는 다음 링크에서 누구나 자유롭게 다운로드 받아 설치 할 수 있다(사이트 링크). 파로스가 자바 기반에서 동작하기에 이를 실행 시키기 위해서는 Java 실행 환경도 설치되어야 한다. Oracle에서 이를 받을 수 있다(사이트 링크).


그런데 파로스가 수년 전에 만들어진 소프트웨어이기에 64 Bit 버전의 자바 환경에서는 실행되지 않았다. 따라서 Windows용 32 Bit JRE(Java Runtime Environment)인 Windows X86 Online 버전을 설치하면 된다.


파로스를 설치 한 후 Tool 메뉴의 Options 화면>Local Proxy에 아래와 같이 설정한다. 자신의 PC(Localhost)에서 8080 포트로 동작 한다는 내용이다.


인터넷 익스플로러의 인터넷 설정 화면에서 아래와 같이 변경한다. 인터넷 익스플로러가 실행 될 때 모든 트래픽 처리를 웹 프락시 서버에게 요청토록 하는 설정이다. 이 과정을 마치면 Paros가 실행되어 있을 때만 인터넷 연결이 가능하다.


Paros를 실행 시키면 아래와 같은 창이 뜬다. 좌측의 Sites는 접속 했던 사이트 주소가 나타난다. 오른쪽의 'Request'는 웹 브라우저에서 외부로 어떤 요청이 나갔는지를 자세히 보여준다.


아래 사진은 필자의 공유기를 접속한 것이다. 필자의 인터넷 공유기 IP 주소인 192.168.0.1이 나와 있으며 PC에서 공유기에 접속 요청한 내용이 우측에 나타난다. 하단에는 접속  내역이 시간 순서로 기록된다.


아래의 Response 창은 공유기가 PC에 보내 준 응답 내용이다. 포털 등의 웹 사이트라면 해당 사이트에서 전달한 내용이 기록 될 것이다.


아래 사진은 필자의 공유기를 인터넷 익스플로러에서 접속했을 때의 모습이다. 여기에서 Paros를 이용해 제목에 나와 있는 'EFM Networks ipTime"과 하단에 있는 IP 연결 주소 표시를 변조 해 보고자 한다. 물론 테스트 목적이다.


Paros 소프트웨어에서 아래 사진처럼 'Trap' 탭을 연다. 이후 하단에 있는 'Trap Response'를 선택하고 'Continue'를 클릭한다. 이 설정은 앞으로 웹 사이트에서 보내오는 내용을 가로채 변조 하겠다는 내용이다. PC에서 웹 사이트로 전달되는 내용을 변조 하려면 'Trap Request'를 선택하면 된다.


인터넷 익스플로러에서 다시 공유기를 접속한다. 이미 연결된 상태라면 내용 갱신(Refresh)을 위해 F5를 눌러 새로 고침을 한다. 그러면 아무런 진행이 없다. Paros에서 'Trap'을 걸었기에 진행 되지 않는 것이다.


Paros의 'Trap' 탭 하단에서 'EFM Networks ipTime'이라고 나온 부분을 찾아 이를 '공유기 화면 변경 사례"라고 변경 한다.


125로 시작되는 IP 주소를 표시해 주는 부분을 찾아 이를 아래와 같이 161.60.52.85로 바꾸었다. 이 IP 주소는 필자가 선택한 무작위 주소이다. 단지 표시를 바꾸는 테스트를 해 보기 위함이다.


여기까지 변경 했으면 이제 'Continue'를 클릭한다. 그러면 인터넷 익스플로러의 화면이 드디어 바뀌게 된다. Paros가 데이터를 막고 있다가 전달 했기 때문이다.


인터넷 익스플로러에 나온 화면이다. 변경 했던 바와 같이 제목 줄이 '공유기 화면 변경 사례'로, IP 주소 영역이 161로 시작되는 것으로 바뀌었다. Paros를 통한 웹 화면 변조 사례이다. 이것을 응용한다면 피싱 화면을 띄워 줄 수도 있을 것이다.

 

 

정보 유출에 취약한 인터넷 접속의 위험성에 대해 알고 있어야 한다 !

 

위의 Paros 소개는 이를 악의적 목적으로 사용하라는 의미는 아니다. Paros가 어떤 것인지, 인터넷 연결을 중간에 가로채 변조할 수 있음을 보여 주고자 하는 것이다. 위의 사례는 필자의 댁내에서만 이루어진 것이나 개념이 확장 된다면 Paros와 같은 소프트웨어나 장비를 통신망 어딘가에 설치할 수도 있을 것이다.


일부 국가에서 '모든 인터넷 접속 내용을 감시한다'라는 의혹 역시 이런 수단이 있기에 가능 할 것이다. 그러나 이의 사실 여부에 대한 관심과 확인보다는 인터넷 이용이 보안상 취약점에 많이 노출 될 수 있음을 아는 것이 더 중요하다.  

 

 

유용한 소프트웨어도 목적에 따라 해킹 수단이 될 수 있다. 선의의 목적으로 사용하자.

 

창과 방패처럼 해킹과 인터넷 보안은 서로 대립될 수 밖에 없다. 아이러니하게도 인터넷 보안을 위해 나온 소프트웨어들이 해킹을 위해 사용되는 일이 벌어진다. 인터넷 보안 소프트웨어가 목적상 모든 트래픽 내용을 분석해야 하기에 이를 통해 얻은 정보를 분석하면 트래픽 흐름 및 웹 사이트 취약점을 파악할 수 있기 때문이다. 따라서 인터넷 보안 전문가가 해커가 된 사례도 있다고 한다.


그러나 중요한 것은 아무리 좋은 것이라도 악의적 목적으로 사용해서는 안 된다는 것이다. 금번 통신사의 해킹 역시 처음에는 호기심에서 이루어졌을 가능성이 높다. 여러번의 시도 끝에 웹 사이트의 정보 흐름을 파악해 정보를 왜곡 하는데 성공했을 것이다. 그러다가 이를 통해 얻은 개인 정보 판매의 달콤함에 빠졌을지도 모른다.


그러나 결과적으로 그들은 회복 불가능한 인터넷 범죄자가 되어 처벌 받을 것이다. 인터넷 이용이나 활용에 있어 그 목적과 의도가 무척 중요하다는 의미이다. 지금도 어딘가에서 해킹을 통해 인생 역전을 꿈꾸는 사람이 있다면 포기하기 바란다. 모든 활동이 흔적으로 남는 인터넷 세상에서 완전 범죄는 꿈꾸기 힘들기 때문이다. 인터넷을 좋은 목적으로 활용하는 지혜가 필요한 시점이다.