내부망(인트라넷)에 연결된 컴퓨터 속 데이터를 통신 전파 없이 그와 분리된 외부망으로 빼내는 과정을 고려대학교 연구진이 국내 최초로 시연했다.
고려대 사이버국방학과 윤지원(39) 교수 연구팀은 17일 정보보안 콘퍼런스 ‘시큐인사이드’에서 소리 주파수를 이용해 인트라넷 해킹 과정을 시연하는 데 성공했다.
윤 교수 연구팀은 이날 ‘7월 17일 오후 1시 34분’이라고 적힌 텍스트 파일을 내부 인트라넷망과 분리된 외부망용 데스크톱 PC에 저장한 뒤, 특수 프로그램을 이용해 내부망에 연결된 노트북PC로 보내자 글 내용이 온전하게 노트북 화면에 떴다. 또 외부망 데스크톱에 특수 실행 명령어를 입력하자 내부망용 노트북 배경화면이 까매지고 초록색으로 “You have been hacked(당신은 해킹당했다)”라는 문구가 떴다.
윤 교수팀은 데스크톱과 노트북을 각각 외부망과 내부망에 연결해 서로 차단·분리된 상태로 만들고서 ‘소리 주파수’를 이용해 두 컴퓨터 사이에 데이터를 주고받는 방식을 사용했다. 데이터를 소리 주파수로 변환해 데스크톱에 연결된 스피커로 내보내면, 노트북 스피커로 그 소리를 받아 데이터로 다시 변환하는 방식이다. 윤 교수는 “이런 방식으로 3초에 1킬로바이트, 50분에 1메가바이트 정도의 데이터를 보낼 수 있다”고 밝혔다.
윤 교수에 따르면, 이런 방식으로 사람이 들을 수 있는 주파수로는 10m, 듣지 못하는 주파수로는 5m 거리에서 데이터를 주고받을 수 있다고 한다. 윤 교수는 “더 전문적인 기술이 접목되면 전송 속도나 가능 거리는 충분히 늘어날 수 있을 것”이라고 했다. 윤 교수에 따르면 CPU 팬이 돌아가는 소리나 CPU를 급격히 작동시켜 생기는 ‘열’ 등도 데이터를 주고받는 통로로 이용할 수 있다.
통신전파 없이 데이터를 주고받을 수 있다는 사실이 시연에서 증명되면서 그동안 인터넷망을 통한 침투가 어렵다고 알려진 인트라넷의 보안 취약성을 보완해야 한다는 지적이 나온다. 윤 교수팀의 방식을 적용할 경우 노트북이나 휴대폰 등 휴대하기 쉬운 기기로도 내부망 데이터를 빼내거나 내부망에 특정 프로그램을 작동시킬 수 있기 때문이다. 김승주 고려대 정보보호대학원 교수는 “이날 실험은 ‘인트라넷은 안전하다’는 명제가 ‘전가의 보도’처럼 사용돼서는 안 된다는 취지를 알린 데 의미가 있다”고 했다.
이번 실험이 국방부나 공공기관, 은행 등에서 사용하는 인트라넷이 무차별적으로 위험에 노출될 수 있음을 의미하는 것은 아니다. 또 내부망에 악성코드가 깔려야 한다. 그러나 윤 교수는 “누군가 내부망에 악성코드를 심는 건 그리 어려운 일이 아닐 것”이라고 했다.
