국정원, 군 의혹(정치, 선거 개입)

국정원, 감시대상에 따라 맞춤형 피싱 URL 주문

道雨 2015. 7. 14. 17:03

 

 

 

 

국정원, 감시대상에 따라 맞춤형 피싱 URL 주문

삼성·구글부터 벚꽃축제, 무료게임, 포르노 사이트까지… 페이스북 무료통화 해킹 여부도 문의

 

 

 

국가정보원 추정 아이디 데빌엔젤과 이탈리아 해킹팀과 교환한 메일에서, 포르노사이트를 포함한 다양한 사이트의 URL를 이용해, 스마트폰에 스파이웨어를 심으려 한 정황이 나왔다.

 

해킹팀은 스마트폰에 스파이웨어를 심기 위해, 가짜 URL를 클릭하도록 유도한 다음, 실제 존재하는 다양한 사이트로 연결해 해킹 대상자를 속이도록 한 방법을 썼다.

해킹대상자가 해킹팀이 만든 URL를 클릭하면 실제 사이트로 연결되지만, 스파이웨어를 심는 장치에 걸려들면서, 자신의 스마트폰이 해킹되고, 스마트폰 내부의 정보가 해킹팀에 넘어가게 된다.

 

그런데 국정원 추정 데빌엔젤은 이 같은 방식에 활용되는 실제 사이트의 여러 주소를 제시했다.

현재까지 언론에 보도된 내용을 보면, 미국질병통제센터 사이트의 메르스 관련 질문과 답변 내용 URL 주소뿐 아니라, 떡볶이 맛집 정보와 벚꽃축제 정보가 담긴 포털 네이버 블로그의 URL 주소를, 데빌엔젤이 해킹팀에 스파이웨어를 심기 위한 위장 사이트로 활용해달라고 주문했다.

 

미디어오늘이 ‘데빌엔젤’과 ‘데스티네이션’을 두가지 키워드를 조합해 이탈리아 해킹팀 내부 유출 자료를 검색한 결과, 포털 사이트와 커뮤니티 사이트 등 다양한 URL 주소가 스파이웨어를 심기 위한 위장용 사이트로 활용해달라는 내용이 담겨 있었다.

 

삼성 사이트와 구글 사이트, TELKOMSEL이라는 통신업체, 구글 한글번역기, 세계보건기구 인플레인자 A 바이러스 관련 내용, 안드로이드 무료 게임 등의 URL를 스파이웨어 설치를 위한 위장 사이트로 데빌엔젤이 해킹팀에 주문한 내용이 나왔다.

 

이밖에 올림픽 공식 사이트, 마이크로소프트 사이트, ESPN 사이트와 포털 야후, 위키피디아 사이트도 포함돼 있었다.

빌보드차트(www.billboard.com) 주소도 여러차례 스파이웨어 심기용 위장 사이트로 제시됐다.

심지어 'www.myasianporn.com' 주소를 가진 포르노 사이트도 스파이웨어를 심기 위한 사이트로 활용해달라고 주문했다. 해당 주소로 들어가면 방송통신심의위원회가 심의를 통해 사이트를 차단했다는 안내문이 나온다.

 

이 같은 방식의 해킹 수법을 비판한 김광진 새정치민주연합 의원은 "피싱 URL 수법을 사용하려면 감시대상이 관심 있어하는 분야에 적합한 ‘Destination URL’을 감시대상별로 따로 제작해야 한다"면서, "당 프로그램을 통해 누구를, 왜 감시하려고 했는지 철저한 조사가 필요하다"고 말했다.

 

 

▲ ⓒ 연합뉴스

 

또한 카카오톡과 바이버 등 주요 메신저의 해킹 기술을 문의한데 이어, 페이스북 무료통화 해킹 여부도 문의한 것으로 나왔다.

지난 4월 20일 국정원 추정 아이디 데빌엔젤은 "about mVOIP recording, chat module'이라는 제목으로, 페이스북 관련 해킹 기술 여부를 문의했다.

데빌엔젤은 "페이스북 메신저 전화는 어떠냐. 페이스북을 통한 통화 녹음을 지원할 계획을 가지고 있느냐"고 해킹팀에 문의했다.

 

데빌엔젤은 "에이전트가 주소록을 수집할 때 몇개의 주소록이 목표물이 된 당사자의 번호나 계정인지 어떻게 판단할 수 있느냐"며, "수집한 주소록들이 목표물이 된 전화의 번호나 메신저 계정이 아닐 가능성이 있느냐"고 물었다.

데빌엔젤은 "예를 들어 주소록에서 휴대폰 주인의 번호가 다른 주소록처럼 저장돼 있다면"이라고 덧붙였다.

 

정리하면 페이스북 무료통화를 녹음할 수 있는지를 물으면서, 해킹팀이 목표물이 된 당사자의 번호와 계정을 수집할 때 실수할 가능성을 문의한 것으로 추정된다.

 

이에 대해 해킹팀은 "우리는 해당 작업(페이스북 무료통화 녹음)을 리스트에 포함시켜왔다. 우리는 예비조사를 하고 있다"며, "이런 이유 때문에 우리는 언제 이것이 지원될 지 알지 못한다. 어쨌든 우리는 어떤 뉴스든지 업데이트 해주겠다"고 답했다.

 

또한 해킹팀은 "회사가 이 정보(주소록)를 모았다. 주소록이 수집됐을 때, 소유자의 번호는 휴대폰 주인의 번호와 같이 오에스(운영체제)에 의해 기록된다"고 설명했다.

 

페이스북 무료통화를 녹음할 수 있는 해킹 기술에 대해서는 계속 연구를 하고 있고, 주소록을 수집할 때 목표물이 다른 사람의 번호와 메신저계정을 수집할 가능성은 적다는 답변이다.

 

페이스북은 지난해 4월 무료통화 서비스를 시작한 바 있다. 페이스북 메신저 앱을 설치하고 특정 와이파이 네트워크에 연결하면 대화창에 있는 사람과 통화를 할 수 있게 했다.

 

국정원은 이 같은 페이스북 무료통화 내용도 녹음이 될 수 있는 기술 여부를 해킹팀에 문의한 것으로 보인다.

 

[ 이재진, 조윤호 기자 ]

 

 

******************************************************************************************************

 

 

 

어제 본 “떡볶이 맛집”, 국정원 피싱 링크였을 수도 있다

국정원, 최소 87회 이상 안드로이드폰 해킹 시도 정황… 보름 전까지 해킹팀에 피싱URL 제작 의뢰

 

 

 

국가정보원이 이탈리아의 해킹업체 ‘해킹팀’에서 해킹프로그램(RCSㆍ리모트컨트롤시스템)을 구매한 사실이 알려져 논란이 일고 있는 가운데, 국정원이 피싱URL 제작을 최소 87회 이상 해킹팀에 의뢰했고, 불과 보름 전인 6월 29일까지 이러한 의뢰를 한 것으로 드러났다.

 

김광진 의원실이 인터넷에 공개된 해킹팀 내부 메일자료를 분석한 결과, 국정원은 RCS를 감시 대상의 안드로이드 폰에 침투시키기 위해, 해킹팀에 최소 87회 이상 피싱URL 제작을 의뢰했다.

 

구체적인 방식은 다음과 같다.

피싱 URL이 담긴 메시지를 감시대상에게 보내고, 감시대상이 이에 접속하면 감시대상의 기기에 프로그램이 설치된다. 그리고 프로그램 설치가 끝난 뒤 의심을 없애기 위해 미리 지정해둔 ‘Destination URL’로 연결된다.

 

미디어오늘은 앞서 국정원 관계자로 추정되는 ‘devilangel’이 해킹팀에 피싱URL 제작을 의뢰한 사례를 소개했다.

올해 4월 8일 devilangel은 해킹팀에 피싱URL을 제작해달라는 메일을 보낸다. ‘Destination URL’은 금천구 벚꽃축제 소식을 알리는 네이버 블로그 포스팅이다.

 

 

▲ 김광진 의원실에서 소개한 피싱URL을 통한 해킹프로그램 설치 사례.

관련 기사 : <국정원 추정 아이디 ‘데빌엔젤’을 잡아라>

 

 

아마 감시대상이 문자로 온 피싱URL을 클릭했다면, RCS가 설치되면서 동시에 네이버 블로그 포스팅으로 이동했을 것이다.

이러한 피싱 URL 수법을 사용하려면, 감시대상이 관심 있어 하는 분야에 적합한 ‘Destination URL’을 감시대상별로 제작해야 하는 공을 들여야 한다.

국정원은 보름 전인 지난 6월 29일에도 피싱URL 제작을 의뢰했다.

 

 

@pixabay. CC0.

김광진 의원은 “국정원이 구입한 프로그램은 다른 사람의 컴퓨터에 바이러스를 심는 방식으로, 현행법상 불법 소지가 다분하며, 이를 이용해 최소 87차례 이상 누군가를 감시해 온 정황이 드러난 것은, 국정원이 지난 대선개입사건 이후 하나도 변한 것이 없다는 것을 보여주는 것”이라며, “해당 프로그램을 통해 누구를, 왜 감시하려고 했는지 철저한 조사가 필요하다”고 밝혔다.

 

[ 조윤호 기자 ]