주요 콘텐츠로 건너뛰기

이탈리아 해킹팀 활동 재개?…RCS 악성프로그램 발견

지역

이탈리아 해킹팀 활동 재개?…RCS 악성프로그램 발견

익명 (미확인) | 목, 2016/03/03- 13:26

지난해 7월 국정원 등 각국의 정보기관에 해킹프로그램, RCS를 대량 판매한 것으로 드러나 전세계를 떠들썩하게 만들었던 이탈리아 해킹팀이 최근 활동을 재개했음을 보여주는 악성프로그램이 발견됐다.

미국의 보안업체 센티넬원(Sentinelone)의 페드로 빌라사 연구원은 최근 입수한 악성프로그램 샘플을 분석한 결과 이탈리아 해킹팀이 사용하던 RCS, 즉 리모트 컨트롤 시스템과 같은 소스코드를 사용하고 있는 것으로 확인됐다고 자신의 블로그에 밝혔다.

▲ 악성프로그램 소스코드 분석화면. 이탈리아 해킹팀과 같은 소스코드를 사용했다.

▲ 악성프로그램 소스코드 분석화면. 이탈리아 해킹팀과 같은 소스코드를 사용했다.

또 이 악성프로그램에 심어진 암호화 코드의 작성 날짜가 2015년 10월 16일로 돼 있는 것으로 미루어 볼 때 해킹팀이 지난 7월 사태 이후 다시 활동을 시작했을 가능성이 크다고 지적했다.

이 악성프로그램은 감염된 컴퓨터에 다른 프로그램이 설치되도록 도와주는 것으로, 이번에 발견된 샘플은 애플의 운영체제를 사용하는 컴퓨터를 대상으로 하고 있으며 감염될 경우 해킹팀의 RCS가 설치되도록 유도하는 것으로 드러났다.

또 소스코드에서는 악성프로그램에 명령을 보내는 서버의 아이피주소도 발견됐는데 아이피 검색 결과 할당대역은 영국으로 돼 있지만 이미 차단돼 있는 것으로 나타났다.

빌라사 연구원은 이번에 발견된 악성프로그램은 해킹팀의 내부 소스코드가 유출됐을 때 확인했던 마지막 버전인 2015년 3월 버전과 같은 형식을 띄고 있지만 백신프로그램에 검출이 어렵도록 약간의 업그레이드가 이루어져 있다면서 ‘새로운 코드로 다시 돌아오겠다’고 선언했던 이탈리아 해킹팀이 그동안 큰 발전을 이루지는 못한 것 같다는 설명도 덧붙였다.

이와 관련해 보안업체 사이낵의 연구원 패트릭 워들은 이번 악성프로그램이 예전에 사용했던 형식을 사용하고는 있지만 소스코드의 분석을 어렵게 하기 위해 애플의 암호화 구조를 사용하는 등 몇가지 발전된 기술이 사용됐다는 분석도 내놓았다.

이번에 발견된 악성프로그램은 두 가지 형태로 지난 2월 4일 구글이 운영하는 바이러스 검색사이트인 ‘바이러스토탈’에 처음 올라왔으며 당시에는 어떤 백신프로그램에도 검출이 되지 않았으나 지금(3월1일 현재)은 55개 백신프로그램 가운데 안랩의 V3 등 19개가 이를 감지할 수 있는 것으로 나타났다.

▲ 바이러스포탈 화면. 19개 백신프로그램에 검출되는 것으로 나타난다.

▲ 바이러스토탈 화면. 19개 백신프로그램에 검출되는 것으로 나타난다.

이탈리아 해킹팀은 지난해 7월 400 기가바이트 분량의 내부자료와 소스코드가 해킹으로 유출된 후에도 변함없이 사업을 진행하겠다는 입장을 밝혔다.

이와 관련해 국정원 대변인은 “지난해 7월 해킹팀의 RCS를 국정원이 도입해 사용하고 있다는 사실이 밝혀져 논란이 일었을 당시에 국정원은 RCS의 사용을 중단하겠다”고 밝힌 입장에서 변화가 없다면서도 현재도 중단 상태인지 여부에 대해선 일일이 확인해주기 어렵다고 말했다.

시민들의 의견

댓글 달기

Plain text

  • 웹 페이지 주소 및 이메일 주소는 자동으로 링크로 전환됩니다.
  • 줄과 단락은 자동으로 분리됩니다.
  • 사용할 수 있는 HTML 태그: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd>
이미지
무제한 수의 파일을 이 필드에 업로드할 수 있습니다.
50 MB 한계입니다.
허용된 유형: png gif jpg jpeg.
Enter the YouTube URL. Valid URL formats include: http://www.youtube.com/watch?v=1SqBdS0XkV4 and http://youtu.be/1SqBdS0XkV4.
CAPTCHA
스펨 사용자 차단 질문

세월호 참사가 발생한 지 3년 5개월여 만에 고(故) 조은화, 허다윤 양의 이별식이 치러졌다. 서울대병원을 출발한 유해는 서울도서관 앞에서 시민들과 작별인사를 나눈 뒤, 안산 단원고로 이동했다. 수학여행을 떠난 지 1,259일 만이었다. 학교를 떠난 은화, 다윤 양의 유해는 수원시립연화장에서 화장을 한 뒤 화성 효원납골공원에 안치되었다.

세월호 참사로 아직까지 가족 품으로 돌아오지 못한 미수습자는 2학년 6반 남현철·박영인 군, 단원고 교사 양승진 씨, 일반 승객 권재근·권혁규 부자(父子) 등 5명이다.


촬영 : 김기철, 신영철

편집 : 박서영

월, 2017/09/25- 21:18
151
0

14차 촛불집회가 4일 전국 60여곳에서 벌어진 가운데 서울 광화문에서만 연인원 40만명이 넘는 시민들이 대통령 탄핵을 촉구하는 시위에 참여했다.

서울 광화문 촛불집회에 참여한 시민들은 “2월에는 탄핵하라”고 외치면서 황교안 대통령 권한대행도 하루 빨리 사퇴하라고 촉구했다.특히 최근 박근혜 대통령이 혐의내용을 전면 부인하고, 박사모등 관변단체들이 조직적으로 저항하는 양태를 보이면서 촛불 민심은 설연휴 이후 다시 불붙는 양상이다.

이날 오후 5시부터 서울 광화문 광장에서 열린 본집회에 앞서,서울 서초동 서울중앙지법 앞에서는 2천여 명의 시민들이 참여한 가운데 “모이자 법원! 가자 삼성으로! 박근혜 퇴진! 이재용 구속!”을 구호로 사전집회가 펼쳐지기도 했다.사전집회에서도 <박근혜정권퇴진비상국민행동>등 집회 참가 시민들은 헌법재판소가 2월안에 탄핵심판을 끝내야 한다고 주장하며 이재용 삼성전자 부회장에 대한 구속영장도 재청구돼야 한다고 외쳤다.
친박단체들이 주도하는 탄핵반대집회는 박사모등 관변단체들를 중심으로 대한문과 청계광장에서 벌어졌다.이들은 “탄핵반대”,”특검해체”를 외치며 “계엄령 선포”라고 쓰여진 포스터를 흔들기도 했다.


취재:신동윤

촬영:정형민,신영철

편집:박서영

일, 2017/02/05- 01:15
150
0

지난해 파나마페이퍼스에 이어 또다시 대규모 조세도피처 파일이 유출됐다. 뉴스타파는 지금까지 1.4 TB 규모의 이 파일에서 200여 명의 한국인 이름과 이들이 설립한 조세도피처 페이퍼컴퍼니 90개, 이와 관련된 각종 서류 등을 찾았다. 또 이 유출 파일엔 11월 7일 방한 예정인 트럼프 미국 대통령의 최측근, 엘리자베스 영국 여왕 등 세계 각국 정상과 그 핵심 측근 등 저명 정치인 120여 명, 세계적 가수와 배우 등 다수의 월드 스타 등이 조세도피처를 통해 거래한 기록이 들어있어 앞으로 큰 파장이 예상된다.

▲ 쥐트도이체차이퉁

▲ 쥐트도이체차이퉁

취재를 위해 모인 ICIJ 공조취재단

▲ 취재를 위해 모인 ICIJ 공조취재단

지난해 파나마 로펌 모색 폰세카의 내부 파일, 이른바 파나마페이퍼스를 입수했던 독일 일간지 쥐트도이체차이퉁이 이번엔 영국령 섬나라 버뮤다에 있는 로펌 ‘애플비(Appleby)’ 내부 문서 680만 건 등 모두 1,340만 건의 조세도피처 관련 문서를 입수해 국제탐사보도언론인협회 ICIJ와 국제공조취재에 나섰다. 이 자료는 파일 규모만 1.4 TB에 이른다. 이 문서는 ICIJ와 국제 공조취재단에 의해 ‘파라다이스페이퍼스(Paradise Papers)’로 이름 붙여졌다.

2017110601_01

파라다이스페이퍼스와 ICIJ 국제공조취재

유출 파일 규모: 1.4TB
유출 파일 생산기간: 1950~2016
유출 문서 건수: 13,436,050건
– 애플비: 6,829,333건
– 아시아시티트러스트: 566,157건
– 19개 조세도피처 법인등기소: 6,040,560건
국적별 애플비 고객
– 미국: 31,180명
– 영국: 14434명
– 버뮤다: 12017
– 케이맨제도: 8640
– 홍콩: 7065
– 중국: 5924
파라다이스페이퍼스 국제공조 취재단
– 참여 언론인: 382
– 참여 언론사: 뉴스타파, 뉴욕타임스, BBC 등 96개 사
– 참여 국가: 67개국

이번에 내부 자료가 대규모로 유출된 애플비는 1898년 당시 영국 식민지이던 버뮤다에 설립된 유서 깊은 법률회사다. 현재 버뮤다에 본사, 영국령 버진아일랜드, 케이맨아일랜드, 홍콩 등 전세계 조세도피처 11곳에 지사를 두고 변호사 등 직원 700여 명이 세계 각국의 부호와 다국적 거대기업 등에게 조세도피처를 이용해 검은 돈을 숨기거나 세금을 줄여주는 서비스를 제공해왔다.

▲ 애플비 버뮤다 본사

▲ 애플비 버뮤다 본사

뉴스타파 취재진은 ‘파라다이스페이퍼스’ 국제공조 프로젝트에 한국 언론사로서는 유일하게 참여해 지난 6개월 동안 방대한 데이터를 일일이 분석했다. 그 결과 현재까지 한국인 232명의 이름을 찾아냈다. 애플비 등의 유출 문서 내부에 기재된 거주지 주소, 여권번호, 국적 등을 통해 이들이 한국 국적임을 확인할 수 있었다. 이 가운데 조세도피처 설립 서류에 자신의 주소를 한국 주소로 기재한 한국인은 197명이었다.

이들 한국인이 조세도피처에 세운 법인은 모두 90개로 나타났다. 코스닥 상장기업같은 중견업체부터 가스공사같은 공기업, 그리고 재벌기업도 적지 않게 발견됐다. 이 페이퍼컴퍼니들을 설립지 별로 분석한 결과 지중해의 몰타가 42개로 가장 많았고, 버뮤다가 18개, 케이맨제도와 세이셸이 각각 7개로 나타났다.

2017110601_03

이들 페이퍼컴퍼니의 설립연도를 보니 1990년대 중반부터 증가해 2000년대 중반 미국발 금융위기를 전후해 급증했다가 2013년 뉴스타파와 ICIJ가 조세도피처 프로젝트를 진행한 이후 약간 주춤해졌으나 지난 2016년 다시 9건으로 크게 치솟았다.

2017110601_04

한편 이번 파라다이스페이퍼스엔 미국 트럼프대통령의 측근인 미국 상무장관 윌버 로스와 캐나다 총리 트뤼도의 수석 정치자금모금책 스티븐 브론프맨, 영국 엘리자베스 여왕 등 고위 정치인과 세계적 지도자 120여 명의 이름이 나왔다. 또 이 유출 자료를 통해 록 밴드 U2의 보노가 말타를 경유해 리투아니아의 대형 쇼핑몰을 은밀히 소유한 사실이 드러나는 등 월드스타급 유명인들이 다수 조세도피처를 이용해 비밀스러운 거래를 한 기록이 발견돼 앞으로 큰 파장이 예상된다. 파라다이스페이퍼스에 들어있는 트럼프 측근 인사와 세계 저명 정치인들의 명단은 이 인터랙티브 인포그래픽 ‘트럼프월드’와 ‘파워플레이어’에서 볼 수 있다.


데이터분석: 최윤원
촬영: 김남범
편집: 윤석민
CG: 정동우
영상자료: ICIJ 국제공조취재단

월, 2017/11/06- 03:04
150
0

문재인 정부의 사이버보안 수행체계, 국정원의 사이버보안 권한 이양부터 시작해야 

 

지난 7월 19일, 국정기획자문위원회는 문재인 정부 향후 5년의 청사진을 보여주는 <문재인 정부 국정운영 5개년 계획>(이하 5개년 계획)을 발표하였다. 애초에 후보시절 공약한 바와 같이 국정원을 ‘해외정보안보원’으로 개편하겠다는 의지를 다시 밝힌 것에 대해서는 높이 평가한다. 그러나 아직 국정원 개혁 방안에 대한 구체화된 안이 없고, 특히 국정원의 사이버보안 권한은 그대로 유지하려는 것 아닌지 우려스럽다.

 

문재인 대통령은 지난 대선 공약에서 “국정원 주도가 아닌 독자적 사이버 보안전략 컨트롤 타워 설치 및 사이버 보안 역량 강화를 위한 국가적 종합대책 수립”을 약속했고, 언론미디어단체의 정책질의에 대한 답변에서는 “현재 국가정보원이 담당하고 있는 사이버보안 역할을 국회를 비롯한 사회적 감독을 받고, 투명하게 운영될 수 있는 일반 행정부처로 이관할 필요가 있다”는 것에 찬성한 바 있다.

 

그러나 <5개년 계획>에서는 ‘북핵 등 비대칭 위협 대응능력 강화’ 정책과 관련하여, “사이버위협에 대응하기 위한 국가차원의 사이버안보 대응역량 강화”하겠다는 목표하에 “국가안보실 중심의 사이버안보 컨트롤타워 강화 및 체계적인 사이버안보 수행체계 정립ㆍ발전”이라는 사업방향을 제시하고 있을 뿐, 국정원의 사이버보안 권한에 대해서는 아무런 언급이 없다.

 

물론 사이버 위협에 대한 국가차원의 대응은 필요하다. 그러나 현재의 사이버보안 수행체계에 대한 개혁이 없이는, 지난 이명박, 박근혜 정부에서 끊임없이 문제가 되었던 ‘사이버테러방지법’ 논란이 되풀이될 수 있다. 이미 박근혜 정부에서도 국가안보실을 사이버안보 컨트롤타워로 두었고, 현재 국회에는 <5개년 계획>에서 밝힌 것과 동일한 명분으로 국정원이 발의한 ‘국가사이버안보법’과 자유한국당 이철우 의원이 발의한 ‘국가 사이버안보에 관한 법률안’이 이미 제안되어 있다. 이 법안들이 사이버보안에 대한 국정원의 기존 권한을 강화하는 또 다른 ‘사이버테러방지법’임은 잘 알고 있을 것이다. 자칫 <5개년 계획>이 국정원의 사이버보안 권한을 강화하는 ‘국가사이버안보법’ 추진의 명분이 되지 않을지 우려된다.

 

지난 2016년 초, 국가위기 상황이라는 터무니없는 명분 하에 ‘테러방지법’이 직권상정되어 통과되었다. 시민들과 더불어민주당은 192시간 필리버스터를 통해 이에 저항했다. 우리는 적폐청산에 대한 촛불민심의 힘으로 탄생한 문재인 정부에서 반드시 국정원 개혁이 이루어지기를 기대한다. 사이버보안에 대한 문재인 정부의 정책도 과거와 달라야 한다.

 

투명성, 보편성이 강조되어야 하는 '사이버보안' 을 밀행성, 특수성을 속성으로 하는  국정원을 중심으로 국가안보적 관점에서 접근하는 정책은 근본적으로 잘못된 바탕 위에 서있는 것이다.  ‘사이버안보’라는 명분으로 ‘사이버보안’ 전반에 대해 국정원이 실질적 권한을 갖는 체제는 해체되어야 한다.  은밀하게 활동하는 정보기관의 요원이 사적 공간인 내집 방문의 잠금장치 만능번호(backdoor)를 속속들이 알고 있다면 과연 내 집의 보안이 잘 지켜진다고 할 수 있는가? 국정원은 ‘해외정보기관’으로서 자신의 역할에 충실해야 하며, 사이버보안에 대한 권한은 이를 전담할 일반 정부부처로 이관되어야 한다.

 

2017년 7월 21일

 

국정원감시네트워크(민들레-국가폭력 피해자와 함께하는 사람들, 민주사회를 위한 변호사모임, 민주주의법학연구회 진보네트워크센터, 참여연대, 천주교인권위원회)

 

[다운로드/원문보기]

금, 2017/07/21- 11:07
149
0

0708_pyo

■ 신규 확진 이틀째 ‘0’…사망자도 7일째 없어

메르스(MERS, 중동호흡기증후군) 신규 감염자가 이틀째 발생하지 않으면서 누적 확진자 숫자가 186명으로 유지됐다.

신규 사망자도 7일째 발생하지 않았다. 누적 사망자는 33명이다.

퇴원자는 1명 늘어 모두 118명이 됐다. 신규 퇴원자는 1800번째 환자(남, 55세)이다.

※ 현재까지 감영경로가 불확실한 119번째, 175번째, 178번째 확진자와 구급차에서 감염된 133번째, 145번째 확진자를 제외한 모든 메르스 환자는 병원 내에서 감염된 것으로 조사됐다. 뉴스타파는 메르스 발병병원과 경유병원 등 메르스 관련 정보를 정부의 공식 발표(6월 7일)보다 앞선 지난 6월 5일부터 공개하기 시작했다.

수, 2015/07/08- 10:04
149
0