2015. 07. 10. 금요일

춘심애비

"Total control over your target."

이탈리아 해킹툴 업체 ‘해킹팀(Hacking Team)’이라는 애덜이 있다. 중국집 이름이 ‘중국집’ 인 것과 같은, 참으로 명쾌한 이름이 아니라 할 수 없겠다. 얘덜이 지난 7월6일, 해킹을 ‘당했’다. 그래서 400기가바이트에 달하는 방대한 양의 정보가 모두 유출됐다. 뭐랄까, 일진이 삥을 '탈탈' 뜯긴 듯한 이 상황.

이는 국제적, 그리고 IT적으루다가 몇가지 의미를 지니기 때문에 현재 많은 관심을 받고 있다. 그 의미란 건 대충 이렇다.

* 얘덜은 평소 ‘우린 블랙리스트 국가랑은 거래 안함’이라고 했지만, 구라인 게 들켰다. 즉, 인권보장 수준이 낮은 국가에도 이들의 제품을 판매한 것이 들켰기 때문에 도덕적 비난 및 해당 국가의 인권 문제 제기로 이어지게 된다.

* 해킹도구 만드는 애덜이 해킹당한 방식이 윈도우와 어도비 플래시에서 발견된 보안헛점으로 추정되고 있다. 이러한 경우 윈도우와 플래시의 업데이트 패치가 나오기 전까지는 이 취약성을 노린 일종의 모방범죄가 발생할 가능성이 높으니까.

* 구매자 리스트, 최초 구매연도, 총 지불 액수, 몇몇 구매자의 경우 이 해킹도구로 무슨 짓을 하려고 했는지에 대한 내용까지가 모두 유출됐기 때문에 적대적 관계에 있는 국가 간의 외교적 갈등 및 구매국가 내부의 정치적 갈등이 발생할 수 있다.

* 이 해킹도구로 할 수 있는 짓의 범위와, 이걸 쓰려면 어떻게 해야되는 지에 대한 정보가 모두 유출되었고, 그 내용상 인터넷에 연결되는 거의 모든 주요기기가 완전히 뚫리는 것과 다름 없어서, 전세계의 PC, 태블릿, 모바일을 모두 포함한 사용자들의 불안감이 조성된다.

뭐 여기까지만 보면 그냥 외국에 그런일이 있었나부다 싶은 정도지만, 이게 그렇지가 않다. 구매자 리스트에 대한민국이 포함돼있기 때문이다.

레이니걸선생께서는 누구보다 발 빠르게 이 소식을 전하시었다. (원문보기)

관련된 거의 모든 내용이 다 정리돼 있으므로 위 포스트를 보시면 이 사건은 대충 다 이해하셨다고 보셔도 되겄다. 하지만 IT와 안친한 사람들이 보면 마치 비전공자가 전공서적 보는듯한 '대갈빡뽀개짐'을 느낄 수 있을 것으로 강력히 예상되어 이 내용을 일반인 대상으로 조금 쉽게 풀어볼까 한다.

1. 뭐 할라고 쓰는 툴이냐

한마디로, 인터넷하는 거의 모든 기기를 뚫을 수 있는 해킹도구다. 여기서 뚫린다는 표현은, 그 사람이 인터넷을 통해 뭘 보는지, 뭘 쓰는지, 어디 있는지를 포함하여 카메라나 마이크까지도 감청할 수 있다는 의미다. 그냥 늘 옆에 있는 거나 진배없다. 아니 그 이상일 수도 있겠다, 상황에 따라.

우리가 인터넷을 할 때 주로 쓰는 걸 생각해보자. 일단 PC를 들 수 있겠고, 운영체제로 윈도우, 맥 OSX, 간간히 리눅스를 쓴다. 그리고 태블릿이나 스마트폰이 있겠고, 운영체제로 안드로이드, iOS, 적게는 윈도우폰, 블랙베리, 구시대 유물이 된 심비안 등을 주로 쓴다. 앞에 열거한 것들이면 국내의 경우 그냥 ‘대부분의 인터넷 환경’이라해도 무리가 없겠고, ‘그냥 인터넷 환경 전부 다’라고 해도 많이 욕먹진 않을 것만 같은 수준이겠다. 한국에 리눅스 PC와 우분투 폰만을 사용하고 다른 건 아무것도 안쓰는 사람은 거의 없을테니 말이다.

이들의 해킹도구는, 위에 열거한 모든 환경에 다 적용 가능하다고 알려져있다. 게다가 그렇게 해킹을 통해 입수한 정보들을 졸라게 간편하게 정리해서 보여준다. 실제로 이 도구를 사용할 사람들이 보게 될 화면의 예시는 아래와 같다.

해킹팀 유출 자료 중 화면 예시(출처 : rainygirl.com)

그러니까 이 해킹도구는 목표물로 하는 인터넷 사용 기기에 대해 인터넷 사용 내역과 연결된 주변기기를 통해 입수할 수 있는 정보의 사실상 전부를 수집할 수 있게 해준다. 다시말해 내 스마트폰이 타겟이라면 내가 스마트폰을 쓸 때마다 바로 옆에서 보는 것 보다 더 많은 내용을 알 수 있다는 것.

이쯤 되면, 일단 뚫린 기기는 안전지대가 없다고 봐도 무방할듯 하다. 유출된 자료에는 키보드 작동 정보까지 볼 수 있다고 돼있으므로 암호화된 메신저라 해도 메시지의 내용을 알아낼 수 있게 된다. 게다가 Tor라고 불리는, 간단히 말하면 현존하는 웹 브라우저 중 IP를 가장 잘 숨길 수 있는 브라우저마저도 뚫리는 것으로 보이는 자료가 포함 돼있다. 브라우저의 프라이버시 모드나, IP 우회 어플 쯤은 무기력하게 뚫리는 셈.

결론 : 다 뚫린다.

2. 그럼 어떻게 뚫리는가

유출된 자료에 따르면 일단 어떤 파일이 타겟 기기에 설치돼야한다. 흔히 스파이웨어라고 불리는 그것. 어떤 설치파일을 어떤 기기에서 실행시키만 하면 되므로 다양한 방법이 있을 수 있다. USB나 CD롬에 파일을 넣고 타겟 PC에 가서 직접 설치하는 단순무식한 방법부터, 무선공유기를 조작함으로써 설치하게 만드는 방법도 있다. 좀 더 깊이 들어가면 다른 파일인 척 페이크를 써서 깔게 하는 방법도 있겠고, 가장 무서운 방법으로는 인터넷 제공업체나 무선통신 제공업체를 통해서 깔게 만드는 것까지도 이론상 가능은 하다.

즉, 우리가 종종 경험하는 웜, 악성코드, 스파이웨어, 트로이목마 등과 그 경로가 근본적으로는 같다는 얘기다. 컴터에 설치되는 프로그램 하나하나를 다 인지하고 관리할 수 있는 사람들은 소수의 전문가나 덕후들에 한정돼있고, 대부분의 일반인들은 ‘너 이거 반드시 깔아야함’이라는 내용이 설득력있게 적혀있다던가, 다른 파일들과 퉁쳐서 설치되는 경우 뭐가 어떻게 깔려서 어떤 기능을 하는지 알아내기가 힘들다. 게다가 울나라는 인터넷으로 뭐 하나 할라면 각종 누더기 같은 파일을 십수개씩 깔아야되고, 그걸 또 계속 업데이트해야되는 IT강국(?) 아니던가.

그러므로, 평소 ‘나는 보안에 졸라 철저한 인간이라 이상한거 절대 안깔림’이라고 자부하지 않는 한, 열분덜의 컴터나 스마트폰이 이미 뚫려있을 가능성이 존재한다.

게다가, 혹시라도 이 해킹툴을 사용한 측이 인터넷제공업체나 무선통신제공업체의 협조를 구할 수 있다면, 당신이 아무리 보안에 철저한 인간이라 해도 뚫려있을 가능성이 존재하게 된다.

이쯤 되면 절대 안뚫렸다고 자부할 수 있는 기기는 오로지 인터넷에 접속이 안되는 기기 뿐이다.

3. 이걸 울나라에서 누가 썼는가

결론부터 말하자면 국정원으로 강력히 추정된다. 유출된 자료의 구매자 명단에는 아래와 같이 명시되어 있다.

5163부대. 대한민국. 아시아-태평양 지역. 기타 조직.

2012년 최초 구매. 연간 유지보수 비용 67,000유로(약 840만원). 

총 지불비용 686,400유로(약 8억6천만원)

시사in의 2013년 11월 기사를 보면, 5163부대는 국정원이 대외활동시 사용하는 명칭으로 알려졌으며, 이달 9일자 한국일보 기사를 보면, 유출 자료에 표기된 5163부대 주소는 국정원의 사서함 주소와 일치한다.

시사in 기사 전문 보기 (링크)

한국일보 기사 전문 보기 (링크)

이 내용은 9일 현재 오마이뉴스, 중앙일보, 노컷뉴스 등에서 보도되고 있다.

혹시라도 이게 국정원이 아니라면, 경기도 포천시 일동면에 있는 5163부대에서 4년간 8억6천을 썼다는 얘기거나, 아니면 다른 어떤 놈들이 위장을 했다는 얘기가 된다. 사실 어느 쪽도 좀 이상하긴 하다. 부대 단위에서 8억6천을 써서 불법적인 해킹툴을 쓸 일이 있다는 건 너무 비상식적이고, 전혀 다른 조직의 위장이라는건 저 유출 리스트 자체의 신뢰도를 낮추게 되는데 그러기엔 다른 유출내용들의 아귀가 너무도 맞아떨어지기 때문이다.

같은 리스트에는 미국 FBI, DEA 등이 있고 유럽국가들의 경찰청 등 국가정보기관이 꽤 들어있다. 그러므로 리스트에 국정원으로 강력히 추정되는 5163부대가 있다는 이유 만으로 ‘아니 ㅅㅂ 국정원이????’ 할 일은 아닌 것으로 보인다. 실제로 한국에서는 북한을 타켓으로 한 사이버활동이 포착되고 있으니 북한을 타겟으로 사용했을 수도 있고, 그 외에 네트워크 보안과 관련된 사건사고가 없지 않으니 말이다. 정보유출이 유일하게 용인될 수 있을법한 유일한 기관 아니겠나. 물론 그 타겟이 국가를 위협하는 세력을 향해있을 때의 얘기지만.

4. 이걸 누구에게 썼는가

여기서 뭔가 개운치 않은 구석이 남는 건, 2012년도라는 최초 구매연도다. 댓글부대를 이끈 원세훈이 국정원장으로 있던 그 해 1월에 발행된 사용료 인보이스(대충 용도상 세금계산서나 영수증 비슷한거)가 유출자료 중 포함되어 있다. 게다가 이후 업데이트 비용을 지불한 건 2014년 12월, 세월호 사건 관련 카카오톡 감청이 이슈가 있던 해, 살짝 석연치 않은 구석이 있다.

하지만...

다 소설이고 정황이다. 단순히 인보이스 발행 날짜만을 보고 2012년도 대선을 앞두고 사이버공작을 위해 해킹툴을 들였다던가, 2014년 세월호 사건 및 카톡 감청을 겪고 나서 그걸 다시 쓰려고 업데이트를 받았다고 판단하기엔 이를 뒷받침해 줄 다른 근거가 없다.

이 와중에 국정원은 지난 4월, 5월에 열리는 러시아 전승절 행사에 북한 김정은 제1비서가 참석할거라고 발표했으나, 김정은은 참석하지 않았다. 연이어 현영철 인민무력부장이 숙청됐다고 발표했으나 바로 다음날 북한의 TV방송에서 현영철의 모습이 방영된 바 있다. 숙청대상을 기록에서 완전히 제거하는 북한의 과거 행적과 대비된다는 점에서 첩보 신뢰도에 대한 논쟁이 됐던 바. 뭐 김정은이 갑자기 독감에 걸려서 러시아에 안갔을 수도 있고, 당시 방송 편집자가 깜빡하고 삭제를 안해서 존나게 쪼인트를 까였을지도 모른다만, 1월에 지불한 해킹툴의 초강력 기능을 염두에 놓고 보면 뭔가 좀 아귀가 안맞는 느낌이긴 하다.

뭐 그래서 그 해킹툴을 어따 썼는지는 사실 알 수 없는 일이기도 하고, 우리가 알게 되는 것도 좀 문제인 사안이긴 하다. 국정원이 ‘우리 그거 북한에 썼는데' 이래버리면 대북 첩보입수 경로를 까발리는 게 돼버리고, ‘우리 그거 이런이런 범죄집단에 썼는데' 이래버려도 그 집단에 정보를 알려주는 꼴이 되는 것이다.

그냥 이건 이렇게 넘어갈 수 밖에 없다. 끽해봐야 구매사실을 부인하거나, 해킹팀을 해킹한 게 부칸이라고 하거나, 이렇게 해킹이라는 것을 전 세계에서 이목을 끌고 이런 것들이 마음을 모아서 잘 해나갈 수 있을것을 배신의 정치가 아니라 국민이 알아줄 것을 믿는다고 하거나 뭐 그러고 말겠지.

5. 그래서 우리에게 남은건 뭔가

평민들 입장에서 이 사건이 시사하는 점은, 인터넷하다 이거 깔으라그런다고 막 깔아재끼면 좆될 수도 있다는 점을 명심하자는 정도겠다. 뭐 5163부대가 국정원이 아니라 조폭집단일 수도 있는 거고, 저 리스트에 없는 구매자 중에 사기꾼들이 있지 말란 법은 없으니까. 이 해킹툴에 걸리면 니덜이 야동을 본다는 사실 뿐만 아니라 야동을 보면서 어떤 포즈로 어떤 사운드를 내는지 까지 다 볼 수 있다는 사실. 존나게 무서운 일이다.

이에 이어져, 지랄맞은 액티브엑스가 국가 안보를 위해서라도 없어져야된다는 명분이 - 뭐 안그래도 명분이 졸라게 많다만 - 하나 더 생겨버렸다. 인터넷으로 빤쓰 한장 살래도 대 여섯개에서 많으면 수 십개까지 마구 깔아대는 액티브액스들의 틈바구니는, 스르륵 슬쩍 이 해킹툴 파일이 설치되기 딱 좋은 환경이 돼버리니 말이다. 액티브엑스 이슈를 exe 파일로 퉁치려는 수작도 같은 이유로 국가안보적 차원으루다가 반대해야 마땅할 일이다. 이런 초강력 해킹툴의 실체가 전세계에 까발려진 상황에서 액티브엑스나 exe파일 따위로 인터넷 보안을 유지하겠다는 발상은, 마치 집구석에 곰팡이가 창궐하는데 커튼닫고 습도를 유지하겠다는 발상과 진배없겠다.

이런 국가안보적 차원으로 쫌 더 나가보자면, 앞서 국정원이 이 사태에 대해 하나마나한 소리 하고 말거라고 예상하긴 했다만, 국가권력기관으로서 최소한의 신뢰도는 지켜줘야할 상황이라고 볼 수 있겠다. 물론 이 단건만 놓고 보면 ‘8억6천이나 받아쳐먹은 새끼들이 털리고 ㅈㄹ'이라고 짜증낼 수 있는 상황이긴 하다만, 전체적 흐름을 보면 남북회담 내용 유출 의혹에, 댓글여론조작에, 국내 1위 메신저 감청에, 북한 첩보 헛다리에 이어 해킹툴 구매내역 공개까지 이어지면서, 이걸 계속 믿어주려면 정말 맘먹고 온힘을 다해 믿으려고 노력해야만 겨우겨우 쬐끔 그 믿음을 이어가 줄 수 있을까 말까 한 수준 아니겠나.

잘 좀 하자. 니덜이 잘해도 먹고 살기 힘든 세상, 지금 울덜이 니들까지 신경쓰고 살아야겠니. 응!

춘심애비

트위터: @miiruu

편집 : 딴지일보 너클볼러