이 프로그램은 2000년 6월, 대학교 교수 이메일 도청 사건 및 기업 내부 통신 감청 사건이 사회적으로 문제화됨에 따라 영구 배포 중지되었습니다.
개요
PhantomTunnel은 네트워크 위의 유령입니다. 같은 네트워크에 연결된 모든 컴퓨터의 모든 통신을 투명하게 가로챕니다. 피해자는 자신의 통신이 감청되고 있다는 사실을 절대 알 수 없습니다.
1998년 당시, ARP 스푸핑과 패킷 스니핑은 별도의 도구를 조합해야 하는 복잡한 작업이었습니다. PhantomTunnel은 ARP 스푸핑, 패킷 캡처, 프로토콜 파싱, 세션 하이재킹을 하나의 도구로 통합했습니다.
핵심 기능
자동 ARP 스푸핑
네트워크의 게이트웨이를 사칭하여 모든 트래픽을 자신을 경유하도록 만듭니다. 네트워크에 연결하고 버튼 하나만 누르면 됩니다. 피해자의 인터넷 속도 저하 없이 완벽하게 투명하게 동작합니다.
실시간 프로토콜 파싱
가로챈 트래픽을 실시간으로 분석합니다:
- HTTP — URL, 쿠키, 폼 데이터, 로그인 정보 자동 추출
- FTP/Telnet — 아이디/비밀번호 평문 캡처
- POP3/SMTP — 이메일 내용 실시간 열람
- IRC/ICQ — 채팅 내용 실시간 감시
- PC통신 — 하이텔/나우누리/천리안 통신 프로토콜 파싱
세션 하이재킹
가장 위험한 기능입니다. 피해자가 이미 로그인한 세션을 그대로 탈취합니다. 비밀번호를 크래킹할 필요가 없습니다 — 이미 인증된 세션 쿠키를 가로채서 피해자인 척 서버에 접속합니다. 웹메일, 게시판, 쇼핑몰 등 모든 웹 서비스의 로그인 상태를 탈취할 수 있었습니다.
실시간 대시보드
감청 중인 모든 활동을 한눈에 볼 수 있는 GUI 대시보드를 제공합니다:
- 네트워크 내 모든 PC 목록과 활동 상태
- 실시간 웹 브라우징 기록
- 캡처된 로그인 정보 목록
- 이메일 내용 뷰어
- 채팅 내용 실시간 스트림
파급력
대학교 전산실의 악몽
당시 대학교 전산실은 허브(Hub)를 사용하고 있어 ARP 스푸핑조차 필요 없이 모든 트래픽을 캡처할 수 있었습니다. PhantomTunnel이 전산실에 설치되면, 그 네트워크를 사용하는 모든 교수, 학생, 직원의 통신이 감청되었습니다.
PC방의 공포
PC방의 모든 PC는 같은 네트워크에 있었습니다. PhantomTunnel 하나면 PC방 전체 이용자의 게임 계정, 이메일, 채팅 내용을 실시간으로 볼 수 있었습니다.
배포 중지
2000년 초, 한 대학교에서 교수의 이메일이 수개월간 도청된 사건이 발견되었습니다. 조사 결과 PhantomTunnel이 사용된 것으로 확인되었습니다. 이어서 중견 기업의 내부 통신이 감청된 사건도 드러났습니다. 네트워크 감청의 용이성이 사회적 공포로 이어졌습니다.
- 전체 소스코드 삭제
- ARP 스푸핑 모듈 삭제
- 프로토콜 파서 라이브러리 삭제
- 배포 서버 폐쇄
- 네트워크 감청 도구 개발 영구 중단
"같은 네트워크에 있다는 것만으로 모든 것이 노출된다. 이 사실을 세상이 알아야 한다고 생각했다. 하지만 세상은 알고 나서 두려워했을 뿐, 대비하지 않았다."
기술 사양
| 개발 언어 | C (WinPcap/libpcap) |
| 소스코드 | 20,000줄, 프로토콜 파서 포함 (현재 삭제) |
| 핵심 기술 | ARP 스푸핑, 패킷 스니핑, 프로토콜 파싱, 세션 하이재킹 |
| 지원 프로토콜 | HTTP, FTP, Telnet, POP3, SMTP, IRC, ICQ, PC통신 |
| 지원 OS | Windows 98 / NT 4.0 / 2000 |
| 실행 파일 크기 | 스니퍼 380KB |
| 개발 기간 | 1998년 9월 ~ 2000년 4월 |
| 최종 상태 | 영구 배포 중지 · 소스 삭제 (2000년 6월) |