이탈리아 해킹전문업체 판매 내역이 해킹되어 공개됐다. 고객명단에 대한민국 정부 5163부대가 있었다. 오고 간 영수증 주소는 국정원 공개 민원 창구 접수처와 같았다. 국정원은 프로그램 사용을 시인했다. 그러나 ‘대북·해외 정보전’ 차원이라고 변명했다. 국내 민간인 사찰 목적이 아니라는 설명이다. 국정원 직원이 자살했다.

이번 일의 기술 담당 직원이었다. 유서에는 “내국인에 대한 선거 사찰은 전혀 없었다”고 쓰여 있었다. 새누리당은 야당과 일부 언론이 물고 늘어져 비극으로 이어졌다는 정치공세를 시작했다. 여권 관계자는 “우리나라에선 국정원이라고 하면 덮어놓고 의심의 눈초리로 보는 경향이 있다“며 분노했다.

19일 야당은 ‘이탈리아 해킹팀이 시도한 국내 아이피 주소 중 KBS와 KT·다음카카오 등 방송·통신사 등이 두루 포함된 것’으로 나타났다고 발표했다. 국정원 주장대로 ‘대북용’ 이나 ‘연구용’이든 아니든, 국내 아이피 주소들이 해킹당한 것은 부인할 수 없다.

암약하는 간첩 신원을 확인했기 때문에 전방위적 사찰을 했다 한다면, 그것도 두려운 일이다. 도대체 간첩은 얼마나 있는 것이며 국정원은 그동안 무엇을 했단 말인가. 지난 대선 국정원 직원 김아영이 여당 후보, 대통령을 도왔던 열정이면 나라가 이 꼴이 되었을까 말이다.

‘덮어 놓고 의심의 눈초리로 보는 경향’은 누가 만들었는가. 국민들이 국가 안보에 여념 없는 정보기관 존재를 일년 내내 사찰 시비로 왜 만나야 하는가.

국정원장이 선거법 위반과 국정원법 위반으로 감옥에 갇혀 있는 것은 말이 되는가. 당신들이 결백하다는 것을 믿을 사람은 눈을 씻고 봐도 없는데, 국민에게 뒤집어 씌운다. 이런 것을 적반하장이라고 하지 않겠나. 도둑이 되레 매를 들고, 잘못한 사람이 도리어 잘한 사람을 나무라는 경우 말이다.

하긴 여당 대표 김무성씨는 “국가 안위를 위해 해킹 할 필요가 있으면 하는 것 아니냐”했다 하니, 그게 국내용이든 불법이든, 사적이든, 이미 논할 가치조차 없을지 모른다. 솔직한 말이었을지 모른다. 국가정보기관이 언제는 정부여당 것 아닌 적이 있었는가, 닥치고 조용히 있으라는 말이다.

국정원 직원 공동성명이 발표되었다. “자국의 정보기관을 나쁜 기관으로 매도하기 위해 매일 근거 없는 의혹을 경쟁적으로 쏟아내는 나라는 우리 밖에 없습니다.” 정보기관 직원 일동이라는 본적 없고 들은 적도 없는 성명도 어이없다. 조만간 부서 직책 연명도 불사할 기세다. 조직을 지키기 위해서라면 정보기관 기본도 지키지 않는다.

무엇보다 근거 없는 의혹을 끊임없이 제공했던 성찰은 단 한 줄도 없다. 중앙정보부, 안기부, 국정원으로 이어졌던 국내용 사찰과 고문의 역사를 국민이 잊었다고 하는 소린지 실소가 나온다. 이번 죽음조차 석연치 않게 생각하는 사람이 많다.

박근혜 정부 들어 증언자들은 결정적 순간에 죽었기 때문이다. 정적 제거를 위해 어떠한 수단도 마다하지 않던 박정희와 중앙정보부가 무소불위 권력을 휘둘렀던 때를 우리는 독재시대라 부른다.

그 시대 망령을 불러온 것이 누군지, 다시 한번 묻고 싶다. 국민이 문제인가, 당신들이 문제인가. 5163부대 명칭이 ‘516 쿠데타 때 박정희 소장이 새벽 3시에 한강철교를 넘었다’는 데서 따온 숫자라고 하던데… 말해 무엇하리요. 국정원의 거처를. 입만 아프지.

2015. 7. 21. 경기일보
박진 (다산인권센터 상임활동가)

<원문보기>

[경기시론] 5163부대와 그들의 적반하장

* 아래 '공감' 버튼, 페이스북 좋아요 한번씩 눌러주시면 

더 많은 분들께 이 소식을 전할 수 있습니다. ^^

레드삭스, 해킹팀 역추적 자료 심층 분석, 국정원이 “가장 적극적인 고객”– 5163 육군부대, 최소 15개국에서 최소 109개의 아이피(IP)로 접속– 목표 대상 감염시키려 다양한 가상의 개인 서버(VPS) 사용네덜란드에 본사를 둔 악성 코드 감별 및 보안 전문회사인 레드삭스(RedSocks)는 21일 해킹팀에서 유출된 세부 자료를 역추적하고 심층 분석한 결과를 발표했다. 이 보고서에서 주목할만한 점은 해킹팀으로부터 해킹 프로그램 구매와 관련, 최근 ...

2015년 7월6일 이탈리아 보안업체 ‘해킹팀’의 내부자료가 유출돼 인터넷에 공개된 후 우리나라의 국가정보원도 이 업체로부터 감청프로그램을 구입해 사용했다는 사실이 확인되면서 파장이 확산되고 있습니다. 기술적으로 복잡한 내용도 많고 확인되지 않은 채 유통되는 정보도 많습니다. 이해를 돕기 위해 몇가지 사항에 대해 문답식으로 풀어봤습니다. 앞으로 궁금한 점에 대해 질문을 주시면 취재를 통해 함께 답을 찾아나가도록 하겠습니다.

Q.국정원이 구입, 운용한 해킹팀의 RCS에서 ‘타깃 20개’란 어떤 의미인가? 국정원장은 20명 분의 해킹프로그램이라고 주장한다. Q.동시 감시 대상이 20개라는 것은 예를 들어 국정원이 감시가 필요한 대상 100개를 미리 감염시켜 놓은 뒤에 필요에 따라 감시 대상 20개 안에 넣었다 뺐다 할 수 있다는 것인가? Q.그렇다면 이미 20개를 가득 채워서 동시에 모니터링을 하고 있는 상태에서 다른 1개의 타깃에 추가로 스파이웨어가 설치된다면 어떤 일이 벌어질까? Q.그렇다면 국정원이 천 명, 만 명의 타깃을 감염시켜 대기열에 위치시켜 놓은 뒤에, 20개씩 차례대로 동시 감시 대상으로 올리면 이론적으로는 감염시켜놓은 모든 타깃을 숫자 제한없이 감시할 수 있다는 말 아닌가?

Q.국정원이 구입, 운용한 해킹팀의 RCS에서 ‘타깃 20개’란 어떤 의미인가? 국정원장은 20명 분의 해킹프로그램이라고 주장한다.

국정원이 이탈리아 해킹팀으로부터 도입해서 운용한 RCS 프로그램의 타깃(target)은 20개다. 이는 동시에 최대한 20개까지 감시가 가능하다는 의미다(해당항목으로 이동).

국정원장의 해명은 해킹을 20명만 할 수 있다는 것처럼 들리지만 실제는 동시에 감시가 가능한 것이 20명이다. 실제 연 감시 대상은 훨씬 많을 수 있다는 것이다.

이탈리아 해킹팀이 나나테크에 보낸 제안서에서 설명하는 타깃에 대한 개념도 그렇다.

예를 들어 모니터링하고 있는 타깃 20개 가운데 더 이상 감시할 필요가 없는 타깃 5개를 삭제하면 새로운 타깃 5개에 추가로 스파이웨어를 설치해 다시 20개까지 모니터링 할 수 있다는 뜻이다. 이렇게 될 경우 국정원이 해킹한 타깃은 모두 25개가 되지만 동시 모니터링 하고 있는 타깃은 20개가 된다.

Q. 동시 감시 대상이 20개라는 것은 예를 들어 국정원이 감시가 필요한 대상 100개를 미리 감염시켜 놓은 뒤에 필요에 따라 감시 대상 20개 안에 넣었다 뺐다 할 수 있다는 것인가?

그렇다고 보기는 힘들다. 국정원 관리자와 해킹팀이 2014년 7월7일 주고받은 메일을 보자. 에이전트는 휴대폰이나 PC 등의 목표물에 설치해 해당 기기에서 정보를 빼내오는 해킹용 스파이웨어를 말한다.

국정원: 우리의 라이선스는 동시에 최대한 20개의 에이전트를 운영하는 것이다. 만약 에이전트 하나를 멈추게 하면 시스템에서 사용되는 에이전트 수에서 제외되는 것인가? (즉, 에이전트를 하나 더 쓸 수 있게 되는 건가?) 해킹팀: 에이전트를 일시적으로 작동 중지시키는 것은 불가능하다. 영원히 멈출 수만 있다. 백도어를 닫아야 새로운 에이전트를 만들어낼 수 있다.

질의 응답은 다음날인 7월8일 이메일로 이어진다.

국정원: 메뉴얼 38페이지 ‘RCS 9.3 Technician.pdf’에 있는 “일시적인 에이전트 작동 중지”에 대해 말하는 것이다. 해킹팀: 뭔가 오해가 있었던 모양이다. 메뉴얼에 “에이전트 활동은 모든 모듈을 중지시키고 동기화 상태로만 놓아두면 에이전트를 삭제하지 않고도 일시적으로 멈추어둘 수 있다.”라고 돼 있는 부분은 만약 백도어의 모든 모듈을 중지시키면 에이전트 활동을 일시적으로 멈춰둘 수 있다는 말이다. 그러나 알다시피 그렇더라도 에이전트는 사용 중인 것이고, 동기화 중인 것이고, 시스템은 백도어를 통해 항상 통신을 주고 받고 있는 것이다. 당신의 라이선스 상에 새로운 타깃을 감염시킬수 있는 에이전트 여분이 없으면 백도어 하나를 닫던지(그리고 그 에이전트는 더이상 다시 열 수 없다.) 아니면 우리 판매부서에 연락해야한다.

(※RCS에는 여러 모듈(기능의 작동단위)이 있는데 기능에 따라 CALL 모듈, CHAT 모듈, PHOTO 모듈 등이 있다. CALL 모듈을 작동시키면 CALL을 감시할 수 있고 CHAT 모듈을 작동시키면 CHAT을 가로챌 수 있다.)

간단히 정리하면 예를 들어 타깃 100개를 한꺼번에 해킹해 놓고서 필요한 것들을 골라서 그 때 그 때 20개 안에 넣었다 뺐다 바꿔가면서 감시하는 것은 불가능하다는 말이다.

Q.그렇다면 이미 20개를 가득 채워서 동시에 모니터링을 하고 있는 상태에서 다른 1개의 타깃에 추가로 스파이웨어가 설치된다면 어떤 일이 벌어질까?

실제로 다른 나라의 고객이 해킹딤에 질문했다. 30개 타깃에 대한 라이선스를 갖고 있고 현재 30개를 동시에 감시하고 있는데 만약 3개월 전에 감염파일을 담아 보낸 이메일을 감시 대상이 이제서야 열어서 감염될 경우 어떻게 되냐는 것이다.

이럴 경우 31번째 타깃은 대기열(queue)에 위치하게 된다고 해킹팀은 답한다. 살아만 있을 뿐 자료를 빼오는데는 써먹을 수는 없는 상태라는 것이다. 따라서 라이선스 1개를 추가로 구입하거나 아니면 기존에 감시중인 타깃 하나를 제거해야 31번째 타깃의 에이전트가 활성된다는게 해킹팀의 설명이다.(▷관련 메일)

국정원도 비슷한 상황에 처한 적이 있다. 2013년 7월29일에 오간 이메일들(TICKET ID:!SMZ-100-78952)을 보면 “최근 타깃 3개가 감염된 것을 알게 돼서 기존 타깃 3개를 삭제했다. 그런데도 (감염된 타깃이) 대기열에서 시스템으로 들어오지 않고 대시보드에 추가할 수도 없다”면서 “3개의 공간이 있는데도 감염된 에이전트 2개가 20시간째 대기열에 머물러 있다”고 질문한다.

당시 국정원이 문제를 설명하면서 보낸 RCS 콘솔의 스크린샷이다.

스크린샷 제일 상단에 있는 RCS:DB 항목에서 상태가 ‘2connections’ 라고 돼 있는 부분이 대기열에 있는 타깃 2개를 말하는 것으로 보인다. 에이전트가 17/20로 3개의 여유분이 있으니 바로 시스템과 동기화돼서 감시 가능 상태에 들어와야 하는데 여전히 대기열에 머물러 있는 상황이다.

이 문제는 결국 국정원이 해킹팀의 조언대로 콜렉터를 다시 부팅하면서 해결이 된다.(▷관련 이메일)

Q.그렇다면 국정원이 천 명, 만 명의 타깃을 감염시켜 대기열에 위치시켜 놓은 뒤에, 20개씩 차례대로 동시 감시 대상으로 올리면 이론적으로는 감염시켜놓은 모든 타깃을 숫자 제한없이 감시할 수 있다는 말 아닌가?

이론적으로는 가능하다. 하지만 실제 해킹팀 RCS 운영 상황으로 볼 때 현실적으는 어렵다. 먼저 앞에서 국정원이 언급했던 대시보드가 무엇인지 보자.

타깃을 대시보드에 추가한다는 것은 기능별로 타깃을 살펴보겠다는 의미다. 사진 왼쪽에 감염된 기기들이 나오고 각각 제공되는 기능이 일목요연하게 표시된다. 휴대폰의 경우 일정,통화,채팅,메모리,이메일,마이크,위치 등에 대한 기능이 제공됨을 알 수 있다.

대시보드에 감염대상을 추가하고 나면 각종 작업을 수행할 수 있다. 다음은 작업 명령을 내리는 화면이다.

감시 중인 스마트폰의 스크린샷을 찍어 전송받을 수도 있고 마이크를 작동시켜 녹음을 할 수 도 있다.

RCS는 이렇게 필요한 타깃의 기기 특성과 운영체제, 사용프로그램에 맞춰 취약점을 공격하고 일단 스파이웨어를 설치한 뒤에는 타깃의 활동 하나 하나를 면밀히 모니터링하는 시스템이다. 목표물의 음성 통화나 채팅, 사진 등을 감시하다가 필요한 때 자료를 빼오는 시스템이다.

또 목표물을 해킹하기 위해서는 취약점 공격에 필요한 URL이나 감염파일이 필요한데, 국정원이 직접 만드는 게 아니라 해킹팀에 요청해서 받아야 한다. 뉴스타파가 분석한 결과 지난 2013년 5월부터 2년 동안 국정원이 해킹팀으로 받은 URL이나 감염파일은 모두 320여 개였다. 이것이 모두 성공했다 하더라도 목표물은 2년 동안 320여 개가 되지만 이 가운데는 한 번 실패했다 다시 요청받은 것도 있어 실제 목표물은 320개 보다 적을 것으로 보인다.

또 국정원은 주로 해킹을 위해 문자나 이메일로 스파이웨어가 심어져 있는 URL을 보내는 방식을 사용했는데 이 경우 URL은 한 개의 목표물만 감염시킬 수 있기 때문에 다수의 목표물에 문자나 이메일을 발송해 다수를 한꺼번에 감염시키는 것이 불가능하다.

이런 여러가지 이유로 동시 감시대상이 20개라 하더라도 사실상 무제한으로 감시할 수 있다는 것은 이론적으로는 가능하지만 RCS의 운영특성으로 볼 때 현실적으로는 설득력이 없어 보인다. 물론 이것은 해킹팀 RCS에 한정된 얘기고, 국정원이 다른 해킹 프로그램들을 운용해 더 많은 목표물을 감시하고 있는지 여부는 현재로선 확인된 바가 없다.

1.국정원을 위한 타파스 플레인 – 해킹.감청 똑바로 하기

제대로 공작하는 법을 1도 모르는 것 같은 요원님들을 위해 타파스가 준비한 ‘올바른 해킹·감청 가이드’
▶ 더 자세한 내용이 알고싶다면?
박경신 사단법인 오픈넷 이사가 쓴 “국정원의 해킹팀 스캔들 평가”

2.타파스 극장 : 삼권분립 대서사시

어느 나라 얘기 같아 보이는건 기분탓일 겁니다. 아마도…

3.타파스 클립 : 당신은 학부모가 아니다

집에서는 아버지, 학교에서는 남남?
아버지로 인정받을 수 없었던 아버지의 싸움
그런데 이런 아버지들, 참 많습니다.

뉴스프로, 해킹팀 추적해 온 ‘시티즌 랩’ 연구원 빌 마크잭과 인터뷰– TNI와 연결된 네트워크에 있는 모든 대상이 공격 목표 될 수 있어– TNI를 사용해 주입한 스파이웨어, 원격조정으로 흔적 없이 해킹 가능– 실전 암시하는 스파이웨어 일지에서 한국 IP 주소 확인, 실제 타겟 존재 가능성 시사해– ‘시티즌 랩’ 국정원의 스파이웨어 및 TNI 사용 증거 계속 추적할 것 빌 ...

국정원이 민간인 해킹 의혹을 풀 핵심 열쇠인 로그파일 공개를 계속 거부하고 있는 가운데, 보안 전문가들은 국정원 RCS 로그파일이 이미 위변조되었을 가능성도 있다는 견해를 밝혔다. 이에 따라 완전한 의혹 해소를 위해서는 로그파일만이 아니라 국정원 RCS의 운영체제, 즉 하드디스크까지 객관적으로 분석해 원본 파일에 조작이 있었는지 여부를 검증할 필요성이 제기되고 있다.

‘로그파일 공개’는 ‘민간인 해킹 검증’의 핵심

국정원 해킹 의혹의 본질이 국내 민간인에 대한 해킹 여부라는 것은 주지의 사실이다. 이를 판가름할 핵심 정보는 국정원 RCS 서버에 담긴 로그기록 속에 들어 있다.

이미 해킹팀 유출 자료 가운데 지난 5월과 6월 중 국정원이 요청한 악성코드의 활동이 담긴 로그기록이 26건이 확인된 바 있는데, 악성코드의 활동 일시, 접속 아이피, 단말기 모델 및 기종, 설정 언어, 미끼 URL, 감염 성공 여부까지를 확인할 수 있는 형식이었다. 이 가운데 2건은 내국인 해킹이 의심되는 기록이다.

※ 관련 데이터 : 해킹팀 서버 국정원 로그기록

사태 초기 야당은 국정원에 이 로그파일을 제출하라고 요구했다. 대국민 해킹이라는 휘발성 높은 의혹이 일었던 만큼 여당 역시 최대한 국정원이 자료를 공개하도록 협조하겠다는 입장이었다.

그러나 7월 18일 RCS 운영팀의 일원이었던 국정원 임 모 과장이 유서에 ‘일부 자료를 삭제했다’고 밝히며 스스로 목숨을 끊으면서 분위기가 바뀌었다. 야당이 자살 배경과 경위에 대한 석연치 않은 정황들을 이유로 공세를 강화하자 여당은 입장을 바꾼다. 로그파일 공개는 국가 기밀을 유출하라는 것이고 국가 안보를 무장해제하라는 것이어서, 북한만 이롭게 하는 행위라는 논리로 맞공세를 시작한 것이다.

7월 27일 국정원은 임 과장이 삭제한 자료를 10일 만에 모두 복원했다며 국회 정보위원들에게 보고한다. 모두 51건의 해킹 시도 기록 가운데 대북·대테러 용의자를 대상으로 10건은 성공, 10건은 실패한 자료였으며, 나머지 31건은 내부 실험용 기록이었다는 것이다. 그러면서 이병호 국정원장은 자신의 직을 걸고 국내 사찰은 없었다고 강변했다. 그러나 야당은 국정원이 이른바 ‘셀프 검증’으로 ‘셀프 면죄부’를 발부하고 있다며, 객관적이고 세부적인 자료 제출 없이는 믿을 수 없다고 반발했다.

보안 전문가들의 견해는? “로그파일 이미 위변조됐을 수도”

국정원 해킹 의혹을 둘러싼 이 같은 여야 간 대치 정국을 국내외 보안 전문가들은 어떻게 바라보고 있을까. 뉴스타파가 접촉한 전문가들은 하나같이 의혹을 말끔히 해소하기 위해 필요한 것은 정치적 공방이 아니라 냉정한 기술적 접근이라고 조언했다.

우선 이들은 임 과장의 자료 삭제 문제는 큰 틀에서 볼 때 중요치 않을 수도 있다는 점을 언급했다. 내국인 사찰 여부를 가를 핵심은 어차피 로그파일인데, 해킹팀 자료 유출 이후 이미 20일 이상 흐른 시점에서 임 과장이 아닌 다른 국정원 직원이 로그파일에 손을 댔어도 이상할 것이 없기 때문이라는 것이다.

이탈리아 해킹팀의 RCS가 전세계 21개국에서 활동하고 있음을 지난해 폭로했던 토론토대학 시티즌랩 연구원 빌 마크잭은 뉴스타파와의 화상 인터뷰에서 “로그파일은 기본적으로 텍스트 파일 형태이므로 누구라도 쉽게 편집과 삭제와 추가 등의 조작이 가능하다”며 “이런 조작이 있었는지를 디지털 포렌식 전문가조차 알 수 없게 수행하는 것도 얼마든지 가능하다”고 밝혔다.

익명을 요구한 한 국내 디지털 포렌식 전문가는 “디지털 포렌식에도 ‘골든타임’이 존재한다”면서 “해킹팀의 자료 유출 직후 국정원 RCS 서버에 담긴 로그파일을 곧바로 확보하지 않은 이상, 지금 와선 그 파일에 이미 어떤 조작이 가해졌는지를 판단하긴 어렵다”고 말했다.

이런 상태에서는 야당이 요구하는 로그파일이 공개된다 해도 의혹을 해소하기는커녕 되레 논란을 증폭시킬 수 있다는 견해도 있었다. 김진국 플레인비트 대표는 “디지털 자료는 위변조가 너무나 용이하다. 따라서 어떤 디지털 데이터의 ‘원본’이라는 것은 특정 시점에서 데이터의 특정 상태에 관해 이해 당사자 간의 상호 인정이 있을 때, 혹은 객관적 인증 절차(전자지문 등)가 있었을 때 성립하는 개념이다. 바꿔 말하면 이런 절차 없이 제시되는 디지털 자료는 이해 관계에 따라 ‘원본’이라고 주장할 수도 있고 아니라고 주장할 수도 있게 되는 것”이라고 설명했다. 즉 지금 당장 로그파일이 공개됐을 때 문제되는 내용이 없으면 여당은 ‘원본’으로 야당은 ‘조작본’으로 규정할 것이며, 문제되는 내용이 나오면 그 반대 주장이 펼쳐질 것이라는 의미다.

“로그파일 조작 여부 판단 위해 운영체제 전부 들여다 봐야”

전문가들은 이런 문제를 해결하기 위해선 로그파일만이 아니라 파일이 담겨 있던 국정원 RCS 서버의 운영체제를 모두 분석해 위변조 여부부터 판단해야 한다고 조언했다.

원리는 이렇다. 만약 누군가가 로그파일 일부를 변조했다면 파일을 열고, 내용을 수정하고, 저장하고, 파일을 닫는 일련의 과정을 거쳐야 하는데 각각의 단계마다 디지털 기호 형태의 흔적이 운영체제 어딘가에 남겨진다는 것이다. 혹은 파일을 열지 않은 채로 삭제하려면 이 기능을 수행하는 소프트웨어나 프로그램이 실행되어야 하는데 이 역시 운영체제 어딘가에 흔적을 남긴다. 이런 산재한 정보들을 모두 긁어모아 분석하면, 로그파일이 위변조되기 이전의 원 정보를 복원시킬 수는 없더라도 최소한 조작이 있었다는 사실은 확정할 수 있다는 것이다.

이 파일이 만약에 어떻게 수정이 되거나 사용자가 어떤 행위를 했다, 그러면 그 시스템, 우리가 윈도우즈 컴퓨터라고 하면 컴퓨터 자체, 서버면 서버 자체, 그 디스크 자체가 전체적으로 있으면 그 안에 있는 로그파일에 어떤 임의적인 조작을 가했다 안 했다(를 알 수 습니다.) 사실 이것도 시간이 지나면 밝혀내기가 어렵습니다. 그래도 어느 정도 파일 하나만 보고 판단하는 것보다는 신빙성 있게, 신뢰성 있게 판단할 수 있죠.
– 김진국 플레인비트 대표

포렌식 분석을 제대로 하기 위해선 해킹팀의 소프트웨어가 실행됐던 국정원 컴퓨터의 원본 하드 드라이브를 확보해야 합니다. 만약 국정원이 로그파일만을 제공한다면 그것의 조작 여부를 확인할 확실한 방법은 없다고 봐야 하고요.
– 빌 마크잭 토론토대학 시티즌랩 연구원

국정원, 국민 신뢰 회복할 마지막 기회 잡을 수 있을까

지난 29일 여야는 민간 추천 전문가와 국정원 기술진의 간담회 개최에 조건부 합의했다. 이때 야당은 국정원이 RCS 데이터가 담긴 하드디스크 원본 등 6개 자료가 제출되지 않으면 합의를 파기하겠다는 뜻을 밝혔다. 이는 디지털 보안과 포렌식 전문가들이 제시한 검증 방식의 틀에 부합하는 것이다.

마찬가지로 국정원도 민간인 사찰 의혹을 근본적으로 해소하는 데 필수인 디지털 증거를 제시하는 데 주력할 필요가 있다. 특히 국정원장 직을 걸겠다고 밝힐 정도로 자신이 있다면 전문가들이 인정하는 검증 방법을 마다할 이유가 없을 것이다. 그리고 그 결정은 빠를수록 좋다. 이미 대선 개입과 간첩 증거 조작으로 국민의 신뢰를 잃은 국정원이기에 더더욱 그렇다.

일 석간 후지, 국정원 해킹 “박근혜, 부메랑 맞아” – 박근혜, 노무현 정부 때 국정원 도청 앞장서서 비판 – 해킹 문제로 요동치는 한국 – 박근혜, 외교-경제에서 막다른 골목 봉착 박근혜는 자신이 하면 로맨스, 남이 하면 불륜이라는 태도로 국정운영에 임해 왔다. 이번 국정원 도·감청 스캔들도 마찬가지다. 일본 석간 후지는 이런 행태를 꼬집고 나섰다.후지는 28일 국정원이 시민들의 스마트폰을 ...

디플로마트, 국정원은 자국민을 사찰하고 있나? – 해킹팀으로부터 RCS 스파이웨어 구매– 해킹팀에게 “카카오톡 진척상황” 묻기도…카카오톡 사용자 사찰 의도로 해석– 야당 ‘로그 파일 공개해야’ VS 여당 ‘내국인 사찰 의도 없어’ 디플로마트 1일, ‘한국 정보기관은 자국민을 사찰하고 있는가’라는 제목의 기사에서 국정원이 자국민에 대한 사찰 의도로 해킹 프로그램을 구매했다는 의심을 받는 소식과 이에 대한 여야의 상반된 반응을 보도했다.기사는 해킹팀에서 ...

국정원의 해킹프로그램 RCS가 안드로이드폰에 설치돼 있는지 여부를 확인할 수 있는 백신프로그램이 개발됐다.

(사)오픈넷과 진보네트워크센터, P2P재단코리아준비위원회는 RCS 감염여부를 확인할 수 있는 안드로이드용 ‘오픈백신’을 개발해 일반에 공개했다.

그동안 윈도 PC용으로는 국제엠네스티 등 인권단체들이 개발한 디텍트(Detekt)란 탐지 프로그램이 있었으나 안드로이드용으로 개발된 모바일 백신은 ‘오픈백신’이 처음이다.

‘오픈백신’은 국정원이 이탈리아의 해킹팀으로부터 구입해 사용하는 해킹프로그램인 RCS만을 탐지하기 위해 개발된 것으로 감염여부를 확인할 수는 있지만 치료는 할 수 없다.

오픈넷의 남희섭 이사는 “RCS가 검출됐을 경우 ‘신고’버튼을 누르면 제작팀이 포렌식 분석을 통해 정밀한 검사를 제공”할 계획이라고 밝혔다.

오픈백신은 구글플레이스토어에서 내려받아 사용하면 된다.

시티즌 랩, 한국 국정원의 해킹팀 RCS 사용에 대한 연구 조사보고서 공개– 국정원이 사용한 미끼 콘텐츠, 도메인 및 아이피 주소 공개– 국정원, OTA 업데이트와 와이파이 무선 네트워크 해킹에 관심– 국정원, 카카오톡 및 안랩의 안티바이러스 해킹에 관심– 국정원, 한국인 실제타깃 두 차례 해킹 성공 사례 공개시티즌 랩은 한국 국정원의 해킹팀 RCS 사용에 대한 개략적인 연구노트와 함께 추가적인 ...

지난해 7월 국정원 등 각국의 정보기관에 해킹프로그램, RCS를 대량 판매한 것으로 드러나 전세계를 떠들썩하게 만들었던 이탈리아 해킹팀이 최근 활동을 재개했음을 보여주는 악성프로그램이 발견됐다.

미국의 보안업체 센티넬원(Sentinelone)의 페드로 빌라사 연구원은 최근 입수한 악성프로그램 샘플을 분석한 결과 이탈리아 해킹팀이 사용하던 RCS, 즉 리모트 컨트롤 시스템과 같은 소스코드를 사용하고 있는 것으로 확인됐다고 자신의 블로그에 밝혔다.

또 이 악성프로그램에 심어진 암호화 코드의 작성 날짜가 2015년 10월 16일로 돼 있는 것으로 미루어 볼 때 해킹팀이 지난 7월 사태 이후 다시 활동을 시작했을 가능성이 크다고 지적했다.

이 악성프로그램은 감염된 컴퓨터에 다른 프로그램이 설치되도록 도와주는 것으로, 이번에 발견된 샘플은 애플의 운영체제를 사용하는 컴퓨터를 대상으로 하고 있으며 감염될 경우 해킹팀의 RCS가 설치되도록 유도하는 것으로 드러났다.

또 소스코드에서는 악성프로그램에 명령을 보내는 서버의 아이피주소도 발견됐는데 아이피 검색 결과 할당대역은 영국으로 돼 있지만 이미 차단돼 있는 것으로 나타났다.

빌라사 연구원은 이번에 발견된 악성프로그램은 해킹팀의 내부 소스코드가 유출됐을 때 확인했던 마지막 버전인 2015년 3월 버전과 같은 형식을 띄고 있지만 백신프로그램에 검출이 어렵도록 약간의 업그레이드가 이루어져 있다면서 ‘새로운 코드로 다시 돌아오겠다’고 선언했던 이탈리아 해킹팀이 그동안 큰 발전을 이루지는 못한 것 같다는 설명도 덧붙였다.

이와 관련해 보안업체 사이낵의 연구원 패트릭 워들은 이번 악성프로그램이 예전에 사용했던 형식을 사용하고는 있지만 소스코드의 분석을 어렵게 하기 위해 애플의 암호화 구조를 사용하는 등 몇가지 발전된 기술이 사용됐다는 분석도 내놓았다.

이번에 발견된 악성프로그램은 두 가지 형태로 지난 2월 4일 구글이 운영하는 바이러스 검색사이트인 ‘바이러스토탈’에 처음 올라왔으며 당시에는 어떤 백신프로그램에도 검출이 되지 않았으나 지금(3월1일 현재)은 55개 백신프로그램 가운데 안랩의 V3 등 19개가 이를 감지할 수 있는 것으로 나타났다.

이탈리아 해킹팀은 지난해 7월 400 기가바이트 분량의 내부자료와 소스코드가 해킹으로 유출된 후에도 변함없이 사업을 진행하겠다는 입장을 밝혔다.

이와 관련해 국정원 대변인은 “지난해 7월 해킹팀의 RCS를 국정원이 도입해 사용하고 있다는 사실이 밝혀져 논란이 일었을 당시에 국정원은 RCS의 사용을 중단하겠다”고 밝힌 입장에서 변화가 없다면서도 현재도 중단 상태인지 여부에 대해선 일일이 확인해주기 어렵다고 말했다.

논평] 정보기관의 존재 의미는 국민의 안위 – 정치개입, 도감청 자행한 국가정보원, 존재의미 재검토해야Wycliff Luke 기자 모사드 문장 (출처: 위키피디아) 이스라엘 정보기관 모사드는 정보력과 조직의 잔혹성에서 세계 최고 수준을 자랑한다. 이스라엘의 정보력은 구약 시절까지 거슬러 올라간다. 이집트를 떠나온 이스라엘 족속은 가나안을 목전에 두고 부족별로 12명의 정탐꾼을 선발해 40일 동안 현지의 동태를 살피게 했다. 이는 현대적 의미에서 ...