최근 이탈리아의 한 소프트웨어 전문 회사가 해킹을 당해서 해외에서는 언론에도 크게 보도되고 사람들도 난리다. 400기가가 넘는 용량의 회사 문건과 소스 등이 유출되어 인터넷으로 쫙 퍼졌기 때문이다.

 

이 회사는 정부기관 등을 대상으로 솔루션을 판매하는데, PC나 핸드폰 등을 도청, 감청, 혹은 사용자 모르게 조작할 수 있는 그런 소프트웨어들이다. 이런 것을 샀다면 당연히 국민들을 감시하는 데 썼을 거라고 예상할 수 있으니까 인터넷에서 난리가 난 거다.

 

그런데 평소엔 해외토픽 같은 시덥잖은 해외 뉴스들을 잘도 베껴서 올리던 국내 언론들이 이번 사건은 조용하다. 어떻게 된 영문인지 의아할 정도다. 그래도 뒤늦게나마 한 블로그에 글이 올라오면서 몇몇 언론들이 (살짝) 보도를 했으니, 일단 이 문제는 다른 글을 참고하시라 (맨 아래 기재해놓겠다).

 

이 글에서는 정리해서 기록해둔다는 목적으로 이번 사건과 관련해서 2014년에 일어났던 일을 알아보겠다.

 

 

해킹팀, 와이어드에 보도되다

 

(이미지: 와이어드 기사 제목 캡처)

 

 

2014년 6월, 와이어드(wired)에 기사 하나가 올라왔다. 러시아의 카스퍼스키(Kaspersky lab)와 캐나다의 시티즌 랩(Citizen Lab at the University of Toronto's Munk School of Global Affairs)의 연구원들이 정부기관이 사용하는 해킹툴을 리버스 엔지니어링 해서 역추적하는 데 성공했다는 소식이었다.

 

정부가 사용하고 있던 해킹 툴을 역추적해보니 이탈리아 밀라노에 있는 '해킹팀(Hacking Team)'이라는 회사 제품이었던 것.

 

 

(해킹 팀 소개 동영상 중 캡처)

 

 

 

이들이 밝혀낸 이 해킹 툴 (RCS: Remote Control System)의 기능은 대략 다음과 같다.

 

- 핸드폰에서 이메일, 문자메시지, 통화내역, 주소록 등을 몰래 빼낼 수 있음.

- 키로그 탈취로 타자 내용 전체를 엿볼 수 있음.

- 스마트폰 화면의 스크린샷을 캡처해서 받을 수 있고, 통화내용도 녹음 가능.

- 핸드폰을 가만히 놔뒀는데도 핸드폰을 통해 다른 사람과 대화하는 내용을 들을 수 있음. 그때 카메라로 촬영도 가능.

- GPS로 위치 추적도 가능.

 

 

이 내용들은 자신들의 서버를 통해서 고객에게 제공되는 방식이었다. 그런데 놀랍게도 이들은 이미 세계 각국에 이 툴 운용을 위한 서버를 두고 있었다. 그만큼 널리 사용되고 있다는 뜻이었다.

 

 

(해킹 팀의 서버가 있는 나라들. 이미지: securelist)

 

 

이 회사(팀)가 처음 이런 스파이 툴을 만든 것은 2001년이었고, 그때는 오픈소스로 공개했다고 한다. 그런데 밀라노 경찰이 두 명의 개발자에게 연락을 해서 이 툴을 사용하게 해달라고 했고, 그때부터 합법적으로 감시할 수 있는 툴로 본격적으로 개발되기 시작했다.

 

자신들은 합법적인 법의 테두리 내에서 범죄자들을 대상으로 사용하는 툴이라고 주장했다. 제품에 어나니머스 심볼마크 비슷한 이미지를 사용하는 것으로 봐서, 이들은 정말 자신들을 정의의 사도라 생각한다고 볼 수 있다. 하지만 여러 단체들이 말도 안 된다며 반발했고 급기야 국경없는 기자회에서는 인터넷의 적 (Enemies of Internet) 리스트에 이들을 등록했다.

 

 

 

이 내용 중 일부는 기사가 올라온 후 며칠 뒤, 김어준의 파파이스에서도 잠깐 소개됐다.

 

([김어준의 파파 이스#15] 김어준, 퀴즈내다. 49분 정도부터)

 

 

 

그때까지만 해도 아직 어느 나라에서 이 툴을 사용하고 있는지 확실히 밝혀내지 못 한 상태여서 말을 상당히 아끼는 모습이었다. 하지만 얼마 지나지 않아 이 툴을 사용했을 것으로 추정되는 IP 목록이 올라왔고, 그 리스트에 한국도 있는 것을 확인할 수 있었다.

 

 

(해킹 툴 RCS를 사용하는 것으로 추정된 IP 리스트. 이미지: 시티즌랩)

 

 

이당시 올라온 분석 이미지를 보면, 한국 IP 주소를 사용한 사용자는 2012년 8월부터 2014년 1월까지 이 툴을 사용한 것으로 나왔다.

 

 

(RCS를 이용해서 타켓을 추적하는 모습 예. 이미지: 시티즌랩)

 

 

이런 일이 있었지만, (내 기억으로는) 국내에선 몇몇 작은 언론사들만 살짝 보도한 뒤에 이 사실은 그냥 흐지부지 사라졌다. 그당시에 (뭔지 다 기억도 못 하겠지만) 뭔가 일이 많았기 때문에 그랬을 수도 있다.

 

 

 

Hacked Team

 

그런 일이 있었다. 그 때만 해도 IP 주소 정도로 어느 나라에서 사용했는지만 간략히 알아낸 정보로 뭘 할 수 있었겠는가. 심증은 있지만 물증이 없는 상태. 그러다가 드디어 며칠 전 일이 터진 것이다. 아마도 그동안 그 누군가는 이들을 해킹하기 위해 오랜 시간 인내했을 테다.

 

'해킹팀(Hacking Team)'의 홈페이지와 트위터 등이 해킹당했고, 그들의 이름은 어느날 갑자기 해킹당한 팀 (Hacked Team)이라고 변경되었다. 해킹 당했음이 온 천하에 알려진 것이다. 아울러 서버의 400기가에 달하는 파일들이 유출되어 인터넷에 퍼지게 됐다.

 

그 결과 그들 제품 중 일부의 소스코드와 함께 고객 리스트와 이메일 등이 모두 외부로 유출됐다.

 

 

(유출된 파일 중 일부. Client Overview_list_20150603.xlsx)

 

 

5163부대와 7452부대는 국정원 직원들이 은행 대출을 받거나 외부 기관에 재직증명서를 낼 때도 사용된 이름이다.

 

(국정원의 대외용 이름 '5163부대', 시사INLive)

 

 

고객 리스트 뿐만 아니라, 핸드폰 해킹만 하는 줄 알았던 것이 PC까지 해킹 가능한 것으로 밝혀졌다. 게다가 안드로이드, iOS, 윈도우즈 뿐만 아니라 리눅스까지. 원래는 이 내용을 쓰려다가, 이미 잘 정리한 글이 있어서 그 글로 대체하겠다. 어쩌면 같은 현상에 대해 조금 다른 주장으로 글을 또 쓰게 될지는 모르겠지만, 일단은 귀찮아서 여기까지.

 

 

이번에 해킹된 파일들에 관한 내용은 아래 기사를 참고하시라.

 

* 5163 부대는 당신이 무엇을 하는 지 알고 있다 (미스핏츠)

 

 

 

p.s. 어떻게 쓰려고 정리했지만 귀찮아서 포기한 자료들

 

* [국정원 직원 게시글 파장]누리꾼·시민들 “감시 당한다는 생각에 글을 더 쓰지 않게 돼” (경향신문, 2013.01.31)

* "국정원, 카카오톡 실시간 감청했다" (한겨레, 2014.10.08) 

* 인터넷 패킷 감청 95%가 국정원 (경향신문, 2014.10.13)

* 박영선 "국정원직원이 자료촬영"..이병기 청문회 파행 (연합뉴스, 2014.07.07)

* [2014 국감] 당국 인터넷 감시 활성화.. 최근 10년새 패킷감청 설비 9배↑ (파이낸셜뉴스, 2014.10.12)

* 朴대통령 "국정원 잘못된 관행, 송구스럽게 생각" - 국무회의서 '국정원 간첩 증거조작 사건' 대국민 사과 "국정원 또 국민신뢰 잃으면 반드시 강력책임 물을 것" (연합뉴스, 2014.04.15)

* 팩트북 <국정원과 사이버사령부 정치 및 18대 대선 불법개입 사건> 발간 (참여연대)

 

 

p.s. 2. 참고자료

* Researchers find and decode the spy tools governments use to hijack phones

* HackingTeam 2.0: The Story Goes Mobile (securelist)

Police Story: Hacking Team’s Government Surveillance Malware (citizenlab)

* Mapping Hacking Team’s “Untraceable” Spyware (citizenlab)

 

 

 

신고
Posted by 빈꿈


티스토리 툴바