"아까부터 지켜보니, 적잖은 분들이 무선 랜(LAN)에 접속했네요. 잠시 후 참가자들 중 한 분을 직접 해킹해보겠습니다"
지난 27일 한국침해사고대응팀협의회(CONCERT) 워크샵이 개최된 제주 P호텔 대강당. 이 자리에서 '해킹시연'을 맡은 언더그라운드 해커가 자신의 차례가 되자마자 던진 한마디에 현장에 있던 기자도 깜짝 놀라고 말았다.
무선랜 접속 상황을 손금보듯 파악하고 있던 그가 참가자의 노트북을 해킹하는데 걸린 시간은 30초도 걸리지 않았다. 일명 세션 하이재킹(session hijacking)이란 공격기법을 시연한 것. 이 기술은 무선랜 서비스와 노트북 PC간에 이루어지는 통신정보인 세션을 가로채, 사용자 인증절차를 거치지 않고도 해당 노트북PC와 동일한 접속 권한을 갖게 된다.
시연은 이 단계로 끝났다. 그러나 세션 하이재킹에 성공하면 공격자는 서버와 사용자 사이에 오가는 모든 정보를 보는 것은 물론이고 세션 중에 임의의 명령을 삽입, 모든 권한을 획득하는 것도 어렵지 않다는 게 그의 설명이다.
해커는 자신들이 개발한 무선랜 해킹도구를 활용해 무선랜의 취약점을 이용한 서비스거부공격(DoS)도 시연했다. 공격은 1분 안에 끝났고 인터넷 서비스는 마비됐다.
이날 시연한 해커는 "요즘 나온 최신형 AP(Accss Point)에선 이같은 문제점이 없지만, 예전 AP를 그대로 사용하는 상당수 지역에서 이와 똑같은 취약점을 안고 있는 게 사실"이라고 말했다.
눈 앞에서 순식간에 이같은 장면을 목격하니 정말 안심하고 무선 랜 서비스를 이용해도 될지 걱정이 앞섰다. 무선랜 사업자들이 사업 초창기 들고 나왔던 '선없이 어디서나 편리하게 사용할 수 있는 인터넷'이라는 슬로건이 '어디서나 당할 수 있는 내 PC'로 변질돼 버린 셈.
제대로 된 보안 대책없이 가입자 유치에 급급한 서비스업체들의 의식전환이 시급한 시점이다.