국정원 구매 의혹 ‘해킹 프로그램’, SNS까지 ‘손바닥 보듯’
‘RCS 프로그램’ 구글·아이폰 안가리고 해킹
국가정보원이 외국 도·감청 프로그램 판매 업체로부터 수억원을 들여 컴퓨터·스마트폰 해킹 프로그램을 사들였다는 의혹이 제기된 가운데, 이런 정황이 포착된 과정과 이 업체가 판매한 해킹 도구가 어떤 기능을 가졌는지에 관심이 쏠리고 있다.
광범위한 온라인 사찰 길을 열어줄 강력한 기능의 해킹 프로그램을 국정원이 구매했다는 의혹은, 지난 6일 이탈리아 소프트웨어 기업 ‘해킹팀’이 외부의 공격을 받은 뒤 흘러나온 것으로 보이는 방대한 자료가 인터넷에 유출되면서 제기됐다.
현재 무려 400기가바이트(GB)에 이르는 자료가 피투피(P2P) 방식 파일공유 프로그램인 ‘비트토렌트’(BitTorrent)에 올라와 있다. 여기에는 국정원의 위장 이름으로 알려진 ‘대한민국 육군 5163 부대’가 이탈리아 업체 ‘해킹팀’과 거래한 정황이 담긴 영수증들도 포함돼 있다.
이 영수증들엔 이 업체의 대표 상품인 해킹 프로그램 ‘아르시에스’(리모트컨트롤시스템·RCS) 관련 거래 명세가 담겨 있다.
‘해킹팀’에서 흘러나온 것으로 추정되는 자료에는 이 업체와 거래한 세계 각국 고객 명단과 함께, 2011년부터 4년 동안의 영수증, 고객들과 주고받은 이메일 등이 포함되어 있는 것으로 알려졌다. 10일 <한겨레>가 보안전문가와 함께 살펴보니, 한국 말고도 미국, 멕시코, 터키, 폴란드 등 여러 국가는 물론, 미국 연방수사국(FBI), 카자흐스탄 국가안보부(KNB) 등 정보기관이 ‘해킹팀’과 거래했을 가능성을 보여주는 영수증 자료가 확인됐다.
안드로이드폰·아이폰 모두 뚫려
원격 조종으로 파일 삭제
암호화 된 문서까지 볼 수 있어
이탈리아업체 자료 추정 400GB에
‘한국부대서 구입’ 영수증 나와
이와 관련해 ‘해킹팀’은 9일(현지시각) 공식 성명을 통해, 지난 6일 해커들의 집중 공격을 받아 고객 명단 등의 자료가 노출된 것은 사실이며, 자신들이 제작한 도·감청 스파이웨어 프로그램에 대한 통제권을 잃어 심각한 위협에 직면했음을 밝혔다고 이탈리아 언론들이 보도했다. 이 업체는 현재 자신들의 도·감청 도구를 테러리스트 등이 마음대로 사용할 수 있어 위험하다며, 고객들에게도 이 시스템의 사용을 일시 중단하라고 권고했다.
실제 이번에 유출된 자료에는 고객 정보와 관련한 문건 외에, 해킹팀이 제작해 판매하던 도·감청 프로그램의 일부 소스코드도 포함되어 있는 것으로 보인다. 국내 정보보호 회사인 엔시에이치시(NSHC) 시큐리티는 지난 8일 ‘긴급 이슈 공유’ 보고서를 내어 ‘이탈리아 업체인 해킹팀으로부터 이들이 판매하던 공격코드가 유출됐으며, 이는 플래시 취약점을 공격하기 때문에 사용자의 주의가 요구된다’는 취지로 경고하기도 했다.
* 세계 각국 정부에 도·감청 프로그램을 판매하던 이탈리아 업체 ‘해킹팀’에서 유출된 것으로 보이는 방대한 내부자료에는 국가정보원의 위장 이름으로 알려진 ‘대한민국 육군 5163 부대’가 이탈리아 업체 ‘해킹팀’과 거래한 영수증이 포함돼 있다. 사진은 문제의 영수증.
이에 따라 ‘해킹팀’의 대표 상품으로 우리 국정원이 구매했을 가능성이 있는 해킹 프로그램 ‘아르시에스’가 얼마나 강력한 기능을 가지고 있는지 눈길이 쏠린다.
이 프로그램은 ‘감시 대상’이 컴퓨터와 스마트폰을 통해 보고 듣고 교류하는 모든 내용을, 눈으로 보듯 ‘감시자’에게 보여주는 강력한 해킹 도구로 알려져 있다. 제작사인 ‘해킹팀’은 누리집을 통해 이 프로그램이 “감시 대상이 인터넷을 이용할 때, 문서나 메시지를 주고받을 때, 국경을 넘을 때” 모든 것을 알려주겠다고 홍보하고 있다.
게다가 이 프로그램은 구글 지메일, 마이크로소프트의 메신저 스카이프, 각종 사회관계망서비스(SNS) 등, 국내에서 압수수색 영장을 통해서도 감시가 쉽지 않던 인터넷 활동에 대해서도 손쉽게 감시할 수 있는 것으로 알려졌다.
제작사가 누리집에 밝힌 감시 가능 대상만 해도, 스카이프를 비롯해 각종 보이스콜, 사회관계망서비스, 각종 오디오와 비디오 파일 등 광범위하다.
심지어 운영체제와 플랫폼도 가리지 않아서, 마이크로소프트의 윈도, 리눅스, 구글 안드로이드, 애플의 아이오에스(iOS), 블랙베리와 심비안 등 모든 체제에서 해킹할 수 있다.
이 강력한 해킹 도구 앞에선 암호화도 소용없다는 평가가 나온다. 익명을 요구한 한 보안전문가는 “해당 프로그램은 아직 알려지지 않은 취약점을 이용해 스파이웨어를 설치하고, 시스템 관리자가 열어둔 문인 ‘백도어’를 통해 정보를 빼가는 방식이라, 아무리 암호화를 해두었다 해도 키보드 입력 값을 대부분 그대로 볼 수 있다”고 설명했다.
임지선 기자 sun21@hani.co.kr
**************************************************************************************************
국정원, 대선 전 ‘무차별 해킹’ 프로그램 구입 의혹
이탈리아 업체한테 2012년부터 ‘5163부대’ 명의로 구입·가동 정황,
도·감청 통한 불법사찰 의혹
야당 “사용처 안밝히면 진상조사”
국정원 “확인해줄 수 없다”
국가정보원이 컴퓨터와 스마트폰을 해킹해 실시간으로 도·감청할 수 있는 프로그램을 대선이 있던 해인 2012년에 구입했다는 의혹이 강하게 제기되고 있다. 국정원의 해킹 프로그램 구입 여부에 대한 명확한 사실관계와 구입 목적, 용처 등을 둘러싸고 ‘불법 사찰’ 논란이 재연될 것으로 보인다.
10일 이탈리아 밀라노에 있는 소프트웨어 업체인 ‘해킹팀’에서 유출된 것으로 보이는 자료를 <한겨레>가 분석한 결과, ‘대한민국 육군 5163 부대’가 2012년부터 올해까지 이 업체에 6차례에 걸쳐 총 70만1400유로(약 8억8000만원)를 지급한 것으로 나타났다. 영수증에는 ‘서울 서초우체국 사서함 200’이라는 국정원 민원 접수처 주소가 쓰여 있다.
세계 각국에 도·감청 프로그램을 판매해온 이탈리아 소프트웨어 회사인 해킹팀은 9일(현지시각) 공식성명을 통해 “지난 6일 해커들의 집중 공격을 받아 고객 명단 등의 자료가 노출됐으며, 해킹 공격 결과로 그동안 관리해오던 자사 스파이웨어 프로그램에 대한 통제권을 상실해 심각한 위협에 처해 있다”고 밝혔다고 이탈리아 언론이 이날 보도했다.
해킹팀에서 유출된 것으로 보이는 자료에는 한국의 ‘5163 부대’ 이름으로 거래한 영수증이 포함됐는데, 5163 부대는 국정원이 대외적으로 사용하는 위장 명칭 가운데 하나여서 국정원이 이 회사의 해킹 프로그램을 구입했다는 의혹이 제기되는 것이다.
통신업체들에 따르면, 5163 부대가 구입한 ‘아르시에스’(RCS·리모트컨트롤시스템)라는 해킹 프로그램은, 그동안 보안이 철저한 것으로 알려진 구글 지(G)메일은 물론 마이크로소프트 스카이프와 각종 사회연계망서비스(SNS) 등 여러 문제로 감시가 쉽지 않던 인터넷 활동에 대해서도 손쉽게 들여다볼 수 있는 것으로 알려졌다. 또 구글 안드로이드, 애플 아이오에스(iOS) 등 다양한 운영체제를 모두 해킹할 수 있다고 한다. 해킹 범위 역시 컴퓨터의 키보드 입력 내용과 웹캠 카메라, 파일 등 사용 내역을 추적할 수 있으며 원격조종으로 파일 삭제도 가능한 것으로 전해진다.
해킹된 것으로 보이는 영수증 자료를 보면, 5163 부대는 국내 ㄴ업체를 통해 2012년 2월 당시 39만유로(4억9000만원)를 주고 이탈리아 업체로부터 처음 프로그램을 구입한 뒤, 올해까지 5차례에 걸쳐 유지·보수, 업그레이드 등의 명목으로 31만1400유로(3억9000만원)를 추가 지급한 것으로 나온다. 해킹 프로그램을 구입해 실제 활용하고 있다는 방증으로 해석되지만, 해킹 프로그램 구입을 대행한 ㄴ업체의 실체는 확인되지 않았다.
김성수 새정치민주연합 대변인은 이날 논평을 내어 “(프로그램을 구입한) 2012년은 대선이 있던 해라는 점에서 선거에 이용했을 가능성을 의심하지 않을 수 없다”며 “국정원은 당장 이 프로그램의 구입 여부와 사용처 등을 소상하게 밝혀야 할 것이며, 충분한 해명이 이루어지지 않을 경우 국회 차원에서 진상 규명에 나설 것이라는 점을 분명히 한다”고 밝혔다.
이에 대해 국정원은 도·감청 프로그램 구입 여부에 대해 입장을 밝히지 않았다. 국정원은 “5163 부대라는 명칭은 지금은 쓰고 있지 않으며, 다른 내용은 확인해줄 수 없다”고 말했다.
최혜정 임지선 기자 idun@hani.co.kr
******************************************************************************************************
이탈리아 '해킹 팀' 자료 유출, 2012년부터 한국 '5163부대'에서 10억 지급
해킹당한 이탈리아 감청 솔루션 업체 내부 문서에, 국가정보원이 이 업체의 스파이웨어를 구입한 내역이 나왔다.
지난해 3월 <오마이뉴스>가 한 보도가 사실로 확인된 셈이다.
<오마이뉴스>는 이 업체를 연구하는 캐나다의 토론토대학 '시티즌 랩'의 빌 마크젝(Bill Marczak) 연구원과 한 인터뷰에서, 한국을 포함한 21개 국가에서 해킹 팀의 스파이웨어를 구입한 흔적을 찾았다는 내용을 보도한 바 있다(관련기사: "언론인-운동가 해킹 프로그램, 한국 정부도 사용한 정황 있다" ).
이탈리아의 웹·모바일 감시용 스파이웨어 솔루션 개발업체인 '해킹 팀'(Hacking Team)이 해킹을 당해 사내 자료가 대량 유출됐다.
유출된 고객명단엔 미국의 FBI(연방수사국)와 DEA(마약단속국), 이탈리아의 경찰 등 정부기관 등 수십 개국의 정부기관과 민간기업들이 올라있다.
이 중엔 South Korea(한국)의 "The 5163 Army division The Gov. of R.O.K."도 고객 명단에 올라 있다.
직역하면 '한국 정부 육군 5163부대'인 이 고객은 국가정보원으로 보인다. 고객 주소가 서울 서초우체국 사서함 200'으로 돼 있는데, 이는 국정원이 민원 창구 접수처로 공개한 주소와 동일하기 때문이다. 또 '5163부대'는 국정원이 대외용 위장 명칭으로 사용하는 이름 중 하나로 알려져 있다.
 |
| ▲ 이탈리아 PC·모바일 감청 솔루션 업체 '해킹 팀'이 한국의 '육군 5163부대' 앞으로 발급한 제품 송장. 사서함은 국정원이 사용하는 주소다. |
| ⓒ Hacking Team | 관련사진보기 |
유출된 자료 중 일부인 이 회사의 고객 데이터 카드는 매출전표와 비슷한 내용을 담고 있는데, '해킹 팀'은 5163부대와 총 6번 거래해, 70만1400유로(10억 2172만 원)의 매출을 올린 것으로 나타났고, 내역은 다음과 같다.
2012년 2월 6일 'Remote Control System'(이하 RCS) 39만 유로(약 5억8440만원)
2012년 7월 10일 RCS 5만8000유로(약 8325만원)
2013년 2월 7일 RCS 유지보수 4만 유로(약 6005만원)
2014년 2월 20일 RCS 다빈치(리뉴얼판) 유지보수 6만7700유로 (약 1억119만원)
2014년 11월 5일 Remote Attack Service 7만8000유로 (약 1억786만원)
2015년 1월 28일 RCS 유지보수 6만7700유로 (약 8496만원)
이 거래는 한국의 나나테크라는 업체가 중개한 것으로, 매출 중 일정액을 커미션으로 지급해야 한다는 내용도 포함돼 있다.
해킹 팀이 판매하고, 유지·보수 등의 서비스를 제공한 RCS는, 사용자 몰래 PC와 스마트폰 등에 침투해, 이용 내역을 '감시자'에게 전송하는 스파이웨어의 형태로, 감청 용도의 소프트웨어다.
해킹 팀이 만든 홍보자료에 따르면, 5163부대가 구입한 스파이웨어 'RCS 다빈치'는, 이것이 설치된 PC와 모바일의 웹브라우징 내역, 현재 위치는 물론, 암호화된 파일과 이메일도 '감시자'가 들여다볼 수 있게 한다.
또 스카이프와 같은 VoIP 통화, 채팅 메신저 내용, 웹캠, 스마트폰의 카메라와 마이크에 잡히는 영상과 소리까지 '감시자'에게 전달한다.
 |
| ▲ 이탈리아 PC·모바일 감청 솔루션 업체 '해킹 팀'이 자사의 'RCS 다빈치' 제품 홍보 영상 중 한 장면. 웹브라우징 내역, 현재 위치, 스카이프와 같은 VoIP 통화(암호화), 채팅메신저 내용, 웹캠, 스마트폰의 카메라와 마이크에 잡히는 영상과 소리까지 감청할 수 있다는 점을 내세웠다. |
| ⓒ Hacking Team | 관련사진보기 |
감시의 표적에게 이 스파이웨어를 침투시키는 방법도 여러 가지인데, 해킹팀이 제안하는 방법 중에는, 많은 사용자가 있는 유명한 프로그램의 업데이트 설치로 위장하는 방법, 인터넷 서비스 제공자(ISP)와 모바일 인터넷 서비스 제공자를 통제하는 방법 등이 있다.
국정원이 이같은 스파이웨어를 구입해 운용했다면, 그 용도가 무엇인지, 불법으로 사이버 사찰을 해온 것은 아닌지, 특히 대통령선거를 앞둔 시점의 용도가 무엇이었는지 등에 의혹이 제기됐지만, 국정원 측은 9일 오후 3시 현재 이에 대한 답변을 내놓지 않고 있다.
하지만 유출된 해킹 팀의 자료를 더 검토하면, RCS가 어떻게 쓰였는지 구체적인 내용을 파악할 수 있을 걸로 보인다.
국내 주요 언론보다 한발 앞서 국정원의 감청 스파이웨어 구입 의혹을 자세히 알린 블로거 이준행(rainygirl.com)씨는 "400기가나 되는 유출 자료 중 극히 일부분만 봐도 이 만큼의 자료가 나온다. 아직 빙산의 일각인 것 같다"고 했다.
[ 안홍기 ]
*******************************************************************************************************
伊 해킹프로그램 판매社 고객에 한국 정보기관도 있었다
서버 해킹당해 세계 고객명단 노출
영수증에 '서초 우체국 사서함200', 국정원 민원 접수처와 동일 주소
사이버 사찰에 이용 의혹 제기될 듯
세계 각국 정부기관에 해킹 프로그램을 판매해온 이탈리아 업체 '해킹팀(Hacking Team)'이 해킹을 당해 고객 명단이 모두 노출됐다.
해킹팀의 제품인 사이버 감청 프로그램을 구매한 고객에는 우리나라 5163부대가 들어 있다. 이 부대는 지난 대선을 앞둔 2012년 처음 프로그램을 구매한 뒤, 올해까지 3년째 꾸준히 유지보수 비용을 지불한 것으로 나타났다.
5163부대는 국정원이 외부에 기관명을 밝히지 않을 때 사용하는 명칭으로 알려져 있어 논란이 예상된다.
특히 2003년 설립된 해킹팀의 주력 프로그램인 원격조정장치(RCS)는, 타인의 컴퓨터나 스마트폰에 침입해 흔적 없이 이메일, 메신저, 전화통화 내용을 해킹할 수 있는 것으로 파악되고 있다.
우리 정부기관이 이 프로그램을 구매해 사용한 것으로 확인되면서 사이버 사찰 의혹도 제기될 것으로 보인다.
이에 대해 국정원 관계자는 "'5163부대'라는 명칭은 오래 전부터 더 이상 쓰지 않은 표현"이라며, "해킹팀의 프로그램 구입 여부는 확인해 줄 수 없다"고 밝혔다.
이번 사건은 지난 5일(현지시간) 해킹팀의 관리자 서버가 통째로 해킹된 후, 무려 400기가바이트에 달하는 자료가 인터넷에 공개되면서 시작됐다.
누구나 다운 받을 수 있는 이 자료에는 해킹팀의 내부 문서, 이메일, 프로그램 소스코드 등이 담겨 있는데, 보안 전문가들이 유출된 문서의 내용을 파악해 공개하면서 세계적인 이슈로 떠올랐다.
해킹팀이 판매하는 소프트웨어는 다양한 프로그램 취약점을 활용해 상대방 컴퓨터나 디지털 기기를 감청하는 프로그램이다.
회사 측은 미국이나 유럽 등 정상적인 국가의 정보기관에만 제품을 판매한다고 밝혀 왔다. 공동 창업자 마르코 발레리는 2011년 월스트리트저널과 가진 인터뷰에서 "미국과 유럽이 갖고 있는 블랙리스트(비우호 국가 목록)에 올라 있는 국가에는 소프트웨어를 판매하지 않는다"고 주장했다.
하지만 이번 사건을 통해 해킹팀이 미국이나 유럽 외에, 수단 이집트 에티오피아 나이지리아 등, 정부가 반정부 인사들을 억압하거나, 내전으로 수많은 민간인이 살상 당한 국가에까지 감시 프로그램을 판매해온 사실이 드러나 국제적 비난을 사고 있다.
국제 인권단체 휴먼라이트워치(HRW)는 해킹팀이 분쟁지역인 수단의 정보기관에 48만유로(약 6억원)를 받고 프로그램을 판매했다고 비판했다.
공개된 해킹팀의 고객 명단 가운데, 우리나라 정부기관은 '대한민국 정부 5163 부대'로 적시돼 있다. 매년 두 차례 오간 영수증(사진)에는 '5163 부대'와 함께 '서울 서초우체국 사서함 200'이라는 주소가 표시돼 있는데, 이 주소는 국정원이 홈페이지에 공개한 민원 창구 접수처와 동일하다.
* 국정원 정보공개 사이트 캡쳐 화면. 서초우체국 사서함 200호라는 주소가 나와 있다. 주소: http://www.nis.go.kr/svc/community.do?method=content&cmid=11477
공개된 영수증 목록을 보면, 우리 정부기관은 이 프로그램을 2012년 처음 구매한 후 6개월마다 유지보수 비용을 지불한 것으로 보인다.
익명을 요구한 시스템 프로그래밍 전문가는 "일반적으로 해킹 프로그램은 운영체제 등의 보안취약점을 악용하는데, 이 취약점이 고쳐질 때마다 또 다른 취약점을 찾아서 공격해야 하므로, 유지보수 계약은 필수"라고 설명했다.
해킹팀이 해킹 당한 경로 역시 보안 취약점을 통한 것으로 보인다. 해외 보안 전문업체 트렌드 마이크로는 이번 해킹이 어도비 플래시와 윈도의 보안 취약점을 이용한 것으로 파악된다고 밝혔고, 해당 업체들은 곧 보안 패치를 내놓을 예정이다.
최진주기자 pariscom@hankookilbo.com
