본문 바로가기
Reviews

[Hacking]🪙 추적의 시작, 75센트의 회계 오류

by 나무수피아는 지식의 가지를 뻗어가는 공간입니다. 2025. 8. 23.
반응형

🧠 프롤로그: 추적의 시작, 75센트의 회계 오류

1986년, 단 75센트의 미세한 회계 오류가 시작이었다…

Clifford Stoll은 천문학자였으나 로렌스 버클리 국립연구소(LBNL)의 시스템 관리자 역할도 겸하며 내부 회계 시스템에서 미묘한 75센트의 불일치를 발견했다. 이는 누군가가 시스템을 무단 사용 중임을 암시하는 단서였다. 그는 집요하게 이 오류의 원인을 추적했고, 이 단순한 사건은 곧 세계 최초의 디지털 전쟁으로 번졌다.

Stoll은 로그 파일을 분석하며 누군가가 여러 계정을 돌며 시스템에 정기적으로 침입하고 있음을 확인했고, 해커가 미군, 국방 연구소, NASA까지 침투 중임을 밝혀냈다. 이 사건은 냉전 말기의 역사적 맥락 속에서 한 민간 과학자가 사이버 스파이를 추적하는 과정을 보여준다.

📌 사건 개요 요약

  • 장소: 미국 로렌스 버클리 국립연구소 (LBNL)
  • 시간: 1986년
  • 문제: 회계 시스템에서 75센트의 계산 오류 발생
  • 의문: 사용자 계정의 접속 시간 요금 청구 내역과 불일치
  • 추적자: Clifford Stoll (천문학자 겸 시스템 관리자)

🪙 어떻게 75센트 오류가 생겼는가?

LBNL은 미국 ARPANET 및 국방연구 네트워크에 연결된 고성능 VAX/VMS 시스템을 운영했고, 외부 연구자들이 시간 단위로 과금되는 접속 서비스를 이용했다.

✅ 당시 시스템 과금 방식

  • 사용자 접속 시간 측정 및 단가 곱산
  • 월말 누적 요금 정산
  • 75센트가 미지급 상태로 남음

🔍 이상한 점

  1. 특정 사용자 계정에서 세션 기록이 없는데
  2. 청구 시스템은 0.75달러를 부과함
  3. 즉, 사용 시간은 존재하지만 정식 사용자 계정이 아님

이 모순으로 Stoll은 해커의 존재를 의심했다.

🕵️‍♂️ 추적의 시작: 로그파일 속 스파이를 쫓다

Stoll은 UNIX 시스템의 cron job을 활용해 5분마다 로그인 세션, 계정명, 접속 IP 정보를 기록하는 스크립트를 실행하며 이상 접속 패턴을 포착했다. 해커는 심야 시간대에 반복적으로 침입했으며, 전화선을 통한 모뎀 접속이었기에 역추적이 매우 어려웠다.

Stoll은 가짜 계정과 군사 기밀처럼 보이는 허니팟을 설치해 해커를 유인, 해커가 허니팟 내의 가짜 문서를 열람하면 로그가 자동 생성되도록 해 정밀 추적에 성공했다.

✅ Clifford Stoll의 로그파일 분석 방식

  1. cron job 기반 스크립트 감시
    - 5분 간격으로 /etc/passwd, /var/log/wtmp, utmp, lastlog 등 로그 복사
    - 심야 시간대 로그도 빠짐없이 확보
  2. 이상 접속 패턴 탐지
    - 정규 사용자 가장 로그인
    - rlogin 시도
    - 슈퍼유저 권한 전환 시도
    - 프로세스 트레이스 및 시스템 디렉터리 탐색
    - 주기적 심야 접속 패턴
    - 시계열 분석으로 침입 주기 파악
  3. 허니팟 설치
    - 가짜 군사 네트워크명(SDINET), 기밀 파일명, 바이너리 더미 데이터 포함
    - 접근 시 로그 자동 생성으로 해커 탐색 행위 기록

🧩 해커는 누구였는가?

Clifford Stoll의 추적은 서독 출신 해커 Markus Hess를 밝혀냈다. 그는 KGB의 고용을 받아 미국 군사 정보를 수집하는 사이버 스파이였다.

Hess는 여러 명의 공범과 함께 미국 군사 기관, 대학, 방위 산업체에 침투해 군사 전략, 인공지능, 암호 기술 등 핵심 정보를 탈취했다. ARPANET에도 접속을 시도하며 미국 통신망 핵심을 노렸다.

Stoll은 전화선을 역추적해 독일 경찰과 협조, Hess의 거점을 급습하여 체포하는 데 성공했다. 이 사건은 사이버 전쟁이 현실 국가 안보 위협임을 각인시키고, ‘디지털 냉전’이라는 개념이 등장하는 계기가 되었다.

🛠️ Markus Hess의 해킹 방식

  1. 모뎀 접속 원격 로그인
    - X.25 패킷망과 전화선 모뎀 이용
    - Tymnet, Datex-P 공공망 경유해 미국 연구소, 국방부 시스템 침입
  2. 계정 정보 탈취 및 패스워드 브루트포스
    - 소셜 엔지니어링 및 기본 비밀번호 추정으로 초기 접근
    - 버퍼 오버플로, 권한 상승 버그로 루트 권한 획득
    - 디폴트 패스워드 및 단순 암호로 난이도 낮음
  3. 트로이 목마 및 키로깅
    - 사용자 로그인 정보 수집용 트로이 목마, 키로거 설치
    - VMS 시스템에 가짜 로그인 프롬프트 배치해 입력값 탈취
  4. 로그 삭제 및 흔적 지우기
    - 로그파일 조작 및 삭제 시도
    - 임시 캐시, 백업 로그, Stoll의 수집 로그에 흔적 남음
  5. 정보 수집 및 전송
    - 해킹 대상 문서 X.25 회선 통해 독일 서버 업로드
    - KGB에 군사 전략, 위성 통신, 암호 프로토콜 등 정보 전달

📊 해커의 실제 피해 규모는?

정확한 금액 산정은 어렵지만, 다음 점을 고려할 수 있다:

  • Markus Hess는 수개월간 미국 수십 군사기관 및 대학 시스템 침입
  • 100개 이상 시스템 접근, 상당수에서 기밀문서 다운로드
  • 국가 안보 및 첨단 기술 정보 유출로 인한 막대한 피해
반응형

'Reviews' 카테고리의 다른 글

[Worm] 🪱 1988년 모리스 웜(Morris Worm) – 인터넷 사상 최초의 웜  (72) 2025.10.13
[Hacking]💻 전설의 해커 그룹 Legion of Doom (LOD)  (50) 2025.10.06
[Hacking] 시모무라 츠토무: 해커를 추적한 보안 과학자  (58) 2025.08.15
[Hacking] 전설의 해커 케빈 미트닉(Kevin David Mitnick)  (22) 2025.08.15
[Hacking] 조이 엔그레시아의 휘파람 사건(1957년)  (33) 2025.07.31

관련글

티스토리툴바