👨🏻‍💻 블로그

[에세이] #4. 한 여름밤의 꿈, '시스템 에어컨' 해킹하기 | 고인물의 회상

현재, 나의 직업은 한 기업의 정보보안전문가(오글거리지만 매스컴에선 "화이트 해커"라 하더라...)이다. 나의 밥줄인 해킹과 관련된 에피소드를 떠올리며 그땐 그랬지 라는 느낌으로 글을 적어보고자 한다.

2024.06.16 | 조회 562 |
0
|
Hello.Stranger의 프로필 이미지

Hello.Stranger

🛸 해외 IT 트렌드를 가장 먼저 만나보세요. (매일 아침7시 뉴스레터 발행)

/* 경고: 이 글을 읽고 불법 행위를 한 경우, 그에 대한 책임은 당사자에 있음을 고지합니다. */

여기서 언급된 내용들은 외부에서는 절대 수행되어서는 안 될 것들이다. 그 당시의 우리 동아리와 헬스장 외에는 입주한 사람이 없었고, 우리가 생활하는 '동방'의 에어컨이었기에 수행했다.  음, 이러한 상황임에도 해서는 안되었지만 보안 윤리 의식이 낮았던 그 시절이었다. 물론 취약점은 담당자에게 전달하여 조치를 취하며 에피소드가 마무리 되었다.

이 글의 본문 중

 

📚 시리즈 몰아보기

 

0️⃣ 들어가기에 앞서서

현재, 나의 직업은 한 기업의 정보보안전문가(오글거리지만 매스컴에선 "화이트 해커"라 하더라...)이다. 나의 밥줄인 해킹과 관련된 에피소드를 떠올리며 그땐 그랬지 라는 느낌으로 글을 적어보고자 한다.

이번 에피소드 배경소개

  • 동아리방(이하 동방)은 새롭게 지어진 Engineering House에 위치함
  • Engineering House의 위치는 강의 듣는 캠퍼스와 떨어진 다른 캠퍼스에 위치함
  • 입주한 호실은 지하에 있는 헬스장과 우리 동아리뿐이었음
  • 1N년 전에 있었던 에피소드임

 

1️⃣ 더운 것은 싫어

무더운 동방

때는 여름이었다. 강의가 있던 A캠퍼스에서 수업을 다 듣고 평소와 같이 B캠퍼스에 위치한 동방에 갔다. 그 날, 동방의 문을 처음 연 것은 나였는데 뜨거운 열기가 뿜어져 나왔다. 동방에는 24시간동안 꺼져서는 안되는 동아리 서버도 있었고, 다른 동아리원들이 전 날에 두고 간 노트북들, 그리고 켜져있는 모니터들. 열기가 없을래야 없을 수 없는 환경이 되어 있었다.

동방에 도착한 나는 너무 더워서 바로 에어컨을 켰고 시원해지기를 기다렸다. 다행히 몇 분도 지나지 않아서 동방은 시원해졌다. 시원해질 때까지 몇 분이 걸리진 않더라도 한 여름에 그시간은 인내하기 힘든 시간일 수 밖에 없다. 그와 동시에 든 생각은 '동방 도착하기 5분전에 누가 켜주면 좋겠네'


동방에 도착하기 전에 에어컨을 켤 수는 없을까?

동방에서 사용하는 에어컨은 Engineering House 건물에서 제어하는 시스템 에어컨이었다. 이 제품은 XX회사 제품이었으며 구글에서 관련 설명서를 찾아봤다. 각 호실에 있는 에어컨은 중앙 서버와 연결이 되어 있으며, 관리자는 에어컨 제어를 위한 관리 사이트에 로그인을 하여 제어를 할 수 있는 구조이다. 이 사이트만 접근할 수 있다면 동방에 도착하기전에 에어컨을 켤 수 있을 듯 했다.

이 사이트를 찾기 위해 동아리방의 IP대역을 기준으로 Port Scan을 수행했다. 보통 하나의 건물에 할당되는 IP 범위가 있고, 그 IP대역은 현재 동방에서 사용하는 IP와 멀리 떨어져있지 않다. (예시: 동방의 IP가 x.x.x.3이면 x.x.x.1 ~ x.x.x.255 범위가 한 건물에서 사용하는 IP대역임)

나는 이 대역중 하나에 에어컨 제어가 있다고 생각했다. 또한 모든 포트(port)에 대한 스캐닝은 하지 않았고 웹 사이트를 찾기위해 80(http)과 443(https)만 스캔을 했다. 다행히 스캔 대역이 넓지 않아서 80번 포트를 오픈한 IP를 몇 개 찾을 수 있었다. 우리 동아리의 사이트는 물론 보였고, Engineering House 사이트, 마지막으로 에어컨 제어 사이트를 발견했다.

 

3️⃣ '아니, 이게 된다고?', 없을 줄 알았던 취약점

멤버십 구독자만 읽을 수 있어요

가입하시려면 아래를 클릭해주세요

댓글

의견을 남겨주세요

확인
의견이 있으신가요? 제일 먼저 댓글을 달아보세요 !

다른 뉴스레터

취업의 의미는 뭘까요?의 썸네일 이미지

취업의 의미는 뭘까요?

안녕하세요. 구독자님.

👨🏻‍💻 블로그

| 멤버십
2024.11.23
조회 324 | 0
Meta 직원은 이런 방식으로 질문을 하더군요.의 썸네일 이미지

Meta 직원은 이런 방식으로 질문을 하더군요.

오늘은 Meta Korea에 방문을 한 후기를 들려드릴게요. Meta측에서 저에게 크리에이터로써의 방문을 요청하였고, 저는 혼쾌히 수락하여 다녀왔었습니다.

👨🏻‍💻 블로그

| 멤버십
2024.09.15
조회 425 | 0
#5. POS기를 해킹했습니다.  | 고인물의 회상의 썸네일 이미지

#5. POS기를 해킹했습니다. | 고인물의 회상

현재, 나의 직업은 한 기업의 정보보안전문가(오글거리지만 매스컴에선 "화이트 해커"라 하더라...)이다. 나의 밥줄인 해킹과 관련된 에피소드를 떠올리며 그땐 그랬지 라는 느낌으로 글을 적어보고자 한다.

👨🏻‍💻 블로그

| 멤버십
2024.08.18
조회 429 | 0
🎉 %name%님 덕에 7개월만에 500명의 구독자가 생겼습니다. 🎉의 썸네일 이미지

🎉 구독자님 덕에 7개월만에 500명의 구독자가 생겼습니다. 🎉

500명 달성을 축하하며, 이번주 멤버십 레터는 뉴스레터 회고 및 앞으로의 횡보를 공유드려볼게요.

👨🏻‍💻 블로그

2024.08.10
조회 346 | 0
[에세이] 정당한 인사이동인가, 권리남용인가 (with 객관적 분석)의 썸네일 이미지

[에세이] 정당한 인사이동인가, 권리남용인가 (with 객관적 분석)

올바른 인사이동인가? 권리남용에 의한 인사이동인가?

👨🏻‍💻 블로그

| 멤버십
2024.08.25
조회 362 | 0
'나'라면 뉴스레터를 이렇게 활용한다.의 썸네일 이미지

'나'라면 뉴스레터를 이렇게 활용한다.

Hello.Stranger에서 발행하는 뉴스레터를 극대화로 활용할 수 있는 방법을 안내드리려고 해요.

👨🏻‍💻 블로그

2024.07.08
조회 478 | 0
© 2024 Hello.Stranger

🛸 해외 IT 트렌드를 가장 먼저 만나보세요. (매일 아침7시 뉴스레터 발행)

뉴스레터 문의hello.stranger1337@gmail.com

메일리 로고

자주 묻는 질문 서비스 소개서 오류 및 기능 관련 제보

서비스 이용 문의admin@team.maily.so

메일리 사업자 정보

메일리 (대표자: 이한결) | 사업자번호: 717-47-00705 | 서울 서초구 강남대로53길 8, 8층 11-7호

이용약관 | 개인정보처리방침 | 정기결제 이용약관 | 라이선스