국가정보원이 해킹팀으로부터 구매해 사용했던 스파이툴은 국내서 스미싱, 피싱, 파밍 등에 악용되는 해킹수법을 그대로 활용하고 있었던 것으로 확인됐다. 사이버범죄자들이 금전적인 이득을 취하거나 산업기밀을 빼가기 위해 악용하는 수법이 국익을 위해 도감청을 하는데 사용됐다는 점만 다를 뿐이다.
지난해 6월 카스퍼스키랩과 시민단체인 시티즌랩은 해킹팀이 어떻게 원격감시시스템(RCS)이라는 스파이툴을 사용해왔는지에 대해 분석한 결과를 발표한 바 있다.
이 내용에 따르면 RCS의 브랜드명 중 하나인 '갈릴레오(Gallileo)'는 각종 취약점을 활용해 공격대상에게 악성코드를 주입해 해당 기기에 대한 관리자 권한을 획득한 뒤 이를 통해 정보를 수집할 수 있는 추가적인 악성코드를 설치해 전 세계 각 지역에 구축된 C&C서버를 통해 수집한 정보를 관리해왔던 것으로 나타났다.(관련링크)
■40개국 326개 C&C서버 확인...공격수법 다르지 않아
카스퍼스키랩이 2012년부터 2014년까지 해킹팀의 활동을 분석한 결과, 지난해 기준 40개국에 326개 RCS를 구동하기 위한 C&C서버가 존재한다는 사실이 확인됐다. 대다수 서버가 미국, 카자흐스탄, 에콰도르, 영국, 캐나다 등에 위치했다.
분석에 따르면 RCS(갈릴레오) 운영자는 주요 대상에게 악성코드를 심는다. 기존에 다른 공격자들이 쓰는 것과 마찬가지로 사회공학기법을 동원해 목표의 지인 혹은 동료 등을 사칭하거나 관심을 끌만한 문구를 담은 스피어피싱 메일을 보내 악성첨부파일이나 악성링크에 접속하도록 유도한다.
최근 어도비 플래시 플레이어에서 발견된 제로데이 취약점 외에도 2개 이상 취약점 공격수법(익스플로잇)이 쓰였으며, 동기화를 위해 감염된 PC, 노트북 등에 USB케이블로 연결한 스마트폰을 악성코드에 감염시켰다.
일반적으로 아이폰은 관리자 권한을 사용할 수 있도록 탈옥시키지 않는 이상 악성코드를 심기 어렵다. 그러나 카스퍼스키랩에 따르면 탈옥하지 않은 아이폰이라고 하더라도 해킹에 노출될 수 있다고 지적한다. 미리 악성코드에 감염시킨 PC, 노트북을 활용해 유명 탈옥툴인 'Evasi0n'을 몰래 이들 기기와 연결된 아이폰에 주입하는 일이 가능하기 때문이다.
스마트폰에 설치되는 RCS 모바일 모듈은 특정 조건에 맞춰 작동하도록 설계됐다. 예를 들어 음성녹음은 공격대상이 특정 와이파이 네트워크에 접속하거나 SIM카드를 교체했을 때 혹은 기기를 충전 중일때만 작동하도록 하는 식이다.
RCS 모바일 모듈에 쓰인 트로이목마 악성코드는 공격대상의 위치는 물론 사진을 직접 찍어 전송하기도 하고, 캘린더에 기록된 일정을 복사해간다. 감염된 기기에 삽입된 새로운 SIM카드를 등록해 통화내역과 문자메시지 송수신 내역도 가로챈다. 해킹팀에서 유출된 내부 문건에 따르면 왓츠앱, 위챗은 물론 국내 카카오톡, 라인 등도 모두 감시 대상이었던 것으로 확인됐다.
■RCS 운영, 4개 역할로 분담
시티즌랩이 입수한 '해킹팀, RCS9: 정부차원에서 (정보)탈취를 위한 해킹 스위트, 시스템 관리자 가이드(Hacking Team, RCS 9: The hacking suite for governmental interception, system Administrator’s Guide)'라는 문서에 따르면 RCS가 구동되는 아키텍처는 다른 사이버범죄조직들이 해킹활동에 활용하고 있는 것과 다르지 않다.(관련링크)
목표에게 악성코드를 심은 뒤 이를 통해 수집한 정보들을 추적이 어렵도록 익명화한 뒤에 내부 네트워크로 전달하며, 이를 전달받은 고객들은 RCS콘솔을 통해 감시한 내용을 확인할 수 있게 했다.
RCS를 운영하는 이들은 크게 4가지로 업무를 분담하고 있는 것으로 추정된다. 먼저 시스템 관리자(system Administrator)는 해킹팀으로부터 교육을 받고 RCS서버를 업데이트하는 등 역할을 맡는다. 관리자(Administrator)는 계정을 만들고, 공격대상을 정하는 일을 담당한다. 기술자(Technician)는 해당 공격대상의 PC, 스마트폰 등에 직접 스파이툴을 심는 역할을 하며, 분석가(Analysts)는 RCS로부터 수집한 정보를 분석한다.
■스파이툴은 이미 10년 전부터 존재...오남용 여부가 관건
국내 보안업계 관계자는 "2000년대 초에도 FBI가 키보드 입력 내용을 가로채는 '키로깅' 수법을 사용하는 스파이툴인 '매직랜턴'을 수사에 활용하면서 논란이 됐었고, 이후에도 독일, 네덜란드 등에서 같은 이슈가 벌어진 적 있다"며 "합법적인 스파이툴을 정보기관이나 수사기관에 판매해 왔다는 것 자체는 이미 오래된 이슈"라고 설명했다.
관련기사
- 파이어폭스, 최신 버전 아니면 플래시 플레이어 차단2015.07.15
- 어도비, 해킹팀 해킹으로 유출된 플래시 취약점 패치2015.07.15
- 해킹팀 "누구나 누구든 공격할 수 있게 됐다"2015.07.15
- 국정원, 대선·총선 전 해킹툴 20카피 구매2015.07.15
따라서 이러한 스파이툴들이 법적인 테두리 내에서 제한적인 용도로만 쓰인 것인지, 아니면 정부에 반대하는 주요 인사나 정치적인 이익을 얻을 목적으로 악용됐는지 여부 등에 대해 보다 철저한 검증이 필요할 것으로 전망된다.
국정원은 스파이툴을 민간인 사찰에 쓴 적이 있냐는 의혹에 대해 "20카피를 구매했으나 대북 및 해외정보전에 대비하기 위한 기술전략분석과 연구개발을 위한 것"이라며 "북한공작원을 대상으로 테스트를 한 적이 있다"고 답했다. 국회 정보위원회는 이러한 내용을 검증하기 위해 직접 국정원에 방문해 해당 툴이 어떻게 쓰였는지 확인할 예정이다.
