‘데빌엔젤’ 역추적 해보니 …국정원 감염 유도 사이트 ‘삭제중’

 

 

 

‘데빌엔젤’ 역추적 해보니 …국정원 감염 유도 사이트 ‘삭제중’

 

 

 

 

 

 

‘데블에인절’ ID 역추적 결과
무료 영화 등 악성코드 앱페이지, 대부분 폐쇄되거나 게시물 사라져

 

 

스파이웨어(컴퓨터나 스마트폰에 몰래 설치돼 정보를 빼내가는 악성 프로그램) 감염을 유도하기 위해 국가정보원 직원으로 추정되는 인물들이 인터넷 공간에 올려두었던 악성 애플리케이션 관련 페이지가 최근 들어 대부분 삭제된 것으로 나타났다.

 

20일 <한겨레>가 이탈리아 ‘해킹팀’에 직접 ‘공격 인터넷 주소(url)’를 요청했던 국정원 직원의 ‘아이디’를 역추적하는 방법으로 해당 페이지를 확인했더니, 블로그에 올렸던 관련 게시물이 지금은 존재하지 않은 것으로 확인됐다.

 

‘해킹팀’과 직접 소통을 담당한 국정원 직원은 ‘데블에인절’(devilangel1004@gmail.com·데빌엔젤)이란 아이디를 사용했다. 이 구글 지메일 주소는 블로그, 구글 플러스 등 구글의 다른 서비스와 연결돼 있다.

데블에인절(데빌엔젤)의 전자우편 계정에 연동된 블로그에는 구글의 정식 마켓인 ‘플레이스토어’를 통하지 않고, 제3의 마켓을 통해 유통되는 안드로이드 스마트폰용 애플리케이션들이 첨부되어 있다.

대표적인 게 ‘오늘의 티브이’, ‘영화천국’, ‘일드의 정원’, ‘애니빵빵’ 등으로, 데블에인절은 이곳을 통해 스파이웨어가 숨겨진 악성 애플리케이션을 내려받도록 유도했다.

 

 

또 데블에인절(데빌엔젤)은 구글 플러스를 통해 같은 애플리케이션을 올려둔 ‘mingmings2015’란 아이디의 워드프레스(wordpress.com) 블로그도 공유했다.

 

최근 들어 관련 페이지가 삭제된 경위에 대해, 구글 관계자는 “해당 게시물은 본인이 지웠거나 문제가 있어 시스템에서 차단된 것”이라고 밝혔다.

 

김광진 새정치민주연합 의원은 17일 이 애플리케이션들을 분석한 뒤 “이 앱에는 현재위치 추적, 오디오 녹음, 카메라 촬영, 데이터 등을 특정한 주소로 송신할 수 있는 스파이웨어가 숨어 있었다”고 밝혔다. 안드로이드 운영체제를 사용하는 스마트폰을 통해 이 애플리케이션을 내려받을 경우, 실시간 녹음 기능과 카메라 등을 이용해 사용자 정보가 특정 서버로 전송된다.

 

이런 악성 애플리케이션들은 데블에인절(데빌엔젤)의 구글 블로그, ‘mingmings2015’의 블로그 등을 통해 국내에 빠른 속도로 전파됐다.

 

 

임지선 기자 sun21@hani.co.kr

 

 

****************************************************************************************************

 

 

감시 20명뿐?…대상 바꿔가며 20명 이상 해킹 정황

 

 

 

국정원 ‘대북용 20명분’ 축소 해명 의혹

 

국가정보원이 이탈리아 ‘해킹팀’한테 사들인 원격제어시스템(RCS)으로는 최대 20명까지만 해킹이 가능하다는 국정원의 해명과 달리, 실제로는 감시 대상자를 계속 바꾸는 방식으로 무제한 해킹이 가능한 것으로 나타났다.

국정원이 파장이 커지는 걸 우려해 애써 축소 해명한 것이라는 지적이 나온다.

　20일 <한겨레>가 이탈리아 해킹팀과 국정원 사이에 오간 전자우편을 분석한 결과, 국정원이 감시 대상을 교체하며 20명 이상을 감시한 정황이 확인됐다.

 

 

국정원은 2013년 7월29일 해킹팀에 “시스템 대기열에 있는 감염된 타깃 3개를, 기존 타깃 3개를 지우고 시스템으로 불러오려고 했는데 추가되지 않았다”며 문제가 무엇인지 문의했다.

이에 해킹팀은 “당신의 라이선스가 허용하는 타깃 수를 초과한 것 아니냐”고 되물었지만, 국정원은 “기존 타깃 3개를 삭제했다”며, 새로운 타깃 3개를 감시하기 위한 공간을 만들어뒀다고 대답했다.

 

 

“기존 3개 삭제했는데 추가 안돼” 2013년 7월 해킹팀에 이메일 문의
나나테크에 보낸 RCS 제안서에도 “백도어 지우면 다른 타겟도 감시”
사실상 ‘무제한 해킹 가능’ 드러나

지난 5월에도 SKT망 이용 접속한 스마트폰 6대 해킹 시도 추가 확인

 

 

 

 

 

 

 

대기열은 스파이웨어에 감염됐지만 아직 모니터링되지 않고 있는 스마트폰(컴퓨터 포함)의 목록이다. 이 기기들은 기존에 모니터링 되고 있는 기기들의 감시를 중단한 뒤 언제든 감시 상태로 전환할 수 있다.

이런 내용은 2012년 3월 해킹팀이 중개회사 나나테크에 보낸 아르시에스 제안서에도 포함돼 있다.

해킹팀은 “타깃은 동시에 모니터링되는 기기의 숫자를 의미한다. 감시가 끝나고 백도어(뒷문)를 제거하면, 다른 타깃을 감시할 수 있다”고 설명했다.

 

 

백도어를 제거했다는 건 현재 모니터링 대상에서 제외했다는 뜻이다. 이를 종합하면, 예컨대 현재 아르시에스 프로그램으로 간첩 혐의가 있는 20명을 감시하다가, 어느 순간 대상자를 바꿔 또다른 국내 민간인 20명도 사찰할 수 있다는 뜻이다. 물론 감시 대상자가 스파이웨어에 감염(해킹)돼 있어야 하지만 추가 라이선스를 구매할 필요는 없다.

 

　그러나 이병호 국정원장은 지난 14일 국회 정보위원회에 출석해 “이탈리아 회사에서 20명분의 해킹 소프트웨어를 구입해, 18개는 대북 정보수집용으로, 2개는 자체 실험·연구용으로 사용했다”며, “20명분이란 상대방 휴대폰을 가장 많이 해킹했을 경우 최대 20개의 휴대폰을 해킹할 수 있다는 의미다. 이런 역량으로는 민간인 사찰이 불가능하다”고 해명했다.

국정원은 이를 증명하기 위해 여야 의원들에게 20개의 아이피(IP) 주소가 적힌 종이를 들고 와 보여주기도 했다.

 

　한편, <한겨레>가 해킹팀 유출 자료에서 ‘로그(접속) 기록’을 분석한 결과, 각각 지난 5월19일과 5월21일에 에스케이텔레콤(SKT)망을 이용해 접속한 스마트폰 4대와 2대에 대해 해킹이 시도된 기록이 추가 확인됐다. 국정원은 같은 달 19일 해킹팀에 “새 기기에 대한 테스트를 진행했는데 실패했다. (실패한 모델은) 갤럭시노트2와 에스(S)3”라고 말해 이 아이피 주소를 해킹 테스트에 이용했던 것으로 보인다.

국정원이 테스트한 기기는 국내용 갤럭시노트2 에스케이티용 모델(SHV-E250S)과 갤럭시에스3 케이티(kt)용 모델이다.

결과적으로 국내 기업이 개발한 통신기기의 보안을 국외 해커 집단에 뚫어달라고 요청한 셈이다.

 

허승 기자 raison@hani.co.kr