지난 7월 6일, 이탈리아의 스파이웨어 개발업체 ‘Hacking Team(HT)’ 이 해킹되어 400 기가 가량의 내부 자료가 몽땅 토렌트로 유출되었다. 이 회사에서 유출된 자료에는 소프트웨어 소스코드는 물론, 직원의 개인정보나 퇴직 직원들의 사직서 내용에다 연봉수준이나 보너스순위 같은 민감한 인사정보까지 담겨져 있었다. 그러나 해외 언론들이 주목한 이유는 따로 있었다. 유출된 자료에는 이 스파이웨어 회사로부터 감청장비를 구매한 각국 기관들, 특히 정부기관들에 대한 모든 정보가 담겨져 있었던 것이다.
– [Wall Street Journal] Hacking Team, the Surveillance Tech Firm, Gets Hacked
– [the guardian] Hacking Team hacked: firm sold spying tools to repressive…
– [ZDNet] Hacking Team hit by breach; leak suggests it sold spyware to oppressive regimes
– [WIRED] Hacking Team Breach Shows a Global Spying Firm Run Amok
– [VERGE] Hacking Team spyware company hacked, embarrassing emails revealed
그리고 WIRED UK등의 매체를 통해, 이 업체의 소프트웨어를 구매한 고객 중 “한국도 포함되어 있다”는 보도가 나오기 시작한다.
Files reveal that Hacking Team customers include South Korea, Kazakhstan, Azerbaijan, Saudi Arabia, Lebanon, Egypt, Nigeria and Sudan.
– [WIRED UK] Hacking Team’s oppressive regimes customer list revealed in hack
Hacking Team currently has, based on internal documents leaked by the attackers on Sunday evening, customers in the following locations: Egypt, Ethiopia, Morocco, Nigeria, Sudan Chile, Colombia, Ecuador, Honduras, Mexico, Panama, United States Azerbaijan, Kazakhstan, Malaysia, Mongolia, Singapore, South Korea, Thailand…
– [CSO Online] Hacking Team hacked, attackers claim 400GB in dumped data
그리고 7월 9일 새벽 3시, 이 시각까지도, 한국의 어느 메이저 언론들도 이 사건을 보도하지 않고 있다.
지금까지 이 사건을 언급한 국내 매체는 작은 보안전문 인터넷뉴스 보안뉴스라는 곳과 전자신문이 유일하다. 게다가 전자신문은 첫 보도부터 익명의 전문가를 빌어 ‘인권침해로 해석하는건 무리가 있다’며 물타기를 시도했다. 과연 그럴까? 그동안 한국 정부와 이 업체 사이에서 무슨 일이 벌어졌던 것일까?
그래서 HT로부터 유출된 자료를 직접 모두 확보해보았다.
Hacking Team 의 고객, 한국 5163부대
다음 장표는 유출된 자료 중 ‘Client Overview_list_20150603.xlsx’ 시트 파일에 기록된 내용이다.
이탈리아 스파이웨어 업체 HT 과 거래한 미국 기관으로는 당장 FBI 라는 이름이 보인다.
한편 South Korea, 한국의 기관명도 눈에 띄는데, ‘The 5163 Army Division‘, 즉 ‘5163부대‘로 기재되어있다.
HT는 한국 ‘5163부대’로부터 2012년부터 총 686,400 유로를 받았다고 문서에 기록되어 있다.
– 2012년 라이센스 구입 등 소프트웨어 도입비용으로 448,000 유로
– 2013년 유지보수비용으로 58,850 유로
– 2014년 업그레이드 및 유지보수 비용으로 145,700 유로
– 2015년 유지보수 비용으로 33,850 유로
7월 9일 공시환율 1유로 = 1,253원을 적용하면 한국 ‘5163부대’는 약 8억 6천만원 가량의 국가예산을 이탈리아 스파이웨어 업체에 지급했다는 것이 문서의 내용이다. 그러면 8억 가량의 국가예산으로 이 한국 부대는 무엇을 구매했다는 것일까? 이는 ‘청구서’에 기재된 내용을 통해 쉽게 확인할 수 있다. 유출된 자료들 중 Invoice – 003_2015 – Army Division Korea.pdf 등등의 자료에 의하면 다음과 같다.
‘Remote Control System‘ 이라고 기재되어있다. 언뜻 보면 네이트온 PC원격제어처럼 보이는 이 소프트웨어의 실체는 사실 ‘감청 프로그램‘이다. 이에 대한 내용은 난데없이 위키리크스(Wikileaks)에서 발견된다.
– Wikileaks, 31_200810-ISS-PRG-HACKINGTEAM.pdf
스텔스-스파이웨어 기반으로, 컴퓨터와 스마트폰을 공격, 감염, 감시할 수 있는 시스템으로, 표적 사용자의 암호화된 통신 (스카이프 등 메신저나 보이스톡, PGP 암호 커뮤니케이션, 암호화된 웹메일 등) 까지 모두 감시할 수 있는 시스템이라는 것이 이 회사의 소개이다. 심지어 이 회사는 동영상 광고까지 제작하여 업체 홈페이지에 올려두었다.
(밤새 비디오 번역도 했다능)
대략 이런 걸 만드는 스파이웨어 개발회사 HT 와 한국 ‘5163부대’가 거래를 한 것이다.
유출된 자료 중 RCS 8 Technical.pptx 에 따르면 이 회사가 감시 가능하다고 밝힌 서비스는 다음과 같다.
보이스톡, 이메일, SNS가 모두 감청 가능하다는 이야기이다. 물론 한국 국가정보원이 구글 지메일을 감청하더라는 의혹은 한겨레 2011년 9월 보도를 통해 한차례 제기된 바 있다.
[한겨레] 구글 지메일도 국정원이 감청, 2011. 9. 6.
당시 기술적 어려움 때문에 이것이 어찌 가능하겠냐는 것이 당시 한겨레 보도의 주된 내용이었다. 하지만 네트워크단계에서 인증서 바꿔치기, PC에 감시소프트웨어 설치하기 등과 같은 방법이 이미 있기 때문에 불가능한 일은 아니었다. 그리고 그 다음해 이 업체와의 거래가 시작되면서, 관련 시스템 구축 작업이 본격 시작된 것으로 보인다.무엇을 감청하겠다는건가?
한국 ‘5163부대’가 구매한 HT의 RCS 에서 구현 가능하다는 감청 항목은 다음과 같다. 다음은 유출된 자료중 RCS_9.1_Features_Compatibility_v1.2.pdf 파일에 기재된 내용이다.
데스크탑의 경우 캠 카메라를 통한 도촬, 마이크를 통한 도청, 채팅, 파일 확보, 키보드 입력, 패스워드, 접속 사이트, 스크린샷 등…
모바일의 경우 폰 카메라를 통한 도촬, 마이크를 통한 도청, 위치 정보, 스크린샷등…
또한 같은 자료에서 밝히기를, 데스크탑과 모바일 모두 특정 프로그램 원격 실행, 기록, 설치 삭제 및 정보 무단삭제가 가능하다는 것이 이 업체의 설명이다.
이 업체가 소개하고 있는, 감염시킬 수 있는 PC/스마트폰 환경은 다음과 같다. 다음은 유출된 자료중 Compatibillity List (not for customers).9.6.xlsx 파일에 기재된 내용이다.
x가 감시 가능하다는 표시이다
- Android 는 2.2 (Froyo) 부터 5.0 (Lolipop) 까지 감청이 가능하다고 한다.
- iOS 는 3.x부터 8.x 까지 감청이 가능하다고 한다.
- Blackberry 는 4.5부터 7.1까지 감청이 가능하다고 한다.
- Mac OS는 10.6 (Snow Leopard) 부터 10.10 (Yosemite)까지 감청이 가능하다고 한다.
- Windows는 XP부터 10 까지 감청이 가능하다고 한다.
- Linux 또한 Ubuntu, Debian, Linux Mint, Fedora 등이 모두 감청이 가능하다고 한다.
무슨 수로 감청이 가능하다는 이야기인가?
HT 가 전세계 국가정보기관과 금융권 등에 판매한 이 RCS 는 앞서 소개한바와 같이 본질적으로 ‘스파이웨어’이다. 즉 감청할 표적에게 이 스파이웨어를 심어야 작동하는 구조이다. HT 역시 네트워크 패킷감청만으로는 부족하다며 RCS 도입을 호소한다. 다음은 위키리크스에 이미 공개된 바 있는 HT측 프레젠테이션 자료중 일부이다.
이런저런 수단을 써서 스파이웨어를 심으라는 이야기이다. 그렇다면 어떻게 이 스파이웨어를 배포해야할까? 이에 대한 HT 의 가이드는 RCS.pdf, RCS 9 Attack Vectors.pptx 등의 문서에서 확인된다.
- USB와 CD-ROM를 몰래 꽂아 부팅시켜라
- 메모리카드를 꽂아라
- WIFI망 라우터를 조작하라
USB와 CD-ROM을 몰래 넣어 부팅시키는 방식은 요원을 침투시키거나 장비 압수수색후 반환시점에 작동시키는 등의 방식으로 실행이 가능할 것이다. 실제로 모로코가 이 시스템을 담은 USB를 UN 사무국 컴퓨터에 꼽아 UN 평화유지군을 해킹한 사실도 발각되었다.
– [allafrica] Morocco Seems to Have Hacked UN Computers With Hacking Team Technologies
WIFI망 라우터를 조작하라는 가이드는 한국의 여러 인터넷 공유기 펌웨어가 조작되어 피싱사이트로 연결되었던 과거 사례를 떠올리면 원리를 쉽게 이해할 수 있다.
여기에다 HT가 제시하는 또다른 침투방법이 몇가지 더 있다.
- 인터넷 서비스 제공자(ISP)를 통제하라
- 모바일 서비스 제공자(3G/LTE)를 통제하라
- 인터넷을 통해 EXE나 APK를 실행시켜라
인터넷 서비스 제공자는 우리가 흔히 알고있는 SK브로드밴드, KT, LG U+와 같은 인터넷 케이블 사업자를 말한다. 모바일 서비스 제공자 역시 SKT, KT, LGU+와 삼성전자와 같은 단말기사업자를 의미한다. 이들을 통제하여 특정 유저의 PC나 스마트폰에 가짜 자동업데이트를 보내어 스파이웨어를 자동 설치토록 하는 것이다. HT 는 이 방법을 동종업계인 gammagroup.com 의 가이드 문서와 동영상까지 가져와다가 상세히 가이드하고 있다. 유출된 자료 중 309_GAMMA-201110-FinFly_ISP.mp4 라는 동영상은 더 적나라하다.
네트워크 접속을 가로채어, 감시 표적에게 가짜 iTunes 업데이트를 보내라는 것이다. 바로 이 동영상 스크린샷 처럼 하면 가능하다.
원격 자동업데이트와 자동실행을 통해 스파이웨어를 심고, 이를 통해 원격제어로 PC를 망가트린 사례는 이미 2013년 3월 20일 사이버테러 사건 때 한국의 KBS, MBC, YTN, 신한은행, 농협 등이 겪은 바 있는 그 공격방식이다.
하마터면 역시 북한 소행으로 덮어졌을 이 사건의 전모는 결국 중앙보안관제시스템 해킹으로 밝혀졌다
한국은 알약과 같은 백신, 알집과 같은 압축프로그램, 곰플레이어 같은 각종 동영상 플레이어에 온갖 인터넷뱅킹 보안소프트웨어(ActiveX부터 EXE까지)가 계속 자동업데이트되고 있는 국가이기 때문에, 네트워크를 통한 원격 침투에 가장 최적화된 환경을 갖추고 있는 국가다. 게다가 이미 관련 기술적 조치를 법제화하기 위한 ‘통신비밀보호법개정안‘이 국회에 제출되어있기도 하다. 이 개정안의 핵심은 통신사 또는 SNS 운영업체로 하여금 감청설비 설치를 의무화하고, 이를 거부할 경우 처벌토록 하는 것이다.
유출된 자료 중 RCS 7.3 – Administration Manual.pdf 등 RCS의 메뉴얼에 따르면 여러 방식으로 공격을 통해 스파이웨어 에이전트가 설치되면, 네트워크를 통해 지속적으로 감청 정보가 전송되며, 네트워크에 접속되어 있지 않더라도 (스마트폰 데이터네트워크를 끄더라도) 지속적으로 데이터를 수집한 뒤, 네트워크에 연결되는 시점에 다시 모아 전송토록 하고 있다. 전송되는 경로 또한 익명화시켜 어디로 전송되는지 알 수 없도록 구현되어있다는 것이 HT 의 설명이다. 에이전트가 설치된 PC에 문제의 감시에이전트는 평소 PC이용자가 자주 사용하는 프로그램과 아주 비슷하게 생긴 프로세스를 보거나 프로세스를 확인조차 할 수 없다는 설명도 곁들여져있다. ‘악성코드’가 하는 바로 그 짓이다.
시스템 구축을 통해 국가기관은 전국민을 대상으로 다음과 같은 감시화면을 운영할 수 있게 된다.
자, 주목하시라. 이것이 실제 RCS 의 구동 스크린샷이다.
감시 표적의 현재 위치가 지도에 표시되고, 감시 표적이 현재 스마트폰이나 PC로 하고 있는 일, 누구와 어떤 전화통화를 하는지, 보이스톡으로 무슨 대화를 나누었는지, 폰카메라에 잡힌 풍경은 어떠한지, 마이크에 잡힌 대화내용은 무엇인지, 페이스북에서 누구와 대화하고 있는지까지 모두 한 곳에서 확인이 가능하다. 영화에서나 보던 그 장면이 이제 현실이 된 것이다. 노동조합 파업 회의를 왜 사측이 미리 알아챘을까? 카카오톡 대화내용을 왜 정보과 형사가 알고있을까? 우리는 상상속에서만 떠올리던 답을 이제 눈 앞에서 실제로 마주하고 있는 것이다.
한국 ‘5163부대’는 어디인가?
서울 서초구에 위치한 ‘5163부대’는 강남서초송파예비군훈련장이 아니라 이미 그 실체가 시사in 2013년 11월 기사를 통해 밝혀진 바 있다.
‘7452부대’와 함께 국정원이 사용하는 위장 명칭은 또 있다. ‘5163 부대’이다. 5163부대와 7452부대는 국정원 직원들이 은행 대출을 받거나 외부 기관에 재직증명서를 낼 때도 사용된 이름이다. 한 시중은행 관계자는 “5163부대라고 재직증명서에 적혀 있어서 군무원인 줄 알았는데, 주소지가 국정원과 같은 내곡동이었다”라고 말했다.
– [시사인] 국정원의 대외용 이름 ‘5163부대’
그렇다. 바로 서초구 내곡동에 있는 국가정보원이다.
로고가 뭔가 좀 이상하지만 기분 탓이다.
어찌하여 지구 반대편 이탈리아 스파이웨어 개발업체 HT는 이런 시스템을 정말 간절히 원할법한 한국 정보기관이 평소 쓰던 위장명칭 ‘5163부대’ 이름을 정확하게 알고있었을까? 심지어 납품업체 이름까지?
사건 3일째, 왜 아무런 취재도 없는 것일까?
유출된 400 기가 가량의 자료는 이미 토렌트를 통해 전세계로 널리 배포되고 있다. 토렌트로 퍼지는 이상 이 데이터는 절대 삭제되지 않고 영원히 인터넷을 떠돌게 될 것이다.
게다가 유출 내용을 웹에서 확인할 수 있는 미러사이트까지 등장하였다. 심지어 프로그램 소스코드까지 github를 통해 계속해서 올라오고 있다.
모든 자료가 이렇게 버젓이 드러난 상황에서도 왜 한국 언론에는 아무런 보도도 나오고 있지 않을까? 간단하다. 그토록 쫓는 외신이 이토록 시끄러운데도, 이 사안의 본질에 대해 모르거나, 아니면 보도할 수 없거나. 둘 중 하나일 것이다.
이 글이 공개된 이후부터 한국 언론들이 이 사안을 어떻게 보도할지, 진실을 어디까지 더 캐낼 수 있을지 지켜볼 때이다. 그리고 과연, 한국 국가정보원 원장이, 혹은 국가정보원의 최종 보고를 받을 한국 정부의 최고 수장이 이 사건을 어떻게 해명할지 지켜볼 때이다.
당장 우리의 궁금증은 여기로 모아져야한다. 국가정보원이 이 시스템을 활용하여 누구를 감시하려 했을까? 인터넷이 연결되어있지 않은 북한의 누군가일까? 아니면 국내의 누군가일까? 국내의 누군가라면 어떤 이유에서일까?
지출 내역을 다시 보자.
– 2012년 라이센스 구입 등 소프트웨어 도입비용으로 448,000 유로
– 2013년 유지보수비용으로 58,850 유로
– 2014년 업그레이드 및 유지보수 비용으로 145,700 유로
– 2015년 유지보수 비용으로 33,850 유로
2012년
한국 ‘5163부대’ 가 이 소프트웨어를 구매했다는 2012년 당시 국정원장은 원세훈이었다.
2012년, HT가 한국 ‘5163부대’, 즉 국가정보원으로부터 소프트웨어 도입 비용으로 448,000 유로를 받았다는 그 해에는 이런 일이 있었다.
국정원 대선 개입, 그리고 박근혜 후보의 당선.
2012년 당시 국정원장은 이 SNS 계정들과 관련하여 재판까지 회부됐다. 그해 ‘5163부대’, 즉 국가정보원에게 HT가 착수금 273,000 유로 등 총 448,000 유로를 청구했다. 한화로 약 5억 6천만원 가량의 국가예산이다.
2014년
한국 ‘5163부대’ 가 업그레이드 및 유지보수 비용으로 145,700 유로를 지불했다는 2014년 그 해에는 하필 이런 사건이 있었다.
물론 즉각적으로 이런 움직임이 있었다.
그 이후 한국 네티즌들의 사이버망명 사태를 불러온 이런 일도 있었다.
그해 ‘5163부대’, 즉 국가정보원에게 HT가 업그레이드 명목으로 78,000 유로 등 총 145,700 유로를 청구했다. 한화로 약 2억 가량의 국가예산이다.
이 모든 것들이 그저 우연으로 맞아떨어졌던 것일까?
이것은 합법일까? 아니면 불법일까?
이 사이버무기를 전세계 각국 정부기관들은 어떻게 활용해왔을까? 그리고. 한국 ‘5163부대’는 과연 어떻게 활용해왔을까?
그리고, ISP 감청설비 설치 의무화 법안 = 통신비밀보호법 개정안이 통과된 이후 우리의 인터넷은 어떻게 될까?
과연 내 PC 와 스마트폰에도 감시 에이전트가 스며들까?
p.s.
1. 유출된 소스코드를 전세계 언론들이 분석한 결과, HT 는 그동안 OS의 버그든, Adobe Flash 의 버그든 여러 종류의 제로데이공격 취약성 버그를 이용해 시스템 관리권한을 탈취하고 기기를 원격 제어하도록 시스템을 구현한 것으로 확인되었다.
– [the Register] KILLER! Adobe Flash, Windows zero-day vulns leak from Hacking Team raid
관련 취약성이 마구 밝혀질 예정이기 때문에 앞으로 수많은 서버 혹은 PC/스마트폰들이 공격에 노출될 지도 모른다. 당분간 관련 소식을 주의깊게 살펴보는 것이 좋겠다. 물론 국내 언론에는 관련 기사가 7월 9일 기준으로 여전히 없다. 앞으로도 없을 것이 뻔하기 때문에 외신을 직접 읽도록 하자.
2. 이와 함께, 전세계 언론들이 유출된 자료에 포함된 이메일 데이터를 분석한 결과, HT는 감시 표적의 데이터를 파트너와 고객(=국가정보기관)과 함께 공유하며 지속적으로 공격 및 침투기법을 발전시켜온 것으로 보인다.
HT가 고객과 주고받은 이메일, high value target 은 누구일까?
이메일 데이터에 대한 더 많은 분석이 필요하다. 각국 정세에 대한 분석 메일까지 유출된 만큼, HT와 한국 기관이 서로 주고받은 이메일도 곧 밝혀지리라 생각한다. 누군가 본래 사명에 따라 조금만 더 노력한다면.
3. 블로그 글 작성 직후, 관련 첫 보도가 한국일보에서 나왔다. 4시 40분에 송고하셨…
– [한국일보] 伊 해킹프로그램 판매社 고객에 한국 정보기관도 있었다
다음 턴은 그 이상이어야 할 것이다.
교정 및 편집/ 랫사팬더
글/ rainygirl
한국 ‘5163부대’는 어디인가?
서울 서초구에 위치한 ‘5163부대’는 강남서초송파예비군훈련장이 아니라 이미 그 실체가 시사in 2013년 11월 기사를 통해 밝혀진 바 있다.
‘7452부대’와 함께 국정원이 사용하는 위장 명칭은 또 있다. ‘5163 부대’이다. 5163부대와 7452부대는 국정원 직원들이 은행 대출을 받거나 외부 기관에 재직증명서를 낼 때도 사용된 이름이다. 한 시중은행 관계자는 “5163부대라고 재직증명서에 적혀 있어서 군무원인 줄 알았는데, 주소지가 국정원과 같은 내곡동이었다”라고 말했다.
– [시사인] 국정원의 대외용 이름 ‘5163부대’
그렇다. 바로 서초구 내곡동에 있는 국가정보원이다.