"대학 기업 공공기관 등의 컴퓨터 시스템에서 약점을 찾는다(스캐닝). 약점
을 발견하면 즉시 공격에 나선다(버퍼오버플로우). 공격에 성공해 마침내
루트(관리자) 권한을 얻는다. 루트권한을 이용, 사용자의 ID를 도용(스니핑)
하거나 서비스 거부를 일으키게 한다. 심한 경우엔 시스템 전체를 지워
버리기도 한다"

컴퓨터 해킹의 전형적인 과정이다.

수준급 해커 3인방이 컴퓨터 시스템 보안관련 전문 컨설팅 회사를 열고
본격적인 활동에 나섰다.

A3시큐리티컨설팅(대표 김현)의 조상현(26) 김휘강(24) 전진석(25)씨가
바로 그들이다.

조씨와 김씨는 각각 한국과학기술원(KAIST) 박사과정과 석사과정에 재학중
인 대학원생.

과기원내의 해킹동아리 "시큐리티 카이스트"의 핵심 멤버들이다.

전씨는 동국대 컴퓨터공학과(93학번) 출신으로 조씨와 고등학교 동문이다.

이들은 날로 늘어가는 해킹 사고로 고통받는 대학과 기업을 상대로 피해
시스템 복구와 보안 컨설팅 서비스를 제공하기 위해 창업했다.

실제로 한국정보보호센터(www.kisa.or.kr)의 보고서에 따르면 지난해
1백58건이던 해킹 피해가 올해는 7월 현재 2백38건에 이르고 있다.

이 숫자가 정식 피해 사례로 접수된 것임을 감안하면 밝혀지지 않은 실제
해킹 피해는 더 많을 것으로 보인다.

조씨는 "정부나 공공기관에 비해 대학과 기업이 해킹 피해를 입는 경우가
압도적"이라며 "무엇보다 중요한건 철저한 사전점검을 통해 예방대책을
세우는 것"이라고 말했다.

창업한지 한달남짓밖에 되지 않은 이 회사는 현재 대형 시중은행 증권사
등과 컨설팅 서비스제공을 위한 협상을 진행중이다.

그중 한 은행에는 동아리 시절부터 보안 컨설팅을 해왔다.

이들은 컨설팅 의뢰가 들어오면 해당 대학이나 기업을 상대로 모의해킹을
실시한다.

시스템이 해커들에 대항할 준비가 어느 정도 돼있는지를 알아보기 위해서다.

모의해킹에 동원되는 해킹기법은 일반적이고 잘 알려진 것에서부터 첨단
기법까지 수백~수천가지에 이른다.

새로운 해킹기법에 대한 정보를 찾기 위해 자료수집도 게을리하지 않는다.

모의해킹으로 문제점이 발견된 시스템에는 꼭 맞는 해결책을 제시해 맞춤
서비스를 제공한다.

김씨는 "한국이 외국 해커들의 주요 활동무대로 떠오르고 있다"며
"네트워크의 발전속도에 비해 보안시스템은 너무 뒤떨어진 것이 사실"이라고
우려했다.

그는 "회사 이름인 에이쓰리(A3)는 미 국방성 컴퓨터 보안등급(TCSEC)의
최고수준인 에이원(A1)보다 높은 보안성을 추구한다는 뜻"이라며 "민간
단체와 기업에게 최고의 보안 컨설팅을 제공하겠다"고 자신감을 보였다.

(02)501-7847

< 장경영 기자 longrun@ >

-----------------------------------------------------------------------

< 용어설명 >

<> 루트(Root) 권한 : UNIX 체계에서의 특권적 사용자의 지위.

<> 스캐닝(Scanning) : 프로그램의 결함을 찾아 구체적인 공격지점을
발견하는 것.

<> 버퍼오버플로우(Buffer over flow) : 루트권한과 관련된 프로그램에
예상치 못한 입력값을 보내 해당 프로그램의 에러를 유발하는 것.

<> 스니핑(Sniffing) : 시스템 사용자의 ID와 패스워드를 도청하는 것.

<> 서비스 거부(Denial Of Service) : 서버를 다운시키는 등의 방법으로
정상적인 서비스 제공을 방해하는 것.

( 한 국 경 제 신 문 1999년 9월 14일자 ).