주요 콘텐츠로 건너뛰기

해킹팀 서버에 남은 국정원의 마지막 해킹 기록 공개

지역

해킹팀 서버에 남은 국정원의 마지막 해킹 기록 공개

익명 (미확인) | 월, 2015/07/20- 20:35

– 최근 2달 총 24번 접속, 국내 실전용 해킹은 2회 추정

뉴스타파가 이탈리아 해킹팀 서버의 최근 2달간 접속 기록을 분석한 결과 국정원은 해킹팀 프로그램을 통해 모두 24건의 해킹을 시도했으며 이 가운데 해외 통신망에서 이뤄진 해킹은 15건, 국내 통신망에서 이뤄진 해킹은 2건으로 분석됐다. 또 나머지는 국내에서 테스트용으로 이뤄진 해킹이었던 것으로 나타났다.

유출된 해킹팀 자료에 들어있던 접속 기록은 해킹 목표물이 감염서버로 유인돼 접속하면서 남긴 기록이다. 여기엔 지난 5월과 6월에 이뤄진 전세계 해킹팀 고객의 해킹 시도 기록이 남아 있다.

이 접속 기록에는 감염서버에 접속한 일시와 해킹 목표가 된 단말기의 정보, 아이피 주소, 감염이 이뤄진 웹페이지 주소, 스파이웨어 설치 성공 여부 등이 포함돼 있다.

뉴스타파 취재진은 접속 기록에 포함된 이같은 정보들과 해킹팀이 국정원에 제공한 해킹용 웹페이지 주소와 첨부파일이 일치하는 지 여부를 비교해 국정원이 시도한 해킹 기록 24건을 찾아냈다.

어디를 해킹했나?

전체 24건 가운데 해외에서, 즉 해외통신망을 이용해 이뤄진 해킹이 총 15건으로 가장 많았다. 지역별로는 중국과 유럽, 동남아, 아프리카 등으로 폭넓게 이뤄졌다. 그러나 실제 해킹용 스파이웨어를 설치하는데 성공한 경우는 3건에 불과했고 12건은 실패한 것으로 나타났다.

해외에서 이뤄진 해킹 시도는 모두 국정원이 실전용이라고 해킹팀에 밝힌 것들이었다.

국내 통신망을 이용한 경우는 모두 9건이었는데 이 가운데 6건은 국정원이 테스트용이라고 밝힌 것이었고 실제로 아이피 주소(223.62.169.10, 223.62.169.56)도 겹치는 것이 많았다. 테더링으로 SK텔레콤 이동통신망에 접속해 개통하지 않은 다양한 단말기를 가지고 해킹 시험을 했기 때문에 아이피 주소가 서로 일치했던 것으로 보인다. (테더링: 휴대폰을 무선모뎀으로 활용해 인터넷에 접속하는 방식)

또 아이피 주소 223.62.169.56을 사용했던 갤럭시노트2(SKT모델) 단말기의 경우 국정원은 실전용이라고 밝혔지만 위의 테스트용 아이피주소와 겹치는 것으로 미뤄 역시 테스트용으로 분류했다.

이에 따라 국정원이 국내에서 실전용으로 실제 해킹에 사용한 것으로 보이는 접속 기록은 2건으로 추려졌다.

아이피주소 223.62.169.2 223.62.212.18
단말기 갤럭시노트2 SKT 갤럭시노트2(해외용)
해킹 일시 2015.6.4 2015.6.17
설정 언어/국가 ko-kr en-ph
할당대역 SKT SKT
미끼 URL http://www.cdc.gov/coronavirus/
mers/faq.html
http://www.5zuo2.com

▲ 아이피 주소 앞 두자리인 223.62.*.*는 SK텔레콤이 국내에서 LTE 대역으로 사용하는 아이피 대역이다.

하나는 국정원이 실전용이라고 밝히면서 메르스 정보 사이트를 이용해 해킹을 요청했던 것으로 브라우저 설정이 한국어로 되어 있다. 또 하나는 영어로 설정된 단말기로 역시 실전용으로 국정원이 요청한 것이다.

▲ 미국 질병통제센터 CDC의 메르스 관련 페이지를 미끼 URL로 해킹 요청한 국정원 관리자의 이메일

▲ 미국 질병통제센터 CDC의 메르스 관련 페이지를 미끼 URL로 해킹 요청한 국정원 관리자의 이메일

물론 국정원이 실전용이라고 해킹팀에 요청했던 갤럭시노트2의 경우 아이피 주소의 앞 세자리(223.62.169.*)가 다른 테스트용(223.62.169.*)과 같은 것으로 볼 때 실제로는 실전용이 아닐 수도 있다. 그러나 다른 테스트용과는 다르게 매우 구체적인 사이트를 명시한 점으로 미뤄 충분히 국내 이동통신가입자를 상대로한 해킹이 아니냐는 의혹을 가질 수 있다

또 두번째 사례의 경우도 아이피 주소와 미끼 URL이 테스트용과 다른 것을 감안할 때 국내에 입국한 해외 교포나 외국인을 상대로 해킹을 시도한 것이 아니냐는 의심이 가는 대목이다.

다른 해킹 사례는 확인이 안되나?

뉴스타파는 앞서 공개한 자료 <국정원이 해킹팀에 보낸 ‘감염 요청 메일’ 분석 결과> 에서 내국인을 상대로 사용된 것으로 추정되는 미끼 URL과 첨부파일이 모두 43개에 이른다고 보도했다. 이 가운데 2013년에 미국의 안수명 박사를 목표로 한 것으로 보이는 해킹 요청 외에도 지난 3월말과 4월 중순 사이에 한국인을 목표로 했을 것으로 의심되는 사례가 집중돼 있다.

내국인을 상대로 하지 않았다면 미끼 URL로 한글로 된 맛집 소개나 축제 관련 블로그를 사용했을 리가 없기 때문이다.

하지만 이런 미끼 URL을 이용한 해킹 시도가 누구를 대상으로 어디에서 이뤄졌는지 현재로선 확인할 방법이 없다. 해킹팀의 서버에는 접속 기록이 지난 5월과 6월치만 보관돼 있기 때문이다.

또 이동통신사를 대상으로 접속기록을 확인한다고 해도 이동통신사는 인터넷 접속 로그기록을 3개월만 보관하도록 돼 있기 때문에 위에서 언급한 2015년 5월 이전의 의심사례를 확인하는 것은 힘들다.

뉴스타파가 분석한 해킹팀 서버의 해킹 기록은 국정원의 해명대로 해외에서 주로 해킹이 이뤄졌으며 국내에서 테스트용으로 사용한 경우도 있다는 것을 보여주지만 자국민에 대한 해킹의혹을 완전히 해소시켜주는 것은 아니다.

더구나 해킹팀 유출 자료로 분석할 수 있는 접속기록은 최근 2달치에 불과한 반면 국정원이 해킹프로그램을 운용한 기간은 지난 2012년 1월부터 지금까지 3년 6개월에 이른다.

국정원은 지금까지 대테러, 대북 공작을 위해서 해외에서 해킹프로그램을 사용하거나 테스트용으로만 사용했을 뿐 자국민을 대상으로는 사용한 적이 없다고 해명하고 있다.

또 국회 정보위원들이 국정원을 방문하게 되면 그동안의 해킹프로그램 사용기록을 모두 공개하겠다는 입장이다. 과연 해킹팀과 거래를 시작한 2012년부터 현재까지 기록을 투명하게 모두 공개할지 주목된다.

이번에 분석한 접속 기록 관련 자료는 뉴스타파 <국정원과 해킹팀> 데이터 페이지 에서 볼 수 있다.

시민들의 의견

댓글 달기

Plain text

  • 웹 페이지 주소 및 이메일 주소는 자동으로 링크로 전환됩니다.
  • 줄과 단락은 자동으로 분리됩니다.
  • 사용할 수 있는 HTML 태그: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd>
이미지
무제한 수의 파일을 이 필드에 업로드할 수 있습니다.
50 MB 한계입니다.
허용된 유형: png gif jpg jpeg.
Enter the YouTube URL. Valid URL formats include: http://www.youtube.com/watch?v=1SqBdS0XkV4 and http://youtu.be/1SqBdS0XkV4.
CAPTCHA
스펨 사용자 차단 질문

이번에 유출된 문서 중 몰타 법인등기 서류에서 북한의 ‘애국 기업인’ 2세의 이름이 나왔다. 몰타에 세워진 이 회사는 몇년 전부터 북한이 벌이고 있는 건설노동자 해외 송출 사업과 연관해 국제 금융 제재를 피하기 위해 만들어진 것으로 보인다.

의문의 몰타 회사.. 대표의 주소는 ‘평양시 모란봉구 월향동’

유럽의 대표적인 조세도피처인 몰타에 설립된 ‘코말 임포트 앤 익스포트 컴퍼니(Kormal Import & Export Company)’, 이 회사의 주주이자 대표인 송성희 씨의 주소는 평양시 모란봉구 월향동으로 돼 있다. 비서로 등록된 조국철 씨 역시 주소가 평양시 모란봉구 월향동으로 등록돼 있다. 구글지도로 이 주소를 찾아보니 개선문이 위치한 평양의 가장 중심지 중 한 곳이었다. 2013년 공동대표로 이름을 올렸다 2016년 사임한 장삼성이라는 인물 역시 북한 국적인 것으로 확인됐다. 평양을 주소로 둔 사람들이 왜 머나먼 지중해의 섬나라 몰타에까지 와서 회사를 만든 것일까?

2017110605_01

현지 유명 건설업자와 공동 투자..북한의 해외 인력송출 관련 가능성

애플비 문서에 따르면 ‘코말 임포트 앤 액스포트 컴퍼니’ 는 지난 2011년 11월 17일 설립됐다. 송성희 씨가 공동대표이자 주주로서 지분 절반을 소유하고 있으며, 조지 가트라는 이름의 몰타 현지인이 공동대표를 맡고 있었다. 조지 가트는 자신이 운영하는 ‘솔리다고’라는 회사를 통해 나머지 지분 절반을 소유하고 있었다. 조지 가트는 2013년 공동대표직을 사임했으며 앞에서 언급한 장삼성이라는 또다른 북한 사람이 공동대표직을 승계했다.

조지 가트는 몰타에서 건설업으로 큰 돈을 번 인물이다. 북한에서 온 의문의 여성이 현지의 유력 건설업자와 함께 공동으로 회사를 설립하고 사업을 벌인 것이다. 사업의 내용은 분명하지 않다. 다만 코말의 법인 정관을 보면 이 회사는 음식 공급, 무역업, 그리고 의료시술 센터 운영 등을 설립 목적으로 하고 있다. 북한대학원대학교의 양무진 교수는 몰타의 이 회사가 외화를 벌기위해 현지에 파견된 북한 근로자들과 관련이 있을 것으로 분석했다. 실제로 몰타에는 수년 전부터 북한 노동자들이 건설업과 섬유업 분야 등에서 일하고 있다.

뉴스타파가 ICIJ 파트너인 몰타 현지 언론 <타임즈 오브 몰타> 의 취재 협조를 통해 장삼성의 주소지를 현장 취재한 결과 지금은 건물의 흔적이 없었고 한창 다른 건물의 건축 공사가 진행 중이었다. 코말이 2017년 1월 회사주소로 등록한 조지 가트의 주소지 역시 개인 거주지로 보이는 건물이었다.

2017110605_02

페이퍼 컴퍼니 대표 송성희 씨는 ‘애국 기업인’ 2세

뉴스타파 취재결과, 송성희 씨는 북한의 평양안경상점 지배인이자 고려심청회사 사장으로 확인됐다. 평양안경상점은 지난 2002년 ‘군인들을 성심성의로 원호한’ 공로로 김정일 위원장이 감사, 즉 고맙다는 의사를 보낸 기업이다. 그만큼 북한 정권의 핵심과 가깝다는 얘기다. 이뿐만이 아니다. 송성희 씨는 지난 2004년 ‘민족21’과의 인터뷰에서 자신의 아버지가 김일성 전 주석으로부터 ‘애국 기업인’ 칭호를 받았다고 밝힌 바 있다. 이런 점으로 미루어볼 때 송성희 씨는 북한 정권의 핵심으로부터 상당한 신뢰를 받는 기업인인 것으로 추정된다.

2017110605_03

양무진 교수는 “북한 국적을 가진 사람이 해외에서 조세회피처를 활용한다는 것은, 당-국가 기관으로부터 허가를 받았거나 아니면 개인적으로 당의 아주 고위직으로부터 후견을 받는다는 의미”라고 분석했다. 양 교수는 또 북한이 조세회피처를 이용한다는 것은 다른 나라와 달리 “세금을 회피하기 위한 목적보다는 국제사회로부터의 금융제재를 우회하기 위한 것일 가능성이 높다”고 분석했다. 즉, 북한 정권의 상당한 신임을 받는 경제인이 국제사회의 금융 제재를 피해 외화를 조달하기 위해 조세도피처에서 현지인과 공동으로 법인을 설립하고 모종의 사업을 벌였을 가능성이 높다는 것이다.

뉴스타파는 지난 2013년과 2016년에도 조세도피처 유출 데이터에서 북한의 기업인들을 찾아내 보도한 바 있다. 이번 ‘파라다이스 페이퍼스’ 프로젝트 유출 데이터에서 나온 북한 관련 문서는, 북핵 위기로 국제사회가 대북 압박을 지속적으로 강화하는 가운데 이를 회피하려는 북한의 다양한 시도 가운데 하나를 보여주는 것으로 보인다.


취재 : 임보영
촬영 : 김남범
편집 : 정지성
CG : 정동우
취재협조 : <타임즈 오브 몰타>

월, 2017/11/06- 03:01
123
0

가디언, 한국 국가인권위 ‘탈북 여종업원’ 조사 방침 보도 -유엔 관계자의 발표 이후 여종업원 전원 조사 예정 -탈북 여종업원 전원을 만나 이야기 나눈 이도 없어 -12명 여종업원 한국 도착 이후 일반에 공개된 적 없어 -허강일, 남한 정보원의 명령으로 유인해 거짓말로 남한행 -통일부, 강제 및 강요 없었다고 되풀이 7월 31일자 가디언에 “South Korea to investigate North Korean ...

The post 가디언, 한국 국가인권위 ‘탈북 여종업원’ 조사 방침 보도 appeared first on Newspro Inc..

수, 2018/08/01- 21:48
122
0

There was a large demonstration of around 130,000 protesters in downtown Seoul on November 14th.

Demonstrators and Police clashed near Gwanghwamoon Plaza around 5pm. Police hit back at protests with water canons. The demonstration continued into the night.

Mr Baek, an elderly protestor was knocked down by the police water cannon while taking part during the demonstration, has since had to undergo brain surgery at Seoul National University hospital.

Subtitle by : Sewol Ferry Worldwide Supporters Translation Team, John Georgie

일, 2015/11/15- 14:34
122
0

 31일 서울 도심 곳곳에서 쌀쌀한 날씨 속에서도 역사 교과서 국정화 폐지를 요구하는 집회가 잇따라 열렸다.

서울 청계광장에서는 ‘역사교과서 국정화 저지를 위한 3차 범국민대회’가 열렸다. 역사학계 원로교수부터 대학생, 중고생 등 시민 4000여명이 범국민대회에 참여해 거대한 촛불을 밝혔다. 촛불을 감싼 종이컵에는 ‘멈춰라 역사쿠데타’라는 글씨가 새겨져 있었다. 안병욱 전 진실화해위원회 위원장과 한상권 한국사교과서 국정화저지 네트워크 상임대표 등이 참석해 국정화에 반대한다는 결의문을 읽었다. 단상 정중앙에는 지난 보름여동안 각계 각층의 31만5000여명의 시민이 참여한 국정화 반대 서명지가 자리했다.

세월호 참사 희생자인 단원고 고 박성호 군의 어머니 정혜숙 씨는 “ 정부가 세월호때도 그렇게 가만히 있으라고 하더니 역사교과서 국정화 문제에 대해서도 가만이 있으라고 한다”며 “정부가 국민의 동의없이 일방적으로 추진하는 국정화에 반대한다”고 소리높여 외쳤다. 시민들은 대회를 마친 뒤 보신각을 거쳐 시청 앞 광장까지 평화적으로 가두 행진을 벌였다.

앞선 오후 3시 광화문 동화면세점 앞에서는 전국 각지에서 올라온 ‘국정교과서 반대 청소년행동’ 소속 중고생 300여명이 “왜곡된 역사를 배울 수 없다”며 국정화 반대 퍼포먼스를 펼쳤다. 지난 11일부터 시작해 이번이 벌써 4번째다. 학생들의 손에는 ‘입맛대로 다져진 역사책 보고 싶지 않아요’와 ‘교육의 주체는 청소년, 획일화된 역사교육 NO’라고 적힌 손팻말이 들려있었다.

한 고3 수험생은 도산 안창호 선생이 피눈물을 흘리는 그림을 가져와 눈길을 끌었다. 대구 정화여고에 재학중인 김조아 양은 “조선시대의 왕도 역사를 기록하는 사관은 건드리지 않았다는데 대통령이 역사를 바꾸려한다”며 ”안창호 선생님이 지금 상황을 보시면 피눈물을 흘리실 것 같아 이런 그림을 그리게 됐다”고 말했다.

오후 4시에는 ‘역사교과서 국정화저지를 위한 대학생 대표자 시국회의’가 주최하는 ‘역사교과서 국정화 철회 10.31 대학생대회’가 열렸다. 대학생 시국회의는 각 학교에서 모인 4만5천여명의 반대 서명을 공개하고, 역사교과서 국정화 계획 철회를 촉구했다.

이와는 별도로 서울역사박물관 앞에서는 전국 대학 역사학과 교수와 연구자, 대학원생, 학부생, 교사 등 역사연구자 400여명이 모였다. 이들은 저마다 빨간색 뿔이 달린 머리띠를 두르고 “역 사독점 우리는 반대한다”는 구호를 외쳤다. 동덕여자대학교 국사학과 3학년 김태은양은 “정부가 역사교과서를 국정화하려는 행위에 대해서 역사학도들이 뿔이 났다는 의미”라고 설명했다.

역사교과서 국정화에 찬성하는 회견도 열렸다. 대한민군재향경우회 등 보수단체 회원 1000여명이 광화문에 모여 맞불집회를 진행했다. 한 보수단체 관계자는 “종북, 국정화를 반대하라는 북한지령을 받은 사람들이 국정화를 반대하는 것”이라고 주장했다.

한편 교육부는 역사교과서 국정화 행정예고 기간인 오는 2일까지 의견을 수렴한 뒤 5일 역사교과서 국정화를 확정 고시할 예정이다.

일, 2015/11/01- 00:03
120
0

국정감사 철이 다가왔습니다. 매년 이맘 때면 국회의원들은 자기 이름을 박아 정책자료집을 경쟁적으로 내놓습니다. 정책자료집은 국정감사 ‘우수의원’을 뽑는 근거로도 쓰입니다. 그러나 과연 정책자료집이 국회의원의 의정활동을 제대로 평가할 수 있는 자료가 될 수 있을까요? 한국탐사저널리즘센터/뉴스타파는 <적폐청산 프로젝트-국회개혁>의 일환으로 국회의원 정책자료집의 내용과 발간 비용을 분석하던 중 그 동안 감춰져 온 비밀을 발견했습니다. 뉴스타파는 그 결과물을 국회 국정감사 시기에 맞춰 차례로 보도합니다.

뉴스타파는 19대와 20대 국회의원 482명이 발간한 정책 자료집을 전수조사했다. 국회 도서관에서 열람 가능한 자료집 2,568건을 대상으로 했다. 정책자료집 발간에는 연구용역비와 인쇄비 명목으로 국회 예산이 들어간다.

2017101103_01

뉴스타파가 지난 두달 동안 국회의원들의 정책자료집을을 살펴보는 과정에서 이상한 점들이 발견되기 시작했다.

본문 중에 각주 표기가 있는데 각주 내용은 없는가 하면, ‘아래의 그림으로 나타내었다’라는 문구는 있는데 그 어디에도 해당 그림은 찾을 수 없는 경우가 있었다. 한 국회의원의 정책자료집에 작성 주체가 은행이라는 뜻의 ‘당행’이라는 단어가 나오기도 했다.

정책자료집 자체의 신뢰도에 의문이 생겼다. 본격적으로 내용을 검토했다. 한 현역의원의 정책자료집에는 “2000년대 초반 사회단체에서 일하던 시절 나는” 이라는 문구가 등장했다. 해당 의원은 2000년부터 2004년까지 16대 국회의원을 지냈다. 당연히 2000년대 초반에도 국회의원 신분이었다. 자료집 표현을 그대로 받아들인다면 국회의원과 사회단체 활동가를 동시에 했다는 말이 된다.

또 2015년 정미경 전 의원이 발간한 ‘해양정책’이라는 제목의 정책자료집에는 ‘2012년 여수세계박람회의 성공적 개최 지원’ 방안이 나온다. 3년 전 이미 끝난 박람회의 개최 지원이 필요하다는 내용이다. 타임머신을 타고 가서라도 지원해보겠다는 의지였을까?

▲정미경 전 의원의 2015년 정책자료집

▲정미경 전 의원의 2015년 정책자료집

서로 다른 국회의원 2명이 발간한 정책자료집을 비교해 보니 의원 보좌관 출신이 쓴 박사학위 논문과 영문제목은 물론 서론부터 결론까지 100% 일치하기도 했다. 같은 박사학위 논문을 두 의원이 그대로 베낀 것이다. 또 다른 두 의원은 1년 사이를 두고 제목과 내용이 같은 정책자료집을 발간하기도 했다. 더 큰 문제는 이런 식의 베끼기 정책자료집에 국민들의 혈세가 투입됐다는 점이다.

뉴스타파가 만난 한 보좌관은 이 같은 정책자료집의 베끼기 행태는 “공공연한 비밀이다”라며 “한번 쯤 논란이 크게 될 것 같았다”고 털어놨다.

뉴스타파는 두 달여 동안 국회의원들을 찾아다니며 정책자료집 표절 행위에 대해 물었다. 의원들은 크게 두 가지 유형의 반응을 보였다. “그게 무슨 문제냐?”와 “잘못을 인정한다”였다.


취재 : 박중석, 최윤원
촬영 : 김남범, 오준식
편집 : 박서영
CG : 정동우
자료조사 : 김도희, 정혜원

수, 2017/10/11- 20:37
120
0