해킹툴 소개

이번 글에서는 인터넷을 통해 공개되어 있는 이른바 해킹 툴중 하나인

WWWHACK을 소개하고자 한다.

WWWHACK은 회원제 웹사이트의 ID와 비밀번호를 찾아주는 프로그램이다. 웹

브라우저 상에서 간단히 ID와 비밀번호를 체크하거나, HTML안에 입력창으

로 ID와 비밀번호를 입력하게 되어 있는 사이트들에서 ID와 비밀번호를 찾

아준다.

굉장한 소프트웨어인것 같지만 실제 원리는 무척 간단하다. 사람들이 ID나

비밀번호로 많이 사용하는 주요 단어들을 가지고 이른바 '무대뽀'로 하나

씩 하나씩 대입해 가면서 통과되는 단어를 찾는 것이다.

이 소프트웨어를 실행해서 ID를 찾을 때는 두가지 옵션이 있다. 하나는 ID

와 비밀번호를 모두 동일하게 해서 검색하는 것. 이를테면 ID도 love, 비밀

번호도 love 혹은 id는 tigger / 비밀번호도 tigger 인 경우 등이다.

이 방법으로 검색해 보면 시간도 짧게 걸린다. 역으로 생각하면 우리가 회

원제 사이트에 ID와 비밀번호를 동일하게 설정하고 있다면 누군가 이

WWWHACK프로그램을 이용하여 쉽게 내 ID를 도용할 수 있다. 실제로 일본의

회원제 사이트 하나를 대상으로 WWWHACK을 수행해 보니 10분만에 2개의 ID/

패스워드를 확인할 수 있었다.

두번째 옵션은 ID와 비밀번호를 다르게 해서 검색하는 것이다. 이 것은 시

간이 무척 오래 걸리지만 ID와 비밀번호가 다른 경우를 검색할 수 있다.

이 것이 가능한 것은 WWWHACK이 가지고 있는 패스워드 리스트 파일 때문이

다.

이 파일에는 많은 사람들이 ID나 비밀번호로 주로 사용하는 단어들 수백~수

천개가 수록되어 있는 파일이다. 사람의 이름 (Michael 등), 동물이름, 색

깔, 도시이름, 과일이름 혹은 자주 사용하는 명사들이 모여있는 파일이다.

이 파일을 이용하여 첫 단어가 love라면 ID를 love로 하고 비밀번호로 패스

워드 리스트에 기록된 수백~수천개의 단어를 하나하나씩 일일이 대입해 가

며 통과되는 단어를 찾는 것이다. 예를 들어 패스워드 리스트에 100개의 단

어가 있다면, 100*100회, 즉 1만번의 시도를 해서 통과되는 ID/비밀번호 조

합을 찾아주는 소프트웨어인 것이다.

그래서 인터넷에서 ID를 만들때는 절대로 영어사전에 실려있는 단어를 쓰

면 안된다. 이런 단어들은 대개 PASSWORD LIST파일에 수록되어 있기 때문이

다. 지금 바로 비밀번호를 아무런 뜻이 없는 무의미한 문자열로 바꾼다면

WWWHACK에 의한 피해는 막을 수 있을 것다.

WWWHACK은 http://www.wwwhack.com/에서 무료로 다운로드 받을 수 있으며

이 곳에는 여러가지 버전의 패스워드 리스트 파일로 다운로드 받을 수 있

다.