국정원, 군 의혹(정치, 선거 개입)

국정원, 갤럭시 출시 때마다 해킹업체에 “뚫어달라”

道雨 2015. 7. 14. 13:10

 

 

 

국정원, 갤럭시 출시 때마다 해킹업체에 “뚫어달라”

 

 

 

지난달 ‘갤S6’ 공격 기능 요구…2013년엔 ‘갤S3’ 직접 보내
‘천안함 문의’ 파일에 악성코드 삽입…국내 해킹 정황 드러나
‘육군 5163 부대’라는 위장 이름으로 해킹 프로그램을 구입한 국가정보원이 2013년 1월에, 당시 출시한 지 7개월 지난 삼성의 ‘갤럭시 S3’ 스마트폰 단말기를 이탈리아 ‘해킹팀’에 보내 분석을 의뢰한 것으로 밝혀졌다.

또 지난달에 “매우 중요한 기능”(very important features)이라며 ‘갤럭시 S6’에 대한 해킹을 문의하는 등, 국내에서 갤럭시 시리즈를 비롯한 스마트폰이 새로 출시될 때마다 해킹을 의뢰해온 것으로 드러났다.

<한겨레>가 국정원의 해킹 프로그램 구매를 대행한 ‘나나테크’와 ‘해킹팀’이 2013년 2월에 주고받은 이메일을 살펴보니, “(한국이) ‘갤럭시 S3’를 보낼 테니 음성 녹음 기능이 가능한지 확인해달라”는 요청과 “보내준 갤럭시 S3를 잘 받았다. 곧바로 테스트하겠다”는 내용이 포함돼 있는 것으로 확인됐다.

 

국정원이 전세계에 판매되는 ‘갤럭시 S3’ 모델을 굳이 국내에서 구입해 이탈리아로 보낸 데 대해, 보안 전문가들은 ‘국내에서 사용하는 삼성 갤럭시 제품은 기본적으로 깔려 있는 애플리케이션 등이 외국 판매분과 다를 수 있는 만큼, (국정원의) 감시 대상이 정확히 국내용 스마트폰 분석에 있는 것으로 보인다’고 분석했다. 이탈리아 ‘해킹팀’의 해킹용 제품 ‘리모트컨트롤시스템’(RCS)을 통해 들여다보고자 했던 휴대전화가 국내 사용자의 것임이 좀더 선명해지는 대목이다.

 

또 가장 최근인 지난 1일 ‘해킹팀’이 직원들끼리 주고받은 전자우편 내용을 보면, 에스케이에이(SKA·국정원 지칭)가 집요하게 국내 최신 스마트폰에 대한 공격 기능을 요구한 정황이 확인된다.

메일에는 “에스케이에이의 요구가 까다롭다”며, “삼성 갤럭시 탭2, 삼성 GT-I9500, 삼성 SHV-E250S 등에 대한 해킹이 필요하다”는 대목이 눈에 띈다.

 

또다른 전자우편을 보면, 국정원은 지난 2월3일 ‘해킹팀’에 직접 전자우편을 보내 “설치한 에이전트가 안랩의 브이3 모바일 2.0(V3 Mobile 2.0)에 의해 악성 프로그램으로 검출됐다”고 불안해하며 분석을 의뢰했다.

‘브이3 모바일’은 국내 보안업체인 안랩이 개발한 모바일 백신이다.

‘해킹팀’은 “유럽에서는 당신이 말한 백신을 구할 수 없다. 백신을 보내달라”고 고객(SKA)한테 요청했다.

 

방대한 양의 여러 전자우편 내용을 통해 지금까지 드러난 내용을 종합하면, 삼성의 최신 스마트폰과 다음카카오의 ‘카카오톡’, 안랩의 ‘브이3 모바일’에 대해 국정원이 이탈리아 해커들에게 해킹을 의뢰한 셈이다.

이탈리아 해커들에 의해 보안상 취약점이 파악된 이 제품들은, 이번에 ‘해킹팀’이 해킹당하면서 공격 코드가 외부에 노출됐을 가능성을 배제할 수 없다.

 

해킹팀 ‘갈릴레오’ 소개 영상 갈무리
* 해킹팀 ‘갈릴레오’ 소개 영상 갈무리

 

 

 

‘해킹팀’의 공격기술을 이용한 국내 공격이 실제로 이루어진 정황도 속속 발견되고 있다.

이번에 유출된 또다른 이메일을 보면, 2013년 10월23일에는 이탈리아 ‘해킹팀’이 ‘고객의 요청’을 받아 ‘천안함 문의’(Cheonan-ham inquiry)라는 제목의 워드 파일을 만들어 공격 코드를 삽입한 사실이 확인됐다.

이 문서 파일을 ‘타깃’(목표물)에게 보내 악성코드에 감염되도록 하라고 ‘해킹팀’은 고객에게 권고했다.

 

‘해킹팀’이 ‘고객’에게 제공한 것 중 하나인 ‘플래시 취약점 공격’도 실제 국내에서 이뤄진 것으로 확인됐다.

10년 이상 경력의 한 국내 보안 전문가는 13일 <한겨레>와 만나 “해킹팀이 국정원에 판매한 ‘플래시 취약점 공격’과 같은 방식으로 누군가 악성 웹사이트를 만들어놓고, 타깃이 해당 사이트에 접속해 악성코드를 내려받게 하는 방법을 사용해, 지난 6월16일과 7월5일에 국내 사업자 회선을 사용하는 두 명의 한국인이 공격을 당한 사실이 확인됐다”고 말했다.

 

 

임지선 기자 sun21@hani.co.kr

 

**************************************************************************************************

 

 

 

메르스·떡볶이 URL, 국정원이 던진 '피싱' 미끼?

국정원, '메르스 공포'까지 스마트폰 감청에 악용했나

 

 

 국가정보원이 이탈리아 '해킹 팀'(Hacking Team)의 스파이웨어를 운용, PC와 스마트폰을 감청하면서, 시민들의 메르스(중동 호흡기 증후군)에 대한 공포를 해킹에 악용한 정황이 포착됐다.

해킹돼 공개된 '해킹 팀'의 내부자료를 <오마이뉴스>가 검토한 결과, 국정원이 메르스에 대한 관련 정보를 위장해 안드로이드 스마트폰에 스파이웨어를 심으려 한 것으로 확인됐다.

'해킹 팀'의 스마트폰 해킹은, 스파이웨어를 심는 가짜 URL을 클릭하게 해 스마트폰에 스파이웨어가 설치되게 한 뒤, 진짜 사이트(데스티네이션 URL)가 열리도록 하는 방식이다. 예를 들어 '토익 점수 300점 올리는 방법'이라는 문자 메시지에 가짜 URL을 함께 보낸 뒤, 이 메시지를 받은 사용자가 URL 주소를 클릭하면, 스마트폰에 스파이웨어가 설치되고, 잠시 뒤 토익학원의 누리집(데스티네이션 URL)이 열리는 방식이다.

일단 성공하면, 스파이웨어가 설치되는 동안 스마트폰이 잠깐 멈춰 이상하게 생각하더라도, 잠시 뒤 토익 관련 사이트가 뜨기 때문에, 스마트폰 사용자로부터 의심을 살 가능성이 적다.

이런 과정을 거쳐 감염된 스마트폰은 통화녹음, SMS·메신저, 사진 등 스마트폰 내 거의 모든 것을 해킹 팀의 RCS(Remote Control System)를 운용하는 감시자에게 전송한다.

이를 위해 RCS를 운용하는 감시자는 해킹 팀에 감시 대상의 기호에 맞는 데스티네이션 URL을 주고, 스파이웨어를 심는 가짜 URL을 만들어달라고 주문한다.

주문을 받은 해킹 팀은 스파이웨어 URL을 제공하고, RCS 감시자는 클릭을 유발하는 적절한 문구와 함께 스파이웨어 URL을 목표한 사용자에게 문자메시지나 모바일 메신저로 전송해 클릭(터치)을 유도하는 방식이다.

공포 확산 시기, 메르스 정보 위장해 스파이웨어 설치 시도

기사 관련 사진
이탈리아 '해킹 팀' 자료 중 국정원용 아이디로 추정되는 devilangel이 스마트폰 해킹용 스파이웨어를 주문한 내역. 미국 질병통제센터 CDC의 메르스 관련 FAQ 화면을 위장한 실전용 스파이웨어 URL 6개를 주문했다. 한국 사회에서 메르스 공포가 확산일로이던 6월 3일자 주문이다.
ⓒ Wikileaks

관련사진보기


지난 6월 3일 오후 12시 22분(한국시각) 해킹 팀의 RCS 사용자 아이디 'devilangel'(데빌엔젤)은 해킹 팀에 데스티네이션 URL로 미국 질병통제센터 CDC의 누리집 주소(해당 페이지 바로가기)를 주면서, 여섯 개의 스파이웨어 URL을 만들어 달라고 주문했다. 이 주소는 메르스에 대한 FAQ, 즉 '자주 나오는 질문과 답변'으로 메르스 예방과 감염시 조치사항 등이 나와 있다.

해킹 팀은 2시간 10여 분 뒤 스파이웨어 URL 6개를 만들어 제공했다. 데빌엔젤이 이 스파이웨어를 어떤 문구와 함께 누구에게 전송했는지는 확인되지 않지만, 내용상 메르스 관련 정보를 위장해 클릭(터치)을 유발했을 가능성이 높다.

데빌엔젤이 이 스파이웨어 URL을 요청한 6월 3일은, 메르스 확진자 30명, 사망자 3명, 격리대상자 1667명인 상태였고, 정부가 메르스 발생 병원명을 공개하기 전이었다.

메르스에 대한 공포가 확산일로인 시점에서, 데빌엔젤은 6명의 스마트폰 사용자에게 메르스 관련 정보를 주는 척하면서, 스마트폰 해킹을 시도한 걸로 볼 수 있다. 여러 정부기관이 메르스 대처에 총력을 다하고 있다고 강조하던 시점에, 국정원은 메르스 관련 정보를 위장, 메르스에 대한 공포를 악용해 스마트폰 감청을 시도한 것이다.

데빌엔젤은 5163부대 즉, 국정원이 사용하는 아이디인 것이 확실시 된다.

해킹 팀의 직원들은 주문을 처리하며 주고 받은 이메일에서, 데빌엔젤의 요구사항을 'SKA'의 요구라고 언급하고 있다.

'SKA'는 해킹 팀에서 5163부대를 부르는 코드명, 즉 'South Korea Army'의 약자다.

<오마이뉴스>가 지난 12일 보도한 천안함 사건 의혹 제기 연구자들의 컴퓨터를 해킹하려는 시도도 데빌엔젤의 소행이었다(관련기사 : 국정원, '천안함 의혹' 전문가 해킹 시도 정황 드러났다).

기사 관련 사진
'데빌엔젤'이 '해킹팀'에 스파이웨어 유포용 가짜 URL을 만들어 달라면서 위장 대상으로 지정한 미국 질병통제센터CDC의 홈페이지. 메르스에 대한 FAQ, 즉 ‘자주 나오는 질문과 답변’으로 메르스 예방과 감염시 조치 사항 등이 나와 있다.
ⓒ CDC

관련사진보기


떡볶이·벚꽃놀이 블로그 위장해 해킹 시도... 국내 감청 증거

이밖에도 데빌엔젤은 국내에서 서비스하는 블로그를 데스티네이션 URL로 사용해 스파이웨어를 퍼뜨리는 모습을 자주 보였다.

지난 3월 19일 데빌엔젤은 해킹 팀에 "안드로이드폰에 대한 익스플로이트(취약점) 공격을 위한 세 개의 URL을 만들어 달라"며 데스티네이션 URL을 제시했는데, 국내 1위 포털사이트인 네이버 블로그 주소였다. 대상이 된 블로그 글에는 여러 종류의 떡볶이의 사진과 평가가 올라와 있다.

3월 30일 데빌엔젤은 다른 스파이웨어 URL도 주문했다. 이번엔 네이버 블로그 중 4월 11~12일 열린 '금천 하모니 벚꽃축제'를 소개하는 내용의 글을 데스티네이션 URL로 지정했다.

데빌엔젤은 한동안 '떡볶이 URL'과 '금천구 벚꽃놀이 URL'을 반복적으로 주문하며 스파이웨어 심기를 시도했다. 데빌엔젤은 스파이웨어 URL을 주문하면서 '테스트용'와 '실전용'(real targets)을 구분했는데, 이들 URL과 메르스 URL을 주문하면서는 모두 '실전용'이라고 명시했다.

물론 해외 사이트를 데스티네이션 URL로 지정한 주문도 여러 건 있다. 하지만 앞선 사례들과 같이 국내 사용자들을 겨냥한 게 분명해 보이는 스파이웨어 설치 시도들은, 국정원의 모바일·PC 감청이 국내에서도 광범위하게 이뤄졌다는 증거다.

영장 없는 감청과 해킹을 금지하고 있는 통신비밀보호법 위반에 대한 수사가 불가피해 보인다.


○ 편집ㅣ김지현 기자

 

[ 안홍기 ]

 

 

 

 

*********************************************************************************************************

 

 

국정원 요청 따라…해킹업체, 서울 호텔방서 해킹 시연

 

 

 

국정원 RCS 구입과정 재구성
2010년 12월7일 그랜드인터컨티넨탈호텔, 비밀리에 해킹 프로그램 선보여
최종사용자 정보 요구에도, 국정원 정체 계약직전까지 숨겨
이탈리아 보안업체인 ‘해킹팀’의 해킹 프로그램 ‘갈릴레오’ 소개 영상 갈무리.
* 이탈리아 보안업체인 ‘해킹팀’의 해킹 프로그램 ‘갈릴레오’ 소개 영상 갈무리.

 

 

 

 

국가정보원은 어떤 과정을 거쳐 스마트폰 해킹 ‘상품’을 샀을까?

이탈리아 업체 ‘해킹팀’의 내부 자료를 바탕으로, 국정원이 해킹 프로그램 ‘아르시에스’(RCS·리모트컨트롤시스템)를 구입하는 과정을 다시 살펴보니, ‘고객’인 국정원은 감청에 준하는 스마트폰 해킹 기능을 집요하게 요구했다.

 

 

2010년 12월7일 오전 10시 서울 삼성동 그랜드인터컨티넨탈호텔 3층 5호실. 이탈리아에서 온 해킹팀 직원 3명과 한국 중개업체 나나테크 직원 2명, ‘고객’ 5명이 비밀리에 접촉했다. 애초 이들은 두달 전 미국 워싱턴에서 접촉하기로 계획을 세웠지만 일정이 어긋나 서울에서 만나게 됐다.

 

거래 ‘중개자’인 나나테크는 ‘고객’인 국정원이 특히 궁금해하는 스마트폰 해킹 성능의 시연을 해킹팀 쪽에 요청했다. 해킹팀은 호텔방에서 대표 상품인 ‘아르시에스’를 작동시켰고, ‘고객’은 휴대전화 감시 기능에 만족해하며, 해킹 범위를 묻고 가격 협상을 시작한다.

 

계약 단계까지 들어갔지만 해킹팀은 여전히 ‘고객’의 정체를 알지 못했다.

호텔 접촉에 앞서 해킹팀은 나나테크에 “우리는 아르시에스 최종 사용자의 정보가 필요하다”고 거듭 요청한다. 이에 나나테크는 “한국 육군 조사팀이니 걱정할 것 없다”고 했다.

구체적 고객 정보를 알려달라는 해킹팀과 어떻게든 실제 고객의 정체를 숨기려는 나나테크 사이의 줄다리기는 이듬해 계약 직전까지 이어졌다.

나나테크는 호텔 접촉 1년 뒤인 2011년 11월에야, 그 ‘고객’이 ‘한국 5163부대’라고 해킹팀에 알려준다.

5163부대는 국정원의 대외용 위장 명칭이다.

 

 

앞서 해킹팀과의 첫 접촉은 2010년 8월로 거슬러 올라간다.

나나테크는 “‘고객’이 ‘스카이프’ 솔루션을 찾고 있다”며 해킹팀에 이메일을 보낸다. 스카이프는 마이크로소프트의 메신저 프로그램이고, ‘솔루션’은 해킹 프로그램을 뜻한다.

해킹팀의 설명을 국정원에 전달한 나나테크는 다시 “고객이 솔루션(아르시에스)에 음성 대화와 휴대전화를 감시할 수 있는 기능이 있는지 궁금해한다”며, 관심 범위를 ‘감청’으로 넓힌다.

 

 

나나테크는 ‘고객’이 다른 해킹 업체에도 문의하고 있다며 해킹팀의 경쟁심을 자극한다. 나나테크는 이메일을 보내고 한달 뒤엔 다시 “고객이 감마(GAMMA)그룹과 접촉하고 있지만, 해킹팀이 기술력과 비용 면에서 더 경쟁력이 있으니 걱정 말라”는 내용의 이메일을 보낸다.

‘국경 없는 기자회’의 보고를 보면, 감마그룹의 해킹 프로그램은 중동지역에서 민주화를 요구하는 시민단체와 기자 등을 감시하는 데 주로 쓰이고 있다고 한다.

 

 

계약이 거의 성사된 2011년 12월, 나나테크는 ‘5163부대’의 다급한 상황을 해킹팀에 전한다. “고객은 물건 배송이 12월20일까지 완료되지 않으면 예산이 삭감된다고 한다”, “서둘러 ‘독점공급 계약서’를 보내주지 않으면 프로젝트가 이뤄지지 않는다. 고객은 일반적으로 경쟁입찰을 해야 하지만 독점공급자와는 수의계약을 체결할 수 있다”는 내용이었다.

 

2011년 12월16일 해킹팀은 “배송 업체에 물건을 넘겼다”며 송장 작성을 위한 정확한 배송 목적지를 나나테크에 묻는다. 나나테크는 해킹팀에 그곳이 ‘서울 서초구 서초동 서초우체국 사서함 200번’이라고 알려준다. 국정원 민원 창구 주소였다.

 

방준호 기자 whorun@hani.co.kr

 

 

 

 

■ 국정원의 거래 중개자인 ‘나나테크’와 이탈리아 보안업체 ‘해킹팀’ 사이에 오간 이메일

<font color=#b26369>① 2010년 11월23일 나나테크는 최종사용자가 누구냐는 해킹팀의 물음에 “군대 조사팀이므로 걱정하지 말라”고 답했다.</font>
① 2010년 11월23일 나나테크는 최종사용자가 누구냐는 해킹팀의 물음에 “군대 조사팀이므로 걱정하지 말라”고 답했다.
<font color=#b26369>② 2010년 11월30일 나나테크는 만남 장소인 그랜드인터컨티넨탈 호텔과 참여자 정보를 해킹팀에 전했다.</font>
② 2010년 11월30일 나나테크는 만남 장소인 그랜드인터컨티넨탈 호텔과 참여자 정보를 해킹팀에 전했다.
<font color=#b26369>③ 2010년 12월12일 해킹팀과 만난 뒤, 나나테크는 해킹팀에 고객이 모바일 쪽에 관심을 두고 있다며 추가정보를 요구했다. </font>
③ 2010년 12월12일 해킹팀과 만난 뒤, 나나테크는 해킹팀에 고객이 모바일 쪽에 관심을 두고 있다며 추가정보를 요구했다.

 

 

**********************************************************************************************************

 

 

 

국정원, ‘서울공대 동창회 명부’로 해킹 시도 정황

 

 

 

이탈리아 해킹업체에 파일 보내 악성코드 심은 단서
해킹업체 “5163부대 컴퓨터론 열지 마라” 주의 당부
국정원 ‘대북용’ 해명 불구 ‘국내 사찰용’ 의혹 짙어져
언론인 사칭한 메일도…‘천안함’ 전문가 해킹 노린듯

 

이탈리아 업체 ‘해킹팀’으로부터 해킹 프로그램을 사들인 국가정보원이, 이 업체에 부탁해 ‘서울대 공과대학 동창회 명부’라는 한글 제목 파일에 해킹용 악성코드를 심은 정황이 드러났다.

국정원이 이 프로그램을 북한 등을 대상으로 하지 않고, 국내 인사를 대상으로 사용한 것 아니냐는 의혹이 더욱 짙어지고 있다.

 

13일 <한겨레>가 해킹팀 내부 이메일을 분석해 보니, 2013년 10월2일 해킹팀 ‘고객’인 ‘한국 5163부대’(국정원의 위장 명칭) 이메일을 통해 ‘서울대 공과대학 동창회 명부’라는 한글 제목의 파일이 해킹팀에 전달된다. 국정원 쪽은 “엠에스(MS) 워드의 보안 취약점을 이용하기 위한 샘플 파일을 첨부했다. 오늘 바로 회신을 달라”고 했다.

13시간 뒤 해킹팀은 ‘악성코드’를 심은 동창회 명부 파일을 다시 이메일로 보내면서 “본인(5163부대) 컴퓨터에서는 열지 말라”고 조언한다.

 

현재 해당 파일은 데이터가 파괴된 상태다. 실제 동창회 명부가 담겼는지 확인할 수는 없지만, 국정원이 이 파일을 ‘타깃’으로 삼은 서울대 공대 출신 누군가에게 보내고, 해당 인물이 파일을 열어봤다면, 그의 컴퓨터·스마트폰은 해킹됐을 가능성이 높다.

 

 

 

 

 

 

같은 시기 국정원은 해킹팀에 ‘Cheonan-ham (Cheonan Ship) inquiry’라는 영어 제목 워드파일에도 악성코드를 심어달라고 부탁한다.

이 파일에는 ‘천안함 1번 어뢰 부식 사진 의문사항 문의(미디어오늘 조현우 기자)’라는 제목으로 “박사님의 의견을 듣고 싶다”는 내용의 한글 파일이 실렸다.(위 사진)

‘박사님’이 누구인지는 특정되지 않았다.

 

 

여기에 적힌 ‘조현우 기자’와 이름이 비슷한 미디어 전문지 <미디어오늘>의 조현호 기자는 천안함 관련 기사를 많이 썼다.

조 기자는 <한겨레>와 한 통화에서 “해당 파일을 누군가에게 보낸 사실이 전혀 없다. 국정원에도 해명을 요청했다”고 했다.

 

이를 종합하면, 2013년 10월 초 국정원은 천안함 침몰 사건과 관련해, ‘서울대 공대 출신 전문가’들에게 해킹용 악성코드를 심은 파일을 보낸 것으로 추정된다.

직전인 그해 9월 천안함 침몰에 의문을 제기하는 영화 <천안함 프로젝트>가 개봉했다.

 

 

RCS 해킹 방식이란

 

‘해킹팀’의 대표 해킹 프로그램 ‘아르시에스’(RCS)에는 ‘다빈치’와 ‘갈릴레오’ 두 종류가 있다. 두 제품 모두 목표로 하는 스마트폰이나 컴퓨터에 ‘멀웨어’(malicious software·악성코드)를 몰래 설치한 뒤, 각종 음성 정보와 데이터를 빼간다.

 

국제 개인정보보호단체인 ‘프라이버시인터내셔널’은 “아르시에스용 멀웨어는 타깃이 되는 인물이 전혀 의심하지 못할 제목의 파일이나 첨부파일에 심어놓는다”고 했다.

‘타깃’이 무심코 파일을 열면 멀웨어에 감염되고, 그 순간부터 스마트폰과 컴퓨터의 모든 기능은 주인 모르게 아르시에스 통제 범위에 들어가는 것이다.

 

 

허승 김규남 기자 raison@hani.co.kr