원격제어 프로그램인 VNC(Virtual Network Computing)서버가 다중이 이용하는 PC방에 다수 설치돼 있는 것으로 조사돼 이용자들의 각별한 주의가 요구된다. 이와함께 VNC를 설치한 자가 불법적으로 개인정보를 침해하는 것은 아닌지 사법 당국의 조사가 필요하다는 지적이다.
16일 화이트해커 모임인 KASS(Korean Advanced Security Specialist)와 민간 조사 업체인 이지스에 따르면, 서울시내 및 인천 광역시 내 대형 PC방 20여 곳 가운데 19곳에 VNC가 설치돼 있는 것으로 조사됐다.
VNC는 사용자가 외부에서 원격으로 인터넷 연결을 통해 원하는 PC에 접속해 필요한 작업을 할 수 있게 돕는 역할을 한다. 긍정적으로 사용하면 원격제어 프로그램이지만, 이용자 본인도 모르는 사이에 프로그램이 깔려있고, VNC서버를 통해 누군가가 VNC클라이언트가 설치돼 있는 PC를 모니터링하고 있다면 심각한 해킹문제로 비화될 수 있는 소지가 크다.

문제는 이번에 조사 대상에 포함된 PC방의 경우 모든 PC를 모니터링하기 위해 VNC와 비슷한 기능을 하는 PC방 전용 관리 프로그램이 설치돼 있는데도, 별도의 VNC가 설치돼 있다는 것. PC방 주인이 설치했든지, 아니면 제3자가 설치했든지 포트번호와 접속 비밀번호만 알면 이용자의 PC화면을 제 것처럼 들여다보고 심지어 통제까지 가능하다는 데 문제가 있다.
KASS 관계자는 “서울 및 경인 지역의 대형 PC방 20여 곳을 둘러본 결과 19곳에서 VNC서버 프로그램이 깔려있었다”며 "이들 PC방에 설치된 VNC는 리얼VNC였으나 다른 VNC가 설치돼 있는 곳도 구조는 마찬가지고 모두 암호가 드러나는게 문제"라고 밝혔다.
그는 “지방 소재 모 PC방이 랜섬웨어에 감염돼 경위를 살펴보던 중 VNC가 설치돼 있음을 발견했는데, 마이크로소프트가 인수한 Sysinternal사의 TCP뷰 등의 툴을 통해서도 볼 수 없는 상태로 은폐돼 있기도 했으며 기본 포트인 5900번에서 변경돼 있는 경우도 발견했다”고 말했다.
KASS관계자는 이어 “이용자의 키보드를 알아내는 키로거의 경우 일반적으로 각종 백신툴로 감지가 되지만, VNC는 뱅킹권에서 악성코드로 인식하지 않는다”며 “오픈된 장소인 PC방에 VNC가 설치돼 있다면, 마음먹기에 따라서는 금융정보나 메일계정과 비밀번호 등을 빼내 가는 것은 식은죽 먹기”라고 지적했다.

VNC를 통해 오가는 정보가 암호화 된다는 점도 범죄에의 악용 가능성을 보여준다. VNC로 어떤 행동을 하더라도, 침투자(관제자) 입장에서는 행위정보들이 모두 암호화되기 때문에 설령 누가 조사하려고 패킷을 찾아도 암호화 돼 있어 증거를 수집하기 어렵다는 것이다. VNC가 갖고 있는 약점인 셈이며, 안티 포렌식 툴로도 활용될 수 있다.
이지스는 실제로 이처럼 VNC를 활용해 공격을 감행한 것으로 보이는 사례를 발견했다. 이지스의 왕응석 대표는 경남 김해의 A모 PC방에서 DDoS 공격을 받고 있다는 제보를 접수하고, 주변의 PC방을 탐색한 결과 인근 B모 PC방에서 VNC가 설치돼 있는 것을 찾아냈다. 두 PC방은 물리적으로 인접해 있어 B모 PC방이 A모 PC방에 경영상의 타격을 주기 위해 VNC를 활용한 DDoS 공격을 벌인 것으로 보인다는 게 왕대표의 분석이다.
이에 따라 해당 A모 PC방에서는 경찰에 수사를 의뢰하는 한편, 통신사업자에게도 해당 PC방의 트래픽을 조사해 줄 것을 요청했다.
박영하 자유기고가 (yhpark@nextdaily.co.kr)