국내 IP를 해외 IP로 위장하는 IP 위·변조가 3분 만에 가능하다는 게 본지 시연을 통해 30일 입증됐다. IP 위·변조는 금융 피싱, 웹 해킹, 온라인 사기 및 온라인 게임 불법 접속 등 각종 온라인 사고, 사이버테러의 원인이 된다.
해킹 시연은 PC 브라우저를 실행한 후 인터넷 옵션→연결→랜 설정에 들어가 조작된 경유지 IP를 입력하는 방식으로 진행됐다. 랜 설정 항목은 평상 시 빈칸으로 설정돼 있지만 여기에 경유지 프록시 IP를 넣으면 원래 IP가 은폐된다. 문제는 경유지 IP를 구글 등 검색엔진을 통해 ‘프록시 리스트’라는 검색어를 입력하면 2400만건 이상 국가별 IP를 무료로 볼 수 있다는 점이다. 이 가운데 일본, 중국, 나이지리아, 리비아 등 원하는 국가의 IP를 골라서 설정하면 한국이 아닌 해당 국가에서 인터넷에서 접속하는 것처럼 위장된다.
소요 시간은 3분에 불과하다. 위·변조한 IP를 역추적하면 접속한 국가가 제3국으로 표시되기 때문에 위·변조 사실을 알기 어렵다.
해킹시연에 참가한 김태봉 KTB솔루션 사장은 “IP는 일종의 인터넷 세상에서의 이름표와 같다”며 “IP를 중국 등 제3국 IP로 위장해 예금 불법 강탈, 피싱, 해킹, 선거여론 조작 등 각종 범죄에 악용할 수 있다”고 설명했다.
이외에도 프록시, 가상사설망(VPN)을 통한 IP 위·변조 방식으로 한 단계 진화된 위·변조도 가능하다. 프록시, VPN 등은 허락된 사람만 사내망에 접속할 수 있도록 안전한 터널링을 제공하는 보안장치다. 하지만 이 역시 손쉽게 위·변조가 가능해 범죄 도구로 활용될 수 있다. 실제로 국내 온라인 게임 회사들은 중국 IP접속 등을 차단하고 있지만 중국에서 국내 VPN 서비스를 임차해 국내 IP로 변경, 접속하는 편법은 일반화돼 있다. 이때 VPN을 임차해 훔친 개인정보를 입력하면 프록시나 VPN을 이용한 사람을 추적하는 게 불가능해진다.
김태봉 사장은 “TCP/IP의 기본 원리상 목적지 서버에서는 직전 단계의 IP밖에 확인할 수 없다”며 “사용자가 위·변조된 IP를 사용할 때 이를 바로 잡아내지 않는 한 위·변조 사실을 입증해 검거하기 어렵다”고 말했다.
IP를 역추적할 수 있는 보안솔루션은 경찰, 금융, 공공 등에서 범죄색출 및 예방을 위해 활용하고 있다. 그러나 일반 기업에서는 거의 적용하지 않는다. 그러나 최근 빈번한 개인정보 유출사고, 지능형타깃(APT) 공격을 막으려면 디지털 포렌식의 일종인 IP 역추적 장치를 미리 적용해야 한다.
전자신문과 디지털포렌식 전문업체 KTB솔루션은 ‘3분 만에 IP 위·변조하기, 클릭 세 번으로 맥 어드레스 위·변조하기, 버튼 세 번으로 이메일 위·변조하기’ 등 사이버 침해사고를 일으키는 위·변조 방법을 3주 동안 공동 실험할 예정이다. 이의 대비책도 함께 제시할 예정이다.
장윤정기자 linda@etnews.com
