국회 안전행정위원회 소속 새정치민주연합 박남춘 의원은 9일 "국가정보원 해킹 프로그램 담당자였던 임모 과장의 자살사건 현장에 국정원 직원이 경찰보다 50여분 빨리 도착한 것으로 나타났다"고 주장했다.

박 의원은 이날 보도자료를 내고 중앙소방본부와 경찰청으로부터 제출받은 자료를 분석한 결과 이 같은 정황이 드러났다고 밝혔다.

뉴욕타임스, 한국 국정원 카카오톡 해킹기술 강구– 국가정보원, 휴대폰과 컴퓨터 해킹 프로그램 사들여– 카카오톡 대화 해킹 기술 개발 문의 시인– 전직 국정원장들 불법 도·감청 및 불법 온라인 캠페인 지시로 유죄 선고 받아뉴욕타임스는 AP 통신을 받아 14일 한국 국가정보원이 해외의 한 보안업체로부터 해킹 프로그램을 구매한 사실을 시인했으며 그뿐만 아니라 카카오톡 해킹기술 개발을 의뢰하기도 했다는 소식을 보도했다.기사는 이병호 ...

국가정보원이 이탈리아 해킹 프로그램 제작업체 ‘해킹팀(Hacking Team)’에 30개 목표물에 대한 해킹 프로그램을 추가로 주문한 2012년 12월6일은 제18대 대통령 선거를 코앞에 둔 시점이었다. ‘국정원 댓글사건’에서 드러났듯 국정원은 지난 대선 당시 인터넷에서 야당 후보들을 비방하고 여당의 박근혜 후보에게 우호적인 여론을 조성하기 위해 조직적으로 선거에 개입했다. 국정원이 대선 직전 다수의 목표물을 지목해 해킹 프로그램을 급하게 주문했다는 사실은 당시 국정원이 펼쳤던 이 같은 대선 개입 활동의 일환이 아니었을까 하는 의구심을 갖게 한다. 국정원이 해킹 프로그램을 추가 주문했다는 사실은 국정원이 과거에 사들인 해킹 프로그램으로 소기의 성과를 거뒀을 것이라는 점을 시사한다.

오픈백신 이용 현황 공개 및 몇 가지 비판에 대한 반론

8월 18일 현재 총 5만대가 넘는 기기에 설치

발견되는 시그니쳐에 대한 지속적인 업데이트 진행

지난 8월 8일, (사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는 안드로이드용 “오픈 백신”을 일반에 공개했습니다. 많은 분들이 오픈백신을 설치하셨고, 오픈백신 개발을 격려하고 후원도 해주셨습니다. 일부 언론과 SNS를 통해 오픈 백신에 대한 비판의 소리도 나왔습니다. 그래서 지금까지의 오픈백신의 업데이트 및 이용 현황을 공개하고, 오픈백신에 대한 몇 가지 비판에 대한 반론을 하고자 합니다.

오픈백신 업데이트 현황

지난 8월 8일, 오픈백신 1.0 버전을 공개한 이후 세 차례 업데이트가 이루어져 현재 플레이스토어에서 1.3 버전이 제공되고 있습니다.

• 초기 1.0 버전에서는 휴대전화 파일 시스템 내의 APK 파일만을 대상으로 검사가 이루어졌으나, 1.2 버전에서는 전체 파일 시스템을 대상으로, 그리고 1.3 버전에서는 APK와 실행파일을 대상으로 검사가 이루어지도록 변경되었습니다.
• 악성코드 여부를 판별하는 시그니쳐(Signature) 데이터베이스도 지속적으로 업데이트되고 있습니다. 유출된 해킹팀의 이메일에 첨부된 시그니쳐 데이터를 비롯하여, 시티즌랩에서 찾아낸 악성코드가 포함된 파일의 시그니쳐, 그리고 루크 시큐리티(rook security)^[1]에서 찾아낸 시그니쳐 등이 추가되었습니다. 그리고 이 중 감염되지 않은 파일로 판단된 시그니쳐(2개)는 제거하였습니다.

오픈백신은 지속적으로 디자인이나 성능 측면에서 개선해나갈 예정입니다.

오픈백신 이용 현황

8월 8일 공개 이후, 8월 18일 현재까지 총 5만대가 넘는 기기에 설치되었습니다.

안드로이드 버전별 설치현황을 보면, 안드로이드 4.4 버전이 54.71%로 가장 많고, 안드로이드 5.0 버전이 27.25 %, 안드로이드 5.1 버전이 7.73%로 그 뒤를 잇고 있습니다.

또한 총 810분이 오픈백신에 대한 리뷰를 해주셨고, 대부분 오픈백신에 대한 격려를 보내주셨습니다. 오픈백신을 이용하고 격려해주신 분들께 감사드립니다.

해킹팀 RCS 탐지 여부

현재까지 해킹팀의 RCS에 감염되었다고 정확하게 확인된 사례는 없었습니다. 아직 오픈백신으로 검사된 기기의 수가 5만여 대에 불과하기 때문에, 좀 더 광범하게 오픈백신이 설치되어 탐지해볼 필요가 있습니다.

물론 설사 RCS에 감염되었던 기기라고 할지라도, 스파이웨어를 원격으로 삭제하였거나, 혹은 이용자가 다른 백신을 통하여 이미 삭제한 경우라면 발견되지 않을 수 있습니다. 국가정보원이 RCS 이용을 위해 얼마나 광범위하게 악성 코드를 배포하였는지 아직 확실하게 드러나지 않았기 때문에, 좀 더 많은 이용자들이 오픈백신을 설치해 확인해 볼 필요가 있는 상황입니다.

오픈백신 비판에 대한 반론

오픈백신 공개 이후에 일부 언론^[2]에서 오픈백신을 분석한 기사를 실었습니다. 이 기사들에서 제기하고 있는 문제는 다음 세 가지입니다.

첫째, 현재 백신에 올라가 있는 시그니쳐는 4개뿐이다.

둘째,안드로이드폰 사용자가 설치한 앱은 탐지할 수 없다.

셋째, RCS의 소스코드를 변경한 변종 악성코드는 탐지하지 못한다.

첫 번째, 두 번째 비판은 사실과 다릅니다. 아마도 소스코드를 잘못 분석했거나 공개 이전의 과거의 소스코드를 분석한 것으로 판단됩니다. 오픈백신은 사용자가 설치한 앱 역시 모두 탐지하고 있으며, 앞서 설명드렸다시피, RCS와 관련된 현재까지의 모든 시그니쳐를 업데이트하고 있습니다(https://github.com/p2plab/OpenVaccine/tree/RC1에서 확인 가능).

세 번째 비판은 오픈백신의 목적에 대한 오해에서 비롯된 것입니다. 오픈백신은 모든 악성코드를 탐지하고 치료하는 일반적인 백신을 목적으로 하지 않습니다. 그것은 다른 상업적인 백신업체들이 해야 할 몫입니다. 오픈백신은 기존에 해킹팀이 만들고 국가정보원이 배포한 RCS의 악성코드를 탐지하여 국가기관에 의한 국민감시를 밝히는 것이지, 이를 변형한 다른 악의적인 공격자가 만든 모든 종류의 악성코드에 대응하려는 것이 아닙니다.

오픈백신이 여러 가지 측면에서 부족한 점이 있을 수 있습니다. 그래서 저희는 더 좋은 아이디어와 능력을 가지신 분이 함께 하기를 바랍니다. 중요한 것은 오픈백신이 좋고 나쁘고가 아니라, 국가기관에 의한 시민 감시 여부를 찾아내고, 향후에 시민 감시가 없는 제도를 만드는 것입니다. 질책은 언제나 중요하지만, 부족한 부분을 함께 채워나갈 수 있기를 기대합니다.

그리고 시민들은 앞으로도 지속적인 시그니쳐 업데이트가 이루어질 것이므로 오픈 백신이 업데이트 될 때마다 검사를 해보시기를 당부드립니다.

[1] https://github.com/RookLabs/milano/blob/master/openioc/downloaded/openioc_1.1/linux_arm_1.1.ioc

[2] 전자신문, 오픈백신…RCS 어떻게 잡나 봤더니, 2015.8.16

보안뉴스, RCS 탐지용 ‘오픈 백신’ 분석해봤더니…속 빈 강정, 2015.8.11

이병호 원장의 설명에 따르면, 국정원이 해킹한 사람들은 다 해외에서 활동중인 북한 공작원들이고 그 가운데는 북한의 무기 거래상도 포함돼 있다고 한다. 우리는 무기 중개상 ‘린다 김’을 통해서 이 바닥의 생활을 어느 정도는 안다. 세계적인 휴양지와 고급 호텔 그리고 밤마다 이어지는 디너 파티…. 하지만 북조선의 무기 거래 일꾼들은 그런 화려함과는 너무나 거리가 멀다. 그저 한없이 소박하기만 하다. 국정원이 이들의 전화기에 RCS를 심기 위해 미끼로 던진 링크들의 목록을 살펴보면 떡볶이 블로그나 금천구의 벚꽃축제 같은 것들이다. 몇백만달러 또는 몇천만달러 짜리 무기를 사고 팔려면 최고급 레스토랑에서 산해진미를 맛볼 터인데 떡볶이에 입맛을 다신다니 얼마나 토속적인가. 또 여러 나라를 돌아다니며 보는 것도 많을 텐데 하필 금천구 벚꽃 축제를 클릭한다니 조국 강산을 사랑하는 마음을 헤아릴 길이 없다.