본문 바로가기

세상에 이럴수가/정치·사회·경제

국정원의 ‘실제 타깃’ 공개하다

국정원의 ‘실제 타깃’ 공개하다
[단독] 국정원, 필리핀폰으로 실험했다고?
[시사IN 411호] 고제규·김은지·김연희·신한슬·이상원 기자 | 승인 2015.07.30 08:59:13


<시사IN>은 2012년부터 이탈리아 해킹팀을 추적해온 전산 전문가 빌 마크잭과 이메일로 인터뷰했다. 그는 실제 타깃을 해킹하기 위해 국정원이 해킹팀에 요청한 자료를 모두 모았고, 이 리스트와 타깃 정보 2건을 <시사IN>에 공개했다.

이탈리아 해킹팀의 RCS(리모트 컨트롤 시스템)를 세계에서 가장 잘 아는 세 그룹이 있다. 해킹팀 본사 직원, 국정원처럼 RCS를 구매한 고객, 그리고 RCS 실체를 쫓았던 컴퓨터 전문가들이다. UC 버클리 전산학 박사과정을 밟고 있는 빌 마크잭은 RCS를 추적한 세 번째 그룹에 속한다.

그는 캐나다 토론토 대학 시티즌랩(Citizen Lab)의 연구원이다. 토론토 대학의 비영리 연구팀인 ‘시티즌랩’은 2014년 2월 17일 ‘해킹팀의 추적 불가능한 스파이웨어 지도 만들기(Mapping Hacking Team’s Un-traceable Spyware)’라는 연구 보고서를 공개했다. 해킹팀에 대한 종합 보고서로, 이들이 한국을 포함한 세계 21개국에 RCS를 판매한 의혹이 있다는 내용이 담겨 있었다. 당시 <워싱턴 포스트>는 에티오피아 등 일부 국가가 RCS를 구매해 인권활동가·정치인·기자들에게 사이버 공격을 가했다고 비중 있게 보도했다. 1년 뒤 해킹팀 자료가 유출되면서 이들의 연구는 모두 ‘팩트’로 확인되었다.

▲ UC 버클리 전산학 박사과정을 밟고 있는 빌 마크잭은 토론토 대학의 비영리 연구팀인 ‘시티즌랩’ 연구원으로 4년째 해킹팀을 추적하고 있다. ⓒ빌 마크잭 제공

빌 마크잭을 비롯해 컴퓨터 전문가들인 클라우디오 과니어, 존 스콧레일턴, 모르간 마르키스부아르로 구성된 연구진은 2012년부터 해킹팀을 추적했다. 모로코·아랍에미리트·에티오피아 등의 인권운동가, 사회단체 컴퓨터가 해킹을 당했는데, 여기에서 모두 RCS 파일이 나왔다. 이때부터 연구진은 해킹 시도가 있던 서버를 조사해 일종의 ‘지문(fingerprints)’을 만들었다. 해킹팀 스파이웨어의 고유한 특징을 찾아낸 다음, 약 40억 개의 인터넷 IP에 이 지문을 보냈다. 마치 증거물에 묻은 지문을 용의자와 대조하듯, 이 지문과 일치하는 IP를 찾았다. 스파이웨어의 감염 경로를 숨기기 위한 ‘프록시 경로(proxy chain)’를 역추적한 결과, 그 끝에는 최종 사용자인 ‘엔드 유저(end user)’의 서버가 있었다. 당시 시티즌랩이 찾은 IP 가운데 하나가 한국 KT IP(211.51.OOO.OOO)였다. 시민단체 바레인 워치(Bahrain Watch)의 공동 창립자이기도 한 빌 마크잭은 지난해 3월 17일 한국을 방문한 적이 있다. 국회에서 한국산 최루탄의 바레인 수출에 항의하는 기자회견을 열었다. <시사IN>은 국정원이 RCS를 이용해 민간인을 사찰한 것 아니냐는 의혹이 불거진 초기부터 그와 수차례 이메일 인터뷰를 했다. 이해를 돕기 위해 가급적 전문적인 디지털 용어는 빼고 이해하기 쉬운 용어로 재구성했다.


해킹팀에서 유출된 자료를 모두 분석했나?

한국과 관련해서 국정원과 해킹팀이 주고받은 파일을 분석하고 있다. 유출된 자료 외에도 그동안 RCS를 추적하며 찾은 한국과 관련한 단서가 또 있다. 예를 들면 ‘공짜_한국_영화(free_korean_movies)’라는 파일이 ‘free.dramakorea.asia’라는 웹사이트에 올라와 있었는데 RCS 스파이웨어다. 지난해 7월 21일 한국에 있는 네티즌(누리꾼)이 이 파일을 바이러스 체크 사이트인 바이러스토탈에 올렸다. 영국과 체코에서도 바이러스를 체크해달라고 같은 파일을 올렸다. 이것은 한국의 누군가가 타깃이었을 수도 있다는 의미다. 또 이 RCS 파일을 국정원이 보냈을 수도 있지만 아직은 확실하지 않다. 유출된 해킹팀 이메일에 보면 해킹팀이 각 나라에 RCS를 판매하면서 고유한 ‘워터마크’를 부여했다(한국 워터마크는 ‘WCOUQarb’이다). 그런데 2014년에 알아낸 이 RCS 파일에는 워터마크가 없었다. 어떤 정부가 보냈는지 알 수 없다. 다만 이 파일과 웹사이트 이름에 ‘한국’이 있는 만큼, 한국에 있는 한국인이나 해외에 있는 한국인이 타깃이었을 것이라고 의심한다(정확히 말하면 해킹팀은 2012년 11월 27일부터 고객별로 고유한 워터마크를 부여했다. 본사가 미끼 파일인 피싱파일을 직접 만들면서다. 이전에는 워터마크를 부여하지 않았다. RCS를 산 고객이 직접 피싱파일을 제작했다. 국정원도 자체 제작했다. 하지만 빌 마크잭이 속한 시티즌랩이 아랍에미리트와 모로코에서 RCS 파일을 찾아내면서, 해킹팀 본사가 직접 피싱파일 제작에 관여했다. 좀 더 정교하게 만들어 시티즌랩의 추적을 따돌리기 위해서였다. 본사가 관여하면서 고객별로 식별 가능한 워터마크를 부여한 것이다. 해킹팀은 2013년 4월 18일 국정원에 피싱파일을 본사로 보내라고 통보했다. 빌 마크잭이 말한 워터마크가 없는 공짜 한국 영화 파일은 2013년 4월 이전에 뿌려진 것이다. 그래서 마크잭은, 확신할 수 없지만 국정원이 보냈을 것이라고 의심한다).

▲ (클릭하면 큰 그림으로 볼 수 있습니다)


유출된 해킹팀 파일 가운데 열리지 않는 파일이 많은데, 파일 열기에 성공한 경우가 있는가?

국정원은 2012년 9월 24일 중국에 있는 타깃의 이메일을 RCS로 가로챘다. 이 한글 이메일이 깨져 보이자 국정원은 해킹팀 본사에 문제를 해결해달라고 보냈다. 나도 이메일이 잘 열리지 않았는데, 그래도 전화번호 하나는 추출하는 데 성공했다. ‘0411-8265OOOO, 826 5OOOO’이었다(이 번호는 중국 다롄에 있는 ㄷ사로, 북한 남포와 중국 다롄을 오가는 물류회사다. 사장은 중국인이지만, 실제 사장은 북한 사람인 최 아무개다. 국정원은 이 회사를 북한의 외화벌이를 위한 위장회사로 파악하고 해킹한 것으로 보인다).


국정원은 RCS를 내국인에게는 쓰지 않았고 대북용이라고 해명한다.

중국 등 해외에서도 썼겠지만 한국 안에서 사용한 정황도 보인다. 국정원은 한국에서 널리 쓰고 있는 카카오톡을 해킹할 수 있게 해달라고 해킹팀에 요청했다. 또 주목할 게 TNI (Tactical Network Injector)를 들여온 점이다. TNI는 노트북 형태로 랜(LAN)을 통해 RCS 프로그램을 심어서, 그 랜을 사용하는 사람을 감염시킬 수 있다. TNI를 통해 가짜 와이파이 핫스팟을 만들어 거기에 접속하는 사람을 감염시키거나, 타인의 와이파이를 해킹해 그들을 감염시킬 수도 있다(빌 마크잭은 TNI가 이동이 가능한 노트북 형태인데 내국인을 감염시키기 위해 들여온 것 아니냐고 의심한다. 국정원은 지방선거가 있던 2014년 4~7월 TNI를 해킹팀에서 들여왔다. 그런데 국정원은 ‘테스트’를 한 뒤 구매하지 않고 본사에 반환했다. 국정원과 해킹팀을 중개한 ㄴ사 허 아무개 대표는 본사에 보낸 이메일에서 “고객(국정원)이 테스트 결과를 보내왔는데, 고객은 모바일 해킹에 관심이 많다. TNI가 PC는 잘 감염시키지만, 모바일에서는 잘 작동하지 않았다”라며 반환 사유를 밝혔다. 이 해명을 그대로 믿더라도, 국정원은 일단 TNI를 국내에서 사용한 것이다. 3개월 동안 TNI로 테스트만 했는지, 실제 타깃들에게 사용했는지 알 수 없다). 또 국정원은 한국 안드로이드 휴대전화에서 RCS로 음성 녹음을 하려고 했지만 작동하지 않는다며 한국 휴대전화 몇 대를 테스트용으로 해킹팀에 보냈다. 이를 유추해보면, 국정원이 한국 안드로이드 휴대전화를 쓰는 사람을 타깃으로 삼았다는 걸 알 수 있다. 나는 또한 국정원이 ‘진짜 타깃(real target)’을 해킹하기 위해 해킹팀에 요청한 자료를 모두 모았다. 타깃을 유인하는 목표 URL인데 이 파일은 타깃이 누구였는지 단서를 제공할 것이다. 그 파일을 공개하겠다. (빌 마크잭이 제공한 리스트는 ‘응답하라 7452’ 크라우드 저널리즘 메뉴(www.sisainlive.com/nis7452)에서 내려받을 수 있다)

▲ 7월 14일 현안 보고를 위해 국회 정보위원회에 참석한 이병호 국정원장(위). 국정원은 한국에서의 휴대전화 해킹 2건이 ‘실험용’이라고 밝혔다. ⓒ시사IN 조남진


국정원 직원이 자살한 것은 알고 있는가? 유서에 ‘내국인 사찰은 없었다’라고 썼다.

아주 의심스럽다. 자살한 국정원 직원이 RCS로 감시하던 사람들에 대한 자료를 파기했다고 들었다. 그는 RCS로 북한 사람만 감시하고 한국 내에서는 사용하지 않았다고 주장했다. RCS로 모은 증거가 그의 주장을 뒷받침한다면, 왜 삭제했을까? 나는 국정원이 과거에 휴대전화를 도·감청했다는 걸 알고 있다. 국정원은 ‘또다시 한국인들을 도청했다’고 사람들이 생각할까 봐 전전긍긍한다. 지금 단계에서는 국정원이 RCS로 누구를 감시했는지 특정할 수는 없다. 따라서 RCS 오·남용이 있었는지 밝히는 작업을 해야 한다. 국정원이 피싱파일을 이메일로 보냈기 때문에, 그 증거는 타깃의 이메일에 남아 있을 가능성이 높다. 가장 좋은 전략은 국정원이 만든 피싱파일 이름, 파일 내용 등 관련 정보를 공개해서 사람들이 자신의 이메일 계정에 이 피싱파일이 있는지 검색해보는 것이다. 자, 이제 각자 메일에서 이 피싱파일 이미지가 있는지 검색해보라. 파일을 발견하면 나나 시티즌랩에 보내면 조사해주겠다. (빌 마크잭이 제공한 피싱파일 전체 목록은 ‘응답하라 7452’ 크라우드 저널리즘 메뉴에서 확인할 수 있다. 일부 피싱파일은 16쪽 인포그래픽 참조)


국정원은 국회의원들에게 RCS를 공개하겠다고 했다. 국회의원들이 3~4시간 국정원을 방문해 현장 조사를 하는 형식이다.

농담 같은 조사(a joke investigation)로 들린다. 컴퓨터 전문가가 아닌 국회의원들이 3~4시간 동안 조사해서는 아무것도 찾아낼 수 없다. 진짜 조사를 위해서는 디지털 포렌식 전문가를 참여시켜야 한다.


안랩 창업자인 안철수 의원이 국정원에 RCS 로그파일을 요구했다.

많은 안티바이러스 회사들은 클라우드 기반 서비스를 하고 있다. 타깃 컴퓨터로부터 의심스러운 파일이 이 클라우드에 업로드되고 검사된다. 어디로부터 업로드되었는지도 기록된다. 안티바이러스 회사가 해킹팀의 RCS 샘플을 최근 몇 년 동안 살펴봤을지 모르지만, 그 스파이웨어가 RCS가 뿌린 것인지 알지 못할 수도 있다. 만약 나를 한국의 안티바이러스 회사에 소개해준다면, 나는 RCS에 대한 기술적인 정보(해시, IP 주소, 도메인 이름)를 줄 수 있고, 안티바이러스 회사는 바이러스 데이터베이스를 검색해 국정원이 뿌린 악성코드를 밝혀낼 수 있을 것이다.


당신이라면 국정원에게 어떤 파일이나 정보를 요구하겠는가?

국정원이 해킹팀 RCS로 타깃을 감시했던 컴퓨터의 모든 하드드라이브를 요구할 것이다. RCS 도입부터 운영까지 진실을 확실하게 밝혀낼 수 있는 가장 좋은 방법이다. 그 밖의 방법으로는 국정원 RCS에 대한 진지한 조사가 불가능하다. 국정원이 국가 기밀 등 보안상의 이유로 하드드라이브를 넘기지 않는다면, 국회의원들이 하는 국정원 현장 조사를 영상으로 녹화해야 한다. 국정원이 컴퓨터 화면에 무엇을 띄워서 보여주는지 정확하게 녹화해야 한다. 또한 모든 로그파일의 복사본을 요구해, 그 파일을 보안 전문가들과 공유해야 한다.


RCS 매뉴얼에 따르면 용량 때문에 한 달에 한 번씩 오래된 로그파일을 지우라고 했다. 그러면 조사할 로그파일이 이미 삭제되었을 수도 있는데, 만약 삭제되었다면 복구할 수 있는가?

국정원이 다른 컴퓨터나 서버에 로그파일을 백업해놓았을 수 있다. 그렇지 않다면 모든 로그파일을 복원할 수는 없을 것이다. 만약 디지털 포렌식 전문가들이 국정원 컴퓨터를 조사할 수 있다면, 파일 일부는 복원할 수 있을지도 모른다.


자살한 직원이 일부 데이터를 삭제했는데, 국정원은 이 정보를 모두 복원할 수 있다고 주장한다.

국정원이 매일 혹은 매주 컴퓨터를 백업했을 수도 있고, 다른 어딘가에 정보를 백업해서 가지고 있을 수도 있다. 복구가 가능할 수도 있다. 하지만 자살한 직원이 해킹팀을 이끈 팀장으로 보이는데, 그렇다면 그는 복구가 불가능하게 지우는 방법을 정확히 알고 있었을 것이다(국정원은 RCS 타깃 라이선스 20개와 사용자 아이디 라이선스 5개를 샀다. 숨진 임 아무개 직원은 관리자(administrator) 계정을 사용했고, 팀원들은 기술자(technician) 계정 1개와 분석가(analyst) 계정 3개를 사용했다. 임 직원이 쓴 관리자 계정은 RCS 설치·운영·삭제 권한을 가지고 있다. 임 직원은 관리자 계정으로 일부 데이터를 삭제했는데 백업 서버에 남아 있는 데이터까지 삭제했다면 복구하기가 어렵다).


한국에 와서 해킹팀에 대한 연구 내용을 발표할 수 있나?

가능하다. 나는 기꺼이 한국을 방문해서 RCS와 국정원에 대해 이야기하겠다. 나아가 이메일 계정과 컴퓨터와 휴대전화를 검사해 그들이 타깃이었는지 증거를 찾을 수도 있다. 나는 2015년 5~6월에 안드로이드 브라우저 피싱을 이용해 타깃이 되었거나 감염된 사람들에 대한 정보를 찾았다. 3개월 동안 3개의 타깃이 성공적으로 감염되었는데, 두 개는 한국이고 한 개는 러시아였다. 국정원이 성공적으로 감염시킨 한국 타깃에 대한 정보 두 건을 공개하겠다.

IP Address : 223.62.169.2
Country : Korea
Date time : Thu, 04 Jun 2015 15:33:24(Korea Time)
Phone language : Korean
Phone : SHV-E250S (Galaxy Note 2, Korean, SK Telecom Edition)
Android Version : 4.3

이것은 한국에 있는 한국인 타깃이다. 이 타깃은 SKT 버전 갤럭시 노트2를 쓰고 있고, 이 휴대전화는 한국어를 쓰도록 설정되었으며, 물리적으로도 한국에 있었다.

IP Address : 223.62.212.18
Country : Korea
Date time : Wed, 17 Jun 2015 19:46:24(Korea Time)
Phone language : English(Philippines locale)
Phone : GT-N7100 (Galaxy Note 2/3G)
Android Version : 4.3

이 사람은 한국에 있는 타깃이지만, 한국인이 아닐 수도 있다. 스마트폰을 필리핀 현지 영어(en-ph)로 설정해 쓰고 있기 때문이다. (7월 22일 마크잭과 이 부분의 인터뷰를 했다)

SBS 뉴스는 7월 23일 국내 휴대전화 해킹 성공 사례라며 빌 마크잭이 찾은 타깃과 같은 내용을 보도했다. 이에 대해 국정원은 “실험용 해킹이었고 2대의 스마트폰은 국정원 소유 전화기이고, 통신사에 낸 요금 내역 등 관련 서류를 국회 정보위원회에 제출하고 설명하겠다”라고 SBS에 해명했다. 하지만 국정원 해명과 어긋나는 증거를 빌 마크잭이 제시했다. 바로 해킹한 스마트폰 ‘GT-N7100’은 국내가 아닌 해외 판매용 갤럭시폰이다. 또 이 스마트폰의 언어 설정도 한국어가 아닌 ‘필리핀 현지 영어(English-Philippines locale)’이다. 그는 한국에 있는 필리핀인이 실제 타깃일 것으로 보았다. 국정원은 7월 27일 국회 정보위원회에 이 타깃들이 모두 국내 실험용이라고 해명했다. 국정원 해명대로라면 국정원은 해외에서 판매하는 GT-N7100 스마트폰을 사 들여와, ‘필리핀 현지 영어(English-Philippines locale)’로 언어설정을 한 뒤 국내에서 실험을 했다는 의미다. 국정원은 이날 국회정보위에 어떤 증빙자료도 제시하지 않았다. 이병호 국정원장은 “국정원 자체 실험으로서 아무 문제가 없다. 믿어달라”며 말로만 해명을 되풀이했다.


출처  [단독] 국정원, 필리핀폰으로 실험했다고?