사실, 별 생각 없이. 그리고 별 탈 없이 잘 사용하고 있던 장비였는데, 어느날 문득 역시 별 생각 없이 Firewall의 Log를 살펴보았다.
이 때 부터 갑작스럽게 머리 회전이 빨라지기 시작하였다. Log에는 상당히 생뚱맞은 Network 접근 시도들이 무수히 기록되어 있었다. 생각하는 속도가 빨라짐과 거의 동시에 손가락을 움직이는 속도도 빨라지기 시작하였다. ("드르륵"은 마우스 휠을 굴리는 소리이다.)
타다다다닥. 타다다다닥. 타다다닥. 드르륵. 드르륵. 타다다닥. 타다다다닥...
이 Linux 장비는 공용(Public) IP Address 영역에 놓여있기 때문에 피부로 느껴지는 심각성은 적지 않았다.
접근 시도를 Port 별로 구분해 본 결과 아래와 같은 표를 얻을 수 있었다.
| Port 번호 | 일반적인 프로토콜 |
|---|---|
| 21 | FTP |
| 22 | SSH |
| 25 | SMTP |
| 53 | DNS |
| 80 | HTTP |
| 137 | SMB (Samba) |
| 443 | HTTPS |
| 3306 | MySQL |
| 1433 | MS SQL |
| 4899 | R-Admin |
| 5900 | VNC |
| 8000 | SHOUTcast |
| 8080 | Servlet container |
| 10000 | WebAdmin |
| 33435 | Traceroute |
그 중에서도 특히 많은 접근 시도가 있던 것이 MS-SQL과 MySQL 두 가지였다. 이 결과를 보면서 수 개월전에 회사의 MS SQL 서버가 해킹 당했었다는 사실이 떠올랐다.
하루 평균 접근 시도 횟수를 산정해 보니 MS-SQL의 경우 거의 10회에 육박한다. 접근 시도한 시간대를 살펴 보니 상당히 규칙적인 시간 간격을 가지고 접근 시도가 진행된 것으로 보여진다.
whois 명령어를 이용해서 접근해온 지역을 확인해 보았다. 가장 많은 것은 바로 사무실이 위치한 건물 내에서였다. 그 다음은 중국 베이징과 상하이. 간혹 프랑스, 호주나 미국 등지에서부터의 접근 시도가 있었다.
이 건물 내부 IP 주소에서의 접근은 생각보다 심각할 수 있다는 생각이 들었다. 이 건물 내부에 Hacking 공격용 거점으로 사용되는 장비가 몇 대 이상 존재할 가능성이 다분이 높았기 때문이다. 솔직히 다른것 보다 이 건물 Network 속도의 전체적 저하의 원인 제공자가 될 수도 있다는 생각이 들어서 별로 기분지 좋질 못했다.
그래 저 녀석들이 내가 사용하는 네트웍 대역폭(Network Bandwidth)을 잡아먹고 있을 수 있다는 거쥐이~
곧바로 이 건물의 Internet Service 업체에 연락을 했다. 이런 저런 내용을 설명해주니 다른 전화 번호 한 개를 알려준다. '어라? 이거 핑퐁인가?'라는 생각이 들긴 했지만, 딱 한번까지는 노력을 해 주지라는 생각으로 다시 전화기를 들었다.
이번에 받은 사람도 자신이 담당자는 아니란다. 하지만, 자신이 봐 줄 수 있는데 까지는 봐준다고 한다. 내 연락처를 적고나서 살펴본 후 연락을 주겠다고 하고 통화를 끊었다.
얼마 간의 시간이 지난 후 통화했던 사람이 전화를 주었다. '그래도 일을 열심히 하는군'이라는 생각을 하고 있었는데 내 귀로 파고들어오는 목소리는 이런 생각을 여지 없이 무너뜨렸다.
자신의 권한으로는 알 수가 없고 아무런 조치도 할 수가 없으니, 정 문제가 되면 경찰청 사이버 수사대에 신고하란다.
이 때 부터 귀찮아지기 시작했다. 결국 대강 이런 저런 불만사항을 잠깐 이야기 한 후 통화를 끊었다.
하지만, 여기서 끊나면 재미 없지 않겠는가? 마음 속에서 호기심이라는 녀석이 계속 꿈틀대는게 느껴졌다. Linux 장비로 접근해 온 녀석들이 어떤 녀석들인지 간단히만 한번 알아보자라고 생각이 바뀌었다.
일단, Firewall 설정부터 보다 강력하게 바꿔버렸다. 내가 주로 작업하는 다른 장비에서 접근하는 IP 주소만 열고 나머지 모든 IP에서의 접근은 다 막아버렸다. 거기에 더해서 ICMP 접근 까지도 모두 막아버렸다.
그리고 나서 nmap 명령어를 이용하여 이 건물에서 접근한 IP 주소들을 하나씩 확인하기 시작했다. 2 대는 Windows 장비였고 Firewall도 설정되어있지 않았다. 1 대는 Unix 계열로 보였지만 정확한 O/S를 추정하기에는 열려 있는 service가 부족하였다. 그리고 마지막 1 대는 재미 있게도 nmap에서 아무것도 걸리지가 않았다.
어허~ 이 녀석 봐라~ 너가 해보자는거지?
기대했던 것과는 달리 너무 어이 없게도 쉽게 접근이 가능했다. 먼저 80번 포트에 웹서버가 떠 있는지 수작업으로 확인해 보았다. 웹서버가 응답을 하지는 않았지만, 뭔가 낌새가 이상했다. 그래서 curl 명령어로 return 되는 내용을 살펴 보았더니 spam 메일 중계용으로 사용되는 프로그램 하나가 떡 하니 모습을 드러낸다.
이런... 이런 녀석이 이 건물 내에 있으면 네트웍 다 잡아 먹을 텐데...
이 장비는 생각보다 의도가 불순해 보인다. 다른 모든 Port들은 모두 막혀있다. 반응을 보았을 때 해당 Service가 안 떠 있는 것이 아니고 Firewall로 막혀 있다. 그런데, 유일하게 열려 있는 80번 포트에는 전혀 생뚱맞은 녀석이 보금자를 마련해 놓고 있는 것이다. 이 장비가 해킹 당한 것인지, 아니면 의도적으로 스팸 메일 발송(혹은 중계)를 위해 설치된 것인지 판단하기가 모호하다. 그렇다고 내가 역으로 해킹을 하기는 너무나도 귀찮고...
지금 아주 조금 갈등이 생기고 있다. 신고를 해야 하나 말아야 하나...