2015년 7월6일 이탈리아 보안업체 ‘해킹팀’의 내부자료가 유출돼 인터넷에 공개된 후 우리나라의 국가정보원도 이 업체로부터 감청프로그램을 구입해 사용했다는 사실이 확인되면서 파장이 확산되고 있습니다. 기술적으로 복잡한 내용도 많고 확인되지 않은 채 유통되는 정보도 많습니다. 이해를 돕기 위해 몇가지 사항에 대해 문답식으로 풀어봤습니다. 앞으로 궁금한 점에 대해 질문을 주시면 취재를 통해 함께 답을 찾아나가도록 하겠습니다.

Q.국정원이 사용하는 해킹솔루션인 RCS(Remote Control System)은 불특정 다수의 PC나 휴대폰을 무차별적으로 해킹하나?

그렇지 않다. 많은 사람들이 오해하는 부분인데 국정원이 사용하는 RCS라는 해킹프로그램은 원하는 목표물만 대상으로 한다. 도감청 대상자(target)가 사용하는 PC나 스마트폰에 문자나 메일을 보내 감염시킨 뒤에 에이전트(원격으로 작동하는 작은 스파이웨어)를 설치해 단말기 내 자료를 해킹하거나 통화내용을 빼가는 방식이다. 스팸메일이나 보이스피싱처럼 악성코드를 무차별적으로 살포해 불특정 다수를 목표로 하는 방식과는 다르다.

   

Q.그렇다면 국정원은 몇 명이나 도감청할 수 있나?

국정원이 감시할 수 있는 대상(target)은 동시에 최대 20개까지 가능하다. 도감청 목표물의 수는 이탈리아 해킹팀과의 계약에 따라 늘어날 수도 있고 줄어들 수도 있다. 국정원은 2012년 초 첫 계약 때 10개를 계약했고, 그해 7월에 목표물 10개를 더 감시할 수 있는 시스템을 추가로 계약해 현재 20개를 커버할 수 있는 것으로 확인됐다. 즉 현재 운용하는 시스템은 최대 20개의 목표물을 동시에 해킹하거나 도감청할 수 있는데 목적을 달성한 목표물은 빼고, 그만큼의 목표물을 추가할 수 있다. 물론 돈을 더 많이 지불하면 더 많은 목표물을 감시할 수 있지만 그럴 경우 국정원의 관리인력과 장비도 그만큼 보강해야 한다.

   

Q.아이폰은 해킹이 불가능하다던데?

이탈리아 해킹팀의 RCS 제품은 아이폰도 해킹할 수 있다. 단 현재는 이른바 ‘탈옥폰’의 경우만 가능하다. 탈옥폰은 제조사인 애플이 여러가지 기능을 제한하기 위해 걸어놓은 잠금장치를 해제시킨 휴대폰을 말한다. 탈옥폰은 사용자 환경을 마음대로 바꿀 수 있고 유료 앱을 무료로 쓸 수 있게 해주지만 보안에 치명적인 약점을 가지게 된다. 탈옥시키지 않은 정상적인 폰의 경우에는 아직까지 RCS의 침투가 불가능하다. 그러나 유출된 자료를 보면 해킹팀은 탈옥하지 않은 아이폰도 해킹이 가능하도록 연구 중이며 이미 데모 버전도 만들어 놓은 것으로 알려졌다. 또 현재의 RCS 버전 9.6 이후에 나올 버전 10.0부터는 아이폰에 대해서도 RCS가 작동하도록 할 계획이었던 것으로 알려졌다.

   

Q. 안드로이드폰의 경우는 어떤가?

운영체제 버전에 따라 다르다. 해킹팀의 RCS는 안드로이드 4.4(킷캣)까지만 지원하고 안드로이드 5.0(롤리팝)은 아직 지원하지 않는다.

   

Q.국정원의 해킹 프로그램이 뚫고 들어갈 수 있는 스마트폰은 어떤 게 있나?

운영체제와 단말기에 따라 다르다. 앞서 말한대로 아이폰의 경우는 탈옥폰의 경우에만 가능하고 안드로이드폰의 경우는 운영체제와 제품에 따라 침투되는 것도 있고 아닌 것도 있다. 해킹팀은 블랙베리도 뚫을 수 있다고 설명한다.

RCS를 작동하려면 우선 해당 기종의 보안 취약점을 공격해야 하는데 새로 출시되는 휴대폰 단말기 종류와 운영체제가 워낙 다양해 해킹팀이 이를 바로 따라잡지는 못하고 있다. 즉 개발까지는 일정한 시차가 있기 때문에 최신 휴대폰일수록 안되는 경우가 많다고 보면 된다. 국내에서 많이 사용되는 삼성 단말기의 경우 갤럭시 시리즈는 S, S2, S3, S4, S5까지 침투가 가능하고 노트의 경우는 노트3까지 해킹이 가능하다. 갤럭시 S6와 S6에지는 아직 불가능하다.

   

Q.파일을 빼가는 것은 물론 통화녹음도 할 수 있다는데?

물론이다. 에이전트를 심어놓은 PC나 스마트폰은 국정원이 원격으로 자기 마음대로 조정할 수 있다고 보면 된다. 통화도 녹음할 수 있고 단말기에 내장된 마이크를 통해 감시 대상자가 있는 현장의 소리를 녹음할 수 있다. 내장 카메라를 통해 사용자 몰래 사진을 찍어 저장해 놓은 뒤 이를 전송할 수도 있다.

해킹팀이 고객들의 문의에 답한 내용을 보면 감시 대상자의 스마트폰 내부에 저장공간이 부족해 녹음파일을 저장할 수 없는 경우에는 통화 녹음이 불가능하다고 돼 있다.

   

Q.스마트폰 메신저 앱을 통한 대화도 가로채 갈 수 있나?

그렇다. 하지만 이 기능은 2015년 6월 현재 안드로이드폰의 경우 ‘루팅’된 폰에서만 가능한 것으로 돼 있다. 루팅폰은 탈옥폰과 마찬가지로 제조사의 기능제한 장치를 풀어버린 폰이다.

루팅이 돼 있을 경우는 스카이프, 왓츠앱, 바이버, 라인, 페이스북, 행아웃, 텔레그램 등에서 이뤄지는 문자 대화 내용을 모두 빼낼 수 있다. 스카이프와 바이버의 경우에는 앱을 통한 음성통화까지 가로채는 게 가능하다.

   

Q.국정원은 누구를 대상으로 해킹프로그램을 사용했나?

그동안 해킹프로그램과 관련해 어떤 정보도 확인해 줄 수 없다던 국정원은 첫 보도 6일만인 14일에야 대북정보전을 위한 연구개발을 위해 해킹프로그램을 사용했다고 국회 정보위에서 해명했다. 국내 민간인을 대상으로 사용한 적은 없다는 것이다. 정보기관의 특성상 자세한 내용을 밝힐 순 없지만 일부 테스트용으로 사용한 것도 북한공작원을 상대로 한 것이라고 주장했다. 카카오톡에 대한 해킹 문의를 한 것도 북한 공작원이 카카오톡을 사용하는 경우가 있기 때문이라는 것이다. 유출자료를 보면 해킹을 시도한 대상이 중국같은 해외에 있는 PC나 휴대폰인 경우도 확인이 된다. 하지만 국내 이동통신사에서 출시한 스마트폰에 대한 해킹을 요청하거나 ‘천안함 문의’라는 한글 이메일을 통해 감시대상 단말기를 감염시키려 한 사례가 발견돼 국내 민간인을 감시한 게 아니냐는 의혹은 가시지 않고 있다.

   

Q.이탈리아의 해킹팀은 해킹 조직인가? 소프트웨어 회사인가?

이탈리아 업체 해킹팀은 지하에서 익명으로 활동하는 해커들의 비밀스러운 조직은 아니다. 2004년부터 해킹프로그램을 만들어서 판매하는 인터넷 보안업체다. 본사는 밀라노에 있지만 싱가포르와 미국 애나폴리스에 지부를 두고 있고 해마다 각국에서 열리는 유명 보안 관련 전시회와 컨퍼런스에도 자주 참여해 마케팅 활동을 펼치고 있다. 하지만 ‘시티즌랩’과 ‘국경없는 기자회’ 같은 국제단체들은 해킹팀의 감시프로그램이 독재국가에서 인권탄압 등에 악용되고 있다며 이 업체를 ‘인터넷의 적’이라고 비난해 왔다.
해킹팀은 프로그램 프리젠테이션과 운영에 관한 기술지원, 교육을 위해 지난 2010년 12월 7일 한국을 처음 방문한데 이어 지금까지 모두 5차례 한국에 와 국정원 담당자들을 만났다.

   

Q.우리나라 말고 해킹팀의 RCS를 구입해 사용하고 있는 나라는 어디인가?

30여 개 국가에서 70개 이상의 기관이 이 해킹프로그램을 구입해 사용하고 있는 것으로 알려졌다. 대부분 정보기구나 군,경찰 관련 정부기관이다. 해킹팀 전체 고객리스트는 이곳에서 볼수 있다.

   

Q.이번에 해킹된 해킹팀 내부 자료는 어디에서 볼 수 있나?

2015년 7월 6일 유출된 이후 비트토렌트와 https://ht.transparencytoolkit.org에 데이터가 공개됐다. 비밀정보 폭로사이트인 위키리크스는 7월 9일 해킹팀 특별 페이지를 오픈해 이 자료들을 누구나 검색할 있도록 했다.

   

국정원이 이탈리아 보안업체 ‘해킹팀’에서 구입한 해킹프로그램을 통해 국내 이동통신가입자의 스마트폰을 감청해 왔음을 보여주는 자료가 속속 드러나고 있다.

해킹으로 유출된 해킹팀 내부자료에 따르면 국정원은 해킹팀에 국내 이동통신사에서 출시된 스마트폰 모델을 특정해 해킹 방법을 요청하는가 하면, 국내에서 주로 사용되는 카카오톡 해킹 방법이나 안랩의 모바일 백신 관련 대책을 논의한 사실이 드러났다.

국내 이동통신사용 스마트폰에 대한 통화녹음 기능 요청

2012.8.14 국정원
통화 녹음이 되는 안드로이드 기종이 어떤 게 있는지 알고 싶다. SHW-M 시리즈(250S, 250K)는 통화 녹음이 작동하지 않는다. 통화 녹음 기능을 지원해줄 수 있는가?

2012.9.26 해킹팀
250S와 250K는 갤럭시 S2의 한국 기종으로 보인다. 삼성 갤럭시를 심도 있게 테스트했지만 아무런 문제가 없었다. 한국 시장으로 나온 제품이므로 우리에게 보내주면 테스트해서 최선의 지원을 하도록 하겠다.

이탈리아 해킹팀의 원격감시 해킹프로그램인 RCS(Remote Control System)을 구입한 뒤에 국정원의 RCS 관리자가 해킹팀 직원과 나눈 이메일 내용이다. 갤럭시 250S는 SK텔레콤을 통해 출시된 단말기에 붙는 모델명이고, 250K는 KT를 통해 출시된 단말기의 모델명이다. 이는 국정원이 해킹팀에 국내 이동통신가입자들의 갤럭시 S2 단말기를 대상으로 통화 감청과 녹음 기능을 요청했다는 것을 보여준다.

2013년에도 국정원은 한국에서 생산된 삼성 갤럭시 S3의 경우 통화 녹음이 되지 않는다며 직접 제품을 보내 분석을 의뢰했다.

2013.2.15 국정원
한국의 안드로이드폰 몇 개를 이탈리아로 보냈다고 들었다. RCS에서 음성 녹음 기능을 사용할 수 없기 때문이다. 체크해서 개발해주기 바란다.

2013.2.22 해킹팀
보내준 단말기들을 테스트해봤는데 이탈리아 시장에서 산 갤럭시 S3와 하드웨어가 같은 것으로 나타났다. 유감스럽게도 삼성 갤럭시 S3는 RCS 모듈과 호환되지 않는다.

2013.2.25 국정원
알았다. 현재의 RCS가 지원하는 통화 녹음이 가능한 안드로이드 기종을 알려달라.

2013.2.25 해킹팀
현재 음성 녹음이 모든 폰에서 가능한 것은 아니다. 가능한 기종은 다음과 같다.
삼성 갤럭시 S2, 갤럭시 넥서스(목표물 음성만), 갤럭시 S3(목표물 음성만),
삼성 갤럭시 탭 7인치

국내 이동통신사용 스마트폰 신제품이 출시될 때마다 해당 기종을 공격대상으로 삼기 위한 국정원의 기술지원 요청은 계속됐다.

2015.3.19 국정원
삼성 갤럭시 노트3 SM-900L, SM-900K, SM-900S의 취약점을 설정하고 싶다. 가능한가? 다음 버전에서 삼성 기기를 지원하겠다고 했는데 어떻게 되어가고 있나?

2015.3.17 해킹팀
삼성 갤럭시 노트3 펌웨어가 너무 최근에 나와서 현재로썬 원격 취약점 공격이 가능하지 않다.

단말기 모델명 뒤에 붙는 L은 LG유플러스용, K는 KT용, S는 SKT용으로 출시된 단말기를 뜻한다. 국정원 관리자는 또 불과 한 달 전인 지난 6월 15일 자 이메일에서 삼성전자의 최신 스마트폰인 갤럭시 S6와 S6 엣지 단말기를 대상으로 한 해킹 녹음이 되지 않는다며 자신들에게 중요한 기능이기 때문에 빨리 사용할 수 있게 해 달라고 요청하고 있다.

국정원이 한국 내에서 새로운 스마트폰이 출시될 때마다 해당 단말기에 대한 해킹 공격 방법을 요청했다는 것은 국정원의 감시대상에 국내 이동통신 가입자들이 포함돼 있다는 것을 의미한다.

‘카카오톡’, ‘라인’ 메시지와 음성 추출 기능도 요청해

국정원은 또 2014년 1월 17일 이메일을 통해 에이전트(정보를 빼내 갈 수 있는 스파이웨어)를 심어놓은 PC에 ‘카카오톡’과 ‘라인’이 설치돼 있는 것으로 나왔다며 메시지와 음성 녹음을 추출하는 기능을 지원해달라고 해킹팀에 요청하고 있다.

또 올해 초에는 해킹용 에이전트가 국내 인터넷 백신 업체인 안랩의 모바일용 백신에 의해 검출됐다며 수차례에 거쳐 이메일을 나누며 해결책을 논의한 사실도 확인됐다. 다음은 2015년 2월 3일부터 6일 사이에 이뤄진 국정원과 해킹팀의 이메일 대화 내용이다.

국정원 : 설치한 에이전트가 안랩의 V3 Mobile 2.0에 의해 악성 프로그램으로 검출됐다.
해킹팀 : 알려줘서 고맙다. 최대한 빨리 분석하겠다. 공격대상(목표물)의 운영체제와 사용 중인 RCS 버전을 알려달라
국정원 : 공격대상은 안드로이드 4.4.4를 쓴다. RCS 버전은 9.5.1이다.
해킹팀 : 어떤 백신인지 정확히 알려줄 수 있나?
국정원 : 안랩 V3 모바일+ 2.0 Version : 2.3.8.1 (build 1137) 이다.
해킹팀 : 유럽에서는 당신이 말한 백신을 구할 수 없는데 보내줄 수 있나?
(하루 뒤)
해킹팀 : 테스트 결과 (RCS의) 새 버전인 9.5.2에서는 V3가 에이전트를 걸러내지 못했다. 언제든 또 문제가 생기면 연락하라.

안랩의 모바일 백신은 국내에서 대부분의 모바일뱅킹에 이용될 뿐 아니라 최근에 출시되는 단말기에는 기본 탑재될 정도로 국내에선 일반적인 백신이다. 이 때문에 안랩의 백신이 설치된 단말기를 해킹 대상으로 삼았다면 국내 가입자의 단말기일 가능성이 크다.

이탈리아 해킹팀에서 유출된 이메일 자료들을 보면 중국 등 해외에 있는 것으로 보이는 PC나 스마트폰에 대한 해킹 문의도 눈에 띈다. 그러나 앞서 살펴본 사례처럼 국정원이 국내 이동통신 가입자들을 대상으로 국내에서 감청과 해킹을 했다는 것은 다른 차원의 문제다.

영장 없이 국내 이용자를 대상으로 한 이 같은 감청과 해킹을 했다면 통신비밀보호법 위반이다. 특히 국내 정치개입으로 물의를 빚은 원세훈 전 국정원장 취임(2009년) 이후에 해킹프로그램을 통한 인터넷 감시가 본격적으로 추진되고 자행됐다는 점에서 논란이 불가피할 것으로 보인다.

나나테크 관계자, “담당 국정원 직원의 소속은 몰라”

한편 국정원의 해킹프로그램 중개업체인 나나테크의 한 관계자는 뉴스타파와의 통화에서 자신도 “왜 국정원이 자신들의 이름을 한국의 정보기관이라고 하지 않고 ‘5163 Army Division’이라고 했는지 의아했다”면서 “해킹프로그램을 구입한 곳은 국정원이 맞다”고 시인했다.

또 이탈리아 해킹팀의 직원들이 그동안 수차례 한국을 방문해 국정원 직원들을 대상으로 프리젠테이션을 하거나 교육을 한 사실이 있다고 밝혔다. 하지만 국정원 직원들의 소속 부서는 모르며, 어떤 용도로 해킹 프로그램을 사용했는지에 대해서도 추정은 하지만 말하기는 곤란하다고 밝혔다.

-국정원 2차장 산하 국내파트 사용 의혹
-목표물(target) 20개 모니터링 화면 포착

국정원이 이탈리아의 ‘해킹팀’으로부터 구입한 인터넷 감시프로그램을 주로 통신 도·감청에 활용했음을 뒷받침하는 자료가 확인됐다. 또 국정원은 이미 2012년부터 이 프로그램을 실제 사용했으며 동시에 모니터할 수 있는 목표물을 최초 10개에서 20개로 늘려 운영한 것으로 나타났다.

이 같은 사실은 뉴스타파가 인터넷을 통해 공개된 ‘해킹팀’ 유출자료를 분석한 결과 드러났다. 국정원이 만약 이 스파이웨어를 통해 국내 스마트폰 사용자를 대상으로 통화 도·감청을 했다면 통신비밀보호법 위반 논란이 불가피할 것으로 보인다.

국정원의 협력업체 역할을 한 국내 보안업체 ‘나나테크’가 해킹팀과 주고받은 메일을 보면 국정원은 지난 2010년부터 감시프로그램 구입을 추진했다.

국정원, 음성 통화 감시 기능 요구

해킹팀에게 자신들의 고객이 한국의 정부기관임을 이미 밝혔던 나나테크는 2010년 9월 보낸 이메일에서 “고객이 해당 제품이 휴대전화 상에서의 음성 대화를 모니터링하는 기능이 있는지 알고 싶어한다”면서 고객이 그런 기능을 원한다고 전하고 있다.

또 2012년 5월 해킹팀이 나나테크에 보낸 메일에는 원격감시프로그램인 RCS를 업데이트하면서 목표물이 아무리 많더라도 모니터링 기능을 한국 전체로 확장할 수 있는 기능과 알려지지 않은 통화자의 목소리를 서로 구분할 수 있는 기능을 옵션으로 제공한다 설명하고 있다.

이 같은 메일을 받은 국정원은 한 달 뒤인 2012년 6월, 10개의 목표물을 추가로 관리할 수 있는 계약을 요청해서 이후 모두 20개의 목표물을 감시할 수 있는 시스템을 갖춘 것으로 보인다.

국정원의 RCS 작동 화면에 그대로 드러난 운영 현황

아래 사진은 2013년 7월 27일 운용하던 감시프로그램에 문제가 생기자 국정원 측 관리자가 해킹팀에 보낸 국정원 RCS 콘솔의 실제 캡쳐화면이다. 국정원 관리자는 문제가 생겼다며 어떻게 해야 고칠 수 있는지 질문하며 이 사진을 첨부해 보냈다.

화면 중앙에 표시된 Agent 17/20 은 현재 20개 가운데 17개가 작동하고 있음을 의미하는 것으로 보인다. Agent는 해킹을 위해 목표물에 심어놓는 스파이웨어를 말한다.

아랫부분에는 데스크톱과 모바일로 나뉘어 작동하는 플랫폼이 표시돼 있다. 윈도우와 안드로이드, IOS 등 어떤 운영체제에도 침투할 수 있다는 것을 보여준다. 해킹팀으로부터 유출된 이 같은 자료들은 국정원의 감시프로그램이 한국 내에서 목표물의 데스크톱과 모바일을 실시간으로 감시, 분석하고 통화 등을 도·감청하는데 사용되고 있음을 입증한다.

현재 우리나라 통신비밀보호법 제5조에 따르면 통신제한조치(감청)는 “계획 또는 실행하고 있거나 실행하였다고 의심할 만한 충분한 이유가 있고 다른 방법으로는 그 범죄의 실행을 저지하거나 범인의 체포 또는 증거의 수집이 어려운 경우에 한해” 허가되며 기간도 최대한 2개월로 제한하고 있다.

이렇게 국가보안법 위반 사건이든 형법 위반 사건이든 통신 감청에는 엄격한 제한이 있기 때문에 국정원이 법원의 허가 없이 감시프로그램을 이용해 감청했다면 통신비밀보호법 위반에 해당한다.

감시프로그램 운용 부서는 2차장 산하 국내정치파트?

불법 감청의 의혹이 생기는 근거는 또 있다. 2014년 1월 14일 협력사인 나나테크는 “고객(국정원)의 내부 상황 때문에 의회가 예산을 삭감해 매우 제한된 예산만 사용할 수 있다. 이번에는 유지관리 계약만 하길 원한다”는 이메일을 해킹팀에 보냈다.

내부 상황이라는 것은 2013년 내내 뜨거운 이슈였던 국정원의 대선개입 댓글사건을 의미하는 것으로 보인다.

그런데 당시 2014년 국정원 전체 예산은 삭감된 것이 아니라 동결됐다. 삭감된 곳은 2차장 산하 국내파트 뿐이었고, 3차장 소관인 대북정보파트와 1차장 소관인 산업스파이 파트 예산은 오히려 늘어났다. 국내 정치 개입에 대한 우려 때문이었다. 감시프로그램을 구입하고 활용한 국정원 부서가 국내파트인 2차장 산하가 아닌지 의심 가는 대목이다.

이 밖에도 국정원이 휴대전화 감시에 해킹팀의 프로그램을 활용한 증거는 곳곳에 포착된다. 지난 2014년 1월 29일 이메일에는 국정원의 또 다른 부서에서 아이폰의 운영체제만 지원하는 RCS(원격조정시스템)을 원하고 있다고 전하면서 가격에 대해 문의하는 내용이 나온다.

또 해킹팀의 기술지원팀 직원들끼리 ‘SKA(South Korean Army-해킹팀 내부에서 국정원을 지칭한 용어)’가 까다로운 것을 요구하고 있다면서 취약점 발굴이 필요한 삼성 스마트폰의 모델에 대한 정보를 교환하고 있는 내용도 포착됐다.

아직 국정원이 누구의 PC와 스마트폰을 도·감청했는지는 구체적으로 확인되지 않고 있지만, 국정원이 해킹팀의 감시프로그램을 이용해 2012년부터 통화 도·감청 등을 활발하게 실시하고 있으며, 기종과 운영체제를 가리지 않았다는 사실이 여실히 드러나고 있다.

-3년 간 시스템 도입 및 유지비로 한화 8억 원 지급
-10월엔 해킹팀 관계자 직접 한국 방문 교육 예정
-뉴스타파 확보 이메일에 ‘2016년 유지비용은 67,700유로’

이탈리아의 인터넷 감시프로그램 제작 및 서비스 업체인 ‘해킹팀’(Hacking Team)의 내부 정보가 해킹으로 인터넷에 유출돼 전세계적인 파장을 불러일으키고 있는 가운데 국가정보원도 2012년 이 업체의 감시프로그램을 구매해 현재도 사용하고 있는 것으로 뉴스타파 취재결과 드러났다.

해킹팀의 프로그램을 구입한 국가들은 대부분 인권 탄압이 심하다고 지목된 나라들인데다 실제 이 감시프로그램을 반정부 단체나 인물을 감시하는데 사용한 것으로 확인되고 있어 국정원이 어떤 목적으로 이 감시프로그램을 사용하고 있는지에 대해 의문이 제기되고 있다.

지난 7월5일(미국현지시각) 해킹돼 인터넷에 공개된 해킹팀의 내부정보는 400기가바이트(GB) 분량이다. 여기에는 각 국 고객과의 계약사항과 주고받은 이메일, 해킹팀의 직원정보, 감시프로그램에 대한 설명 등이 포함돼 있다.

계약서와 요금청구서의 결제정보 자료에는 ‘한국 정부의 5163부대(The 5163 Army division)’라는 고객 이름이 나오는데 이 ‘5163부대’는 국정원이 외부와 업무연락을 할 때 사용하는 명칭이다. 5163부대와 맺은 계약서에 찍힌 주소도 국정원이 사용하는 사서함 주소(P.O. Box 200)와 일치하는 것으로 확인됐다.

이 자료를 보면 국정원은 2012년 1월 27만3천 유로를 지불하고 원격감시시스템을 구입했으며 1년에 두번 정도 유지비용을 냈고, 가장 최근인 지난 1월에도 약 3만3천850유로를 유지비용으로 지불한 것으로 나타났다. 감시시스템 첫 구입 후 지금까지 지금한 총 금액은 68만6천410 유로, 우리 돈으로 모두 8억 6천만 원에 이른다.

국정원이 구입한 감시프로그램은 RCS(Remote Control System)로 불리는 원격감시프로그램이다. 자료에 따르면 국정원은 2014년 업그레이드 버전인 ‘다빈치’(Da Vinci)도 구입해 지금까지 유지보수 비용을 지불하고 있는 상태다.

RCS는 스파이웨어를 원하는 목표물에 설치해 정보를 빼가는 방법을 사용하는데 컴퓨터와 스마트폰을 감청하는 것은 물론이고 단말기의 카메라와 녹음기까지 원격조정할 수 있는 막강한 감시프로그램이다. 이때문에 해킹팀은 전세계의 민간 정보보호단체들과 시민기구로부터 ‘인터넷의 적’이란 표현을 얻을 만큼 많은 비난을 받고 있다.

해킹팀의 프리젠테이션 자료에는 감시 대상 목표물이 문서나 웹페이지를 열 때 감시프로그램이 작동하도록 용량이 작은 스파이웨어를 심거나 SMS을 이용한다는 등의 설명이 들어있으며 기존 백신으로는 추적이 불가능하다고 적혀있다.

캐나다의 연구팀 ‘시티즌랩’이 지난해 2월 해킹팀의 감시프로그램을 추적해 확보한 IP(인터넷주소)를 공개한 적이 있다. 아래 표처럼 당시 발견된 21개 국가 가운데 한국의 IP도 포함이 돼 있어서 한국에서도 해킹팀의 감시프로그램이 사용되고 있는 것이 아니냐는 의혹이 일었는데 이번 자료유출은 그 사용자가 국정원이었을 가능성이 높다는 것을 보여준다.

국정원은 ‘나나테크’라는 국내 보안업체를 통해 해킹팀과 감시시스템 구입 및 운용 계약을 했다. 아래는 뉴스타파가 확보한 나나테크의 대표와 해킹팀의 담당자가 주고받은 이메일이다. 불과 9일 전 작성된 이 이메일을 보면 국정원은 지금도 이 감시프로그램을 사용하고 있다는 것을 알 수 있다.

지난 7월 1일자 이메일에서 나나테크 관계자는 해킹팀이 제안한 고객 교육에 대해 ‘10월에 교육이 이뤄지길 고객이 희망’하며 ‘2차 송금은 고객이 8월말까지 할 것’이라고 회신했다.(올해 유지 비용에 대한 1차 송금은 1월에 이뤄졌다. 1, 2차 각각 33,850 유로씩이다.) 이후 이메일에서는 양측이 해킹팀 교육관계자의 10월 한국 방문 계획을 확정한다. 유출자료를 보면 해킹팀은 감시프로그램 첫 구매 계약 직후인 2012년 1월에도 우리나라를 방문한 적이 있었던 것으로 확인된다. 이들은 서울 강남구의 한 호텔에 숙박했던 것으로 나타났다.

나나테크는 지난 2003년 3월 설립된 정보통신서비스업체로 서울 공덕동에 위치해 있다. 공시된 기업정보에 따르면 대표는 허손구 씨(60세) 등 2명이고, 직원 수는 6명이다. 2012년도 매출액은 5억7천만 원, 영업이익은 6천9백만 원이었다. 뉴스타파는 국정원과의 연관성을 확인하기 위해 9일 나나테크를 찾아갔으나 업무시간임에도 불구하고 사무실은 굳게 닫혀진 상태였다.

이번 내부 정보 유출 사고가 없었다면 국정원과 해킹팀과의 관계는 내년에도 계속 이어졌을 것으로 보인다. 나나테크와 해킹팀이 주고받은 이메일을 보면 국정원이 직접 송금하던 유지 비용을 내년 1월부터는 나나테크를 통해 지불하겠다는 내용이 나온다. 국정원이 이 감시프로그램을 2016년에도 계속 사용하겠다는 뜻이다.

문제는 국정원이 이렇게 구입한 감시프로그램을 어떤 용도로 운용하고 있는가이다. 북한이나 중국의 해킹 조직과 싸우는 데 사용하는 것이 아니라 혹시라도 국내에서 자국민을 상대로 사용하고 있다면 또다시 정보기관의 사찰 문제와 개인의 사생활 보호 같은 인권 문제가 불거질 수 밖에 없다. 국정원 측은 감시프로그램 구입과 사용여부, 목적 등에 대한 질문에 “어떤 질문에도 확인해줄 수 있는 것이 없다. 이해해달라”는 말만 되풀이했다.

그런데 해킹팀으로부터 감시프로그램을 도입한 것으로 드러난 멕시코와 모로코, 이집트, 수단,이디오피아 등의 국가들은 대부분 모두 언론이나 시민단체를 사찰하거나 인권을 탄압해 문제가 불거졌던 나라들이다.

모로코의 경우 이번에 유출된 자료로 2010년 이전부터 지금까지 모로코 정부가 해킹팀으로부터 감시프로그램을 구입해 사용한 사실이 확인됐다. 이에따라 지난 2012년 정부에 비판적인 언론인을 상대로 했던 해킹사건도 정부 소행이 아니냐는 의혹이 커지고 있다.

또 에티오피아의 경우도 지난해 발생한 언론인에 대한 해킹 사건에 정보기관이 관여했음을 보여주는 자료가 이번에 유출됐다.

우리의 경우 국정원이 감시프로그램을 처음 구입한 2012년 1월은 대선을 앞두고 심리전단이 SNS 전담조직을 확대했던 시기와도 일치하고 있어서 국정원이 왜 이 프로그램을 당시에 구입했는지 의문이 제기되고 있다.

2015년 7월6일 이탈리아 보안업체 ‘해킹팀’의 내부자료가 유출돼 인터넷에 공개된 후 우리나라의 국가정보원도 이 업체로부터 감청프로그램을 구입해 사용했다는 사실이 확인되면서 파장이 확산되고 있습니다. 기술적으로 복잡한 내용도 많고 확인되지 않은 채 유통되는 정보도 많습니다. 이해를 돕기 위해 몇가지 사항에 대해 문답식으로 풀어봤습니다. 앞으로 궁금한 점에 대해 질문을 주시면 취재를 통해 함께 답을 찾아나가도록 하겠습니다.

Q.국정원이 구입, 운용한 해킹팀의 RCS에서 ‘타깃 20개’란 어떤 의미인가? 국정원장은 20명 분의 해킹프로그램이라고 주장한다. Q.동시 감시 대상이 20개라는 것은 예를 들어 국정원이 감시가 필요한 대상 100개를 미리 감염시켜 놓은 뒤에 필요에 따라 감시 대상 20개 안에 넣었다 뺐다 할 수 있다는 것인가? Q.그렇다면 이미 20개를 가득 채워서 동시에 모니터링을 하고 있는 상태에서 다른 1개의 타깃에 추가로 스파이웨어가 설치된다면 어떤 일이 벌어질까? Q.그렇다면 국정원이 천 명, 만 명의 타깃을 감염시켜 대기열에 위치시켜 놓은 뒤에, 20개씩 차례대로 동시 감시 대상으로 올리면 이론적으로는 감염시켜놓은 모든 타깃을 숫자 제한없이 감시할 수 있다는 말 아닌가?

Q.국정원이 구입, 운용한 해킹팀의 RCS에서 ‘타깃 20개’란 어떤 의미인가? 국정원장은 20명 분의 해킹프로그램이라고 주장한다.

국정원이 이탈리아 해킹팀으로부터 도입해서 운용한 RCS 프로그램의 타깃(target)은 20개다. 이는 동시에 최대한 20개까지 감시가 가능하다는 의미다(해당항목으로 이동).

국정원장의 해명은 해킹을 20명만 할 수 있다는 것처럼 들리지만 실제는 동시에 감시가 가능한 것이 20명이다. 실제 연 감시 대상은 훨씬 많을 수 있다는 것이다.

이탈리아 해킹팀이 나나테크에 보낸 제안서에서 설명하는 타깃에 대한 개념도 그렇다.

예를 들어 모니터링하고 있는 타깃 20개 가운데 더 이상 감시할 필요가 없는 타깃 5개를 삭제하면 새로운 타깃 5개에 추가로 스파이웨어를 설치해 다시 20개까지 모니터링 할 수 있다는 뜻이다. 이렇게 될 경우 국정원이 해킹한 타깃은 모두 25개가 되지만 동시 모니터링 하고 있는 타깃은 20개가 된다.

Q. 동시 감시 대상이 20개라는 것은 예를 들어 국정원이 감시가 필요한 대상 100개를 미리 감염시켜 놓은 뒤에 필요에 따라 감시 대상 20개 안에 넣었다 뺐다 할 수 있다는 것인가?

그렇다고 보기는 힘들다. 국정원 관리자와 해킹팀이 2014년 7월7일 주고받은 메일을 보자. 에이전트는 휴대폰이나 PC 등의 목표물에 설치해 해당 기기에서 정보를 빼내오는 해킹용 스파이웨어를 말한다.

국정원: 우리의 라이선스는 동시에 최대한 20개의 에이전트를 운영하는 것이다. 만약 에이전트 하나를 멈추게 하면 시스템에서 사용되는 에이전트 수에서 제외되는 것인가? (즉, 에이전트를 하나 더 쓸 수 있게 되는 건가?) 해킹팀: 에이전트를 일시적으로 작동 중지시키는 것은 불가능하다. 영원히 멈출 수만 있다. 백도어를 닫아야 새로운 에이전트를 만들어낼 수 있다.

질의 응답은 다음날인 7월8일 이메일로 이어진다.

국정원: 메뉴얼 38페이지 ‘RCS 9.3 Technician.pdf’에 있는 “일시적인 에이전트 작동 중지”에 대해 말하는 것이다. 해킹팀: 뭔가 오해가 있었던 모양이다. 메뉴얼에 “에이전트 활동은 모든 모듈을 중지시키고 동기화 상태로만 놓아두면 에이전트를 삭제하지 않고도 일시적으로 멈추어둘 수 있다.”라고 돼 있는 부분은 만약 백도어의 모든 모듈을 중지시키면 에이전트 활동을 일시적으로 멈춰둘 수 있다는 말이다. 그러나 알다시피 그렇더라도 에이전트는 사용 중인 것이고, 동기화 중인 것이고, 시스템은 백도어를 통해 항상 통신을 주고 받고 있는 것이다. 당신의 라이선스 상에 새로운 타깃을 감염시킬수 있는 에이전트 여분이 없으면 백도어 하나를 닫던지(그리고 그 에이전트는 더이상 다시 열 수 없다.) 아니면 우리 판매부서에 연락해야한다.

(※RCS에는 여러 모듈(기능의 작동단위)이 있는데 기능에 따라 CALL 모듈, CHAT 모듈, PHOTO 모듈 등이 있다. CALL 모듈을 작동시키면 CALL을 감시할 수 있고 CHAT 모듈을 작동시키면 CHAT을 가로챌 수 있다.)

간단히 정리하면 예를 들어 타깃 100개를 한꺼번에 해킹해 놓고서 필요한 것들을 골라서 그 때 그 때 20개 안에 넣었다 뺐다 바꿔가면서 감시하는 것은 불가능하다는 말이다.

Q.그렇다면 이미 20개를 가득 채워서 동시에 모니터링을 하고 있는 상태에서 다른 1개의 타깃에 추가로 스파이웨어가 설치된다면 어떤 일이 벌어질까?

실제로 다른 나라의 고객이 해킹딤에 질문했다. 30개 타깃에 대한 라이선스를 갖고 있고 현재 30개를 동시에 감시하고 있는데 만약 3개월 전에 감염파일을 담아 보낸 이메일을 감시 대상이 이제서야 열어서 감염될 경우 어떻게 되냐는 것이다.

이럴 경우 31번째 타깃은 대기열(queue)에 위치하게 된다고 해킹팀은 답한다. 살아만 있을 뿐 자료를 빼오는데는 써먹을 수는 없는 상태라는 것이다. 따라서 라이선스 1개를 추가로 구입하거나 아니면 기존에 감시중인 타깃 하나를 제거해야 31번째 타깃의 에이전트가 활성된다는게 해킹팀의 설명이다.(▷관련 메일)

국정원도 비슷한 상황에 처한 적이 있다. 2013년 7월29일에 오간 이메일들(TICKET ID:!SMZ-100-78952)을 보면 “최근 타깃 3개가 감염된 것을 알게 돼서 기존 타깃 3개를 삭제했다. 그런데도 (감염된 타깃이) 대기열에서 시스템으로 들어오지 않고 대시보드에 추가할 수도 없다”면서 “3개의 공간이 있는데도 감염된 에이전트 2개가 20시간째 대기열에 머물러 있다”고 질문한다.

당시 국정원이 문제를 설명하면서 보낸 RCS 콘솔의 스크린샷이다.

스크린샷 제일 상단에 있는 RCS:DB 항목에서 상태가 ‘2connections’ 라고 돼 있는 부분이 대기열에 있는 타깃 2개를 말하는 것으로 보인다. 에이전트가 17/20로 3개의 여유분이 있으니 바로 시스템과 동기화돼서 감시 가능 상태에 들어와야 하는데 여전히 대기열에 머물러 있는 상황이다.

이 문제는 결국 국정원이 해킹팀의 조언대로 콜렉터를 다시 부팅하면서 해결이 된다.(▷관련 이메일)

Q.그렇다면 국정원이 천 명, 만 명의 타깃을 감염시켜 대기열에 위치시켜 놓은 뒤에, 20개씩 차례대로 동시 감시 대상으로 올리면 이론적으로는 감염시켜놓은 모든 타깃을 숫자 제한없이 감시할 수 있다는 말 아닌가?

이론적으로는 가능하다. 하지만 실제 해킹팀 RCS 운영 상황으로 볼 때 현실적으는 어렵다. 먼저 앞에서 국정원이 언급했던 대시보드가 무엇인지 보자.

타깃을 대시보드에 추가한다는 것은 기능별로 타깃을 살펴보겠다는 의미다. 사진 왼쪽에 감염된 기기들이 나오고 각각 제공되는 기능이 일목요연하게 표시된다. 휴대폰의 경우 일정,통화,채팅,메모리,이메일,마이크,위치 등에 대한 기능이 제공됨을 알 수 있다.

대시보드에 감염대상을 추가하고 나면 각종 작업을 수행할 수 있다. 다음은 작업 명령을 내리는 화면이다.

감시 중인 스마트폰의 스크린샷을 찍어 전송받을 수도 있고 마이크를 작동시켜 녹음을 할 수 도 있다.

RCS는 이렇게 필요한 타깃의 기기 특성과 운영체제, 사용프로그램에 맞춰 취약점을 공격하고 일단 스파이웨어를 설치한 뒤에는 타깃의 활동 하나 하나를 면밀히 모니터링하는 시스템이다. 목표물의 음성 통화나 채팅, 사진 등을 감시하다가 필요한 때 자료를 빼오는 시스템이다.

또 목표물을 해킹하기 위해서는 취약점 공격에 필요한 URL이나 감염파일이 필요한데, 국정원이 직접 만드는 게 아니라 해킹팀에 요청해서 받아야 한다. 뉴스타파가 분석한 결과 지난 2013년 5월부터 2년 동안 국정원이 해킹팀으로 받은 URL이나 감염파일은 모두 320여 개였다. 이것이 모두 성공했다 하더라도 목표물은 2년 동안 320여 개가 되지만 이 가운데는 한 번 실패했다 다시 요청받은 것도 있어 실제 목표물은 320개 보다 적을 것으로 보인다.

또 국정원은 주로 해킹을 위해 문자나 이메일로 스파이웨어가 심어져 있는 URL을 보내는 방식을 사용했는데 이 경우 URL은 한 개의 목표물만 감염시킬 수 있기 때문에 다수의 목표물에 문자나 이메일을 발송해 다수를 한꺼번에 감염시키는 것이 불가능하다.

이런 여러가지 이유로 동시 감시대상이 20개라 하더라도 사실상 무제한으로 감시할 수 있다는 것은 이론적으로는 가능하지만 RCS의 운영특성으로 볼 때 현실적으로는 설득력이 없어 보인다. 물론 이것은 해킹팀 RCS에 한정된 얘기고, 국정원이 다른 해킹 프로그램들을 운용해 더 많은 목표물을 감시하고 있는지 여부는 현재로선 확인된 바가 없다.

국가정보원의 국민해킹에 대한 국민고발단에 참여하실 분들은 아래의 주소를 클릭하세요. 

http://bit.ly/Nis-Stop-Hacking

□ 2015. 7. 5. 누군가가 이탈리아 해킹 팀(Hacking Team)(이하 “해킹 팀”이라고만 하겠습니다)의 내부자료를 해킹을 통해 확보한 후 인터넷에 공개를 하였습니다. 이 내부자료에는 ‘RCS(Remote Control System)’(이하 “RCS”라고만 하겠습니다)의 소스코드를 비롯하여 RCS를 구매한 나라와 구체적인 구매내역 등이 담겨있었습니다. 그런데 이 내부자료에는 우리나라 정보수사기관인 국가정보원(이하 “국정원”이라고만 하겠습니다)도 해킹 팀의 고객이었고, 실제로 RCS를 구입 및 사용한 것으로 볼 수 있는 자료들도 포함되어 있었습니다. 이에 “1. 국정원은 주식회사 나나테크를 통해 휴대폰과 컴퓨터 등을 감청하는 것을 넘어서서 해킹할 수 있는 RCS를 아무런 통보절차 없이 도입하였다. 2. 국정원은 이렇게 도입한 RCS를 내국인을 대상으로 사용하였다.”는 의혹들이 제기되고 있습니다.

□ 위와 같은 의혹이 제기되자 국정원은 지난 14일 "2012년 1월과 7월, 이탈리아 해킹 팀으로부터 총 20명분의 RCS를 구입하였으나 이는 연구용 혹은 해외에서 필요한 대상에 사용할 목적이었다."고 해명했습니다. 그러나 해킹 팀으로부터 유출된 위 자료들을 분석한 언론보도 내용을 보면 국정원의 해명은 사실과 다르다고 보입니다. 그 구체적인 이유는 아래와 같습니다.

○ 첫째, 국정원은 국내 최대 이용자수를 자랑하는 메신져인 카카오톡을 해킹하길 강력하고 지속적으로 원했습니다. 실제로 2014년 3월 해킹 팀 내부 메일에는 “한국에서 가장 일반적으로 사용되는 카카오톡에 대한 (해킹 기능 개발) 진행 상황에 대해 물었다.”는 대목이 나옵니다.

○ 둘째, 국정원은 스마트폰의 “국내용 모델”의 해킹에 초점을 맞췄습니다. 2013년 2월 갤럭시S3의 국내용 모델을 구입하여 이탈리아에 보내 ‘몰래 음성녹음하는 것이 가능한지’ 살펴달라고 주문한 것입니다. 외국에서 출시된 모델은 기본 애플리케이션이 국내용과 다르기에 국내 핸드폰 사용자를 전제로 한 맞춤용 해킹을 주문한 것으로 볼 수 있습니다. 이뿐만 아니라 국정원은 갤럭시 핸드폰의 최신형 모델이 나올 때마다 이를 해킹하기 위한 업그레이드를 요청했습니다. 이 역시 국내 핸드폰 사용자를 대상으로 했음을 알 수 있게 해줍니다.

○ 셋째, 국정원은 국내에서 사용되는 대표적인 백신프로그램인 안랩의 ‘V3 모바일 2.0’과 같은 백신을 회피하기 위한 방법도 물었습니다. 이 역시 국내의 사람을 대상으로 한 해킹을 준비해왔다고 볼 수 있게 하는 대목입니다.

○ 넷째, 지방선거를 앞두고 안드로이드 스마트폰 공격을 요청했습니다. 지방선거를 석 달 앞둔 2014년 3월께 오간 해킹 팀의 ‘출장 보고서’를 보면, “그들(국정원)의 주된 관심사는 원격의 안드로이드, 아이폰에 대한 공격”이며 “특히 6월에 안드로이드 공격을 이용하길 원한다.”고 적고 있습니다. 이것 또한 국내사용을 전제로 한 것이라 볼 수 있습니다.

○ 다섯째, ‘서울대 공대 동창회 명부’라는 제목의 워드 파일, <미디어오늘> 기자를 사칭한 천안함 보도 관련 문의 워드 파일에 악성코드를 심어달라고 요청하기도 한 것으로 밝혀졌습니다. 천안함 관련 연구진, 서울대 출신 고위관계자 등이 감시 대상자였을 가능성이 제기되는 것입니다.

○ 여섯째, 국정원이 해킹 팀 쪽에 ‘악성 코드를 심어 달라’며 보낸 설치 파일 링크를 살펴보면 △네이버 맛집 소개 블로그 △벚꽃축제를 다룬 블로그 △삼성 업데이트 사이트를 미끼로 내건 주소가 나옵니다. 하나같이 “국내”의 일반인들이 흔히 누를 법한 링크들입니다. 어떤 외국인들이 이를 외국에서 누르겠습니까?

□ 따라서 국정원이 국민들을 대상으로 해킹하였을 것이라는 의혹은 사라지지 않고 있습니다. 이러한 의혹이 사실이라면 RCS를 최초로 구입한 것으로 알려지고 있는 원세훈 전 국정원장을 비롯하여 현재 국정원장인 이병호까지의 전․현직 국정원장들, 그리고 위 각 국정원장 밑에서 RCS를 구입하고 사용하여 왔을 국정원 직원들에게는 아래와 같은 범죄혐의가 적용될 수 있습니다.

 

1. RCS를 구입하여 도입한 행위

- 통신비밀보호법(이하 “통비법”) 제10조의2 제2항: 국회 정보위원회에 대한 통보의무 위반

2. RCS를 감염시켜 감청하거나 저장되어 있는 정보를 훔쳐 본 행위

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 “정통망법”) 제48조 제2항 : 악성프로그램(RCS)의 전달 또는 유포

- 정통망법 제48조 제1항 : 정당한 접근권한 없이 정보통신망에 침입

- 정통망법 제49조 : 타인의 비밀침해

- 통비법 제7조 제1항 : 감청을 하려는 경우 고등법원 수석부장판사의 허가 혹은 대통령의 승인을 얻을 의무 위반

 

□ 그런데 검찰 등 이를 조사하고 밝혀야 하는 국가기관들은 강 건너 불구경하듯이 이 상황을 관망하고 있을 뿐입니다. 그 사이에 관계자는 외국으로 출국을 하고, 담당자는 자신의 행적을 알 수 있게 하는 자료를 삭제하고 있는데 말입니다. 조속한 수사가 이루어져 이후 진실을 규명하고 책임자를 처벌할 수 있는 증거들이 확보될 필요가 있습니다. 그렇기에 저희들은 국민고발단을 모집하여 국정원의 국민해킹에 대해 고발을 진행하려고 하는 것입니다.

□ 이번 고발은 단순히 국정원의 RCS 구매와 사용에 대한 수사를 촉구하는 것만이 아닌 ‘국정원 시대’를 극복하여 우리사회가 보다 민주적인 방향으로 나아가게 하는 계기가 되어야 할 것입니다. 끝이 아니라 국정원 개혁까지 이르는 시작이 되어야 할 것입니다.

□ 이것이 보다 많은 국민이 이에 참여해주시기를 바라는 이유입니다. 많은 국민들이 깨어 있고, 지금의 사태를 지켜보고 있으며, 절실히 민주주의를 바란다는 것을 보여주어야 합니다. 그것만이 가만히 있는 검찰, 눈치 보는 검찰을 조금이라도 움직이게 할 것이고, 진상을 드러나게 할 것이기 때문입니다. 다시 한 번 많은 참여 부탁드립니다.

* 아래 '공감' 버튼, 페이스북 좋아요 한번씩 눌러주시면 

더 많은 분들께 이 소식을 전할 수 있습니다. ^^

뉴스프로, 해킹팀 추적해 온 ‘시티즌 랩’ 연구원 빌 마크잭과 인터뷰– TNI와 연결된 네트워크에 있는 모든 대상이 공격 목표 될 수 있어– TNI를 사용해 주입한 스파이웨어, 원격조정으로 흔적 없이 해킹 가능– 실전 암시하는 스파이웨어 일지에서 한국 IP 주소 확인, 실제 타겟 존재 가능성 시사해– ‘시티즌 랩’ 국정원의 스파이웨어 및 TNI 사용 증거 계속 추적할 것 빌 ...

빌 마크잭, 국정원의 실제 타겟 아이피 주소와 감염 시간 폭로 – 18개의 실제 타겟 중 3개만 감염 성공 (한국 2, 러시아 1) – 감염된 컴퓨터의 스파이웨어 원격으로 업그레이드 및 삭제 가능 출처: 한국일보 뉴스프로는 지난 28일 해킹팀을 연구해 온 캐나다의 ‘시티즌 랩’ 연구원 빌 마크잭과의 인터뷰 기사를 내보낸 바 있다. 마크잭은 인터뷰에서 지난 5월 혹은 ...

국정원이 민간인 해킹 의혹을 풀 핵심 열쇠인 로그파일 공개를 계속 거부하고 있는 가운데, 보안 전문가들은 국정원 RCS 로그파일이 이미 위변조되었을 가능성도 있다는 견해를 밝혔다. 이에 따라 완전한 의혹 해소를 위해서는 로그파일만이 아니라 국정원 RCS의 운영체제, 즉 하드디스크까지 객관적으로 분석해 원본 파일에 조작이 있었는지 여부를 검증할 필요성이 제기되고 있다.

‘로그파일 공개’는 ‘민간인 해킹 검증’의 핵심

국정원 해킹 의혹의 본질이 국내 민간인에 대한 해킹 여부라는 것은 주지의 사실이다. 이를 판가름할 핵심 정보는 국정원 RCS 서버에 담긴 로그기록 속에 들어 있다.

이미 해킹팀 유출 자료 가운데 지난 5월과 6월 중 국정원이 요청한 악성코드의 활동이 담긴 로그기록이 26건이 확인된 바 있는데, 악성코드의 활동 일시, 접속 아이피, 단말기 모델 및 기종, 설정 언어, 미끼 URL, 감염 성공 여부까지를 확인할 수 있는 형식이었다. 이 가운데 2건은 내국인 해킹이 의심되는 기록이다.

※ 관련 데이터 : 해킹팀 서버 국정원 로그기록

사태 초기 야당은 국정원에 이 로그파일을 제출하라고 요구했다. 대국민 해킹이라는 휘발성 높은 의혹이 일었던 만큼 여당 역시 최대한 국정원이 자료를 공개하도록 협조하겠다는 입장이었다.

그러나 7월 18일 RCS 운영팀의 일원이었던 국정원 임 모 과장이 유서에 ‘일부 자료를 삭제했다’고 밝히며 스스로 목숨을 끊으면서 분위기가 바뀌었다. 야당이 자살 배경과 경위에 대한 석연치 않은 정황들을 이유로 공세를 강화하자 여당은 입장을 바꾼다. 로그파일 공개는 국가 기밀을 유출하라는 것이고 국가 안보를 무장해제하라는 것이어서, 북한만 이롭게 하는 행위라는 논리로 맞공세를 시작한 것이다.

7월 27일 국정원은 임 과장이 삭제한 자료를 10일 만에 모두 복원했다며 국회 정보위원들에게 보고한다. 모두 51건의 해킹 시도 기록 가운데 대북·대테러 용의자를 대상으로 10건은 성공, 10건은 실패한 자료였으며, 나머지 31건은 내부 실험용 기록이었다는 것이다. 그러면서 이병호 국정원장은 자신의 직을 걸고 국내 사찰은 없었다고 강변했다. 그러나 야당은 국정원이 이른바 ‘셀프 검증’으로 ‘셀프 면죄부’를 발부하고 있다며, 객관적이고 세부적인 자료 제출 없이는 믿을 수 없다고 반발했다.

보안 전문가들의 견해는? “로그파일 이미 위변조됐을 수도”

국정원 해킹 의혹을 둘러싼 이 같은 여야 간 대치 정국을 국내외 보안 전문가들은 어떻게 바라보고 있을까. 뉴스타파가 접촉한 전문가들은 하나같이 의혹을 말끔히 해소하기 위해 필요한 것은 정치적 공방이 아니라 냉정한 기술적 접근이라고 조언했다.

우선 이들은 임 과장의 자료 삭제 문제는 큰 틀에서 볼 때 중요치 않을 수도 있다는 점을 언급했다. 내국인 사찰 여부를 가를 핵심은 어차피 로그파일인데, 해킹팀 자료 유출 이후 이미 20일 이상 흐른 시점에서 임 과장이 아닌 다른 국정원 직원이 로그파일에 손을 댔어도 이상할 것이 없기 때문이라는 것이다.

이탈리아 해킹팀의 RCS가 전세계 21개국에서 활동하고 있음을 지난해 폭로했던 토론토대학 시티즌랩 연구원 빌 마크잭은 뉴스타파와의 화상 인터뷰에서 “로그파일은 기본적으로 텍스트 파일 형태이므로 누구라도 쉽게 편집과 삭제와 추가 등의 조작이 가능하다”며 “이런 조작이 있었는지를 디지털 포렌식 전문가조차 알 수 없게 수행하는 것도 얼마든지 가능하다”고 밝혔다.

익명을 요구한 한 국내 디지털 포렌식 전문가는 “디지털 포렌식에도 ‘골든타임’이 존재한다”면서 “해킹팀의 자료 유출 직후 국정원 RCS 서버에 담긴 로그파일을 곧바로 확보하지 않은 이상, 지금 와선 그 파일에 이미 어떤 조작이 가해졌는지를 판단하긴 어렵다”고 말했다.

이런 상태에서는 야당이 요구하는 로그파일이 공개된다 해도 의혹을 해소하기는커녕 되레 논란을 증폭시킬 수 있다는 견해도 있었다. 김진국 플레인비트 대표는 “디지털 자료는 위변조가 너무나 용이하다. 따라서 어떤 디지털 데이터의 ‘원본’이라는 것은 특정 시점에서 데이터의 특정 상태에 관해 이해 당사자 간의 상호 인정이 있을 때, 혹은 객관적 인증 절차(전자지문 등)가 있었을 때 성립하는 개념이다. 바꿔 말하면 이런 절차 없이 제시되는 디지털 자료는 이해 관계에 따라 ‘원본’이라고 주장할 수도 있고 아니라고 주장할 수도 있게 되는 것”이라고 설명했다. 즉 지금 당장 로그파일이 공개됐을 때 문제되는 내용이 없으면 여당은 ‘원본’으로 야당은 ‘조작본’으로 규정할 것이며, 문제되는 내용이 나오면 그 반대 주장이 펼쳐질 것이라는 의미다.

“로그파일 조작 여부 판단 위해 운영체제 전부 들여다 봐야”

전문가들은 이런 문제를 해결하기 위해선 로그파일만이 아니라 파일이 담겨 있던 국정원 RCS 서버의 운영체제를 모두 분석해 위변조 여부부터 판단해야 한다고 조언했다.

원리는 이렇다. 만약 누군가가 로그파일 일부를 변조했다면 파일을 열고, 내용을 수정하고, 저장하고, 파일을 닫는 일련의 과정을 거쳐야 하는데 각각의 단계마다 디지털 기호 형태의 흔적이 운영체제 어딘가에 남겨진다는 것이다. 혹은 파일을 열지 않은 채로 삭제하려면 이 기능을 수행하는 소프트웨어나 프로그램이 실행되어야 하는데 이 역시 운영체제 어딘가에 흔적을 남긴다. 이런 산재한 정보들을 모두 긁어모아 분석하면, 로그파일이 위변조되기 이전의 원 정보를 복원시킬 수는 없더라도 최소한 조작이 있었다는 사실은 확정할 수 있다는 것이다.

이 파일이 만약에 어떻게 수정이 되거나 사용자가 어떤 행위를 했다, 그러면 그 시스템, 우리가 윈도우즈 컴퓨터라고 하면 컴퓨터 자체, 서버면 서버 자체, 그 디스크 자체가 전체적으로 있으면 그 안에 있는 로그파일에 어떤 임의적인 조작을 가했다 안 했다(를 알 수 습니다.) 사실 이것도 시간이 지나면 밝혀내기가 어렵습니다. 그래도 어느 정도 파일 하나만 보고 판단하는 것보다는 신빙성 있게, 신뢰성 있게 판단할 수 있죠.
– 김진국 플레인비트 대표

포렌식 분석을 제대로 하기 위해선 해킹팀의 소프트웨어가 실행됐던 국정원 컴퓨터의 원본 하드 드라이브를 확보해야 합니다. 만약 국정원이 로그파일만을 제공한다면 그것의 조작 여부를 확인할 확실한 방법은 없다고 봐야 하고요.
– 빌 마크잭 토론토대학 시티즌랩 연구원

국정원, 국민 신뢰 회복할 마지막 기회 잡을 수 있을까

지난 29일 여야는 민간 추천 전문가와 국정원 기술진의 간담회 개최에 조건부 합의했다. 이때 야당은 국정원이 RCS 데이터가 담긴 하드디스크 원본 등 6개 자료가 제출되지 않으면 합의를 파기하겠다는 뜻을 밝혔다. 이는 디지털 보안과 포렌식 전문가들이 제시한 검증 방식의 틀에 부합하는 것이다.

마찬가지로 국정원도 민간인 사찰 의혹을 근본적으로 해소하는 데 필수인 디지털 증거를 제시하는 데 주력할 필요가 있다. 특히 국정원장 직을 걸겠다고 밝힐 정도로 자신이 있다면 전문가들이 인정하는 검증 방법을 마다할 이유가 없을 것이다. 그리고 그 결정은 빠를수록 좋다. 이미 대선 개입과 간첩 증거 조작으로 국민의 신뢰를 잃은 국정원이기에 더더욱 그렇다.

국정원의 해킹프로그램 RCS가 안드로이드폰에 설치돼 있는지 여부를 확인할 수 있는 백신프로그램이 개발됐다.

(사)오픈넷과 진보네트워크센터, P2P재단코리아준비위원회는 RCS 감염여부를 확인할 수 있는 안드로이드용 ‘오픈백신’을 개발해 일반에 공개했다.

그동안 윈도 PC용으로는 국제엠네스티 등 인권단체들이 개발한 디텍트(Detekt)란 탐지 프로그램이 있었으나 안드로이드용으로 개발된 모바일 백신은 ‘오픈백신’이 처음이다.

‘오픈백신’은 국정원이 이탈리아의 해킹팀으로부터 구입해 사용하는 해킹프로그램인 RCS만을 탐지하기 위해 개발된 것으로 감염여부를 확인할 수는 있지만 치료는 할 수 없다.

오픈넷의 남희섭 이사는 “RCS가 검출됐을 경우 ‘신고’버튼을 누르면 제작팀이 포렌식 분석을 통해 정밀한 검사를 제공”할 계획이라고 밝혔다.

오픈백신은 구글플레이스토어에서 내려받아 사용하면 된다.

지난해 7월 국정원 등 각국의 정보기관에 해킹프로그램, RCS를 대량 판매한 것으로 드러나 전세계를 떠들썩하게 만들었던 이탈리아 해킹팀이 최근 활동을 재개했음을 보여주는 악성프로그램이 발견됐다.

미국의 보안업체 센티넬원(Sentinelone)의 페드로 빌라사 연구원은 최근 입수한 악성프로그램 샘플을 분석한 결과 이탈리아 해킹팀이 사용하던 RCS, 즉 리모트 컨트롤 시스템과 같은 소스코드를 사용하고 있는 것으로 확인됐다고 자신의 블로그에 밝혔다.

또 이 악성프로그램에 심어진 암호화 코드의 작성 날짜가 2015년 10월 16일로 돼 있는 것으로 미루어 볼 때 해킹팀이 지난 7월 사태 이후 다시 활동을 시작했을 가능성이 크다고 지적했다.

이 악성프로그램은 감염된 컴퓨터에 다른 프로그램이 설치되도록 도와주는 것으로, 이번에 발견된 샘플은 애플의 운영체제를 사용하는 컴퓨터를 대상으로 하고 있으며 감염될 경우 해킹팀의 RCS가 설치되도록 유도하는 것으로 드러났다.

또 소스코드에서는 악성프로그램에 명령을 보내는 서버의 아이피주소도 발견됐는데 아이피 검색 결과 할당대역은 영국으로 돼 있지만 이미 차단돼 있는 것으로 나타났다.

빌라사 연구원은 이번에 발견된 악성프로그램은 해킹팀의 내부 소스코드가 유출됐을 때 확인했던 마지막 버전인 2015년 3월 버전과 같은 형식을 띄고 있지만 백신프로그램에 검출이 어렵도록 약간의 업그레이드가 이루어져 있다면서 ‘새로운 코드로 다시 돌아오겠다’고 선언했던 이탈리아 해킹팀이 그동안 큰 발전을 이루지는 못한 것 같다는 설명도 덧붙였다.

이와 관련해 보안업체 사이낵의 연구원 패트릭 워들은 이번 악성프로그램이 예전에 사용했던 형식을 사용하고는 있지만 소스코드의 분석을 어렵게 하기 위해 애플의 암호화 구조를 사용하는 등 몇가지 발전된 기술이 사용됐다는 분석도 내놓았다.

이번에 발견된 악성프로그램은 두 가지 형태로 지난 2월 4일 구글이 운영하는 바이러스 검색사이트인 ‘바이러스토탈’에 처음 올라왔으며 당시에는 어떤 백신프로그램에도 검출이 되지 않았으나 지금(3월1일 현재)은 55개 백신프로그램 가운데 안랩의 V3 등 19개가 이를 감지할 수 있는 것으로 나타났다.

이탈리아 해킹팀은 지난해 7월 400 기가바이트 분량의 내부자료와 소스코드가 해킹으로 유출된 후에도 변함없이 사업을 진행하겠다는 입장을 밝혔다.

이와 관련해 국정원 대변인은 “지난해 7월 해킹팀의 RCS를 국정원이 도입해 사용하고 있다는 사실이 밝혀져 논란이 일었을 당시에 국정원은 RCS의 사용을 중단하겠다”고 밝힌 입장에서 변화가 없다면서도 현재도 중단 상태인지 여부에 대해선 일일이 확인해주기 어렵다고 말했다.

 

오픈백신 이용 현황 공개 및 몇 가지 비판에 대한 반론

8월 18일 현재 총 5만대가 넘는 기기에 설치

발견되는 시그니쳐에 대한 지속적인 업데이트 진행

 

지난 8월 8일, (사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는 안드로이드용 “오픈 백신”을 일반에 공개했습니다. 많은 분들이 오픈백신을 설치하셨고, 오픈백신 개발을 격려하고 후원도 해주셨습니다. 일부 언론과 SNS를 통해 오픈 백신에 대한 비판의 소리도 나왔습니다. 그래서 지금까지의 오픈백신의 업데이트 및 이용 현황을 공개하고, 오픈백신에 대한 몇 가지 비판에 대한 반론을 하고자 합니다.

 

오픈백신 업데이트 현황

지난 8월 8일, 오픈백신 1.0 버전을 공개한 이후 세 차례 업데이트가 이루어져 현재 플레이스토어에서 1.3 버전이 제공되고 있습니다.

• 초기 1.0 버전에서는 휴대전화 파일 시스템 내의 APK 파일만을 대상으로 검사가 이루어졌으나, 1.2 버전에서는 전체 파일 시스템을 대상으로, 그리고 1.3 버전에서는 APK와 실행파일을 대상으로 검사가 이루어지도록 변경되었습니다.
• 악성코드 여부를 판별하는 시그니쳐(Signature) 데이터베이스도 지속적으로 업데이트되고 있습니다. 유출된 해킹팀의 이메일에 첨부된 시그니쳐 데이터를 비롯하여, 시티즌랩에서 찾아낸 악성코드가 포함된 파일의 시그니쳐, 그리고 루크 시큐리티(rook security)^[1]에서 찾아낸 시그니쳐 등이 추가되었습니다. 그리고 이 중 감염되지 않은 파일로 판단된 시그니쳐(2개)는 제거하였습니다.

오픈백신은 지속적으로 디자인이나 성능 측면에서 개선해나갈 예정입니다.

 

오픈백신 이용 현황

8월 8일 공개 이후, 8월 18일 현재까지 총 5만대가 넘는 기기에 설치되었습니다.

 

안드로이드 버전별 설치현황을 보면, 안드로이드 4.4 버전이 54.71%로 가장 많고, 안드로이드 5.0 버전이 27.25 %, 안드로이드 5.1 버전이 7.73%로 그 뒤를 잇고 있습니다.

 

또한 총 810분이 오픈백신에 대한 리뷰를 해주셨고, 대부분 오픈백신에 대한 격려를 보내주셨습니다. 오픈백신을 이용하고 격려해주신 분들께 감사드립니다.

 

해킹팀 RCS 탐지 여부

현재까지 해킹팀의 RCS에 감염되었다고 정확하게 확인된 사례는 없었습니다. 아직 오픈백신으로 검사된 기기의 수가 5만여 대에 불과하기 때문에, 좀 더 광범하게 오픈백신이 설치되어 탐지해볼 필요가 있습니다.

물론 설사 RCS에 감염되었던 기기라고 할지라도, 스파이웨어를 원격으로 삭제하였거나, 혹은 이용자가 다른 백신을 통하여 이미 삭제한 경우라면 발견되지 않을 수 있습니다. 국가정보원이 RCS 이용을 위해 얼마나 광범위하게 악성 코드를 배포하였는지 아직 확실하게 드러나지 않았기 때문에, 좀 더 많은 이용자들이 오픈백신을 설치해 확인해 볼 필요가 있는 상황입니다.

 

오픈백신 비판에 대한 반론

오픈백신 공개 이후에 일부 언론^[2]에서 오픈백신을 분석한 기사를 실었습니다. 이 기사들에서 제기하고 있는 문제는 다음 세 가지입니다.

첫째, 현재 백신에 올라가 있는 시그니쳐는 4개뿐이다.

둘째,안드로이드폰 사용자가 설치한 앱은 탐지할 수 없다.

셋째, RCS의 소스코드를 변경한 변종 악성코드는 탐지하지 못한다.

첫 번째, 두 번째 비판은 사실과 다릅니다. 아마도 소스코드를 잘못 분석했거나 공개 이전의 과거의 소스코드를 분석한 것으로 판단됩니다. 오픈백신은 사용자가 설치한 앱 역시 모두 탐지하고 있으며, 앞서 설명드렸다시피, RCS와 관련된 현재까지의 모든 시그니쳐를 업데이트하고 있습니다(https://github.com/p2plab/OpenVaccine/tree/RC1에서 확인 가능).

세 번째 비판은 오픈백신의 목적에 대한 오해에서 비롯된 것입니다. 오픈백신은 모든 악성코드를 탐지하고 치료하는 일반적인 백신을 목적으로 하지 않습니다. 그것은 다른 상업적인 백신업체들이 해야 할 몫입니다. 오픈백신은 기존에 해킹팀이 만들고 국가정보원이 배포한 RCS의 악성코드를 탐지하여 국가기관에 의한 국민감시를 밝히는 것이지, 이를 변형한 다른 악의적인 공격자가 만든 모든 종류의 악성코드에 대응하려는 것이 아닙니다.

오픈백신이 여러 가지 측면에서 부족한 점이 있을 수 있습니다. 그래서 저희는 더 좋은 아이디어와 능력을 가지신 분이 함께 하기를 바랍니다. 중요한 것은 오픈백신이 좋고 나쁘고가 아니라, 국가기관에 의한 시민 감시 여부를 찾아내고, 향후에 시민 감시가 없는 제도를 만드는 것입니다. 질책은 언제나 중요하지만, 부족한 부분을 함께 채워나갈 수 있기를 기대합니다.

그리고 시민들은 앞으로도 지속적인 시그니쳐 업데이트가 이루어질 것이므로 오픈 백신이 업데이트 될 때마다 검사를 해보시기를 당부드립니다.

 

[1] https://github.com/RookLabs/milano/blob/master/openioc/downloaded/openioc_1.1/linux_arm_1.1.ioc

[2] 전자신문, 오픈백신…RCS 어떻게 잡나 봤더니, 2015.8.16

보안뉴스, RCS 탐지용 ‘오픈 백신’ 분석해봤더니…속 빈 강정, 2015.8.11