국정원 해킹 사태 해결을 위한 토론 및 백신 프로그램 발표회 개최

 

• 일시: 2015년 7월 30일(목) 오전 10시
• 장소: 국회 의원회관 제1소회의실
• 주최: 사단법인 오픈넷, 이종걸 의원실

 

취지

국민의 세금으로 운영되는 국가기관인 국가정보원이 스파이웨어를 구매하여 민간인을 사찰했다는 의혹이 해소되지 않고 있습니다. 더구나 국정원의 감시감청은 영장, 대통령 허가,설비도입 보고 등의 절차를 무시하여 통신비밀보호법과 정보통신망법을 위반했다는 비판도 받고 있습니다. 절차 규정을 준수했다 하더라도 개인의 정보기기에 대한 통제권을 잠탈하는 해킹까지 헌법상 허용되는지에 대한 의문이 제기되고 있습니다. 이번 토론회는 이탈리아 해킹팀 자료 유출로 드러난 국정원의 해킹식 감시·감청에 대한 전반적인 법률 문제와 해결 방안을 살펴보고, 해외 민간인 사찰 사례 소개, RCS가 어떻게 작동하여 민간인 사찰에 악용되는지, 이에 대해 외국 특히 유럽연합에서는 어떤 대응을 하고 있는지도 살펴보고자 합니다.

국정원이 배포한 스파이웨어에 감염된 불특정 다수의 국민들은 국정원이나 해킹팀이 아니더라도 제3자에게 사어버 공격을 당할 위험에 놓이게 됩니다. 하지만 국내 백신 업체들은 아무런 대응도 하지 않고 있습니다. 이에 시민들이 자발적으로 참여하는 ‘국민 백신 프로젝트’가 발족하였습니다. 이를 통해 개발한 백신 프로그램의 베타버전을 공개하고 향후 계획에 대해 발표하는 자리를 갖고자 합니다.

 

순서

• 개회사 및 전체 진행: 남희섭((사)오픈넷 이사)

[제1 세션] 국가기관의 해킹툴 사용의 위법성과 해결 방안(60분)

• 좌장: 이종걸 의원(새정치민주연합 원내대표)
• 발제 1 – 심우민 박사(국회 입법조사처 입법조사관): 국정원의 RCS 사찰과 불법성 검토
• 발제 2 – 박경신 교수(고려대 법학전문대학원, (사)오픈넷 이사): 외국 감청감시의 한계 및 감청감시 입법 제안
• 토론 1 – 김지미 변호사(민주사회를 위한 변호사모임 사무차장): 국정원 어떻게 할 것인가?
• 토론 2 – 국회의원 1인: 국정원의 국민 해킹에 대한 국회의 대응 방안

[제2 세션] 오픈 백신 프로그램 베타버전 발표(30분)

• 취지 설명 및 향후 계획: 남희섭((사)오픈넷 이사)
• RCS 작동원리 및 오픈 백신 프로그램 내용 소개: 개발자(익명)

[제3 세션] 이탈리아 해킹팀의 민간인 사찰 사례 및 외국의 대응(30분)

• RCS의 해외 민간인 사찰 사례: 전자개척자재단(EFF), 시티즌랩(섭외 중)
• 외국의 대응: 이탈리아 의원 또는 유럽의회 의원(섭외 중)
• 종합토론 및 질의응답(30분)

 

국가정보원의 국민해킹에 대한 국민고발단에 참여하실 분들은 아래의 주소를 클릭하세요. 

http://bit.ly/Nis-Stop-Hacking

□ 2015. 7. 5. 누군가가 이탈리아 해킹 팀(Hacking Team)(이하 “해킹 팀”이라고만 하겠습니다)의 내부자료를 해킹을 통해 확보한 후 인터넷에 공개를 하였습니다. 이 내부자료에는 ‘RCS(Remote Control System)’(이하 “RCS”라고만 하겠습니다)의 소스코드를 비롯하여 RCS를 구매한 나라와 구체적인 구매내역 등이 담겨있었습니다. 그런데 이 내부자료에는 우리나라 정보수사기관인 국가정보원(이하 “국정원”이라고만 하겠습니다)도 해킹 팀의 고객이었고, 실제로 RCS를 구입 및 사용한 것으로 볼 수 있는 자료들도 포함되어 있었습니다. 이에 “1. 국정원은 주식회사 나나테크를 통해 휴대폰과 컴퓨터 등을 감청하는 것을 넘어서서 해킹할 수 있는 RCS를 아무런 통보절차 없이 도입하였다. 2. 국정원은 이렇게 도입한 RCS를 내국인을 대상으로 사용하였다.”는 의혹들이 제기되고 있습니다.

□ 위와 같은 의혹이 제기되자 국정원은 지난 14일 "2012년 1월과 7월, 이탈리아 해킹 팀으로부터 총 20명분의 RCS를 구입하였으나 이는 연구용 혹은 해외에서 필요한 대상에 사용할 목적이었다."고 해명했습니다. 그러나 해킹 팀으로부터 유출된 위 자료들을 분석한 언론보도 내용을 보면 국정원의 해명은 사실과 다르다고 보입니다. 그 구체적인 이유는 아래와 같습니다.

○ 첫째, 국정원은 국내 최대 이용자수를 자랑하는 메신져인 카카오톡을 해킹하길 강력하고 지속적으로 원했습니다. 실제로 2014년 3월 해킹 팀 내부 메일에는 “한국에서 가장 일반적으로 사용되는 카카오톡에 대한 (해킹 기능 개발) 진행 상황에 대해 물었다.”는 대목이 나옵니다.

○ 둘째, 국정원은 스마트폰의 “국내용 모델”의 해킹에 초점을 맞췄습니다. 2013년 2월 갤럭시S3의 국내용 모델을 구입하여 이탈리아에 보내 ‘몰래 음성녹음하는 것이 가능한지’ 살펴달라고 주문한 것입니다. 외국에서 출시된 모델은 기본 애플리케이션이 국내용과 다르기에 국내 핸드폰 사용자를 전제로 한 맞춤용 해킹을 주문한 것으로 볼 수 있습니다. 이뿐만 아니라 국정원은 갤럭시 핸드폰의 최신형 모델이 나올 때마다 이를 해킹하기 위한 업그레이드를 요청했습니다. 이 역시 국내 핸드폰 사용자를 대상으로 했음을 알 수 있게 해줍니다.

○ 셋째, 국정원은 국내에서 사용되는 대표적인 백신프로그램인 안랩의 ‘V3 모바일 2.0’과 같은 백신을 회피하기 위한 방법도 물었습니다. 이 역시 국내의 사람을 대상으로 한 해킹을 준비해왔다고 볼 수 있게 하는 대목입니다.

○ 넷째, 지방선거를 앞두고 안드로이드 스마트폰 공격을 요청했습니다. 지방선거를 석 달 앞둔 2014년 3월께 오간 해킹 팀의 ‘출장 보고서’를 보면, “그들(국정원)의 주된 관심사는 원격의 안드로이드, 아이폰에 대한 공격”이며 “특히 6월에 안드로이드 공격을 이용하길 원한다.”고 적고 있습니다. 이것 또한 국내사용을 전제로 한 것이라 볼 수 있습니다.

○ 다섯째, ‘서울대 공대 동창회 명부’라는 제목의 워드 파일, <미디어오늘> 기자를 사칭한 천안함 보도 관련 문의 워드 파일에 악성코드를 심어달라고 요청하기도 한 것으로 밝혀졌습니다. 천안함 관련 연구진, 서울대 출신 고위관계자 등이 감시 대상자였을 가능성이 제기되는 것입니다.

○ 여섯째, 국정원이 해킹 팀 쪽에 ‘악성 코드를 심어 달라’며 보낸 설치 파일 링크를 살펴보면 △네이버 맛집 소개 블로그 △벚꽃축제를 다룬 블로그 △삼성 업데이트 사이트를 미끼로 내건 주소가 나옵니다. 하나같이 “국내”의 일반인들이 흔히 누를 법한 링크들입니다. 어떤 외국인들이 이를 외국에서 누르겠습니까?

□ 따라서 국정원이 국민들을 대상으로 해킹하였을 것이라는 의혹은 사라지지 않고 있습니다. 이러한 의혹이 사실이라면 RCS를 최초로 구입한 것으로 알려지고 있는 원세훈 전 국정원장을 비롯하여 현재 국정원장인 이병호까지의 전․현직 국정원장들, 그리고 위 각 국정원장 밑에서 RCS를 구입하고 사용하여 왔을 국정원 직원들에게는 아래와 같은 범죄혐의가 적용될 수 있습니다.

 

1. RCS를 구입하여 도입한 행위

- 통신비밀보호법(이하 “통비법”) 제10조의2 제2항: 국회 정보위원회에 대한 통보의무 위반

2. RCS를 감염시켜 감청하거나 저장되어 있는 정보를 훔쳐 본 행위

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 “정통망법”) 제48조 제2항 : 악성프로그램(RCS)의 전달 또는 유포

- 정통망법 제48조 제1항 : 정당한 접근권한 없이 정보통신망에 침입

- 정통망법 제49조 : 타인의 비밀침해

- 통비법 제7조 제1항 : 감청을 하려는 경우 고등법원 수석부장판사의 허가 혹은 대통령의 승인을 얻을 의무 위반

 

□ 그런데 검찰 등 이를 조사하고 밝혀야 하는 국가기관들은 강 건너 불구경하듯이 이 상황을 관망하고 있을 뿐입니다. 그 사이에 관계자는 외국으로 출국을 하고, 담당자는 자신의 행적을 알 수 있게 하는 자료를 삭제하고 있는데 말입니다. 조속한 수사가 이루어져 이후 진실을 규명하고 책임자를 처벌할 수 있는 증거들이 확보될 필요가 있습니다. 그렇기에 저희들은 국민고발단을 모집하여 국정원의 국민해킹에 대해 고발을 진행하려고 하는 것입니다.

□ 이번 고발은 단순히 국정원의 RCS 구매와 사용에 대한 수사를 촉구하는 것만이 아닌 ‘국정원 시대’를 극복하여 우리사회가 보다 민주적인 방향으로 나아가게 하는 계기가 되어야 할 것입니다. 끝이 아니라 국정원 개혁까지 이르는 시작이 되어야 할 것입니다.

□ 이것이 보다 많은 국민이 이에 참여해주시기를 바라는 이유입니다. 많은 국민들이 깨어 있고, 지금의 사태를 지켜보고 있으며, 절실히 민주주의를 바란다는 것을 보여주어야 합니다. 그것만이 가만히 있는 검찰, 눈치 보는 검찰을 조금이라도 움직이게 할 것이고, 진상을 드러나게 할 것이기 때문입니다. 다시 한 번 많은 참여 부탁드립니다.

* 아래 '공감' 버튼, 페이스북 좋아요 한번씩 눌러주시면 

더 많은 분들께 이 소식을 전할 수 있습니다. ^^

국정원 해킹 사태 해결을 위한 토론 및 백신 프로그램 발표회

 

국민의 세금으로 운영되는 국가기관인 국가정보원이 스파이웨어를 구매하여 민간인을 사찰했다는 의혹이 해소되지 않고 있습니다.

이에 이탈리아 해킹팀 자료 유출로 드러난 국정원의 해킹식 감시·감청에 대한 전반적인 법률문제와 해결 방안, 해외 민간인 사찰 사례 소개, RCS의 민간인 사찰 악용사례, 이에 대한 외국(유럽연합)의 대응 등을 살펴보고자 합니다.

또한 국정원이 배포한 스파이웨어에 감염된 불특정 다수의 국민들은 국정원이나 해킹팀이 아니더라도 제3자에게 사이버 공격을 당할 위험에 놓이게 됩니다. 이에 시민들이 자발적으로 참여한 ‘국민 백신 프로젝트’를 통해 개발된 백신 프로그램의 베타버전을 공개하고 향후 계획을 발표합니다.

 

• 일시: 2015년 7월 30일(목) 오전 10시
• 장소: 국회 의원회관 제1소회의실
• 주최: 사단법인 오픈넷, 국회의원 이종걸

 

순서

• 개회사 및 전체 진행: 남희섭((사)오픈넷 이사)
• 축사: 안철수 의원

[제1 세션] 국가기관의 해킹툴 사용의 위법성과 해결 방안

• 좌장: 이종걸 의원(새정치민주연합 원내대표)
• 발제 1 – 심우민 박사(국회 입법조사처 입법조사관): 국정원의 RCS 사찰과 불법성 검토
• 발제 2 – 박경신 교수(고려대 법학전문대학원, (사)오픈넷 이사): 외국 감청감시의 한계 및 감청감시 입법 제안
• 토론 1 – 김지미 변호사(민주사회를 위한 변호사모임 사무차장): 국정원 어떻게 할 것인가?
• 토론 2 – 신경민 의원: 국정원의 국민 해킹에 대한 국회의 대응 방안

[제2 세션] 오픈 백신 프로그램 베타버전 발표

• 취지 설명 및 향후 계획: 남희섭((사)오픈넷 이사)
• RCS 작동원리 및 오픈 백신 프로그램 내용 소개: 오픈 백신 개발자

[제3 세션] 이탈리아 해킹팀의 스파이웨어를 이용한 민간인 사찰 해외 사례 및 국제사회의 대응

• 해킹 툴을 이용한 해외 민간인 사찰 사례 및 국제시민사회의 대응: Nate Cardozo 전자개척자재단(EFF)
• 해킹팀 스파이웨어 분석 결과 및 해외 민간인 사찰 사례: Bill Marczak 시티즌랩(Citizen Lab)
• 외국의 대응: 이탈리아 의원 또는 유럽의회 의원 (섭외 중)
• 종합토론 및 질의응답

※ 제3세션은 참여자 섭외 결과에 따라 변동될 수 있습니다.

 

문의: 오픈넷 사무국 02-581-1643, [email protected]

 

뉴스프로, 해킹팀 추적해 온 ‘시티즌 랩’ 연구원 빌 마크잭과 인터뷰– TNI와 연결된 네트워크에 있는 모든 대상이 공격 목표 될 수 있어– TNI를 사용해 주입한 스파이웨어, 원격조정으로 흔적 없이 해킹 가능– 실전 암시하는 스파이웨어 일지에서 한국 IP 주소 확인, 실제 타겟 존재 가능성 시사해– ‘시티즌 랩’ 국정원의 스파이웨어 및 TNI 사용 증거 계속 추적할 것 빌 ...

빌 마크잭, 국정원의 실제 타겟 아이피 주소와 감염 시간 폭로 – 18개의 실제 타겟 중 3개만 감염 성공 (한국 2, 러시아 1) – 감염된 컴퓨터의 스파이웨어 원격으로 업그레이드 및 삭제 가능 출처: 한국일보 뉴스프로는 지난 28일 해킹팀을 연구해 온 캐나다의 ‘시티즌 랩’ 연구원 빌 마크잭과의 인터뷰 기사를 내보낸 바 있다. 마크잭은 인터뷰에서 지난 5월 혹은 ...

국정원이 민간인 해킹 의혹을 풀 핵심 열쇠인 로그파일 공개를 계속 거부하고 있는 가운데, 보안 전문가들은 국정원 RCS 로그파일이 이미 위변조되었을 가능성도 있다는 견해를 밝혔다. 이에 따라 완전한 의혹 해소를 위해서는 로그파일만이 아니라 국정원 RCS의 운영체제, 즉 하드디스크까지 객관적으로 분석해 원본 파일에 조작이 있었는지 여부를 검증할 필요성이 제기되고 있다.

‘로그파일 공개’는 ‘민간인 해킹 검증’의 핵심

국정원 해킹 의혹의 본질이 국내 민간인에 대한 해킹 여부라는 것은 주지의 사실이다. 이를 판가름할 핵심 정보는 국정원 RCS 서버에 담긴 로그기록 속에 들어 있다.

이미 해킹팀 유출 자료 가운데 지난 5월과 6월 중 국정원이 요청한 악성코드의 활동이 담긴 로그기록이 26건이 확인된 바 있는데, 악성코드의 활동 일시, 접속 아이피, 단말기 모델 및 기종, 설정 언어, 미끼 URL, 감염 성공 여부까지를 확인할 수 있는 형식이었다. 이 가운데 2건은 내국인 해킹이 의심되는 기록이다.

※ 관련 데이터 : 해킹팀 서버 국정원 로그기록

사태 초기 야당은 국정원에 이 로그파일을 제출하라고 요구했다. 대국민 해킹이라는 휘발성 높은 의혹이 일었던 만큼 여당 역시 최대한 국정원이 자료를 공개하도록 협조하겠다는 입장이었다.

그러나 7월 18일 RCS 운영팀의 일원이었던 국정원 임 모 과장이 유서에 ‘일부 자료를 삭제했다’고 밝히며 스스로 목숨을 끊으면서 분위기가 바뀌었다. 야당이 자살 배경과 경위에 대한 석연치 않은 정황들을 이유로 공세를 강화하자 여당은 입장을 바꾼다. 로그파일 공개는 국가 기밀을 유출하라는 것이고 국가 안보를 무장해제하라는 것이어서, 북한만 이롭게 하는 행위라는 논리로 맞공세를 시작한 것이다.

7월 27일 국정원은 임 과장이 삭제한 자료를 10일 만에 모두 복원했다며 국회 정보위원들에게 보고한다. 모두 51건의 해킹 시도 기록 가운데 대북·대테러 용의자를 대상으로 10건은 성공, 10건은 실패한 자료였으며, 나머지 31건은 내부 실험용 기록이었다는 것이다. 그러면서 이병호 국정원장은 자신의 직을 걸고 국내 사찰은 없었다고 강변했다. 그러나 야당은 국정원이 이른바 ‘셀프 검증’으로 ‘셀프 면죄부’를 발부하고 있다며, 객관적이고 세부적인 자료 제출 없이는 믿을 수 없다고 반발했다.

보안 전문가들의 견해는? “로그파일 이미 위변조됐을 수도”

국정원 해킹 의혹을 둘러싼 이 같은 여야 간 대치 정국을 국내외 보안 전문가들은 어떻게 바라보고 있을까. 뉴스타파가 접촉한 전문가들은 하나같이 의혹을 말끔히 해소하기 위해 필요한 것은 정치적 공방이 아니라 냉정한 기술적 접근이라고 조언했다.

우선 이들은 임 과장의 자료 삭제 문제는 큰 틀에서 볼 때 중요치 않을 수도 있다는 점을 언급했다. 내국인 사찰 여부를 가를 핵심은 어차피 로그파일인데, 해킹팀 자료 유출 이후 이미 20일 이상 흐른 시점에서 임 과장이 아닌 다른 국정원 직원이 로그파일에 손을 댔어도 이상할 것이 없기 때문이라는 것이다.

이탈리아 해킹팀의 RCS가 전세계 21개국에서 활동하고 있음을 지난해 폭로했던 토론토대학 시티즌랩 연구원 빌 마크잭은 뉴스타파와의 화상 인터뷰에서 “로그파일은 기본적으로 텍스트 파일 형태이므로 누구라도 쉽게 편집과 삭제와 추가 등의 조작이 가능하다”며 “이런 조작이 있었는지를 디지털 포렌식 전문가조차 알 수 없게 수행하는 것도 얼마든지 가능하다”고 밝혔다.

익명을 요구한 한 국내 디지털 포렌식 전문가는 “디지털 포렌식에도 ‘골든타임’이 존재한다”면서 “해킹팀의 자료 유출 직후 국정원 RCS 서버에 담긴 로그파일을 곧바로 확보하지 않은 이상, 지금 와선 그 파일에 이미 어떤 조작이 가해졌는지를 판단하긴 어렵다”고 말했다.

이런 상태에서는 야당이 요구하는 로그파일이 공개된다 해도 의혹을 해소하기는커녕 되레 논란을 증폭시킬 수 있다는 견해도 있었다. 김진국 플레인비트 대표는 “디지털 자료는 위변조가 너무나 용이하다. 따라서 어떤 디지털 데이터의 ‘원본’이라는 것은 특정 시점에서 데이터의 특정 상태에 관해 이해 당사자 간의 상호 인정이 있을 때, 혹은 객관적 인증 절차(전자지문 등)가 있었을 때 성립하는 개념이다. 바꿔 말하면 이런 절차 없이 제시되는 디지털 자료는 이해 관계에 따라 ‘원본’이라고 주장할 수도 있고 아니라고 주장할 수도 있게 되는 것”이라고 설명했다. 즉 지금 당장 로그파일이 공개됐을 때 문제되는 내용이 없으면 여당은 ‘원본’으로 야당은 ‘조작본’으로 규정할 것이며, 문제되는 내용이 나오면 그 반대 주장이 펼쳐질 것이라는 의미다.

“로그파일 조작 여부 판단 위해 운영체제 전부 들여다 봐야”

전문가들은 이런 문제를 해결하기 위해선 로그파일만이 아니라 파일이 담겨 있던 국정원 RCS 서버의 운영체제를 모두 분석해 위변조 여부부터 판단해야 한다고 조언했다.

원리는 이렇다. 만약 누군가가 로그파일 일부를 변조했다면 파일을 열고, 내용을 수정하고, 저장하고, 파일을 닫는 일련의 과정을 거쳐야 하는데 각각의 단계마다 디지털 기호 형태의 흔적이 운영체제 어딘가에 남겨진다는 것이다. 혹은 파일을 열지 않은 채로 삭제하려면 이 기능을 수행하는 소프트웨어나 프로그램이 실행되어야 하는데 이 역시 운영체제 어딘가에 흔적을 남긴다. 이런 산재한 정보들을 모두 긁어모아 분석하면, 로그파일이 위변조되기 이전의 원 정보를 복원시킬 수는 없더라도 최소한 조작이 있었다는 사실은 확정할 수 있다는 것이다.

이 파일이 만약에 어떻게 수정이 되거나 사용자가 어떤 행위를 했다, 그러면 그 시스템, 우리가 윈도우즈 컴퓨터라고 하면 컴퓨터 자체, 서버면 서버 자체, 그 디스크 자체가 전체적으로 있으면 그 안에 있는 로그파일에 어떤 임의적인 조작을 가했다 안 했다(를 알 수 습니다.) 사실 이것도 시간이 지나면 밝혀내기가 어렵습니다. 그래도 어느 정도 파일 하나만 보고 판단하는 것보다는 신빙성 있게, 신뢰성 있게 판단할 수 있죠.
– 김진국 플레인비트 대표

포렌식 분석을 제대로 하기 위해선 해킹팀의 소프트웨어가 실행됐던 국정원 컴퓨터의 원본 하드 드라이브를 확보해야 합니다. 만약 국정원이 로그파일만을 제공한다면 그것의 조작 여부를 확인할 확실한 방법은 없다고 봐야 하고요.
– 빌 마크잭 토론토대학 시티즌랩 연구원

국정원, 국민 신뢰 회복할 마지막 기회 잡을 수 있을까

지난 29일 여야는 민간 추천 전문가와 국정원 기술진의 간담회 개최에 조건부 합의했다. 이때 야당은 국정원이 RCS 데이터가 담긴 하드디스크 원본 등 6개 자료가 제출되지 않으면 합의를 파기하겠다는 뜻을 밝혔다. 이는 디지털 보안과 포렌식 전문가들이 제시한 검증 방식의 틀에 부합하는 것이다.

마찬가지로 국정원도 민간인 사찰 의혹을 근본적으로 해소하는 데 필수인 디지털 증거를 제시하는 데 주력할 필요가 있다. 특히 국정원장 직을 걸겠다고 밝힐 정도로 자신이 있다면 전문가들이 인정하는 검증 방법을 마다할 이유가 없을 것이다. 그리고 그 결정은 빠를수록 좋다. 이미 대선 개입과 간첩 증거 조작으로 국민의 신뢰를 잃은 국정원이기에 더더욱 그렇다.

일 석간 후지, 국정원 해킹 “박근혜, 부메랑 맞아” – 박근혜, 노무현 정부 때 국정원 도청 앞장서서 비판 – 해킹 문제로 요동치는 한국 – 박근혜, 외교-경제에서 막다른 골목 봉착 박근혜는 자신이 하면 로맨스, 남이 하면 불륜이라는 태도로 국정운영에 임해 왔다. 이번 국정원 도·감청 스캔들도 마찬가지다. 일본 석간 후지는 이런 행태를 꼬집고 나섰다.후지는 28일 국정원이 시민들의 스마트폰을 ...

 

함께 고발합시다!
국가정보원의 해킹사찰에 대한 2차 국민고발단(단체) 모집

 

• 고발인 개인 참여 : http://bit.ly/Nis-Stop-Hacking
• 고발 단체 참여 : 참여연대 02)723-5302, 민변 02)522-7284

- 2차 마감 : 2015.8.12(수) 24:00 
- 2차 고발 : 2015.8.13(목) 11:30, 서울중앙지방검찰청
- 혐의 : “통신비밀보호법”, “정보통신망 이용촉진 및 정보보호 등에 관한 법률” 위반
- 고발인 : 국민고발단
- 피고발인 : 원세훈 전 원장부터 현재 국정원장까지 국정원의 국민해킹 책임자 및 실행자

 

함께 고발합시다!
국가정보원의 해킹사찰에 대한 2차 국민고발단(단체) 모집

 

• 고발인 개인 참여 : http://bit.ly/Nis-Stop-Hacking
• 고발 단체 참여 : 참여연대 02)723-5302, 민변 02)522-7284

- 2차 마감 : 2015.8.12(수) 24:00 
- 2차 고발 : 2015.8.13(목) 11:30, 서울중앙지방검찰청
- 혐의 : “통신비밀보호법”, “정보통신망 이용촉진 및 정보보호 등에 관한 법률” 위반
- 고발인 : 국민고발단
- 피고발인 : 원세훈 전 원장부터 현재 국정원장까지 국정원의 국민해킹 책임자 및 실행자

국정원에 제출 요구한 자료 목록

Ⅰ RCS 구매 관련
1. 구입 목적
2. RCS 구매 계약 내역 (라이센스, 계약서, 인보이스 포함)
3. 유사 프로그램 (Gamma Group의 FinFisher, NSO Group의 Pegasus 등) 구매 여부
4. RCS 외에 TNI, RAVS 구입 목적 및 경위
5. 도입 시점부터 현재까지의 예산 및 결산 자료
6. 라이센스 갱신 지연 사유

Ⅱ RCS 운용 관련
7. 테스트 시점부터 현재까지의 모든 로그 파일
8. 감청한 단말기 수 / 인원 수 (인적사항 포함)
9. 내부 운용 조직 구조, 인력의 수 및 각각의 직무
10. 감청 내역 및 조치사항
11. RSC 유사 프로그램 자체 R&D 내역
12. 국정원 조사현장에서 RCS 감청 시연
13. 운용 실무자 면담

Ⅲ 규정(법령) 관련
14. 도감청 장비 설치 신고서 및 신고사항
15. RCS 구입 및 운용을 국회 정보위원회에 신고하지 않은 사유
16. RCS를 운용하면서 받은 대통령 또는 법원의 감청 영장 개수 및 내역
17. 국정원의 도감청 관련 내부 관리규약 (매뉴얼), 주요시스템의 접근권한 내부 매뉴얼
18. 직원일동 명의로 성명을 낸 행위에 대해 공무원의 집단행위를 금지한 국가공무원법 66조 위반, 정치관여가 금지된 국가정보원법 9조 위반 여부

Ⅳ 나나테크 관련
19. 국가정보원과 나나테크가 접촉하게 된 경위
20. 나나테크를 통해 RCS를 구입한 경위
21. 나나테크 제품 납품내역

Ⅴ 배포 관련
22. Exploit 유포 URL 목록 및 해당 URL을 클릭한 관련 로그 (클릭 수, 클릭한 단말의 IP address 등 상세 단말 정보)
23. Exploit 배포서버 정보 (IP address, Domain 등)
24. Devilangel1004 이메일 내역 및 계좌이체 내역

Ⅵ 사망한 직원 관련
25. 사망한 국정원 직원이 삭제/수정한 파일 목록 및 상세 복구 내역
26. 사망한 직원에 대한 내부 감찰 보고서 (진술서 포함)
27. 사망한 직원이 유서에서 언급한 대테러 대북 자료의 의미 및 삭제방법, 목적

Ⅶ 국정원 프로세스 관련
28. 해킹팀과 국정원이 주고받은 메일 일체
29. 국정원 예산 품의서
30. 새누리당 특정 의원에게만 보고하는 국정원 정보원 및 보고 내용 일체

국정원 해킹 잡아내는 “오픈 백신”(안드로이드용) 일반 배포 시작

 

- 국민 누구나 참여하고 후원하는 개방형 모델, 소셜펀치로 진행

- 구글 스토어에서 누구나 설치 가능

- 향후 윈도우, 맥 용 등 확대 예정

 

(사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는 2015년 8월 8일, 안드로이드용 “오픈 백신”을 일반에 공개했다. 오픈 백신은 국가정보원이 이용한 해킹팀(Hacking Team)의 스파이웨어인 RCS 감염 여부를 탐지하기 위한 자유/오픈소스 백신 프로그램이다. 이미 윈도우 PC용으로는 “디텍트(Detekt)”가 개발, 공개되어 있기 때문에, RCS의 공격 대상일 가능성이 높은 안드로이드용으로 개발하였다.

 

오픈 백신 개발의 취지

지난 7월 5일, 정부 기관에게 해킹 프로그램인 RCS를 판매해 온 이탈리아 기업 ‘해킹팀’이 해킹 당하면서 내부자료 400GB가 유출되었다. 유출된 자료에는 ‘해킹팀’이 고객과 주고받은 이메일, 소스 코드, 계약사항 등이 포함되어 있었는데, 이를 통해 한국의 국가정보원 역시 지난 2012년부터 해킹팀의 고객이었음이 드러났다.

해킹팀의 RCS는 이용자의 PC나 스마트폰을 감염시켜 이메일, 메신저, 전화통화 등을 모니터링 할 수 있고, 심지어 기기의 카메라나 마이크도 몰래 조작할 수 있는 강력한 감시 프로그램이다. 이미 해외에서는 해킹팀이나 핀피셔와 같은 감시 프로그램이 인권 활동가, 언론인, 정치적 반대자에 대한 감시 수단으로 활용되고 있는 것에 대한 비판이 높다. 예를 들어, 2012년에는 해킹팀의 RCS가 모로코와 아랍에미레이트의 기자와 인권 활동가를 감시하는데 사용되었다는 의혹이 제기되었다. 이 때문에 해킹팀은 인권단체에 의해 ‘인터넷의 적’으로 선정되기도 했다. 캐나다의 비영리 연구기관인 시티즌랩(Citizen Lab)은 지난 2014년 2월 27일, 한국을 포함한 21개국 정부가 RCS를 사용하고 있다고 보인다는 공식 보고서를 발표했다.

국정원은 RCS 구입 사실을 인정했지만, 이를 해외 정보 수집과 연구용으로 이용했다고 변명하고 있다. 그러나 해킹팀에서 유출된 자료를 보면, 국정원이 우리 국민에 대한 감시를 위해 RCS를 이용했다는 정황이 드러나고 있다. 카카오톡 해킹이 가능하도록 요구하고, 삼성 갤럭시 신모델이 나올 때마다 이를 위한 업그레이드를 요구했다. 대표적인 백신 프로그램인 안랩의 ‘V3 모바일 2.0’과 같은 백신을 회피하기 위한 방법도 문의하였고, 서울대 공대 동창회 명부’라는 제목의 워드 파일, <미디어오늘> 기자를 사칭한 천안함 보도 관련 문의 워드 파일에 악성코드를 심어달라고 요청하였다. 또한, △네이버 맛집 소개 블로그 △벚꽃축제를 다룬 블로그 △삼성 업데이트 사이트 등 내국인들이 주로 방문할 것으로 보이는 사이트 등을 피싱 용도로 활용하고자 했다. 대선이나 지방선거 등 주요 선거를 앞두고 RCS를 사용했다는 점도 석연치 않다.

그러나, 국정원은 이러한 모든 의혹을 부정하면서도, 이를 뒷받침할 수 있는 근거 자료를 국회 정보위원회에조차 제출하지 않고 있다. RCS와 같이 감청보다 훨씬 심각한 인권 침해를 야기할 수 있는 감시 프로그램을 누구의 통제로부터 받지 않고 국정원이 사용해왔다는 것 자체가 큰 문제이며, 국정원 개혁을 통해 국정원이 국민의 감독과 통제 하에서 활동하도록 할 필요가 있다.

국회는 국가정보원의 불법적인 감시 활동 실태에 대해 철저한 진상을 조사해야 한다. 동시에 우리는 오픈 백신을 통해 국민 스스로 국정원의 RCS의 피해를 입었는지 여부에 대해 파악하고자 한다. 오픈 백신의 개발은 RCS의 감염 여부를 탐지하여 피해를 복구하기 위한 조치임과 동시에, 국정원의 불법적인 감시 활동 여부를 탐지하기 위한 것이다.

 

국민 백신 프로젝트

(사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는 오픈 백신 개발을 위해 ‘국민 백신 프로젝트’를 시작하였다. 세 단체는 오픈 백신의 초기 개발을 지원하며, 프로그램의 소스 코드를 공개하여 향후에는 기술적 재능이 있는 누구나 오픈 백신 개발에 참여할 수 있도록 할 계획이다. 이를 통해 해킹팀이 개발한 RCS 뿐만 아니라, 핀피셔(FinFisher)와 같이, 정부의 시민 감시에 이용되는 다른 스파이웨어로 탐지 대상을 확대하고, 안드로이드 및 윈도우 외의 다른 운영체제도 지원할 수 있을 것이다. 오픈 백신은 한국 내에서 국가정보원의 허가를 받을 필요가 없다. 감시에 악용되는 스파이웨어에 맞서기 위해 국민 참여형 대응이 가장 훌륭한 방식임을 보여주고자 한다. 오픈 백신은 전 세계 개발자 누구나 참여할 수 있으며, 개발된 프로그램은 누가 독점하지도 않고 모두에게 개방된다.

오픈 백신은 개발에 필요한 비용을 충당하기 위하여, 현재 진보네트워크센터에서 운영하는 소셜 펀딩 플랫폼인 ‘소셜펀치’를 통해 누구나 후원할 수 있도록 하고 있다.

 

오픈 백신이 지원하는 운영체제

오픈 백신은 1차적으로 안드로이드용 앱으로 제작되었다. 또한, 악의적인 누군가가 오픈 백신을 스파이웨어에 감염시킬 우려가 있기에, 오픈 백신은 플레이 스토어에서만 다운로드 받을 수 있도록 했다.

윈도우 PC나 노트북에서 RCS를 탐지하기 위한 용도로는 국제앰네스티 등 국제인권단체들이 개발한 디텍트(Detekt)를 사용할 수 있다. 디텍트는 2014년 11월에 출시되었으며, 2015년 7월 30일 디텍트 2.0으로 업그레이드 되었다. 디텍트 2.0은 2015년 7월 시점까지의 모든 RCS를 탐지할 수 있다.
(디텍트에 대한 자세한 사용법: http://guide.jinbo.net/digital-security/computer-security/how-to-use-detekt/

오픈 백신은 향후 디텍트를 한글화하여 오픈 백신 윈도우PC 용으로 공개할 예정이다. 또한, 아이폰, 맥용 오픈 백신도 개발할 예정이다.

 

오픈 백신 사용법

1단계: 구글 플레이스토어(https://play.google.com/store/apps)에서 “오픈 백신”으로 검색한다.

 

2단계: 오픈 백신을 선택하여 ‘설치’한다.

 

3단계: 엑세스 해야 하는 대상 팝업에서 ‘동의’를 클릭한다.

 

4단계: 설치가 끝나면 실행한다. 아래와 같이 앱이 실행된다.

참고로, 오픈 백신은 작동 과정에서 이용자를 식별할 수 있는 개인정보를 수집하지 않는다. 그러나 오픈 백신 이용 현황에 대한 정확한 파악을 위해 이용자의 기기의 운영체제, 기종, 모델 등에 대한 정보를 수집한다.

 

5단계: 검사 메뉴를 실행시키면, RCS 탐지를 시작한다. 기기에 따라 수 분이 소요될 수 있다.

 

6단계: 검사가 완료되면, 결과에 따라 아래와 같은 메시지를 보여준다.

RCS가 검출되지 않았을 경우

당신의 안드로이드 스마트폰에서 해킹팀의 감시코드가 검출되지 않았다. 그러나, 당신의 스마트폰이 감시로부터 안전하다는 의미는 아니다. RCS가 아닌 다른 스파이웨어가 설치되어 있을 수도 있기 때문이다.

또한, 국정원에서 RCS 이용 사실이 폭로된 이후에, 스마트폰의 감시 코드를 원격으로 삭제했을 수도 있다. 이 경우, 백신 프로그램만으로 감염 여부를 알아내기는 힘들다.

해킹팀의 감시 코드가 검출되지 않았다고 해도, 향후 자신의 스마트폰 보안에 보다 신경을 쓸 필요가 있다. 디지털 보안 가이드를 통해 자신의 스마트폰 보안을 전반적으로 점검해보자.
(디지털 보안 가이드: https://guide.jinbo.net/digital-security/)

RCS가 검출되었을 경우

당신의 스마트폰이 해킹팀의 감시코드에 감염되었을 가능성이 있다. 오픈 백신은 RCS 감염 여부를 탐지할 뿐, 해당 스마트폰을 치료하는 것은 아니다. 만일 RCS가 검출되었다는 결과가 나올 경우, 스마트폰에 대한 보다 엄밀한 검사가 필요하다.

‘신고’ 버튼을 클릭하면, 검사 결과를 제작팀에 발송할 수 있다. 제작팀은 포렌식 분석을 통해 스마트폰의 감염 여부에 대해 보다 엄밀한 검사를 제공할 것이다.

 

오픈 백신의 용도 및 다른 백신 프로그램의 이용

오픈 백신은 모든 종류의 바이러스나 스파이웨어를 탐지하고 치료하는 일반적인 상용 백신을 목표로 하지 않는다. 1차적으로는 해킹팀의 스파이웨어인 RCS만을 목표로 하며, 앞으로도 시민 감시를 목적으로 하는 다른 스파이웨어 탐지용으로 확대할 계획이다. 즉, 국민 감시용 스파이웨어 전용 백신을 목적으로 한다.

오픈 백신의 제작 계획을 발표한 이후, 다른 상용 백신 업체들도 이미 RCS를 검출할 수 있도록 업데이트하고 있다는 보도가 있었다. 우리는 이를 환영한다. 더 많은 백신 프로그램의 성능이 업데이트된다면 좋은 일이다. 오픈 백신으로 RCS가 탐지되지 않더라도, 다른 스파이웨어나 악성 코드를 방어하기 위해 스마트폰용 백신을 정기적으로 실행할 것을 권고한다.

 

오픈 백신의 작동 원리

오픈 백신은 이번에 해킹팀의 해킹으로 유출된 RCS의 시그니쳐(식별코드)를 데이터베이스화하여, 이를 스마트폰의 파일과 비교하는 방식으로 탐지를 진행한다. 이러한 시그니쳐는 발견이 되면 계속 자동 업데이트될 예정이며 다른 스파이웨어의 시그니쳐도 지속적으로 업데이트될 예정이다.