V3(국내용 백신) 회피법 주문…이러고도 대북용?
이탈리아의 해킹 전문 IT업체 ‘해킹 팀(Hacking Team)’이 국정원에 판매한 것으로 알려진 해킹 툴은 RCS(Remote Control System)라는 것이다. 버전에 따라 ‘갈릴레오’ ‘다빈치’ 등의 별칭이 붙는다. RCS는 일종의 도·감청 프로그램(일명 스파이웨어)이다. 만약 침투에 성공한다면, 사용자가 PC나 스마트폰으로 무엇을 하고 있는지 실시간으로 알 수 있다. 스마트폰의 경우, 연락처와 위치정보, 통화 목록을 빼가거나 카메라 활성화도 가능하다.
무엇보다 RCS는 기존의 PC는 물론 스마트폰을 타깃화 한다는 것이 특징이다. 스마트폰 보급이 급증하면서 온라인 접속 수단으로 모바일이 일상화됐기 때문으로 보인다. 그렇다면, 기존의 PC와 스마트폰의 해킹은 뭐가 다를까. 익명을 요구한 보안 전문가의 설명이다.
“기본적 원리는 똑같다. 넓게 보자면 해킹은 두 가지 방식으로 이뤄진다. 일반적으로 망을 통해 특정 PC에 명령어가 담긴 악성코드를 침투시킨다. 이것이 내부에서 활성화되면 실시간으로 PC 내부의 정보를 해커에게 보내는 것이 기본 아니겠나. 두 번째는 PC와 연결된 라우터(네트워크 중계 장치)를 점령해 여기서 오가는 정보를 중간에 가로채는 방식이다. 통신 3사의 지망과 곧장 연결돼 있는 스마트폰의 경우, 공유기에 연결하지 않는 이상 라우터 점령을 통한 해킹(일명 네트워크 스니핑)은 쉽지 않다.”
이 때문에 스마트폰의 해킹 방식으로 가장 대표적으로 활용되는 것이 특정 애플리케이션(앱)에 악성코드를 묻혀 사용자에 접근하는 것이다. 이번 사건에서도 국정원이 몇몇 무료배포 앱에 악성코드를 묻혀 유통했다는 의혹이 제기되고 있다.
앞서의 전문가는 “일반적인 스파이웨어도 마찬가지지만, 대부분 사용자가 의식하지 못하는 상황 속에서 악성코드에 감염된다”라며 “예를 들어 손전등 앱이나 다이어리 앱 등 누구나 한 번쯤 받아볼 만한 손쉽고 유용한 앱을 통해 감염되는 경우가 많다. 지금 국정원 관계자들을 통해 유통된 것으로 추측되는 몇몇 문제의 앱들 역시 비슷한 사례라고 볼 수 있다”라고 지적했다.
물론 이렇게 불특정 다수의 감염이 아닌, 실제 특정인들을 타깃으로 할 경우 침투 전략은 수정된다. 만약 국정원이 민간인 사찰을 목적으로 특정인의 스마트폰에 접근하고자 한다면, 적절한 위장과 전략이 필요하다는 것.
국정원이 해킹 프로그램으로 민간인 사찰을 했다는 의혹이 확산되는 가운데 이병호 국가정보원장이 14일 국회 정보위원회 전체회의에 참석한 모습. 박은숙 기자 espark@ilyo.co.kr
앞서의 전문가는 이에 대해 “앱이나 위장메일을 통해 특정인의 스마트폰에 접근하는 것은 결코 어려운 일이 아니다”라며 “예를 들어 한 대학교 소속의 교수라고 한다면, 해당 학교 앱이 반드시 깔렸을 것이다. 해당 앱은 계속 업그레이드된다. 이 때 만약 앱의 패치에 악성코드를 묻힌다면, 해당 인사의 스마트폰은 감염될 수밖에 없다. 방법은 짜기 나름”이라고 덧붙였다.
한편, 국정원은 해킹팀에 ‘갤럭시S 시리즈’와 ‘카카오톡’의 해킹 가능 여부에 대해 문의한 것으로 드러나 국내 민간 사찰 의혹을 더욱 부추기고 있다. 갤럭시S와 카카오톡은 두말할 나위 없이 우리 국민이 가장 많이 사용하는 기종이고 메신저다. 앞서의 전문가는 특히 갤럭시S를 거론한 것에 대해 한 가지 의문을 제기했다.
“갤럭시S는 기본적으로 안드로이드를 기반으로 하는 기종 중 하나에 불과하다. 특정 기종을 거론한 것에 약간의 의문이 남는다. 혹시 특정 기종에만 깔려있는 앱의 취약점을 분석하고자 시도한 것은 아닌지 심히 의심스럽다. 만약 이 앱의 취약점을 파악해 패치에 악성코드를 묻힌다면, 해당 기종 사용자들은 이를 통해 감염될 수 있다. 과거 농협 해킹 사건 당시에도, 농협 뱅킹 가입자들은 패치를 통해 감염된 바 있다.”
그는 카카오톡의 데이터 해킹 가능성에 대해서 “그것은 정말 쉬운 일이다”라며 “앱이 스마트폰에 다운로드 될 때 사용자가 개입하지 않는 이상 꼭 특정한 위치에만 깔린다. 카카오톡 역시 그렇다. 특정 데이터를 가져오는 것은 그 위치를 찾아내 접근하는 것이다. 만약 악성코드가 활성화돼 특정 위치의 로그를 찾아내 가져온다면 이는 어려운 일이 아니다”라고 설명했다. 또한 이 전문가는 해킹팀이 V3 백신의 회신을 요구했다는 것에 더욱 주목했다.
“국내에서 주로 사용하는 기종과 메신저가 언급됐다는 것도 의심스럽지만, 해킹 팀이 V3백신의 회신을 요구했다는 것이 결정적이다. 해커들이 특정 국가의 해킹을 의뢰받았을 때, 가장 먼저 하는 것이 해당 국가 백신을 연구하고 실험하는 것이다. 이를 통해 취약점 분석이 끝난다면 여러 방법과 경로를 고민해 침투에 들어간다. 해당 툴의 사용 용도가 대북용이란 국정원의 주장은 설득력이 떨어진다.”
한병관 기자 wlimodu@ilyo.co.kr
| ‘국정원 구매’ 드러난 까닭 구입 방법·경로 ‘허술’ 이번에 국정원이 RCS를 구입한 사실이 드러난 계기는 이를 제공한 ‘해킹 팀’이 역으로 해킹을 당해 관련 자료가 만천하에 공개됐기 때문이다. 해당 자료에는 RCS를 구입한 최종 사용자가 5163부대(국정원의 대외용 부대명)와 국정원의 사서함 정보가 고스란히 포함됐다. 
이와 관련해 전직 국정원 간부는 <일요신문>과의 통화에서 “대외용 부대명과 주소가 그대로 노출됐다고 들었다. 이는 참 어이없는 일”이라며 “예전에도 작전과 업무수행에 필요할 경우 외부에서 민감한 것들을 들여온 적이 있지만, 이렇게 정보가 유출된 적은 거의 없었다”라고 지적했다. 그러면서 그는 “보통 최종 사용자로서 우리(국정원)의 정체를 드러내지 않고, 군(기무사), 경찰(정보부서) 등 타 기관과 협조한다”라며 “민간 업체를 통해 거래할 때도, 최종 사용자는 우리가 아닌 타 기관이 되는 것이다. 이러한 안전장치를 하나 더 두는 것이 상식이었는데 이번 경우는 잘 이해가 가지 않는다”라고 덧붙였다. [한] |
| 해킹프로그램 구입 논란 까닭 민간인 사찰 시도 정황 포착 지난 7월 5일, 이탈리아 밀라노에 본부를 두고 있는 해킹 전문 IT업체 ‘해킹 팀(Hacking Team)’의 내부 정보가 역으로 외부의 해킹으로 인해 노출됐다. 누군가 해킹 팀 내부 서버로 침입해 모든 정보를 통째로 꺼내와 외부에 노출시켰던 것. 노출된 정보 중에는 해킹 툴의 소스코드는 물론 고객들과의 거래 내용을 담은 자료까지 있었다. 해킹 팀의 고객들 중에는 사우디아라비아, 레바논, 중국, 러시아 등 이미 사찰 의혹이 번져 있던 정치 후진국들과 개발도상국들이 명단에 올랐다. 그런데 여기 한국의 국정원도 당당히 이름을 올렸던 것. 유출된 자료에는 국정원(나나테크 경유)과 해킹 팀 간 주고받은 이메일이 포함돼 있는데, 이미 지난 2010년부터 해킹 툴 구입을 타진했던 것으로 밝혀졌다. 하여 오랜 논의 끝에 지난 2012년 1월 국정원은 처음 해킹 툴 RCS를 구입한 것으로 드러났다. 물론 국정원은 지난 14일 이병호 국정원장이 직접 나서, 공식적으로 RCS 사용 용도를 두고 ‘대북용’ ‘연구용’으로 한정했다. 그러나 국정원과 해킹 팀과의 오간 메일에는 한국에서 주로 사용하는 ‘갤럭시S’의 분석을 의뢰했으며, ‘카카오톡’의 해킹 가능 여부를 묻기도 했다. 여기에 안랩이 개발한 국내 1위 컴퓨터 백신 ‘V3’에 대한 분석을 의뢰하기도 했다. 이를 방증하듯, 현재 국정원 관계자로 추정되는 인물들이 위장 메일과 악성 코드를 묻힌 무료 앱 배포를 통해 민간 사찰을 시도한 정황이 하나둘 포착되고 있다. [한] |