국정원 해킹 잡아내는 “오픈 백신”(안드로이드용) 일반 배포 시작

 

- 국민 누구나 참여하고 후원하는 개방형 모델, 소셜펀치로 진행

- 구글 스토어에서 누구나 설치 가능

- 향후 윈도우, 맥 용 등 확대 예정

 

(사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는 2015년 8월 8일, 안드로이드용 “오픈 백신”을 일반에 공개했다. 오픈 백신은 국가정보원이 이용한 해킹팀(Hacking Team)의 스파이웨어인 RCS 감염 여부를 탐지하기 위한 자유/오픈소스 백신 프로그램이다. 이미 윈도우 PC용으로는 “디텍트(Detekt)”가 개발, 공개되어 있기 때문에, RCS의 공격 대상일 가능성이 높은 안드로이드용으로 개발하였다.

 

오픈 백신 개발의 취지

지난 7월 5일, 정부 기관에게 해킹 프로그램인 RCS를 판매해 온 이탈리아 기업 ‘해킹팀’이 해킹 당하면서 내부자료 400GB가 유출되었다. 유출된 자료에는 ‘해킹팀’이 고객과 주고받은 이메일, 소스 코드, 계약사항 등이 포함되어 있었는데, 이를 통해 한국의 국가정보원 역시 지난 2012년부터 해킹팀의 고객이었음이 드러났다.

해킹팀의 RCS는 이용자의 PC나 스마트폰을 감염시켜 이메일, 메신저, 전화통화 등을 모니터링 할 수 있고, 심지어 기기의 카메라나 마이크도 몰래 조작할 수 있는 강력한 감시 프로그램이다. 이미 해외에서는 해킹팀이나 핀피셔와 같은 감시 프로그램이 인권 활동가, 언론인, 정치적 반대자에 대한 감시 수단으로 활용되고 있는 것에 대한 비판이 높다. 예를 들어, 2012년에는 해킹팀의 RCS가 모로코와 아랍에미레이트의 기자와 인권 활동가를 감시하는데 사용되었다는 의혹이 제기되었다. 이 때문에 해킹팀은 인권단체에 의해 ‘인터넷의 적’으로 선정되기도 했다. 캐나다의 비영리 연구기관인 시티즌랩(Citizen Lab)은 지난 2014년 2월 27일, 한국을 포함한 21개국 정부가 RCS를 사용하고 있다고 보인다는 공식 보고서를 발표했다.

국정원은 RCS 구입 사실을 인정했지만, 이를 해외 정보 수집과 연구용으로 이용했다고 변명하고 있다. 그러나 해킹팀에서 유출된 자료를 보면, 국정원이 우리 국민에 대한 감시를 위해 RCS를 이용했다는 정황이 드러나고 있다. 카카오톡 해킹이 가능하도록 요구하고, 삼성 갤럭시 신모델이 나올 때마다 이를 위한 업그레이드를 요구했다. 대표적인 백신 프로그램인 안랩의 ‘V3 모바일 2.0’과 같은 백신을 회피하기 위한 방법도 문의하였고, 서울대 공대 동창회 명부’라는 제목의 워드 파일, <미디어오늘> 기자를 사칭한 천안함 보도 관련 문의 워드 파일에 악성코드를 심어달라고 요청하였다. 또한, △네이버 맛집 소개 블로그 △벚꽃축제를 다룬 블로그 △삼성 업데이트 사이트 등 내국인들이 주로 방문할 것으로 보이는 사이트 등을 피싱 용도로 활용하고자 했다. 대선이나 지방선거 등 주요 선거를 앞두고 RCS를 사용했다는 점도 석연치 않다.

그러나, 국정원은 이러한 모든 의혹을 부정하면서도, 이를 뒷받침할 수 있는 근거 자료를 국회 정보위원회에조차 제출하지 않고 있다. RCS와 같이 감청보다 훨씬 심각한 인권 침해를 야기할 수 있는 감시 프로그램을 누구의 통제로부터 받지 않고 국정원이 사용해왔다는 것 자체가 큰 문제이며, 국정원 개혁을 통해 국정원이 국민의 감독과 통제 하에서 활동하도록 할 필요가 있다.

국회는 국가정보원의 불법적인 감시 활동 실태에 대해 철저한 진상을 조사해야 한다. 동시에 우리는 오픈 백신을 통해 국민 스스로 국정원의 RCS의 피해를 입었는지 여부에 대해 파악하고자 한다. 오픈 백신의 개발은 RCS의 감염 여부를 탐지하여 피해를 복구하기 위한 조치임과 동시에, 국정원의 불법적인 감시 활동 여부를 탐지하기 위한 것이다.

 

국민 백신 프로젝트

(사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는 오픈 백신 개발을 위해 ‘국민 백신 프로젝트’를 시작하였다. 세 단체는 오픈 백신의 초기 개발을 지원하며, 프로그램의 소스 코드를 공개하여 향후에는 기술적 재능이 있는 누구나 오픈 백신 개발에 참여할 수 있도록 할 계획이다. 이를 통해 해킹팀이 개발한 RCS 뿐만 아니라, 핀피셔(FinFisher)와 같이, 정부의 시민 감시에 이용되는 다른 스파이웨어로 탐지 대상을 확대하고, 안드로이드 및 윈도우 외의 다른 운영체제도 지원할 수 있을 것이다. 오픈 백신은 한국 내에서 국가정보원의 허가를 받을 필요가 없다. 감시에 악용되는 스파이웨어에 맞서기 위해 국민 참여형 대응이 가장 훌륭한 방식임을 보여주고자 한다. 오픈 백신은 전 세계 개발자 누구나 참여할 수 있으며, 개발된 프로그램은 누가 독점하지도 않고 모두에게 개방된다.

오픈 백신은 개발에 필요한 비용을 충당하기 위하여, 현재 진보네트워크센터에서 운영하는 소셜 펀딩 플랫폼인 ‘소셜펀치’를 통해 누구나 후원할 수 있도록 하고 있다.

 

오픈 백신이 지원하는 운영체제

오픈 백신은 1차적으로 안드로이드용 앱으로 제작되었다. 또한, 악의적인 누군가가 오픈 백신을 스파이웨어에 감염시킬 우려가 있기에, 오픈 백신은 플레이 스토어에서만 다운로드 받을 수 있도록 했다.

윈도우 PC나 노트북에서 RCS를 탐지하기 위한 용도로는 국제앰네스티 등 국제인권단체들이 개발한 디텍트(Detekt)를 사용할 수 있다. 디텍트는 2014년 11월에 출시되었으며, 2015년 7월 30일 디텍트 2.0으로 업그레이드 되었다. 디텍트 2.0은 2015년 7월 시점까지의 모든 RCS를 탐지할 수 있다.
(디텍트에 대한 자세한 사용법: http://guide.jinbo.net/digital-security/computer-security/how-to-use-detekt/

오픈 백신은 향후 디텍트를 한글화하여 오픈 백신 윈도우PC 용으로 공개할 예정이다. 또한, 아이폰, 맥용 오픈 백신도 개발할 예정이다.

 

오픈 백신 사용법

1단계: 구글 플레이스토어(https://play.google.com/store/apps)에서 “오픈 백신”으로 검색한다.

 

2단계: 오픈 백신을 선택하여 ‘설치’한다.

 

3단계: 엑세스 해야 하는 대상 팝업에서 ‘동의’를 클릭한다.

 

4단계: 설치가 끝나면 실행한다. 아래와 같이 앱이 실행된다.

참고로, 오픈 백신은 작동 과정에서 이용자를 식별할 수 있는 개인정보를 수집하지 않는다. 그러나 오픈 백신 이용 현황에 대한 정확한 파악을 위해 이용자의 기기의 운영체제, 기종, 모델 등에 대한 정보를 수집한다.

 

5단계: 검사 메뉴를 실행시키면, RCS 탐지를 시작한다. 기기에 따라 수 분이 소요될 수 있다.

 

6단계: 검사가 완료되면, 결과에 따라 아래와 같은 메시지를 보여준다.

RCS가 검출되지 않았을 경우

당신의 안드로이드 스마트폰에서 해킹팀의 감시코드가 검출되지 않았다. 그러나, 당신의 스마트폰이 감시로부터 안전하다는 의미는 아니다. RCS가 아닌 다른 스파이웨어가 설치되어 있을 수도 있기 때문이다.

또한, 국정원에서 RCS 이용 사실이 폭로된 이후에, 스마트폰의 감시 코드를 원격으로 삭제했을 수도 있다. 이 경우, 백신 프로그램만으로 감염 여부를 알아내기는 힘들다.

해킹팀의 감시 코드가 검출되지 않았다고 해도, 향후 자신의 스마트폰 보안에 보다 신경을 쓸 필요가 있다. 디지털 보안 가이드를 통해 자신의 스마트폰 보안을 전반적으로 점검해보자.
(디지털 보안 가이드: https://guide.jinbo.net/digital-security/)

RCS가 검출되었을 경우

당신의 스마트폰이 해킹팀의 감시코드에 감염되었을 가능성이 있다. 오픈 백신은 RCS 감염 여부를 탐지할 뿐, 해당 스마트폰을 치료하는 것은 아니다. 만일 RCS가 검출되었다는 결과가 나올 경우, 스마트폰에 대한 보다 엄밀한 검사가 필요하다.

‘신고’ 버튼을 클릭하면, 검사 결과를 제작팀에 발송할 수 있다. 제작팀은 포렌식 분석을 통해 스마트폰의 감염 여부에 대해 보다 엄밀한 검사를 제공할 것이다.

 

오픈 백신의 용도 및 다른 백신 프로그램의 이용

오픈 백신은 모든 종류의 바이러스나 스파이웨어를 탐지하고 치료하는 일반적인 상용 백신을 목표로 하지 않는다. 1차적으로는 해킹팀의 스파이웨어인 RCS만을 목표로 하며, 앞으로도 시민 감시를 목적으로 하는 다른 스파이웨어 탐지용으로 확대할 계획이다. 즉, 국민 감시용 스파이웨어 전용 백신을 목적으로 한다.

오픈 백신의 제작 계획을 발표한 이후, 다른 상용 백신 업체들도 이미 RCS를 검출할 수 있도록 업데이트하고 있다는 보도가 있었다. 우리는 이를 환영한다. 더 많은 백신 프로그램의 성능이 업데이트된다면 좋은 일이다. 오픈 백신으로 RCS가 탐지되지 않더라도, 다른 스파이웨어나 악성 코드를 방어하기 위해 스마트폰용 백신을 정기적으로 실행할 것을 권고한다.

 

오픈 백신의 작동 원리

오픈 백신은 이번에 해킹팀의 해킹으로 유출된 RCS의 시그니쳐(식별코드)를 데이터베이스화하여, 이를 스마트폰의 파일과 비교하는 방식으로 탐지를 진행한다. 이러한 시그니쳐는 발견이 되면 계속 자동 업데이트될 예정이며 다른 스파이웨어의 시그니쳐도 지속적으로 업데이트될 예정이다.

 

 

 

방심위 박효종 위원장

“명예훼손 심의규정 개정, 합의제 정신에 따라 처리하겠다” 약속

 

방송통신심의위원회 박효종 위원장 “명예훼손 심의규정 개정, 합의제 정신에 따라 처리하겠다” 약속
- 시민사회, “표현의 자유 침해·정치적 남용 우려”, “개정안 철회해야”

어제(8월 3일 오후 3시) 참여연대, 민주시민언론연합, (사)오픈넷, 언론개혁시민연대, 전국언론노동조합, 진보네트워크센터, 표현의자유와언론탄압공동대책위원회, NCCK 언론위원회 등 시민사회단체들은 박효종 방송통신심의위원회(이하‘방심위’) 위원장을 면담하고 사이버 명예훼손 심의규정 개정안을 철회할 것을 요구했다.

방심위는 최근 피해당사자가 아닌 제3자의 신청 또는 방심위의 직권에 의해서도 명예훼손 게시물을 삭제, 차단할 수 있도록 하는 내용으로 심의규정을 개정하려 하고 있다. 시민사회단체들은 이번 개정안이 현실화될 경우 사실상 대통령 등 공인에 대한 비판글을 차단하는 목적으로 남용될 위험성 등 각종 폐단을 우려하고 있는 상황이다.

박효종 위원장 ‘망법과 부조화 해소하기 위한 것일 뿐 다른 의도 없다. 믿어 달라’
시민사회 ‘상위법과 충돌하지 하지 않는다. 개정사유 설득력 없어’

박효종 위원장은 면담에서 ‘상위법인 정보통신망법과 모순되는 내용이 없게 하는 것이 가장 근본적 목적’이라고 밝혔다. 이에 대해 시민단체들은 친고죄 / 반의사불벌죄 등은 형사소추 개념이라 행정법 영역인 통신심의에 그대로 적용할 수 없다며, 많은 법률가들이 상위법과의 충돌로 볼 수 없다는 입장이라고 지적했다.

시민사회단체들은 또한 ▲ 심의규정 개정의 필요성과 취지, ▲ 현행과 같이 명예훼손 심의를 운영함으로 인해 발생하는 구체적인 권리구제의 공백이나 사회적 폐해가 있는지 여부, ▲ 특정 공인에 대한 비판적인 글들을 선제적으로 단속하기 위한 의도가 있다는 의혹에 대한 입장, ▲ 조사권이 없는 방심위가 당사자의 의사를 확인할 방법 및 행정력의 과도한 낭비 초래에 대한 대응책, ▲ 심의규정 개정에 앞서 인터넷 이용자와 전문가 등 각계의 의견을 수렴하고 공론화하는 절차를 진행할 계획 및 입장 등을 밝혀줄 것을 요구하며 박효종 위원장에게 공식질의서를 전달했다.

박 위원장 ‘합의제 정신 살려 처리하겠다’ 거듭 약속하면서도 8월중 입안예고 강행 뜻 밝혀
시민사회단체 ‘입안예고 강행, 다수결 처리는 합의제 아니야’

이에 대해 박효종 위원장은 법적 해석이 법률가들 사이에서도 갈릴 수 있는 만큼 ‘각계의 의견을 충분히 수렴하겠다’는 입장을 밝혔다. 이에 시민단체들은 ‘문제가 없는 규정을 개정하는 데 있어 사회적 합의는 물론 방심위 위원들간 합의가 이루어지기 전에 무리한 개정 추진을 지양해 달라’고 요구했고, 박 위원장은 ‘방심위는 합의제 기구인만큼, 심의규정 개정도 합의제 기구의 정신을 살려 처리하겠다’고 약속했다.

이번 면담에서 박효종 위원장은 합의제 기구의 정신을 살려 처리할 것을 거듭 약속하며 자신의 선의를 믿어달라고 여러 차례 강조했다. 우리 시민단체들은 야당과 일부 방심위 의원, 그리고 시민사회가 반대하는 개정안을 방심위 여당 추천 의원들이 다수결로 처리하는 것이 박효종 위원장이 공언한 합의제 정신은 아니길 바란다.

한편, 방심위는 8월 중으로 통신심의규정 개정안을 입안 예고하겠다는 입장을 밝혔다. 우리 시민사회단체들은 박효종 위원장의 답변을 수령하는 대로 시민들에게 투명하게 공개할 계획이며, 위 심의규정 개정이 충분한 근거와 다양한 의견수렴 없이 강행 처리되지 않도록 지속적인 활동을 이어갈 예정이다.

 

2014년 8월 4일

 

참여연대, 민주시민언론연합, (사)오픈넷, 언론소비자주권행동, 언론개혁시민연대,

전국언론노동조합, 진보네트워크센터, 표현의자유와언론탄압공동대책위원회, NCCK 언론위원회

  

사단법인 오픈넷은 2021. 6. 10. 전재수의원이 대표발의한 전자상거래법 전부개정법률안에 대한 의견을 아래와 같이 제출했다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

[논평] 시장이 상인을 내쫓는 부조리극을 멈춰라, 남대문시장 한영빌딩 임차상인의 고통을 멈춰라

 

남대문시장은 우리가 알고 있는 모든 시장의 대표 격이라고 해도 과언이 아니다. 역사에 있어서도 한양 천도 20년(1414년) 만에 세워진 정부임대전으로 거슬러 올라갈 정도로 유서깊다. 해방 이후 서울의 폭발적인 인구증가와 함께 시장의 수직화 사업에 따라 대형 상가건물이 들어섰고, 장기적인 현대화 계획에 맞추어 도시환경정비계획구역으로 지정되어 있는 곳이다.

 

남대문시장은 명실상부한 상권의 굳건함으로 권리금이 높게 형성되어있는 탓에 건물주가 바뀌어도 상인은 바뀌지 않는 전통을 가지고 있을 정도다. 남대문시장 상권의 주인은 부동산의 소유자가 아니라 실제 시장에서 매일 땀흘려 장사하는 상인들임을 확인시켜주는 하나의 증거인 셈이다.

 

이러한 남대문시장에서 주객이 역전되는 일이 일어나고 있다. 시계, 가방, 옷, 기계공구, 가방, 구두, 수선 등 다양한 업종의 점포가 입주해 있는 한영빌딩의 상인들이 건물주의 느닷없는 명도소송에 밀려 오랜 시간 자리잡고 터를 닦아온 남대문시장에서 쫓겨날 위기에 처하게 된 것이다.

 

남대문시장 한영빌딩의 상인들을 쫓아내려 하는 건물주는 (주)동찬기업이다. (주)동찬기업의 대표이사는 남대문시장상인회 김재용 회장이다. 남대문시장상인회장이 남대문시장의 질서를 거꾸로 거슬러가며 임차상인들을 무리하게 쫓아내는 배경에는 놀랍게도 중구청이 있다.

 

중구청은 도시계획 상 재건축이 불가능한 한영빌딩을 도시계획까지 무리하게 변경해가면서 재건축이 가능한 곳으로 변경하려 하고 있다. 기존의 도시계획의 취지를 무너뜨려가면서 단 한 동의 건축물을 위한 노골적인 특혜를 부끄럼 없이 드러내고 있는 것이다.

 

최근 임차상인들에 과도한 월세 인상 요구를 하거나 권리금 약탈 시도를 하는 건물주로 인해 불평등한 임대차 관계의 문제가 언론을 통해서 다수 소개된 바 있다. 노동당서울시당은 이러한 폐악이 남대문시장에서까지 반복되고 있다는 것을 남대문시장 한영빌딩을 통해 확인하며 참담한 심정을 드러내지 않을 수 없다.

 

노동당서울시당은 땀흘려 일하는 임차상인들의 삶이 부정당하지 않는 사회를 위해 싸우고자 한다. 늘 임차상인의 편에서 건물주의 비인간적 비도덕적 약탈행위를 고발하고 앞장서 싸우고 있는 맘편히장사하고픈상인모임(약칭 ‘맘상모’)과 함께, 그리고 남대문시장 한영빌딩에서 부당한 압력과 특혜 의혹에 맞서 싸우고 있는 한영빌딩상인연합회와 남대문시장외향상인회와 함께 남대문시장 마저 좀먹고 있는 약탈과 추방의 현장을 적극적으로 고발하고 싸워나가고자 한다.

 

남대문시장 상인을 내쫓는 데에 혈안이 된 남대문시장상인회 김재용 회장을 규탄한다.

 

구멍 뚫린 상가건물임대차보호법으로 고통받는 임차상인들의 문제를 방관하고 있는 정부를 규탄한다.

 

김재용 회장은 남대문시장이 상인들을 강제퇴거로 쫓아내지 않는 시장, 임차상인이 마음놓고 땀흘려 일할 수 있는 시장이 될 수 있도록 즉각 상생에 임할 것을 촉구한다.

 

노동당서울시당은 28일 오전 11시에 한영빌딩에서 개최되는 기자회견을 계기로 한영빌딩 상인들과 함께하는 힘찬 싸움에 본격적으로 돌입할 것이다.

 

 

 

 

 

 

국정원 해킹 사태 해결을 위한 토론 및 백신 프로그램 발표회 개최

 

• 일시: 2015년 7월 30일(목) 오전 10시
• 장소: 국회 의원회관 제1소회의실
• 주최: 사단법인 오픈넷, 이종걸 의원실

 

취지

국민의 세금으로 운영되는 국가기관인 국가정보원이 스파이웨어를 구매하여 민간인을 사찰했다는 의혹이 해소되지 않고 있습니다. 더구나 국정원의 감시감청은 영장, 대통령 허가,설비도입 보고 등의 절차를 무시하여 통신비밀보호법과 정보통신망법을 위반했다는 비판도 받고 있습니다. 절차 규정을 준수했다 하더라도 개인의 정보기기에 대한 통제권을 잠탈하는 해킹까지 헌법상 허용되는지에 대한 의문이 제기되고 있습니다. 이번 토론회는 이탈리아 해킹팀 자료 유출로 드러난 국정원의 해킹식 감시·감청에 대한 전반적인 법률 문제와 해결 방안을 살펴보고, 해외 민간인 사찰 사례 소개, RCS가 어떻게 작동하여 민간인 사찰에 악용되는지, 이에 대해 외국 특히 유럽연합에서는 어떤 대응을 하고 있는지도 살펴보고자 합니다.

국정원이 배포한 스파이웨어에 감염된 불특정 다수의 국민들은 국정원이나 해킹팀이 아니더라도 제3자에게 사어버 공격을 당할 위험에 놓이게 됩니다. 하지만 국내 백신 업체들은 아무런 대응도 하지 않고 있습니다. 이에 시민들이 자발적으로 참여하는 ‘국민 백신 프로젝트’가 발족하였습니다. 이를 통해 개발한 백신 프로그램의 베타버전을 공개하고 향후 계획에 대해 발표하는 자리를 갖고자 합니다.

 

순서

• 개회사 및 전체 진행: 남희섭((사)오픈넷 이사)

[제1 세션] 국가기관의 해킹툴 사용의 위법성과 해결 방안(60분)

• 좌장: 이종걸 의원(새정치민주연합 원내대표)
• 발제 1 – 심우민 박사(국회 입법조사처 입법조사관): 국정원의 RCS 사찰과 불법성 검토
• 발제 2 – 박경신 교수(고려대 법학전문대학원, (사)오픈넷 이사): 외국 감청감시의 한계 및 감청감시 입법 제안
• 토론 1 – 김지미 변호사(민주사회를 위한 변호사모임 사무차장): 국정원 어떻게 할 것인가?
• 토론 2 – 국회의원 1인: 국정원의 국민 해킹에 대한 국회의 대응 방안

[제2 세션] 오픈 백신 프로그램 베타버전 발표(30분)

• 취지 설명 및 향후 계획: 남희섭((사)오픈넷 이사)
• RCS 작동원리 및 오픈 백신 프로그램 내용 소개: 개발자(익명)

[제3 세션] 이탈리아 해킹팀의 민간인 사찰 사례 및 외국의 대응(30분)

• RCS의 해외 민간인 사찰 사례: 전자개척자재단(EFF), 시티즌랩(섭외 중)
• 외국의 대응: 이탈리아 의원 또는 유럽의회 의원(섭외 중)
• 종합토론 및 질의응답(30분)

 

국정원의 국민해킹 우려에 맞서는 “국민 백신 프로젝트” 발족

국민 누구나 참여·후원할 수 있는 오픈소스 및 소셜펀딩 방식으로 진행

베타 버전, 7월30일 목요일 오전10시 국회 토론회에서 발표 예정

 

(사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는, 국정원이 이용한 해킹팀(Hacking Team)의 스파이웨어(RCS)에 불특정 다수의 우리 국민들까지 감염되었을 우려에 대응하기 위해 RCS 감염 여부를 포착하고 RCS에 의한 감염을 치유 및 예방하는 프로그램을 개발하는 “국민 백신 프로젝트”를 발족한다. 베타버전은 오는 7월 30일 10시에 공개할 예정이다(국회토론회는 별도의 보도자료 배포).

RCS를 식별할 수 있는 프로그램은 이미 배포되어 있지만, 윈도우 PC용으로 제한되어 있고, 성능 보장도 확실하지 않다. 가령 국제인권단체들이 배포한 ‘디텍터(Detekt)’[1], 외국 보안업체가 만든 레드삭스(Redsocks)의 ‘MTD’ (Malware Threat Defender)[2], 루크 시큐리티(Rook Security)의 ‘밀라노’(Milano)[3] 등은 모두 윈도우 PC용이고, 우리 국민 대다수가 사용하는 모바일에는 적용할 수 없다. “국민 백신 프로젝트”로 개발될 프로그램 “오픈백신”(가칭)은 모바일을 포함한 모든 기기에 적용되도록 할 것이다.

오픈백신 프로그램 개발 방식

해킹팀의 스파이웨어를 국정원도 사용하고 있다는 의혹이 제기된지는 무려 1년 6개월이 지났다[4]. 하지만 국내 백신업체들은 아무런 대응도 하지 않았다. 특히 지난 7월 6일에는 해킹팀의 내부 자료가 유례없이 방대한 규모로 공개되어, 국정원이 해당 스파이웨어를 구입하여 내국인을 상대로 사용했다고 믿을만한 정황들이 드러난지도 벌써 한 달이 다 되어간다. 하지만 국내 백신업체들은 여전히 아무런 백신도 내놓지 않고 있다. 해킹팀의 스파이웨어는 소스코드가 기트허브(GitHub)에 이미 공개되어 있어서 백신 프로그램을 얼마든지 만들 수 있는데 말이다(https://github.com/0xPoly/Hacking-Team-Sweeper).

오픈백신은 이처럼 공개된 소소코드드를 기초로, 우리 국민들이 가장 많이 사용하는 안드로이드 모바일, 윈도 PC용 백신 프로그램 개발을 목표로 한다. 초기 개발은 위 3개 단체가 지원하고(이미 RCS 소스 분석은 마쳤다), 이후에는 개방형 개발 방식으로 전환한다. 오픈백신 프로그램 역시 소스코드를 모두 공개하여 기술적 재능이 있는 사람이라면 누구나 익명으로 재능기부를 할 수 있고, 이를 통해 오픈백신을 모든 기기로 확대할 수 있을 것이다. 이러한 개방형 혁신이 백신업체 내부의 개발자들에 의한 폐쇄형 방식보다 성능이나 보안 면에서 더 우수하다는 점은 이미 밝혀졌다. 그리고 국민 감시에 악용되는 스파이웨어에 맞서는 데에는 국민참여형 대응이 가장 훌륭한 방식임을 보여줄 것이다. 그리고 개발된 프로그램은 누가 독점하지도 않고 모두에게 개방될 것이다(이탈리아 해킹팀은 자신의 기술을 이미 국내에 특허출원까지 해 두었다(특허출원번호 제1020137005146호 “네트워크 트래픽을 처리하는 방법 및 장치”).

오픈백신 프로그램 배포 일정 및 운영

• 안드로이드 모바일, 윈도우 PC용 백신 프로그램 개발 완료 후 베타버전 공개: 2015년 7월 30일 오전 10시, 국회 의원회관 제2소회의실
• 테스트 진행, 버그 및 수정 작업 후 정식버전 배포: 8월 6일 예정
• 오픈소스 방식으로 전환하여 다른 기기용 백신 프로그램 개발 및 배포
• 해킹팀의 스파이웨어 소스코드 분석 보고서 발표
• 감염된 기기에 대한 디지털 포렌식 분석
• 해킹팀 이외의 다른 스파이웨어에 대한 패턴 업데이트 진행

국민 누구나 참여하는 소셜펀딩

오픈백신 프로그램을 베타버전에서 완성단계로 발전시키고 다양한 기기나 국내 통신환경에 맞게 개선하고 유지보수하는 데에는 상당한 자원이 소요된다. 이에 따라 진보네트워크센터가 운영해온 소셜펀딩 플랫폼을 이용하여 국민들이 누구나 후원할 수 있도록 할 계획이다.

오픈백신 프로그램과 국정원의 합법적인 해외 정보 수집

스파이웨어를 찾아내는 백신 프로그램이 배포되면 국정원의 정상적인 해외 정보 수집이 방해받는다는 우려가 있을 수 있다. 하지만 이미 해킹팀의 스파이웨어는 소스코드가 공개되어 어떻게 작동하는지 누구나 알 수 있는 상태다. 따라서 오픈백신 프로그램 때문에 우리 정보기관의 합법적인 해외 정보 수집이 타격을 받을 가능성은 거의 없다. 가령 북한은 이미 RCS를 통한 감시를 우회하는 기술을 개발하였을지도 모른다. 국민들을 대상으로 한 스파이웨어의  감염 시도가 이루어졌을 것이라는 우려가 높은 상황에서 우리는 실제로 감염되었을지 모를 해킹팀의 악성코드뿐 아니라 누군지 모르는 제3자의 해킹위험에 처해있을 국민들의 정보인권에 우선을 둘 수밖에 없다.

————————————————-

[1] ‘디텍터’는 클라우디오 과르니에르(Claudio Guarnieri)가 시티즌랩(Citizen Lab)의 기술 지원으로 국제 정보인권 단체들, 프라이버시 인터내셔널(Privacy International), 디지탈레 게젤샤프트(Digitale Gesellschaft), 앰네스티 인터내셔널, 전자개척자재단(EFF)과 함께 해킹팀의 스파이웨어를 탐지하는 프로그램으로 2014년 11월 배포되었다. 사용법은 진보네트워크센터에서 우리말로 제공하고 있다. http://act.jinbo.net/drupal/node/8782

[2] http://redsocksmtd.blogspot.kr/2015/07/hacking-team-100-endgame.html

[3] https://www.rooksecurity.com/resources/downloads/

[4] 이탈리아 해킹팀이 RCS를 각국 정부에 팔았고, RCS가 모로코와 아랍에밀레이트 기자와 인권운동가를 감시하는 데에 사용되었다는 의혹이 제기된 것이 2012년이다. 그리고 시티즌랩(Citizen Lab)이 한국을 포함한 21개국 정부가 RCS를 사용하고 있다고 보인다는 공식 보고서를 발표한 것이 2014년 2월 17일이다. https://citizenlab.org/2014/02/mapping-hacking-teams-untraceable-spyware/ 참조

 

2015년 7월 27일

 

(사)오픈넷

진보네트워크센터

P2P재단코리아준비위원회

 

국정원의 해킹프로그램 RCS가 안드로이드폰에 설치돼 있는지 여부를 확인할 수 있는 백신프로그램이 개발됐다.

(사)오픈넷과 진보네트워크센터, P2P재단코리아준비위원회는 RCS 감염여부를 확인할 수 있는 안드로이드용 ‘오픈백신’을 개발해 일반에 공개했다.

그동안 윈도 PC용으로는 국제엠네스티 등 인권단체들이 개발한 디텍트(Detekt)란 탐지 프로그램이 있었으나 안드로이드용으로 개발된 모바일 백신은 ‘오픈백신’이 처음이다.

‘오픈백신’은 국정원이 이탈리아의 해킹팀으로부터 구입해 사용하는 해킹프로그램인 RCS만을 탐지하기 위해 개발된 것으로 감염여부를 확인할 수는 있지만 치료는 할 수 없다.

오픈넷의 남희섭 이사는 “RCS가 검출됐을 경우 ‘신고’버튼을 누르면 제작팀이 포렌식 분석을 통해 정밀한 검사를 제공”할 계획이라고 밝혔다.

오픈백신은 구글플레이스토어에서 내려받아 사용하면 된다.

[보도자료] 방사능안전급식실현 서울연대, 일본산 식품 수입금지 1만인 서명 돌입

 

 

지난 3월 25일부터 방사능안전급식 실현과 일본산 식품 수입금지 해제 저지를 위한 외교부 앞 1인 시위를 이어오고 있는 <방사능안전급식실현 서울연대>에서는 7월 22일부터 일본산 식품 수입금지 해제 조치를 막기 위한 1만인 서명에 본격적으로 돌입했다. 일본과의 통상협상에서 방사능 위험 식품의 수입금지 조치를 협상의 카드로 사용하려는 외교부의 입장 표명에 대한 적극적인 대응을 시작하는 것이다.

 

2011년 3월 11일 일본 후쿠시마 핵사고 이후로 후쿠시마 핵발전소에서는 잠시도 멈추지 않고 고위험의 방사성 물질을 태평양으로 끊임없이 흘려보내고 있다. 더불어 핵발전소 폭발로 오염된 토양으로 인해 위협받기 시작한 일본산 농산물의 방사능 안전은 지금까지도 전혀 보장되지 못하고 있다.

 

대기와 해양으로 확산되고 있는 방사능은 농수산물에 축적되고, 먹이사슬의 끝에 있는 인간은 방사능에 오염된 농수산물 혹은 농수산물을 섭취한 동물을 섭취함으로써 방사능을 축적하게 된다. 인체에 한 번 축적된 방사능은 대개 인체에서 쉽게 빠져나가지 않은 채 죽음에 이를 때까지 건강에 치명적인 영향을 미친다.

 

더구나 유아와 어린이, 청소년의 경우에는 신체가 성장하는 과정에서 몸 안에 축적된 방사능의 영향을 더욱 크게 받을 수 밖에 없으며, 일찍부터 방사능에 노출되게 되면 전 생애에 걸친 장기간의 방사능 축적으로 채네 방사능의 농도가 훨씬 높아져 더욱 위험할 수 밖에 없다.

 

이러한 위험으로부터 안전한 사회를 만들고자, <방사능안전급식실현 서울연대>는 방사능으로부터 안전한 급식을 보장하기 위한 대책 마련을 촉구하고 방사능에 노출된 위험 농수산물의 유통의 문제에 대해 문제제기 해 왔다.

 

이와 같은 이유로 정부 역시, 후쿠시마 핵사고 이후 일본 식품의 위험성을 확인하고 수입금지 조치를 취해왔다. 그러나 한일수교 50주년을 맞는 올해, 일본 정부와의 통상 교섭에서 이 수입금지 조치를 해제하려는 움직임이 감지되고 있는 상황에 우려를 금할 수 없다.

 

오늘도 여전히 후쿠시마 핵발전소에서 방사능 물질이 뿜어져나오고 있는 상황에서, 일본산 식품의 수입금지 조치가 협상 카드가 되어서는 안된다. 만에 하나 수입금지 조치를 협상의 카드로 삼아 금지 해제를 논의하게 된다면 이는 협상을 위해서는 국민 건강을 양보하겠다는 것에 다름 아니다.

 

이 외에도 시중에 유통되고 있는 식품의 방사능 안전을 보장하기 위한 노력 역시 강화되어야 한다. 가정에서 원산지를 확인하고 소비하는 식품에 있어서도 방사능 안전이 보장되지 않고 있는 가운데, 학교 등의 급식 시설로 공급되는 식품의 방사능 안전 역시 불투명한 상황이다.

 

<방사능안전급식실현 서울연대>에 함께하고 있는 각 단체들은 온라인과 오프라인을 가리지 않고 방사능안전급식과 방사능 위험이 여전히 해결되지 않은 일본산 식품 수입금지 고수를 위한 ‘1만인 서명'을 적극적으로 진행하여, 국민의 뜻을 분명히 전달하고자 한다.

 

1만인 서명은 이제 본격적으로 온라인 상시 서명과 매주 수요일 11시부터 2시간 씩 원자력안전위원회 앞에서의 오프라인 서명을 중심으로 각 단체와 지지자들의 일상적인 서명운동으로 펼쳐질 것이다. 또한 이전과 마찬가지로 매주 수요일 정오에 외교부 앞에서 진행되는 1인 시위 역시 계속해서 이어나갈 것이다.

 

 

일본산 수산물 및 식품 수입을 전면 금지하라!

학교급식에 정밀검사의 체계를 확대하라!

방사능 위험이 있는 식재료는 단계적으로 식단에서 제외하라!

학교에서 방사능 안전교육을 실시하라!

 

 

방사능안전급식실현 서울연대

구로방사능안전급식지킴이, 나눔문화, 노동당 서울시당, 방사능시대우리가그린내일, 서울 녹색당, 서울환경운동연합, 아이쿱서울생협, 천주교서울대교구환경사목위원회 우리농본부, 탈핵법률가모임해바라기, 태양의학교 반핵의사회, 양천구방사능안전급식지원조례제정운동본부, 동작구방사능안전급식주민조례준비위, 동북여성환경연대 초록상상

 

 

방사능안전급식1만인서명지.pdf

 

RCS 사태에 대응하기 위해 19대 국회가 꼭 할 일:

통신자료제공제도 및 피감시자통지제도 개선 법안 처리

 

국가정보원이 이탈리아 “해킹팀”의 스파이웨어인 RCS(Remote Control System)를 구매하여 사용한 사실이 드러나면서, 해당 프로그램이 우리 국민을 불법적으로 사찰하는 데 사용되었는지 여부가 초미의 관심사이다. 오픈넷은 최소한의 방책으로서 이번 회기에 기 발의된 사이버사찰 방지법안들이 조속히 통과될 것을 요구한다.

우선 가장 중요한 방책은 피감시자에 대한 통지의 개선이다. 국정원이 RCS를 내국인에게 사용하였다면 피감시자에게 통지할 의무가 있는데, 선진국 중에서 거의 우리나라만 유일하게 통지가 수사가 완전히 종료된 후에야 이루어진다. 현행법에서는 기소 또는 불기소 처분을 한 날부터 30일 이내 통지라고 되어 있어 처분이 없는 경우는 통지가 아예 행해지지 않고 있으며, 검사장의 승인 하에 무기한 유예하는 것도 가능해 통지를 못 받는 경우가 훨씬 많다. 오픈넷은 이에 따라 통신비밀보호법 개정안이 감청, 통신사실확인, 전기통신 압수수색 등 감시가 이루어졌다면 그 종료 후 90일 이내에 당사자에게 집행 내역을 통지하도록 하였다(정청래 의원 발의). 현행법상의 피감시자 통지 자체가 부실하였기 때문에 피감시자 몰래 하는 감시의 궁극이라고 할 수 있는 RCS에 대해서도 도덕적 해이가 있었을 것으로 보인다. 다시 확인컨대 “영장이 있다고 해서 증거를 훔칠 수는 없다.”

두 번째 문제는 피감시자의 신원확인이 영장이나 통지 없이 이루어진다는 것이다. 2014년 10월에는 노동당 정진우 부대표의 카톡 압수수색 사건으로 인해 대규모 ‘사이버 망명’ 사태가 벌어지기도 했는데 이때도 사람들이 분노한 것은 정 부대표의 단체카톡방의 카톡 내용에 대해 이루어진 합법적인 압수수색보다도 그 방에 참가한 수천 명의 사람들의 신원정보를 당사자에게 아무런 통지 없이 취득했었기 때문이다. 지난 2014년 한 해 동안 통신자료 제공(가입자 이름, 주소, 주민번호 등)은 10,771,978건(전화번호/ID 수 기준)이 이루어졌는데, 이 수치에 의하면 한 해에만 우리 국민 5명 중 1명은 통신에 관련된 정보를 수사기관에 털린 경험이 있다고 해도 과언이 아니다. 더 큰 문제는 대부분의 경우 통지를 받지 못해 털린 것도 모른다는 것이다. 현행 전기통신법 제83조 3항이 통신자료가 민감한 개인정보임에도 불구하고 수사기관이 영장 없이 기업들을 통해 손쉽게 취득하는 것을 허용하고 있어, 오픈넷은 전기통신사업법 개정안은 해당 조문을 삭제하여 영장주의의 적용을 받게 하였다(정청래 의원 발의). RCS와 같이 개인의 통신기기의 통제권을 완전히 잠탈하게 된다면 앞으로도 정진우 부대표의 사례와 같이 엄청난 수의 무고한 통신상대방의 신원정보도 모두 취득될 것이다.

위의 통신비밀보호법과 전기통신사업법의 개정은 19대 국회에서 반드시 해결해야 한다. 19대 국회가 개원한 2012년 6월 이후 위 두 가지 사안에 대해 2015년 6월까지 3년간 발의된 관련 법안만 무영장 통신자료제공 제도 개선 10개, 피감시자통지제도 개선 총 17개나 된다. (참여연대, 이슈리포트 <국회 통과 기다리는 사이버사찰방지 법안 17개>)

여기에는 오픈넷이 정청래 의원과 함께 발의한 전기통신사업법 개정안과 통신비밀보호법 개정안도 포함되어 있는데(http://opennet.or.kr/7900), 그 골자는 통신자료 제공 제도 폐지 및 감시 현황에 대한 투명성 강화 그리고 감청, 전기통신압수수색, 통신사실확인에 대한 통지제도 보완이다. 추가적으로 전기통신사업자들이 감시협조 현황에 대해 보고하고 국민에게 공개하도록 하는 투명성 보고 제도를 신설했다.

오픈넷은 위의 두 가지 핵심법안 외에도 RCS에 대한 대응의 일환으로서 피싱에 의한 감청 및 압수수색의 금지를 법으로 금지할 것인가에 대한 논의도 제안한다. (오픈넷은 7월30일 저녁 7시, 스타트업 얼라이언스에서 “디지털시대 감시의 한계는 어디인가? 피싱, 기지국수사, 프리즘”이라는 주제로 포럼을 개최할 예정이다.)

눈부신 정보통신기술 발전의 혜택은 일반인뿐만 아니라 범죄자도 동일하게 누리고 있으며, 날로 고도화되는 범죄 수법을 따라가기 위해서는 어느 정도의 사이버 사찰은 필요악이다. 하지만 사찰은 개인의 기본권, 특히 프라이버시를 지대하게 침해하는 행위이기 때문에 국민의 통제 없이 이루어져서는 안 된다. 또한 사찰의 필요성이 없어진 경우에는 대상자에게 반드시 통지를 해서 사찰의 대상자에게 기본권이 제한되었던 사실을 알리고 대응을 할 수 있는 기회를 주어야 할 것이며, 이런 절차가 있어야만 수사기관이 태생적으로 가질 수밖에 없는 끝없는 감시 욕구를 견제할 수 있을 것이다.

이제 시간이 별로 남지 않았다. 제19대 국회는 임기가 끝나기 전까지 기 발의된 2개의 법안이라도 통과시켜 한시라도 빨리 선량한 국민들을 무차별적인 사이버사찰로부터 보호하는 것이 국민의 대표로서의 소임을 다하는 길임을 명심하기 바란다.

 

2015년 7월 22일

 

사단법인 오픈넷

 

“방송통신심의위원회 명예훼손 제3자 요청 삭제, 누구를 위해서인가?”

토론회 개최

 

최근 방송통신심의위원회(이하 ‘방심위’)가 인터넷상의 명예훼손 글에 대하여 피해당사자 아닌 제3자의 신고만으로 심의를 개시하고 삭제, 차단할 수 있도록 하는 내용의 심의규정 개정을 추진하고 있는 것과 관련하여, 새정치민주연합 표현의자유특별위원회 유승희 위원장 이 주관하고 표현의 자유 관련 10개 단체가 공동주최하는 긴급 토론회가 7월 20일 오후 2시, 국회의원 회관 2층 제2세미나실에서 개최된다.

방심위는, 현재의 심의규정상 “명예훼손 등 타인의 권리 침해와 관련된 정보는 당사자 또는 그 대리인이 심의를 신청해야 심의를 개시한다”는 부분을 개정하여, 당사자와 무관한 제3자의 요청 혹은 직권으로 명예훼손성 글을 조치할 수 있도록 하는 내용의 심의규정 개정을 추진하고 있다. 그런데 명예훼손성 글에 대하여 당사자가 아닌 제3자가 신고하거나 행정기관이 직권으로 심의를 하는 경우는 주로 대통령, 고위공직자 등 공인의 지위에 있는 자에 대한 것이 대부분인 바, 방심위의 이 같은 개정 시도는 곧 온라인 공간에서 권력자와 국가에 대한 비판을 손쉽게 차단하기 위한 수단으로 남용될 수 있다는 논란이 일고 있다.

또한 표현물이 명예훼손에 해당하는지 여부는 고도의 법률적 판단이 필요한 분야로서 사법기관 아닌 방심위가 이를 결정하는 것 자체에 대해서도 문제가 제기되어 왔는데, 나아가 피해당사자의 소명조차 없이 제3자의 신고만으로 수사권한도 없는 방심위가 명예훼손 여부를 판단하도록 하는 것은 더욱 큰 문제를 낳을 수 있다는 지적이다.

이번 토론회에서는 이러한 방심위의 명예훼손 정보 심의절차에 관한 심의규정 개정안에 대한 문제점을 공유하고 이에 대한 대안을 모색할 예정이다.

전규찬 언론개혁시민연대 대표의 사회로 진행되며, 황창근 홍익대 법대 교수가 “방송통신심의위원회 명예훼손 정보의 심의절차에 관한 심의규정 개정안의 문제점과 대안”이라는 주제로 발제하고, 손지원 변호사, 오병일 진보네트워크센터 활동가, 김영수 방심위지부장, 김경진 변호사, 이태봉 언론소비자주권행동 사무처장, 양규응 변호사, 그리고 임순혜 표현의자유와언론탄압공대위 운영위원장이 등이 토론자로 나선다.

** 본 세미나에 참석을 원하시는 분께서는 사전등록을 해주시기 바랍니다. (초대장 하단 “사전등록하기”)

대통령 등 공인에 대한 명예훼손 글 ‘선제적 대응’하겠다는 방심위

 

최근 방송통신심의위원회(이하 ‘방심위’)는 인터넷상의 명예훼손 글에 대하여 당사자의 신고 없이도 심의를 개시하고 삭제, 차단할 수 있도록 하는 내용의 심의규정 개정에 착수했다. 정보통신에 관한 심의규정 제10조 제2항 상의 “명예훼손 등 타인의 권리 침해와 관련된 정보는 당사자 또는 그 대리인이 심의를 신청해야 심의를 개시한다”는 규정에서 ‘당사자 또는 대리인이 심의를 신청해야’라는 부분을 삭제하여, 당사자가 아닌 제3자의 요청 혹은 직권으로 명예훼손성 글을 조치할 수 있게 한다는 것이다.

그러나 명예훼손성 글에 대하여 당사자가 아닌 제3자가 신고를 하는 경우는 거의 정치인 등 공인의 지위에 있는 자를 대신하여 이루어지는 경우가 대부분인 바, 방심위의 이러한 개정 시도는 명예훼손 법리를 남용하여 당사자의 신고가 있기 전에 ‘선제적 대응’을 통해서 온라인 공간에서의 대통령이나 국가에 대한 비판을 차단하겠다는 의도로 해석된다.

작년 10월 사이버명예훼손전담팀은 대통령이 ‘대통령에 대한 모독이 도를 넘고 있다’고 발언한 후 사이버 명예훼손에 대하여 ‘선제적 대응’을 하겠다고 밝히면서, 수많은 국민들이 이에 저항하여 텔레그램으로 망명하는 사태가 발생하였고, 이 때문에 검찰은 국감에서 선제적 대응을 하지 않겠다고 물러선 바 있다. 이러한 ‘선제적 대응’은 주로 공인 혹은 고위공직자가 자신에 대한 비판글에 대하여 직접 고소‧고발을 하여 체면을 깎아내리는 일이 없이 제3의 국가기관이 직접 이를 처리하는 방식으로 남용될 위험이 높다. 이러한 맥락에서 방심위가 간이한 시정요구 제도를 통해 검찰이 못한 선제적 대응을 대신하여 대통령이나 국가에 대한 비판을 위축시키고자 하는 것이 금번 심의규정 개정의 목적이 아닌지 의심스럽다.

또한 박 대통령의 풍자 그림을 그린 작가, 세월호 참사 당일 박 대통령의 행적에 의혹을 보도한 가토 다쓰야 산케이신문 전 서울지국장 모두 보수시민단체에 의하여 명예훼손 혐의로 고발당했다. 이렇듯 보수 성향의 단체나 개인들이 대통령과 국가기관을 대신하여 명예훼손죄로 고발장을 내는 사례는 점점 증가하고 있다.

따라서 심의규정이 위와 같이 변경될 경우 어떤 현상이 발생할지는 불보듯 뻔하다. 일반 사인의 명예훼손 글을 제3자가 신고하거나 선제적으로 방심위가 인지할 가능성은 매우 낮다. 결국 대통령, 고위공직자 등 공인들에 대한 비판글에 대하여 제3자인 지지자들이나 단체의 고발이 남발되어 이들에 대한 비판 여론을 신속하게 삭제, 차단하는 수단으로 남용될 것이다.

또한 서적, 음반, 영화, 방송 다른 어느 매체에서도 명예의 당사자가 가만히 있음에도 불구하고 행정기관이 나서서 특정 콘텐츠를 규제하는 사례는 없다. 인격권이나 지적재산권 등 개인의 권리 침해에 있어 개인의 적극적 의사가 없음에도 행정기관이 먼저 나서서 이를 해결하는 것은 국가 후견주의의 다른 모습이며 효율성 측면에서도 바람직하지 않다.

무엇보다도 국민의 위임에 따라 공직에 있는 자가 국민의 표현을 명예훼손이라는 이유로 제한하는 것은 최대한 억제되어야 함에도, 이를 촉발하는 수단으로 남용될 가능성이 높은 이번 방심위의 심의규정 개정은 재고되어야 한다.

 

2015년 7월 9일

 

민주시민언론연합, 사단법인 오픈넷, 언론소비자주권행동, 전국언론노동조합,

진보네트워크센터, 참여연대, 표현의자유와언론탄압공동대책위원회