인천지방경찰청(청장 이상원) 광역수사대는 해킹프로그램을 자체 제작해 KT 고객센터 홈페이지를 해킹해 1,200만명의 고객 정보를 빼내어 텔레마케팅 업체에 판매하는 방법으로 개인정보를 유출하고 115억원의 부당이득을 챙긴 사이버 범죄자와 텔레마케팅 대표 등 3명을 검거했다고 발표했다. 특히 이번에 범죄자가 사용한 해킹 프로그램이 바로 웹 프록시 프로그램인 파로스(Paros)라고 밝혔다.
 
경찰 측은 “악성해커는 인터넷상에 배포되어 있는 웹사이트에 대한 취약성 분석 등 강력한 해킹도구 프로그램인, 파로스 프로그램을 이용해 신종 해킹프로그램을 개발한 것이다. 이후 KT 홈페이지에 로그인 후 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력시키는 프로그램을 이용해 다른 고객들의 고유번호를 찾아내 고객정보를 해킹하는 방법을 사용했다”고 설명했다.

 
그렇다면 이번 해킹 사건에 사용된 파로스는 어떤 프로그램일까. 파로스는 웹 프록시 프로그램으로 해커라면 인터넷 상에서 쉽게 구할 수 있는 프로그램으로 알려져 있다.
 
파로스(Paros)는 정확히 웹 어플리케이션의 보안을 점검하기 위해 사용하는 웹 프록시 툴이다. 무료로 사용할 수 있으며 자바로 만들어졌다. 파로스를 이용해 쿠키와 form field를 포함해 서버와 클라이언트 사이의 HTTP와 HTTPS 데이터를 가로챌 수 있고 수정할 수도 있는 것이다.
 
파로스의 기능은 다양하다. 스파이더 기능, 스캔 기능, 필터 기능, HTTP request와 response Trapping 기능 등 다양한 기능을 가지고 있다.
 
스파이더 기능은 웹 사이트를 크롤링해서 가능한 많은 URL 링크를 수집하는 것이다. 이 기능을 이용하면 직접 확인하기 전 짧은 시간 내에 웹 사이트의 링크 계층 구조를 더 잘 이해할 수 있다.
 
스캔 기능은 웹 사이트 계층 구조에 기반을 둔 서버를 스캐닝하는 것으로, 서버 설정에 문제가 있는지 여부를 점검할 수 있다.
 
필터 기능은 Filter가 서버와 파로스 사이를 오가는 각 HTTP, HTTPS 메시지를 가로채 분석하는 기능을 하며, HTTP request와 response Trapping 기능은 웹 클라이언트가 웹 서버로 보낸 데이터를 임시로 가두고 데이터 수정을 가능하게 해준다. 파로스를 통해 전달되는 모든 HTTP와 HTTPS 데이터는 trap되어 수정될 수 있다. 이 기능은 웹 해킹에서 아주 중요한 부분이다. 즉 파로스를 이용해 데이터를 조작해 웹 서버에 보낼 수 있는 것이다. 이외에도 웹 방화벽을 우회할 수 있는 공격도 가능하다.
 
파로스에 대한 보다 자세한 사항은 인터넷 상에서도 쉽게 찾아볼 수 있다. 또한 데일리시큐 자료실에는 몇 년 전 웹 프록시를 활용한 보안 강의를 할 때 사용된 교육용으로 제작된 상세 문서를 다운로드 할 수 있다.
 
국내 유명 해커는 “파로스는 웹 해킹 할 때 사용하는 툴이다. 디버깅을 위해 개발자도 주로 사용하고 있다. 파로스는 웹브라우저와 웹서버 사이에서 오고가는 정보를 볼 수 있고 변조도 가능하다”며 “KT의 시스템을 해킹했다기 보다는 파로스를 이용해 오랜기간 정보들을 수집해 이를 조합해 자신들이 원하는 정보를 완성한 것으로 추정된다. 또한 기술적으로 뛰어난 해킹 기법이 아니다. 문제는 오랜 기간 동안 이렇게 브루트포스한 것을 모니터링 못했다는 것이 아쉽다. 파로스는 초보 해커들도 쉽게 사용할 수 있는 프로그램이며 해킹 대회에서도 참가자들이 주로 사용하는 프로그램이기도 하다. 파로스 이외에도 유사한 기능의 프로그램이 상당히 많다”고 설명했다.
 
웹 어플리케이션 보안 점검을 위해 사용되는 파로스, 하지만 악성 해커가 사용하면 강력한 해킹툴로도 사용될 수 있다는 점. 보안 점검 툴에는 이러한 아슬아슬한 경계선상에 있는 프로그램들이 상당히 많다. 이런 툴들에 대한 공격을 어떻게 막을 것인지 보안담당자는 참으로 어렵기만 한 상황이다. 또한 KT 보안담당 부서와 KT와 연결된 보안업체들의 힘겨운 시간이 예상된다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com