「센드메일 해킹 방법을 알려주마」

폴란드인 4명으로 구성된 한 해커 조직은 지난 4일 센드메일 메일 서버의 보안 취약점을 악용할 수 있는 코드를 오픈소스 메일링 리스트에서 공개했다.이 코드는 센드메일의 취약점이 공식 발표된지 하루도 되지 않아 등장한 것이다. LSD(Last Stage of Delirium)로 알려진 이 해커 조직에 따르면 이 코드로 센드메일을 사용하는 레드햇이나 슬랙웨어를 원거리에서도 침입할 수 있다.이 코드로 인한 실제 피해가 크지 않았다는 점은 다행스럽지만 LSD는 “시간을 두고 천천히 분석했다면 이보다 더 많은 해킹 방법을 찾았을 것”이라고 일침을 가했다. CNET 뉴스닷컴과의 이메일 인터뷰에서 LSD 관계자는 “이 코드 외의 다른 해킹 방법도 있을 것”이라고 말했다. 그는 또 “우리는 문제의 취약점이 어떤 영향을 미칠 수 있는지 확인하기 위해 여러가지 실험을 해본 것”이라며 “이 약점은 크게 위험하진 않은 것으로 나타났다”고 말했다. 이번에 밝혀진 센드메일의 취약점은 메일의 헤더를 분석하는 메일 서버 보안 기능 중 하나에서 발견된 것으로, 네트워크 보안 업체인 ISS가 처음 알아내 지난 3일 발표했다. 같은날 센드메일 컨소시엄의 공지에 따르면 문제의 취약점은 15년 전부터 존재했으며 IBM, HP, 애플컴퓨터, 썬, 레드햇을 비롯한 몇몇 리눅스 판매업체가 이 취약점과 관련된 센드메일 버전을 판매하고 있다. 센드메일은 예전부터 보안 취약성에 대한 논란이 많았다. 이번 LSD의 코드 발표로 센드메일을 사용하는 다양한 서버의 취약성에 대한 의문이 다시한번 불거지고 있다.센드메일 컨소시엄의 설립자이며 센드메일 법인 CTO인 에릭 올먼은 “논란의 쟁점은 실제 취약성의 여부”라고 말했다. 센드메일 법인은 상용 센드메일 버전을 제작한 바 있다. 그는 “아무도 방심해서는 안된다. 이 취약점을 악용할 수 있는 다른 해킹 방법이 있을 수 있다”면서 패치 설치를 권장했다. 올먼은 취약점에 대한 공식 발표가 나자마자 이를 악용하는 자세한 방법을 공개하는 해커들 행동에 대해서는 명확한 의견을 밝히지 않았다. ‘소프트웨어 취약점이 발견됐을 때 이를 악용할 수 있는 자세한 정보를 공개하는 것이 보안에 도움이 되는가 위협이 되는가’ 이 문제는 지난 몇 년 동안 보안 전문가들과 해커들 사이에 많은 논쟁이 있었다. 취약성이 알려지면 이를 악용하는 코드도 곧 뒤따라 나오는게 일반적이다. 하지만 이번처럼 24시간도 안돼서 나올 줄은 올먼도 미처 예상하지 못했다. 게다가 이번에 LSD가 발표한 코드는 취약점이 있는 서버에 직접 명령을 입력할 수 있는 터미널 프롬프트까지 제공한다. 올먼은 “이건 지나쳤다”며 불쾌한 심기를 드러냈다. 올먼은 “취약성을 증명하는 정도에만 그쳤어도 별 문제 없었을 것”이라고 말했다. 취약성 증명은 약점을 이용하는 방법을 설명하되 직접 사용할 수 있는 기능은 포함하지 않는 것을 의미한다.반면 LSD는 이 같은 코드 발표가 전체적인 보안 문제에 도움이 된다는 입장이다. LSD는 CNET 뉴스닷컴에 보낸 이메일에서 “보안 개선의 최선책은 공개적이고 자유로운 정보 공유라고 생각한다. 결과가 어떤 것인지 확실히 알리려면 구체적인 내용을 밝혀야 한다. 숨기는게 결국 더 큰 피해로 돌아오는 법”이라고 주장했다. @