-국정원 2차장 산하 국내파트 사용 의혹
-목표물(target) 20개 모니터링 화면 포착

국정원이 이탈리아의 ‘해킹팀’으로부터 구입한 인터넷 감시프로그램을 주로 통신 도·감청에 활용했음을 뒷받침하는 자료가 확인됐다. 또 국정원은 이미 2012년부터 이 프로그램을 실제 사용했으며 동시에 모니터할 수 있는 목표물을 최초 10개에서 20개로 늘려 운영한 것으로 나타났다.

이 같은 사실은 뉴스타파가 인터넷을 통해 공개된 ‘해킹팀’ 유출자료를 분석한 결과 드러났다. 국정원이 만약 이 스파이웨어를 통해 국내 스마트폰 사용자를 대상으로 통화 도·감청을 했다면 통신비밀보호법 위반 논란이 불가피할 것으로 보인다.

국정원의 협력업체 역할을 한 국내 보안업체 ‘나나테크’가 해킹팀과 주고받은 메일을 보면 국정원은 지난 2010년부터 감시프로그램 구입을 추진했다.

국정원, 음성 통화 감시 기능 요구

해킹팀에게 자신들의 고객이 한국의 정부기관임을 이미 밝혔던 나나테크는 2010년 9월 보낸 이메일에서 “고객이 해당 제품이 휴대전화 상에서의 음성 대화를 모니터링하는 기능이 있는지 알고 싶어한다”면서 고객이 그런 기능을 원한다고 전하고 있다.

또 2012년 5월 해킹팀이 나나테크에 보낸 메일에는 원격감시프로그램인 RCS를 업데이트하면서 목표물이 아무리 많더라도 모니터링 기능을 한국 전체로 확장할 수 있는 기능과 알려지지 않은 통화자의 목소리를 서로 구분할 수 있는 기능을 옵션으로 제공한다 설명하고 있다.

이 같은 메일을 받은 국정원은 한 달 뒤인 2012년 6월, 10개의 목표물을 추가로 관리할 수 있는 계약을 요청해서 이후 모두 20개의 목표물을 감시할 수 있는 시스템을 갖춘 것으로 보인다.

국정원의 RCS 작동 화면에 그대로 드러난 운영 현황

아래 사진은 2013년 7월 27일 운용하던 감시프로그램에 문제가 생기자 국정원 측 관리자가 해킹팀에 보낸 국정원 RCS 콘솔의 실제 캡쳐화면이다. 국정원 관리자는 문제가 생겼다며 어떻게 해야 고칠 수 있는지 질문하며 이 사진을 첨부해 보냈다.

화면 중앙에 표시된 Agent 17/20 은 현재 20개 가운데 17개가 작동하고 있음을 의미하는 것으로 보인다. Agent는 해킹을 위해 목표물에 심어놓는 스파이웨어를 말한다.

아랫부분에는 데스크톱과 모바일로 나뉘어 작동하는 플랫폼이 표시돼 있다. 윈도우와 안드로이드, IOS 등 어떤 운영체제에도 침투할 수 있다는 것을 보여준다. 해킹팀으로부터 유출된 이 같은 자료들은 국정원의 감시프로그램이 한국 내에서 목표물의 데스크톱과 모바일을 실시간으로 감시, 분석하고 통화 등을 도·감청하는데 사용되고 있음을 입증한다.

현재 우리나라 통신비밀보호법 제5조에 따르면 통신제한조치(감청)는 “계획 또는 실행하고 있거나 실행하였다고 의심할 만한 충분한 이유가 있고 다른 방법으로는 그 범죄의 실행을 저지하거나 범인의 체포 또는 증거의 수집이 어려운 경우에 한해” 허가되며 기간도 최대한 2개월로 제한하고 있다.

이렇게 국가보안법 위반 사건이든 형법 위반 사건이든 통신 감청에는 엄격한 제한이 있기 때문에 국정원이 법원의 허가 없이 감시프로그램을 이용해 감청했다면 통신비밀보호법 위반에 해당한다.

감시프로그램 운용 부서는 2차장 산하 국내정치파트?

불법 감청의 의혹이 생기는 근거는 또 있다. 2014년 1월 14일 협력사인 나나테크는 “고객(국정원)의 내부 상황 때문에 의회가 예산을 삭감해 매우 제한된 예산만 사용할 수 있다. 이번에는 유지관리 계약만 하길 원한다”는 이메일을 해킹팀에 보냈다.

내부 상황이라는 것은 2013년 내내 뜨거운 이슈였던 국정원의 대선개입 댓글사건을 의미하는 것으로 보인다.

그런데 당시 2014년 국정원 전체 예산은 삭감된 것이 아니라 동결됐다. 삭감된 곳은 2차장 산하 국내파트 뿐이었고, 3차장 소관인 대북정보파트와 1차장 소관인 산업스파이 파트 예산은 오히려 늘어났다. 국내 정치 개입에 대한 우려 때문이었다. 감시프로그램을 구입하고 활용한 국정원 부서가 국내파트인 2차장 산하가 아닌지 의심 가는 대목이다.

이 밖에도 국정원이 휴대전화 감시에 해킹팀의 프로그램을 활용한 증거는 곳곳에 포착된다. 지난 2014년 1월 29일 이메일에는 국정원의 또 다른 부서에서 아이폰의 운영체제만 지원하는 RCS(원격조정시스템)을 원하고 있다고 전하면서 가격에 대해 문의하는 내용이 나온다.

또 해킹팀의 기술지원팀 직원들끼리 ‘SKA(South Korean Army-해킹팀 내부에서 국정원을 지칭한 용어)’가 까다로운 것을 요구하고 있다면서 취약점 발굴이 필요한 삼성 스마트폰의 모델에 대한 정보를 교환하고 있는 내용도 포착됐다.

아직 국정원이 누구의 PC와 스마트폰을 도·감청했는지는 구체적으로 확인되지 않고 있지만, 국정원이 해킹팀의 감시프로그램을 이용해 2012년부터 통화 도·감청 등을 활발하게 실시하고 있으며, 기종과 운영체제를 가리지 않았다는 사실이 여실히 드러나고 있다.

1.너의 죄를 또 사하노라?

“경제사범을 풀어줘서 경제를 살리겠다는 발상은 언제나 새롭다. 성범죄자들을 풀어줘서 여성들이 안심하는 나라를 만들자.” -트위터리안 ID ‘leejaehun80′

경제사범 특별사면, 여러분은 어떻게 생각하시나요?

2.타파스극장 : 국정원 해킹대작전

올 여름을 강타할 SF 스릴러
“우리는 네가 올 여름 할 일까지 알고 있다” ★★★★★
“카카오톡의 강렬한 쓴맛!” ★★★★☆

3.타파스클립 : 검열의 시대

“왜 안돼? 이번엔 내가 고른 영화 보자며.”
“상영하는 곳이 없는데 어떡해 그럼.”
“…….”

무슨 영화를 볼지 고민하지 마세요. 여러분이 아니라 배급사가 고릅니다.

이탈리아 해킹전문업체 판매 내역이 해킹되어 공개됐다. 고객명단에 대한민국 정부 5163부대가 있었다. 오고 간 영수증 주소는 국정원 공개 민원 창구 접수처와 같았다. 국정원은 프로그램 사용을 시인했다. 그러나 ‘대북·해외 정보전’ 차원이라고 변명했다. 국내 민간인 사찰 목적이 아니라는 설명이다. 국정원 직원이 자살했다.

이번 일의 기술 담당 직원이었다. 유서에는 “내국인에 대한 선거 사찰은 전혀 없었다”고 쓰여 있었다. 새누리당은 야당과 일부 언론이 물고 늘어져 비극으로 이어졌다는 정치공세를 시작했다. 여권 관계자는 “우리나라에선 국정원이라고 하면 덮어놓고 의심의 눈초리로 보는 경향이 있다“며 분노했다.

19일 야당은 ‘이탈리아 해킹팀이 시도한 국내 아이피 주소 중 KBS와 KT·다음카카오 등 방송·통신사 등이 두루 포함된 것’으로 나타났다고 발표했다. 국정원 주장대로 ‘대북용’ 이나 ‘연구용’이든 아니든, 국내 아이피 주소들이 해킹당한 것은 부인할 수 없다.

암약하는 간첩 신원을 확인했기 때문에 전방위적 사찰을 했다 한다면, 그것도 두려운 일이다. 도대체 간첩은 얼마나 있는 것이며 국정원은 그동안 무엇을 했단 말인가. 지난 대선 국정원 직원 김아영이 여당 후보, 대통령을 도왔던 열정이면 나라가 이 꼴이 되었을까 말이다.

‘덮어 놓고 의심의 눈초리로 보는 경향’은 누가 만들었는가. 국민들이 국가 안보에 여념 없는 정보기관 존재를 일년 내내 사찰 시비로 왜 만나야 하는가.

국정원장이 선거법 위반과 국정원법 위반으로 감옥에 갇혀 있는 것은 말이 되는가. 당신들이 결백하다는 것을 믿을 사람은 눈을 씻고 봐도 없는데, 국민에게 뒤집어 씌운다. 이런 것을 적반하장이라고 하지 않겠나. 도둑이 되레 매를 들고, 잘못한 사람이 도리어 잘한 사람을 나무라는 경우 말이다.

하긴 여당 대표 김무성씨는 “국가 안위를 위해 해킹 할 필요가 있으면 하는 것 아니냐”했다 하니, 그게 국내용이든 불법이든, 사적이든, 이미 논할 가치조차 없을지 모른다. 솔직한 말이었을지 모른다. 국가정보기관이 언제는 정부여당 것 아닌 적이 있었는가, 닥치고 조용히 있으라는 말이다.

국정원 직원 공동성명이 발표되었다. “자국의 정보기관을 나쁜 기관으로 매도하기 위해 매일 근거 없는 의혹을 경쟁적으로 쏟아내는 나라는 우리 밖에 없습니다.” 정보기관 직원 일동이라는 본적 없고 들은 적도 없는 성명도 어이없다. 조만간 부서 직책 연명도 불사할 기세다. 조직을 지키기 위해서라면 정보기관 기본도 지키지 않는다.

무엇보다 근거 없는 의혹을 끊임없이 제공했던 성찰은 단 한 줄도 없다. 중앙정보부, 안기부, 국정원으로 이어졌던 국내용 사찰과 고문의 역사를 국민이 잊었다고 하는 소린지 실소가 나온다. 이번 죽음조차 석연치 않게 생각하는 사람이 많다.

박근혜 정부 들어 증언자들은 결정적 순간에 죽었기 때문이다. 정적 제거를 위해 어떠한 수단도 마다하지 않던 박정희와 중앙정보부가 무소불위 권력을 휘둘렀던 때를 우리는 독재시대라 부른다.

그 시대 망령을 불러온 것이 누군지, 다시 한번 묻고 싶다. 국민이 문제인가, 당신들이 문제인가. 5163부대 명칭이 ‘516 쿠데타 때 박정희 소장이 새벽 3시에 한강철교를 넘었다’는 데서 따온 숫자라고 하던데… 말해 무엇하리요. 국정원의 거처를. 입만 아프지.

2015. 7. 21. 경기일보
박진 (다산인권센터 상임활동가)

<원문보기>

[경기시론] 5163부대와 그들의 적반하장

* 아래 '공감' 버튼, 페이스북 좋아요 한번씩 눌러주시면 

더 많은 분들께 이 소식을 전할 수 있습니다. ^^

RCS 사태에 대응하기 위해 19대 국회가 꼭 할 일:

통신자료제공제도 및 피감시자통지제도 개선 법안 처리

 

국가정보원이 이탈리아 “해킹팀”의 스파이웨어인 RCS(Remote Control System)를 구매하여 사용한 사실이 드러나면서, 해당 프로그램이 우리 국민을 불법적으로 사찰하는 데 사용되었는지 여부가 초미의 관심사이다. 오픈넷은 최소한의 방책으로서 이번 회기에 기 발의된 사이버사찰 방지법안들이 조속히 통과될 것을 요구한다.

우선 가장 중요한 방책은 피감시자에 대한 통지의 개선이다. 국정원이 RCS를 내국인에게 사용하였다면 피감시자에게 통지할 의무가 있는데, 선진국 중에서 거의 우리나라만 유일하게 통지가 수사가 완전히 종료된 후에야 이루어진다. 현행법에서는 기소 또는 불기소 처분을 한 날부터 30일 이내 통지라고 되어 있어 처분이 없는 경우는 통지가 아예 행해지지 않고 있으며, 검사장의 승인 하에 무기한 유예하는 것도 가능해 통지를 못 받는 경우가 훨씬 많다. 오픈넷은 이에 따라 통신비밀보호법 개정안이 감청, 통신사실확인, 전기통신 압수수색 등 감시가 이루어졌다면 그 종료 후 90일 이내에 당사자에게 집행 내역을 통지하도록 하였다(정청래 의원 발의). 현행법상의 피감시자 통지 자체가 부실하였기 때문에 피감시자 몰래 하는 감시의 궁극이라고 할 수 있는 RCS에 대해서도 도덕적 해이가 있었을 것으로 보인다. 다시 확인컨대 “영장이 있다고 해서 증거를 훔칠 수는 없다.”

두 번째 문제는 피감시자의 신원확인이 영장이나 통지 없이 이루어진다는 것이다. 2014년 10월에는 노동당 정진우 부대표의 카톡 압수수색 사건으로 인해 대규모 ‘사이버 망명’ 사태가 벌어지기도 했는데 이때도 사람들이 분노한 것은 정 부대표의 단체카톡방의 카톡 내용에 대해 이루어진 합법적인 압수수색보다도 그 방에 참가한 수천 명의 사람들의 신원정보를 당사자에게 아무런 통지 없이 취득했었기 때문이다. 지난 2014년 한 해 동안 통신자료 제공(가입자 이름, 주소, 주민번호 등)은 10,771,978건(전화번호/ID 수 기준)이 이루어졌는데, 이 수치에 의하면 한 해에만 우리 국민 5명 중 1명은 통신에 관련된 정보를 수사기관에 털린 경험이 있다고 해도 과언이 아니다. 더 큰 문제는 대부분의 경우 통지를 받지 못해 털린 것도 모른다는 것이다. 현행 전기통신법 제83조 3항이 통신자료가 민감한 개인정보임에도 불구하고 수사기관이 영장 없이 기업들을 통해 손쉽게 취득하는 것을 허용하고 있어, 오픈넷은 전기통신사업법 개정안은 해당 조문을 삭제하여 영장주의의 적용을 받게 하였다(정청래 의원 발의). RCS와 같이 개인의 통신기기의 통제권을 완전히 잠탈하게 된다면 앞으로도 정진우 부대표의 사례와 같이 엄청난 수의 무고한 통신상대방의 신원정보도 모두 취득될 것이다.

위의 통신비밀보호법과 전기통신사업법의 개정은 19대 국회에서 반드시 해결해야 한다. 19대 국회가 개원한 2012년 6월 이후 위 두 가지 사안에 대해 2015년 6월까지 3년간 발의된 관련 법안만 무영장 통신자료제공 제도 개선 10개, 피감시자통지제도 개선 총 17개나 된다. (참여연대, 이슈리포트 <국회 통과 기다리는 사이버사찰방지 법안 17개>)

여기에는 오픈넷이 정청래 의원과 함께 발의한 전기통신사업법 개정안과 통신비밀보호법 개정안도 포함되어 있는데(http://opennet.or.kr/7900), 그 골자는 통신자료 제공 제도 폐지 및 감시 현황에 대한 투명성 강화 그리고 감청, 전기통신압수수색, 통신사실확인에 대한 통지제도 보완이다. 추가적으로 전기통신사업자들이 감시협조 현황에 대해 보고하고 국민에게 공개하도록 하는 투명성 보고 제도를 신설했다.

오픈넷은 위의 두 가지 핵심법안 외에도 RCS에 대한 대응의 일환으로서 피싱에 의한 감청 및 압수수색의 금지를 법으로 금지할 것인가에 대한 논의도 제안한다. (오픈넷은 7월30일 저녁 7시, 스타트업 얼라이언스에서 “디지털시대 감시의 한계는 어디인가? 피싱, 기지국수사, 프리즘”이라는 주제로 포럼을 개최할 예정이다.)

눈부신 정보통신기술 발전의 혜택은 일반인뿐만 아니라 범죄자도 동일하게 누리고 있으며, 날로 고도화되는 범죄 수법을 따라가기 위해서는 어느 정도의 사이버 사찰은 필요악이다. 하지만 사찰은 개인의 기본권, 특히 프라이버시를 지대하게 침해하는 행위이기 때문에 국민의 통제 없이 이루어져서는 안 된다. 또한 사찰의 필요성이 없어진 경우에는 대상자에게 반드시 통지를 해서 사찰의 대상자에게 기본권이 제한되었던 사실을 알리고 대응을 할 수 있는 기회를 주어야 할 것이며, 이런 절차가 있어야만 수사기관이 태생적으로 가질 수밖에 없는 끝없는 감시 욕구를 견제할 수 있을 것이다.

이제 시간이 별로 남지 않았다. 제19대 국회는 임기가 끝나기 전까지 기 발의된 2개의 법안이라도 통과시켜 한시라도 빨리 선량한 국민들을 무차별적인 사이버사찰로부터 보호하는 것이 국민의 대표로서의 소임을 다하는 길임을 명심하기 바란다.

 

2015년 7월 22일

 

사단법인 오픈넷

 

1.국정원을 위한 타파스 플레인 – 해킹.감청 똑바로 하기

제대로 공작하는 법을 1도 모르는 것 같은 요원님들을 위해 타파스가 준비한 ‘올바른 해킹·감청 가이드’
▶ 더 자세한 내용이 알고싶다면?
박경신 사단법인 오픈넷 이사가 쓴 “국정원의 해킹팀 스캔들 평가”

2.타파스 극장 : 삼권분립 대서사시

어느 나라 얘기 같아 보이는건 기분탓일 겁니다. 아마도…

3.타파스 클립 : 당신은 학부모가 아니다

집에서는 아버지, 학교에서는 남남?
아버지로 인정받을 수 없었던 아버지의 싸움
그런데 이런 아버지들, 참 많습니다.

국정원의 국민해킹 우려에 맞서는 “국민 백신 프로젝트” 발족

국민 누구나 참여·후원할 수 있는 오픈소스 및 소셜펀딩 방식으로 진행

베타 버전, 7월30일 목요일 오전10시 국회 토론회에서 발표 예정

 

(사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는, 국정원이 이용한 해킹팀(Hacking Team)의 스파이웨어(RCS)에 불특정 다수의 우리 국민들까지 감염되었을 우려에 대응하기 위해 RCS 감염 여부를 포착하고 RCS에 의한 감염을 치유 및 예방하는 프로그램을 개발하는 “국민 백신 프로젝트”를 발족한다. 베타버전은 오는 7월 30일 10시에 공개할 예정이다(국회토론회는 별도의 보도자료 배포).

RCS를 식별할 수 있는 프로그램은 이미 배포되어 있지만, 윈도우 PC용으로 제한되어 있고, 성능 보장도 확실하지 않다. 가령 국제인권단체들이 배포한 ‘디텍터(Detekt)’[1], 외국 보안업체가 만든 레드삭스(Redsocks)의 ‘MTD’ (Malware Threat Defender)[2], 루크 시큐리티(Rook Security)의 ‘밀라노’(Milano)[3] 등은 모두 윈도우 PC용이고, 우리 국민 대다수가 사용하는 모바일에는 적용할 수 없다. “국민 백신 프로젝트”로 개발될 프로그램 “오픈백신”(가칭)은 모바일을 포함한 모든 기기에 적용되도록 할 것이다.

오픈백신 프로그램 개발 방식

해킹팀의 스파이웨어를 국정원도 사용하고 있다는 의혹이 제기된지는 무려 1년 6개월이 지났다[4]. 하지만 국내 백신업체들은 아무런 대응도 하지 않았다. 특히 지난 7월 6일에는 해킹팀의 내부 자료가 유례없이 방대한 규모로 공개되어, 국정원이 해당 스파이웨어를 구입하여 내국인을 상대로 사용했다고 믿을만한 정황들이 드러난지도 벌써 한 달이 다 되어간다. 하지만 국내 백신업체들은 여전히 아무런 백신도 내놓지 않고 있다. 해킹팀의 스파이웨어는 소스코드가 기트허브(GitHub)에 이미 공개되어 있어서 백신 프로그램을 얼마든지 만들 수 있는데 말이다(https://github.com/0xPoly/Hacking-Team-Sweeper).

오픈백신은 이처럼 공개된 소소코드드를 기초로, 우리 국민들이 가장 많이 사용하는 안드로이드 모바일, 윈도 PC용 백신 프로그램 개발을 목표로 한다. 초기 개발은 위 3개 단체가 지원하고(이미 RCS 소스 분석은 마쳤다), 이후에는 개방형 개발 방식으로 전환한다. 오픈백신 프로그램 역시 소스코드를 모두 공개하여 기술적 재능이 있는 사람이라면 누구나 익명으로 재능기부를 할 수 있고, 이를 통해 오픈백신을 모든 기기로 확대할 수 있을 것이다. 이러한 개방형 혁신이 백신업체 내부의 개발자들에 의한 폐쇄형 방식보다 성능이나 보안 면에서 더 우수하다는 점은 이미 밝혀졌다. 그리고 국민 감시에 악용되는 스파이웨어에 맞서는 데에는 국민참여형 대응이 가장 훌륭한 방식임을 보여줄 것이다. 그리고 개발된 프로그램은 누가 독점하지도 않고 모두에게 개방될 것이다(이탈리아 해킹팀은 자신의 기술을 이미 국내에 특허출원까지 해 두었다(특허출원번호 제1020137005146호 “네트워크 트래픽을 처리하는 방법 및 장치”).

오픈백신 프로그램 배포 일정 및 운영

• 안드로이드 모바일, 윈도우 PC용 백신 프로그램 개발 완료 후 베타버전 공개: 2015년 7월 30일 오전 10시, 국회 의원회관 제2소회의실
• 테스트 진행, 버그 및 수정 작업 후 정식버전 배포: 8월 6일 예정
• 오픈소스 방식으로 전환하여 다른 기기용 백신 프로그램 개발 및 배포
• 해킹팀의 스파이웨어 소스코드 분석 보고서 발표
• 감염된 기기에 대한 디지털 포렌식 분석
• 해킹팀 이외의 다른 스파이웨어에 대한 패턴 업데이트 진행

국민 누구나 참여하는 소셜펀딩

오픈백신 프로그램을 베타버전에서 완성단계로 발전시키고 다양한 기기나 국내 통신환경에 맞게 개선하고 유지보수하는 데에는 상당한 자원이 소요된다. 이에 따라 진보네트워크센터가 운영해온 소셜펀딩 플랫폼을 이용하여 국민들이 누구나 후원할 수 있도록 할 계획이다.

오픈백신 프로그램과 국정원의 합법적인 해외 정보 수집

스파이웨어를 찾아내는 백신 프로그램이 배포되면 국정원의 정상적인 해외 정보 수집이 방해받는다는 우려가 있을 수 있다. 하지만 이미 해킹팀의 스파이웨어는 소스코드가 공개되어 어떻게 작동하는지 누구나 알 수 있는 상태다. 따라서 오픈백신 프로그램 때문에 우리 정보기관의 합법적인 해외 정보 수집이 타격을 받을 가능성은 거의 없다. 가령 북한은 이미 RCS를 통한 감시를 우회하는 기술을 개발하였을지도 모른다. 국민들을 대상으로 한 스파이웨어의  감염 시도가 이루어졌을 것이라는 우려가 높은 상황에서 우리는 실제로 감염되었을지 모를 해킹팀의 악성코드뿐 아니라 누군지 모르는 제3자의 해킹위험에 처해있을 국민들의 정보인권에 우선을 둘 수밖에 없다.

————————————————-

[1] ‘디텍터’는 클라우디오 과르니에르(Claudio Guarnieri)가 시티즌랩(Citizen Lab)의 기술 지원으로 국제 정보인권 단체들, 프라이버시 인터내셔널(Privacy International), 디지탈레 게젤샤프트(Digitale Gesellschaft), 앰네스티 인터내셔널, 전자개척자재단(EFF)과 함께 해킹팀의 스파이웨어를 탐지하는 프로그램으로 2014년 11월 배포되었다. 사용법은 진보네트워크센터에서 우리말로 제공하고 있다. http://act.jinbo.net/drupal/node/8782

[2] http://redsocksmtd.blogspot.kr/2015/07/hacking-team-100-endgame.html

[3] https://www.rooksecurity.com/resources/downloads/

[4] 이탈리아 해킹팀이 RCS를 각국 정부에 팔았고, RCS가 모로코와 아랍에밀레이트 기자와 인권운동가를 감시하는 데에 사용되었다는 의혹이 제기된 것이 2012년이다. 그리고 시티즌랩(Citizen Lab)이 한국을 포함한 21개국 정부가 RCS를 사용하고 있다고 보인다는 공식 보고서를 발표한 것이 2014년 2월 17일이다. https://citizenlab.org/2014/02/mapping-hacking-teams-untraceable-spyware/ 참조

 

2015년 7월 27일

 

(사)오픈넷

진보네트워크센터

P2P재단코리아준비위원회

 

국정원 해킹 사태 해결을 위한 토론 및 백신 프로그램 발표회 개최

 

• 일시: 2015년 7월 30일(목) 오전 10시
• 장소: 국회 의원회관 제1소회의실
• 주최: 사단법인 오픈넷, 이종걸 의원실

 

취지

국민의 세금으로 운영되는 국가기관인 국가정보원이 스파이웨어를 구매하여 민간인을 사찰했다는 의혹이 해소되지 않고 있습니다. 더구나 국정원의 감시감청은 영장, 대통령 허가,설비도입 보고 등의 절차를 무시하여 통신비밀보호법과 정보통신망법을 위반했다는 비판도 받고 있습니다. 절차 규정을 준수했다 하더라도 개인의 정보기기에 대한 통제권을 잠탈하는 해킹까지 헌법상 허용되는지에 대한 의문이 제기되고 있습니다. 이번 토론회는 이탈리아 해킹팀 자료 유출로 드러난 국정원의 해킹식 감시·감청에 대한 전반적인 법률 문제와 해결 방안을 살펴보고, 해외 민간인 사찰 사례 소개, RCS가 어떻게 작동하여 민간인 사찰에 악용되는지, 이에 대해 외국 특히 유럽연합에서는 어떤 대응을 하고 있는지도 살펴보고자 합니다.

국정원이 배포한 스파이웨어에 감염된 불특정 다수의 국민들은 국정원이나 해킹팀이 아니더라도 제3자에게 사어버 공격을 당할 위험에 놓이게 됩니다. 하지만 국내 백신 업체들은 아무런 대응도 하지 않고 있습니다. 이에 시민들이 자발적으로 참여하는 ‘국민 백신 프로젝트’가 발족하였습니다. 이를 통해 개발한 백신 프로그램의 베타버전을 공개하고 향후 계획에 대해 발표하는 자리를 갖고자 합니다.

 

순서

• 개회사 및 전체 진행: 남희섭((사)오픈넷 이사)

[제1 세션] 국가기관의 해킹툴 사용의 위법성과 해결 방안(60분)

• 좌장: 이종걸 의원(새정치민주연합 원내대표)
• 발제 1 – 심우민 박사(국회 입법조사처 입법조사관): 국정원의 RCS 사찰과 불법성 검토
• 발제 2 – 박경신 교수(고려대 법학전문대학원, (사)오픈넷 이사): 외국 감청감시의 한계 및 감청감시 입법 제안
• 토론 1 – 김지미 변호사(민주사회를 위한 변호사모임 사무차장): 국정원 어떻게 할 것인가?
• 토론 2 – 국회의원 1인: 국정원의 국민 해킹에 대한 국회의 대응 방안

[제2 세션] 오픈 백신 프로그램 베타버전 발표(30분)

• 취지 설명 및 향후 계획: 남희섭((사)오픈넷 이사)
• RCS 작동원리 및 오픈 백신 프로그램 내용 소개: 개발자(익명)

[제3 세션] 이탈리아 해킹팀의 민간인 사찰 사례 및 외국의 대응(30분)

• RCS의 해외 민간인 사찰 사례: 전자개척자재단(EFF), 시티즌랩(섭외 중)
• 외국의 대응: 이탈리아 의원 또는 유럽의회 의원(섭외 중)
• 종합토론 및 질의응답(30분)

 

국정원 해킹 사태 해결을 위한 토론 및 백신 프로그램 발표회

 

국민의 세금으로 운영되는 국가기관인 국가정보원이 스파이웨어를 구매하여 민간인을 사찰했다는 의혹이 해소되지 않고 있습니다.

이에 이탈리아 해킹팀 자료 유출로 드러난 국정원의 해킹식 감시·감청에 대한 전반적인 법률문제와 해결 방안, 해외 민간인 사찰 사례 소개, RCS의 민간인 사찰 악용사례, 이에 대한 외국(유럽연합)의 대응 등을 살펴보고자 합니다.

또한 국정원이 배포한 스파이웨어에 감염된 불특정 다수의 국민들은 국정원이나 해킹팀이 아니더라도 제3자에게 사이버 공격을 당할 위험에 놓이게 됩니다. 이에 시민들이 자발적으로 참여한 ‘국민 백신 프로젝트’를 통해 개발된 백신 프로그램의 베타버전을 공개하고 향후 계획을 발표합니다.

 

• 일시: 2015년 7월 30일(목) 오전 10시
• 장소: 국회 의원회관 제1소회의실
• 주최: 사단법인 오픈넷, 국회의원 이종걸

 

순서

• 개회사 및 전체 진행: 남희섭((사)오픈넷 이사)
• 축사: 안철수 의원

[제1 세션] 국가기관의 해킹툴 사용의 위법성과 해결 방안

• 좌장: 이종걸 의원(새정치민주연합 원내대표)
• 발제 1 – 심우민 박사(국회 입법조사처 입법조사관): 국정원의 RCS 사찰과 불법성 검토
• 발제 2 – 박경신 교수(고려대 법학전문대학원, (사)오픈넷 이사): 외국 감청감시의 한계 및 감청감시 입법 제안
• 토론 1 – 김지미 변호사(민주사회를 위한 변호사모임 사무차장): 국정원 어떻게 할 것인가?
• 토론 2 – 신경민 의원: 국정원의 국민 해킹에 대한 국회의 대응 방안

[제2 세션] 오픈 백신 프로그램 베타버전 발표

• 취지 설명 및 향후 계획: 남희섭((사)오픈넷 이사)
• RCS 작동원리 및 오픈 백신 프로그램 내용 소개: 오픈 백신 개발자

[제3 세션] 이탈리아 해킹팀의 스파이웨어를 이용한 민간인 사찰 해외 사례 및 국제사회의 대응

• 해킹 툴을 이용한 해외 민간인 사찰 사례 및 국제시민사회의 대응: Nate Cardozo 전자개척자재단(EFF)
• 해킹팀 스파이웨어 분석 결과 및 해외 민간인 사찰 사례: Bill Marczak 시티즌랩(Citizen Lab)
• 외국의 대응: 이탈리아 의원 또는 유럽의회 의원 (섭외 중)
• 종합토론 및 질의응답

※ 제3세션은 참여자 섭외 결과에 따라 변동될 수 있습니다.

 

문의: 오픈넷 사무국 02-581-1643, [email protected]

 

뉴스프로, 해킹팀 추적해 온 ‘시티즌 랩’ 연구원 빌 마크잭과 인터뷰– TNI와 연결된 네트워크에 있는 모든 대상이 공격 목표 될 수 있어– TNI를 사용해 주입한 스파이웨어, 원격조정으로 흔적 없이 해킹 가능– 실전 암시하는 스파이웨어 일지에서 한국 IP 주소 확인, 실제 타겟 존재 가능성 시사해– ‘시티즌 랩’ 국정원의 스파이웨어 및 TNI 사용 증거 계속 추적할 것 빌 ...

국정원이 민간인 해킹 의혹을 풀 핵심 열쇠인 로그파일 공개를 계속 거부하고 있는 가운데, 보안 전문가들은 국정원 RCS 로그파일이 이미 위변조되었을 가능성도 있다는 견해를 밝혔다. 이에 따라 완전한 의혹 해소를 위해서는 로그파일만이 아니라 국정원 RCS의 운영체제, 즉 하드디스크까지 객관적으로 분석해 원본 파일에 조작이 있었는지 여부를 검증할 필요성이 제기되고 있다.

‘로그파일 공개’는 ‘민간인 해킹 검증’의 핵심

국정원 해킹 의혹의 본질이 국내 민간인에 대한 해킹 여부라는 것은 주지의 사실이다. 이를 판가름할 핵심 정보는 국정원 RCS 서버에 담긴 로그기록 속에 들어 있다.

이미 해킹팀 유출 자료 가운데 지난 5월과 6월 중 국정원이 요청한 악성코드의 활동이 담긴 로그기록이 26건이 확인된 바 있는데, 악성코드의 활동 일시, 접속 아이피, 단말기 모델 및 기종, 설정 언어, 미끼 URL, 감염 성공 여부까지를 확인할 수 있는 형식이었다. 이 가운데 2건은 내국인 해킹이 의심되는 기록이다.

※ 관련 데이터 : 해킹팀 서버 국정원 로그기록

사태 초기 야당은 국정원에 이 로그파일을 제출하라고 요구했다. 대국민 해킹이라는 휘발성 높은 의혹이 일었던 만큼 여당 역시 최대한 국정원이 자료를 공개하도록 협조하겠다는 입장이었다.

그러나 7월 18일 RCS 운영팀의 일원이었던 국정원 임 모 과장이 유서에 ‘일부 자료를 삭제했다’고 밝히며 스스로 목숨을 끊으면서 분위기가 바뀌었다. 야당이 자살 배경과 경위에 대한 석연치 않은 정황들을 이유로 공세를 강화하자 여당은 입장을 바꾼다. 로그파일 공개는 국가 기밀을 유출하라는 것이고 국가 안보를 무장해제하라는 것이어서, 북한만 이롭게 하는 행위라는 논리로 맞공세를 시작한 것이다.

7월 27일 국정원은 임 과장이 삭제한 자료를 10일 만에 모두 복원했다며 국회 정보위원들에게 보고한다. 모두 51건의 해킹 시도 기록 가운데 대북·대테러 용의자를 대상으로 10건은 성공, 10건은 실패한 자료였으며, 나머지 31건은 내부 실험용 기록이었다는 것이다. 그러면서 이병호 국정원장은 자신의 직을 걸고 국내 사찰은 없었다고 강변했다. 그러나 야당은 국정원이 이른바 ‘셀프 검증’으로 ‘셀프 면죄부’를 발부하고 있다며, 객관적이고 세부적인 자료 제출 없이는 믿을 수 없다고 반발했다.

보안 전문가들의 견해는? “로그파일 이미 위변조됐을 수도”

국정원 해킹 의혹을 둘러싼 이 같은 여야 간 대치 정국을 국내외 보안 전문가들은 어떻게 바라보고 있을까. 뉴스타파가 접촉한 전문가들은 하나같이 의혹을 말끔히 해소하기 위해 필요한 것은 정치적 공방이 아니라 냉정한 기술적 접근이라고 조언했다.

우선 이들은 임 과장의 자료 삭제 문제는 큰 틀에서 볼 때 중요치 않을 수도 있다는 점을 언급했다. 내국인 사찰 여부를 가를 핵심은 어차피 로그파일인데, 해킹팀 자료 유출 이후 이미 20일 이상 흐른 시점에서 임 과장이 아닌 다른 국정원 직원이 로그파일에 손을 댔어도 이상할 것이 없기 때문이라는 것이다.

이탈리아 해킹팀의 RCS가 전세계 21개국에서 활동하고 있음을 지난해 폭로했던 토론토대학 시티즌랩 연구원 빌 마크잭은 뉴스타파와의 화상 인터뷰에서 “로그파일은 기본적으로 텍스트 파일 형태이므로 누구라도 쉽게 편집과 삭제와 추가 등의 조작이 가능하다”며 “이런 조작이 있었는지를 디지털 포렌식 전문가조차 알 수 없게 수행하는 것도 얼마든지 가능하다”고 밝혔다.

익명을 요구한 한 국내 디지털 포렌식 전문가는 “디지털 포렌식에도 ‘골든타임’이 존재한다”면서 “해킹팀의 자료 유출 직후 국정원 RCS 서버에 담긴 로그파일을 곧바로 확보하지 않은 이상, 지금 와선 그 파일에 이미 어떤 조작이 가해졌는지를 판단하긴 어렵다”고 말했다.

이런 상태에서는 야당이 요구하는 로그파일이 공개된다 해도 의혹을 해소하기는커녕 되레 논란을 증폭시킬 수 있다는 견해도 있었다. 김진국 플레인비트 대표는 “디지털 자료는 위변조가 너무나 용이하다. 따라서 어떤 디지털 데이터의 ‘원본’이라는 것은 특정 시점에서 데이터의 특정 상태에 관해 이해 당사자 간의 상호 인정이 있을 때, 혹은 객관적 인증 절차(전자지문 등)가 있었을 때 성립하는 개념이다. 바꿔 말하면 이런 절차 없이 제시되는 디지털 자료는 이해 관계에 따라 ‘원본’이라고 주장할 수도 있고 아니라고 주장할 수도 있게 되는 것”이라고 설명했다. 즉 지금 당장 로그파일이 공개됐을 때 문제되는 내용이 없으면 여당은 ‘원본’으로 야당은 ‘조작본’으로 규정할 것이며, 문제되는 내용이 나오면 그 반대 주장이 펼쳐질 것이라는 의미다.

“로그파일 조작 여부 판단 위해 운영체제 전부 들여다 봐야”

전문가들은 이런 문제를 해결하기 위해선 로그파일만이 아니라 파일이 담겨 있던 국정원 RCS 서버의 운영체제를 모두 분석해 위변조 여부부터 판단해야 한다고 조언했다.

원리는 이렇다. 만약 누군가가 로그파일 일부를 변조했다면 파일을 열고, 내용을 수정하고, 저장하고, 파일을 닫는 일련의 과정을 거쳐야 하는데 각각의 단계마다 디지털 기호 형태의 흔적이 운영체제 어딘가에 남겨진다는 것이다. 혹은 파일을 열지 않은 채로 삭제하려면 이 기능을 수행하는 소프트웨어나 프로그램이 실행되어야 하는데 이 역시 운영체제 어딘가에 흔적을 남긴다. 이런 산재한 정보들을 모두 긁어모아 분석하면, 로그파일이 위변조되기 이전의 원 정보를 복원시킬 수는 없더라도 최소한 조작이 있었다는 사실은 확정할 수 있다는 것이다.

이 파일이 만약에 어떻게 수정이 되거나 사용자가 어떤 행위를 했다, 그러면 그 시스템, 우리가 윈도우즈 컴퓨터라고 하면 컴퓨터 자체, 서버면 서버 자체, 그 디스크 자체가 전체적으로 있으면 그 안에 있는 로그파일에 어떤 임의적인 조작을 가했다 안 했다(를 알 수 습니다.) 사실 이것도 시간이 지나면 밝혀내기가 어렵습니다. 그래도 어느 정도 파일 하나만 보고 판단하는 것보다는 신빙성 있게, 신뢰성 있게 판단할 수 있죠.
– 김진국 플레인비트 대표

포렌식 분석을 제대로 하기 위해선 해킹팀의 소프트웨어가 실행됐던 국정원 컴퓨터의 원본 하드 드라이브를 확보해야 합니다. 만약 국정원이 로그파일만을 제공한다면 그것의 조작 여부를 확인할 확실한 방법은 없다고 봐야 하고요.
– 빌 마크잭 토론토대학 시티즌랩 연구원

국정원, 국민 신뢰 회복할 마지막 기회 잡을 수 있을까

지난 29일 여야는 민간 추천 전문가와 국정원 기술진의 간담회 개최에 조건부 합의했다. 이때 야당은 국정원이 RCS 데이터가 담긴 하드디스크 원본 등 6개 자료가 제출되지 않으면 합의를 파기하겠다는 뜻을 밝혔다. 이는 디지털 보안과 포렌식 전문가들이 제시한 검증 방식의 틀에 부합하는 것이다.

마찬가지로 국정원도 민간인 사찰 의혹을 근본적으로 해소하는 데 필수인 디지털 증거를 제시하는 데 주력할 필요가 있다. 특히 국정원장 직을 걸겠다고 밝힐 정도로 자신이 있다면 전문가들이 인정하는 검증 방법을 마다할 이유가 없을 것이다. 그리고 그 결정은 빠를수록 좋다. 이미 대선 개입과 간첩 증거 조작으로 국민의 신뢰를 잃은 국정원이기에 더더욱 그렇다.

일 석간 후지, 국정원 해킹 “박근혜, 부메랑 맞아” – 박근혜, 노무현 정부 때 국정원 도청 앞장서서 비판 – 해킹 문제로 요동치는 한국 – 박근혜, 외교-경제에서 막다른 골목 봉착 박근혜는 자신이 하면 로맨스, 남이 하면 불륜이라는 태도로 국정운영에 임해 왔다. 이번 국정원 도·감청 스캔들도 마찬가지다. 일본 석간 후지는 이런 행태를 꼬집고 나섰다.후지는 28일 국정원이 시민들의 스마트폰을 ...

디플로마트, 국정원은 자국민을 사찰하고 있나? – 해킹팀으로부터 RCS 스파이웨어 구매– 해킹팀에게 “카카오톡 진척상황” 묻기도…카카오톡 사용자 사찰 의도로 해석– 야당 ‘로그 파일 공개해야’ VS 여당 ‘내국인 사찰 의도 없어’ 디플로마트 1일, ‘한국 정보기관은 자국민을 사찰하고 있는가’라는 제목의 기사에서 국정원이 자국민에 대한 사찰 의도로 해킹 프로그램을 구매했다는 의심을 받는 소식과 이에 대한 여야의 상반된 반응을 보도했다.기사는 해킹팀에서 ...

국정원 해킹 잡아내는 “오픈 백신”(안드로이드용) 일반 배포 시작

 

- 국민 누구나 참여하고 후원하는 개방형 모델, 소셜펀치로 진행

- 구글 스토어에서 누구나 설치 가능

- 향후 윈도우, 맥 용 등 확대 예정

 

(사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는 2015년 8월 8일, 안드로이드용 “오픈 백신”을 일반에 공개했다. 오픈 백신은 국가정보원이 이용한 해킹팀(Hacking Team)의 스파이웨어인 RCS 감염 여부를 탐지하기 위한 자유/오픈소스 백신 프로그램이다. 이미 윈도우 PC용으로는 “디텍트(Detekt)”가 개발, 공개되어 있기 때문에, RCS의 공격 대상일 가능성이 높은 안드로이드용으로 개발하였다.

 

오픈 백신 개발의 취지

지난 7월 5일, 정부 기관에게 해킹 프로그램인 RCS를 판매해 온 이탈리아 기업 ‘해킹팀’이 해킹 당하면서 내부자료 400GB가 유출되었다. 유출된 자료에는 ‘해킹팀’이 고객과 주고받은 이메일, 소스 코드, 계약사항 등이 포함되어 있었는데, 이를 통해 한국의 국가정보원 역시 지난 2012년부터 해킹팀의 고객이었음이 드러났다.

해킹팀의 RCS는 이용자의 PC나 스마트폰을 감염시켜 이메일, 메신저, 전화통화 등을 모니터링 할 수 있고, 심지어 기기의 카메라나 마이크도 몰래 조작할 수 있는 강력한 감시 프로그램이다. 이미 해외에서는 해킹팀이나 핀피셔와 같은 감시 프로그램이 인권 활동가, 언론인, 정치적 반대자에 대한 감시 수단으로 활용되고 있는 것에 대한 비판이 높다. 예를 들어, 2012년에는 해킹팀의 RCS가 모로코와 아랍에미레이트의 기자와 인권 활동가를 감시하는데 사용되었다는 의혹이 제기되었다. 이 때문에 해킹팀은 인권단체에 의해 ‘인터넷의 적’으로 선정되기도 했다. 캐나다의 비영리 연구기관인 시티즌랩(Citizen Lab)은 지난 2014년 2월 27일, 한국을 포함한 21개국 정부가 RCS를 사용하고 있다고 보인다는 공식 보고서를 발표했다.

국정원은 RCS 구입 사실을 인정했지만, 이를 해외 정보 수집과 연구용으로 이용했다고 변명하고 있다. 그러나 해킹팀에서 유출된 자료를 보면, 국정원이 우리 국민에 대한 감시를 위해 RCS를 이용했다는 정황이 드러나고 있다. 카카오톡 해킹이 가능하도록 요구하고, 삼성 갤럭시 신모델이 나올 때마다 이를 위한 업그레이드를 요구했다. 대표적인 백신 프로그램인 안랩의 ‘V3 모바일 2.0’과 같은 백신을 회피하기 위한 방법도 문의하였고, 서울대 공대 동창회 명부’라는 제목의 워드 파일, <미디어오늘> 기자를 사칭한 천안함 보도 관련 문의 워드 파일에 악성코드를 심어달라고 요청하였다. 또한, △네이버 맛집 소개 블로그 △벚꽃축제를 다룬 블로그 △삼성 업데이트 사이트 등 내국인들이 주로 방문할 것으로 보이는 사이트 등을 피싱 용도로 활용하고자 했다. 대선이나 지방선거 등 주요 선거를 앞두고 RCS를 사용했다는 점도 석연치 않다.

그러나, 국정원은 이러한 모든 의혹을 부정하면서도, 이를 뒷받침할 수 있는 근거 자료를 국회 정보위원회에조차 제출하지 않고 있다. RCS와 같이 감청보다 훨씬 심각한 인권 침해를 야기할 수 있는 감시 프로그램을 누구의 통제로부터 받지 않고 국정원이 사용해왔다는 것 자체가 큰 문제이며, 국정원 개혁을 통해 국정원이 국민의 감독과 통제 하에서 활동하도록 할 필요가 있다.

국회는 국가정보원의 불법적인 감시 활동 실태에 대해 철저한 진상을 조사해야 한다. 동시에 우리는 오픈 백신을 통해 국민 스스로 국정원의 RCS의 피해를 입었는지 여부에 대해 파악하고자 한다. 오픈 백신의 개발은 RCS의 감염 여부를 탐지하여 피해를 복구하기 위한 조치임과 동시에, 국정원의 불법적인 감시 활동 여부를 탐지하기 위한 것이다.

 

국민 백신 프로젝트

(사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는 오픈 백신 개발을 위해 ‘국민 백신 프로젝트’를 시작하였다. 세 단체는 오픈 백신의 초기 개발을 지원하며, 프로그램의 소스 코드를 공개하여 향후에는 기술적 재능이 있는 누구나 오픈 백신 개발에 참여할 수 있도록 할 계획이다. 이를 통해 해킹팀이 개발한 RCS 뿐만 아니라, 핀피셔(FinFisher)와 같이, 정부의 시민 감시에 이용되는 다른 스파이웨어로 탐지 대상을 확대하고, 안드로이드 및 윈도우 외의 다른 운영체제도 지원할 수 있을 것이다. 오픈 백신은 한국 내에서 국가정보원의 허가를 받을 필요가 없다. 감시에 악용되는 스파이웨어에 맞서기 위해 국민 참여형 대응이 가장 훌륭한 방식임을 보여주고자 한다. 오픈 백신은 전 세계 개발자 누구나 참여할 수 있으며, 개발된 프로그램은 누가 독점하지도 않고 모두에게 개방된다.

오픈 백신은 개발에 필요한 비용을 충당하기 위하여, 현재 진보네트워크센터에서 운영하는 소셜 펀딩 플랫폼인 ‘소셜펀치’를 통해 누구나 후원할 수 있도록 하고 있다.

 

오픈 백신이 지원하는 운영체제

오픈 백신은 1차적으로 안드로이드용 앱으로 제작되었다. 또한, 악의적인 누군가가 오픈 백신을 스파이웨어에 감염시킬 우려가 있기에, 오픈 백신은 플레이 스토어에서만 다운로드 받을 수 있도록 했다.

윈도우 PC나 노트북에서 RCS를 탐지하기 위한 용도로는 국제앰네스티 등 국제인권단체들이 개발한 디텍트(Detekt)를 사용할 수 있다. 디텍트는 2014년 11월에 출시되었으며, 2015년 7월 30일 디텍트 2.0으로 업그레이드 되었다. 디텍트 2.0은 2015년 7월 시점까지의 모든 RCS를 탐지할 수 있다.
(디텍트에 대한 자세한 사용법: http://guide.jinbo.net/digital-security/computer-security/how-to-use-detekt/

오픈 백신은 향후 디텍트를 한글화하여 오픈 백신 윈도우PC 용으로 공개할 예정이다. 또한, 아이폰, 맥용 오픈 백신도 개발할 예정이다.

 

오픈 백신 사용법

1단계: 구글 플레이스토어(https://play.google.com/store/apps)에서 “오픈 백신”으로 검색한다.

 

2단계: 오픈 백신을 선택하여 ‘설치’한다.

 

3단계: 엑세스 해야 하는 대상 팝업에서 ‘동의’를 클릭한다.

 

4단계: 설치가 끝나면 실행한다. 아래와 같이 앱이 실행된다.

참고로, 오픈 백신은 작동 과정에서 이용자를 식별할 수 있는 개인정보를 수집하지 않는다. 그러나 오픈 백신 이용 현황에 대한 정확한 파악을 위해 이용자의 기기의 운영체제, 기종, 모델 등에 대한 정보를 수집한다.

 

5단계: 검사 메뉴를 실행시키면, RCS 탐지를 시작한다. 기기에 따라 수 분이 소요될 수 있다.

 

6단계: 검사가 완료되면, 결과에 따라 아래와 같은 메시지를 보여준다.

RCS가 검출되지 않았을 경우

당신의 안드로이드 스마트폰에서 해킹팀의 감시코드가 검출되지 않았다. 그러나, 당신의 스마트폰이 감시로부터 안전하다는 의미는 아니다. RCS가 아닌 다른 스파이웨어가 설치되어 있을 수도 있기 때문이다.

또한, 국정원에서 RCS 이용 사실이 폭로된 이후에, 스마트폰의 감시 코드를 원격으로 삭제했을 수도 있다. 이 경우, 백신 프로그램만으로 감염 여부를 알아내기는 힘들다.

해킹팀의 감시 코드가 검출되지 않았다고 해도, 향후 자신의 스마트폰 보안에 보다 신경을 쓸 필요가 있다. 디지털 보안 가이드를 통해 자신의 스마트폰 보안을 전반적으로 점검해보자.
(디지털 보안 가이드: https://guide.jinbo.net/digital-security/)

RCS가 검출되었을 경우

당신의 스마트폰이 해킹팀의 감시코드에 감염되었을 가능성이 있다. 오픈 백신은 RCS 감염 여부를 탐지할 뿐, 해당 스마트폰을 치료하는 것은 아니다. 만일 RCS가 검출되었다는 결과가 나올 경우, 스마트폰에 대한 보다 엄밀한 검사가 필요하다.

‘신고’ 버튼을 클릭하면, 검사 결과를 제작팀에 발송할 수 있다. 제작팀은 포렌식 분석을 통해 스마트폰의 감염 여부에 대해 보다 엄밀한 검사를 제공할 것이다.

 

오픈 백신의 용도 및 다른 백신 프로그램의 이용

오픈 백신은 모든 종류의 바이러스나 스파이웨어를 탐지하고 치료하는 일반적인 상용 백신을 목표로 하지 않는다. 1차적으로는 해킹팀의 스파이웨어인 RCS만을 목표로 하며, 앞으로도 시민 감시를 목적으로 하는 다른 스파이웨어 탐지용으로 확대할 계획이다. 즉, 국민 감시용 스파이웨어 전용 백신을 목적으로 한다.

오픈 백신의 제작 계획을 발표한 이후, 다른 상용 백신 업체들도 이미 RCS를 검출할 수 있도록 업데이트하고 있다는 보도가 있었다. 우리는 이를 환영한다. 더 많은 백신 프로그램의 성능이 업데이트된다면 좋은 일이다. 오픈 백신으로 RCS가 탐지되지 않더라도, 다른 스파이웨어나 악성 코드를 방어하기 위해 스마트폰용 백신을 정기적으로 실행할 것을 권고한다.

 

오픈 백신의 작동 원리

오픈 백신은 이번에 해킹팀의 해킹으로 유출된 RCS의 시그니쳐(식별코드)를 데이터베이스화하여, 이를 스마트폰의 파일과 비교하는 방식으로 탐지를 진행한다. 이러한 시그니쳐는 발견이 되면 계속 자동 업데이트될 예정이며 다른 스파이웨어의 시그니쳐도 지속적으로 업데이트될 예정이다.

 

 

국정원의 해킹프로그램 RCS가 안드로이드폰에 설치돼 있는지 여부를 확인할 수 있는 백신프로그램이 개발됐다.

(사)오픈넷과 진보네트워크센터, P2P재단코리아준비위원회는 RCS 감염여부를 확인할 수 있는 안드로이드용 ‘오픈백신’을 개발해 일반에 공개했다.

그동안 윈도 PC용으로는 국제엠네스티 등 인권단체들이 개발한 디텍트(Detekt)란 탐지 프로그램이 있었으나 안드로이드용으로 개발된 모바일 백신은 ‘오픈백신’이 처음이다.

‘오픈백신’은 국정원이 이탈리아의 해킹팀으로부터 구입해 사용하는 해킹프로그램인 RCS만을 탐지하기 위해 개발된 것으로 감염여부를 확인할 수는 있지만 치료는 할 수 없다.

오픈넷의 남희섭 이사는 “RCS가 검출됐을 경우 ‘신고’버튼을 누르면 제작팀이 포렌식 분석을 통해 정밀한 검사를 제공”할 계획이라고 밝혔다.

오픈백신은 구글플레이스토어에서 내려받아 사용하면 된다.

시티즌 랩, 한국 국정원의 해킹팀 RCS 사용에 대한 연구 조사보고서 공개– 국정원이 사용한 미끼 콘텐츠, 도메인 및 아이피 주소 공개– 국정원, OTA 업데이트와 와이파이 무선 네트워크 해킹에 관심– 국정원, 카카오톡 및 안랩의 안티바이러스 해킹에 관심– 국정원, 한국인 실제타깃 두 차례 해킹 성공 사례 공개시티즌 랩은 한국 국정원의 해킹팀 RCS 사용에 대한 개략적인 연구노트와 함께 추가적인 ...