한국의 5163부대가 2012년 거래했다는 기록이 남아 있다. 유출된 자료 중 'Client Overview_list_20150603.xlsx' 시트 파일에 기록된 내용. (온라인 커뮤니티 캡처)
- 이탈리아 스파이웨어 제조 업체 해킹당해 논란
- 개인정보, 각종 데이터 파일도 들여다보는 악성코드
- 유포시 스마트폰 마이크, PC 카메라도 제어 가능
- 휴대폰과 카톡 감청도 가능한 '빅브라더'형 감시프로그램
- 각나라 정부기관에 판매하다 해킹으로 들통나
- 한국에서도 5163부대가 8억원 이상 구매한 기록 있어
- 5163부대는 과거 국정원이 사용하던 명칭이지만
- 국정원은 구매사실 확인해줄 수 없다는 입장
- 모로코, UN사무실 PC해킹하려다 들통
- 룩셈부르크, 총리가 해킹소프트 구입사실 인정
- 통신사 통신망으로 대량 유포하는 방법도 권고
- 백신으론 잡을 수 없다는게 회사측 설명
- 실제 작동시 워드 등 다른 프로그램인 것처럼 위장 가능
- 액티브X 존재 등, 한국은 유포하기 훨씬 용이할 것
- 이론적으론 전국민 대상으로 한 감시도 가능할 것
- 유출자료, P2P통해 언제 어디서든 다운로드 가능한 상황
- 정부 나서서 범죄세력 악용 못하게 막아야
[CBS 라디오 '시사자키 정관용입니다']
■ 방 송 : FM 98.1 (18:00~20:00)
■ 방송일 : 2015년 7월 9일 (목) 오후 7시
■ 진 행 : 정관용 (한림국제대학원대학교 교수)
■ 출 연 : 이준행 (프로그래머)
◇ 정관용> 이탈리아의 한 소프트웨어 개발회사가 해킹을 당해서 내부자료가 유출됐습니다. 그 가운데 고객명단도 들어있다고 해요. 그런데 이 회사는요. 스파이웨어, 쉽게 말해서 컴퓨터나 휴대전화를 해킹하는 악성코드를 만들어 파는 회사인데 주요 고객들이 세계 각국의 정부기관입니다. 그런데 우리나라 정부기관도 여기에 포함되어 있다고 해요. 이미 국제사회에 상당한 논란이 일고 있는 것 같습니다. 이번에 이 관련 논란을 정리해서 국내에 알린 프로그래머 이준행 씨를 연결해 봅니다. 나와 계시죠?
◆ 이준행> 네, 안녕하세요?
◇ 정관용> 해킹당한 회사 이름 자체가 ‘해킹팀’이네요?
◆ 이준행> 네. 이탈리아에 있는 스파이웨어를 판매하는 회사입니다. 이 스파이웨어에 감염되면 PC에 저장된 문서파일이나 평소 사용하는 패스워드가 모두 감시기관에 전송이 되고요. 이뿐만 아니라 스마트폰 카메라에 있는 사진 혹은 자신이 이동하고 있는 위치정보도 전송이 되고 통화내용도 녹취돼서 감시기관에 전송됩니다. 그 외에 SNS에서 어떤 친구와 어울리는지도 확인이 되고요. 게다가 스마트폰에는 마이크가 있죠? 요즘 쓰는 노트북에는 캠이라고 부르는 카메라도 있고 이것을 통해서 자신의 주변 환경이나 사무실 내에서의 대화내용까지 모두 감시할 수 있다는 것이 이 회사의 설명입니다.
◇ 정관용> 그런 스파이웨어는 불법 아니에요, 다?
◆ 이준행> 사실은 불법이죠. 불법인데 이 회사 같은 경우에는 국가기관의 감시를 위해서는 어쩔 수 없이 이런 솔루션을 사용해야 한다고 홍보하고 있는 상황입니다.
◇ 정관용> 아, 그러니까 각국의 정부기관들이 공공의 목적으로 이런 걸 필요로 하니까 자기들은 그것을 전문적으로 개발해서 판다, 이거로군요?
◆ 이준행> 그렇습니다.
◇ 정관용> 그런데 정작 이 회사가 해킹을 당했네요?
◆ 이준행> 네, 하필 이 회사가 해킹을 당하면서 고객명단이 유출되었는데요. 멕시코가 580만 유로를 지불해서 1위를 차지했고 이탈리아가 400만 유로를 지불해서 2위, 모로코가 310만 유로 이렇게 뒤를 이었습니다. 그런데 여기에 하필 한국이 68만 6천 유로, 우리 돈으로 약 8억원을 지불한 것으로 확인되었습니다.
◇ 정관용> 아, 한국에 누가 샀는지까지 나온다면서요?
◆ 이준행> 그렇습니다. 여기 유출된 거래내역서를 확인한 결과 '서울 서초구 사서함 200'이라는 주소를 쓰고 있는 5613부대 이름으로 거래가 된 것으로 기록되고 있습니다.
◇ 정관용> 아까 그 1등 멕시코나 2등 이탈리아, 이런 나라들에 비해서는 거래금액은 한 10분의 1 수준입니까?
◆ 이준행> 그렇습니다.
◇ 정관용> 그래도 우리 돈으로 한 8억원 정도를 주고 스파이웨어를 샀다, 이거죠?
◆ 이준행> 네, 맞습니다.
◇ 정관용> 이 5163부대는 국정원이 사용하던 거라고 알려져 있는데 국정원은 ‘이 5163이라는 부대명칭을 더 이상 쓰지 않는다, 이 프로그램 구입여부는 확인해 줄 수 없다’ 이렇게 말했는데요. 어떻게 보세요?
◆ 이준행> 네, 맞습니다. 국가정보원이 어떤 일을 하는지 또는 누구를 대상으로 감시활동을 벌이는지 당연히 비밀에 붙여져 있기 때문에 확인이 쉽지는 않을 것입니다. 자료는 어디까지나 이 업체정보에 기록된 것에 불과하고요. 하지만 해외기관들 같은 경우에는 거래사실을 속속 시인하고 있는데요. 미스피츠에서에서 정리한 바에 따르면 모로코 같은 경우에는 UN본부 사무실PC에다가 이 프로그램을 꼽아서 UN을 해킹하려 했다는 아프리카 언론들의 보도도 있었고요. 룩셈부르크 같은 경우에는 총리가 직접 이 소프트웨어 구입사실을 시인하기도 했습니다.
◇ 정관용> 그러니까 모로코가 이 회사한테 뭘 사서 유엔을 해킹한 게 드러났다?
◆ 이준행> 네, 맞습니다.
◇ 정관용> 룩셈부르크는 현직 총리가 지난 정부 때 이 회사의 프로그램을 샀던 사실을 인정했다?
◆ 이준행> 네, 맞습니다.
◇ 정관용> 우리나라는 일단은 국정원은 확인해 줄 수 없다고 했다?
◆ 이준행> 네, 그렇습니다.
◇ 정관용> 그래서 이걸 샀으면 뭘 할 수 있는 겁니까? 국정원은?
◆ 이준행> 우리가 흔히 쓰는 문자메시지라든지 SNS에서 누군가와 대화하는 그 모든 내용들을 감시할 수 있습니다.
◇ 정관용> 그렇게 되면 지금 우리 휴대전화 감청이 과연 가능하냐, 아니냐. 문자 메시지나 카카오톡 같은 것 실시간으로 감청이 되느냐, 안 되느냐 논란이 많았었는데 이 프로그램을 사용하면 다 할 수 있는 겁니까?
◆ 이준행> 그렇습니다. 물론 법제적인 문제가 있기는 하겠지만 기본적으로 스파이웨어를 설치하는 순간에 그 PC나 혹은 스마트폰 자체의 통제권이 이제 기관으로 넘어가는 것이기 때문에 그 스마트폰 주변에서 일어나고 있는 모든 상황들을 감시할 수 있는 것이 되겠죠. 그런데 이것이 어떤 당사자의 의사에 반해서 비밀리에 진행되고 국가 기반의 어떤 시스템까지 모두 구축이 된다는 점에서 모두의 우려를 하고 있는 상황입니다.
◇ 정관용> 방금 이준행 씨도 언급했지만 현재 우리 법률상으로는 휴대전화 감청 이거는 안 되게 되어 있는데 하지만 국정원이 샀다고 하는 것으로 지금 알려져 있는 이 프로그램을 이용하면 휴대전화 실시간 감청, 각종 SNS 실시간 감청이 가능하다, 이거죠?
◆ 이준행> 그렇습니다. 이 회사에서 주장하는 바에 따르면 그렇습니다.
◇ 정관용> 게다가 컴퓨터의 화상카메라, 스마트폰의 마이크, 이런 것까지도 사용자의 의지와 관계없이 원격으로 제어가 가능하다고요?
◆ 이준행> 그렇습니다. 이 회사에서 홍보하고 있는 이 프로그램의 스크린샷을 보면 실제로 이 사람이 지금 어디로 이동하고 있는지 어느 프로그램들을 사용하고 있는지 누구와 대화하고 있고 어떤 통화를 나누고 있는지까지 모두 한 눈에 살펴볼 수 있게끔 총체적인 빅브라더 같은 감시프로그램을 제공할 수 있다고 홍보하고 있습니다.
◇ 정관용> 영화에 나오던 그런 프로그램들이군요.
◆ 이준행> 맞습니다.
◇ 정관용> 그런데 이것은 조금 아까 언급하신 것처럼 누군가가 악성코드를 접근해서 심어야만 가능한 건가요, 작동하려면?
◆ 이준행> 그렇습니다. 기본적으로 스파이웨어이기 때문에 악성코드하고 같은 것입니다. 그래서 누군가가 집에 침투를 해서 USB를 꼽든지 혹은 스미싱 문자를 보내서 낚아서 프로그램을 깔도록 하는 것인데요. 그것만으로는 부족하기 때문에 이 업체는 우리가 흔히 쓰는 인터넷 통신망 자체를 국가가 관여할 수 있기 때문에 국가가 통신망에 개입을 해서 전국에 프로그램을 배포하면 된다고 공고하고 있는 상황입니다. 그래서 그 방법으로는 우리가 쓰고 있는 PC나 스마트폰에서 자동으로 프로그램이 설치되는 자동업데이트라는 것이 있는데요. 이거를 통해서 스파이웨어를 배포하라고 이 회사가 각국 정부에 공고를 하고 있는 상황입니다. 그래서 과거에 '3.20 사이버테러'라고 그 방송사와 은행권 PC가 일제히 꺼진 사건이 있었는데요. 그 수법과 동일한 수법으로 국가기관이 감시프로그램을 전국에 설치할 수 있다는 이야기가 되겠습니다.
◇ 정관용> 아, 우리가 흔히 액티브X, 이런 것 있지 않습니까?
◆ 이준행> 네, 맞습니다.
◇ 정관용> 그런 것에다가도 이것을 심으면 그 모든 사람들 컴퓨터에 다 무한정 퍼질 수도 있는 거네요?
◆ 이준행> 맞습니다. 국내 상황의 경우에는 은행사이트를 방문할 때마다 프로그램을 설치하도록 국가가 강제하는 상황도 있기 때문에, 게다가 통신사에 감청장비 설치를 강제하는 법률안 개정안도 진행되고 있는 상황이라서 실제 이 시스템이 도입이 된다면 전 국민을 대상으로 한 프로그램 설치와 실시간 정보 감시가 가능할 것으로 예상이 되고 있습니다.
◇ 정관용> 그러니까 일단 논리적으로, 이론적으로 가능은 하게 됐다는 거죠.
◆ 이준행> 네, 맞습니다. 기술적으로는 가능합니다.
◇ 정관용> 사용해서 이용한다면 실제 그렇게 이용하는지 안 하는지는 아직 모르는 것이고?
◆ 이준행> 네.
◇ 정관용> 흔히 그런데 이 스파이웨어, 악성코드 잡으려고 다 백신프로그램 쓰잖아요?
◆ 이준행> 네.
◇ 정관용> 이걸로도 안 됩니까? 못 잡아요?
◆ 이준행> 맞습니다. 이번에 유출된 자료에 의하면 이 업체는 백신프로그램으도 절대 탐지가 되지 않도록 하기 위해서 전 세계에 있는 모든 백신프로그램에서 테스트를 진행하고 있다고 밝히고 있고요. 그래서 감시대상이 되고 있는 사용자들이 평소에 자주 사용하는 프로그램, 워드프로세스를 쓰든지 혹은 스프레드시트를 쓰든지 그것처럼 위장을 해서 작동하도록 구현했다라고 홍보를 하고 있습니다. 게다가 감청한 자료를 전송을 해야 될 텐데 그 전송하는 것 또한 아이피를 위장해서 감시기관이 실제로 존재하는지를 숨길 수 있는 방법에 대해서도 자세한 매뉴얼을 갖춘 것으로 확인되었습니다.
◇ 정관용> 그래요. 그렇게 유출된 자료가 무려 400기가나 된다는데 그 자료는 지금 어디에 있습니까?
◆ 이준행> 이 자료는 토렌트, P2P형태로 배포가 되었는데요. 한마디로 전 세계 인터넷 어디에나 지금 존재하고 있다고 보시면 되겠고요.
◇ 정관용> 다시 말해서 그 자료는 누구나 볼 수 있다는 거죠?
◆ 이준행> 그렇습니다.
◇ 정관용> 그 자료를 면밀히 분석하면 지금 한국의 구매자로 기록되어 있는 그쪽에서 지금 국정원은 아니라고 하니까요. 과연 스파이웨어를 판매한 회사랑 어떤 협력관계를 구축했는지 어떤 이메일을 주고받았는지 그래서 누구를 감청하려고 했는지까지도 혹시 내용이 들어있다면 유출될 수 있다는 겁니까?
◆ 이준행> 맞습니다. 여기에는 각국 정보가 누구를 콕 집어서 감시하고 있었는지 어떤 세계정세를 고려해서 어떤 기관을 공격하려고 했는지 어떤 타국을 공격하려고 했는지까지 모두 담겨져 있을 것으로 지금 추정이 되고 있고요. 그것 때문에 모로코가 UN 컴퓨터를 해킹하려고 했었던 사실도 지금 밝혀진 사실입니다. 그래서 SNS에 확산되고 있는 한 메일에 따르면 감청을 하기 위한 표적들을 고르는 그런 내용들도 다 유출되고 있는 상황이고요. 그래서 전 세계의 언론들이 과거 위키리크스라는 사이트에서 문서를 유출했을 때처럼 이 메일 정보를 모두 분석하고 있는 상황입니다.
◇ 정관용> 아, 여기저기에서 막 분석에 들어갔겠군요?
◆ 이준행> 그렇습니다.
◇ 정관용> 그런데 지금 우리나라 주요 언론에는 이게 거의 보도가 안 되든데 이게 해킹 당한 게 7월 6일이라면서요?
◆ 이준행> 그렇습니다.
◇ 정관용> 며칠 사이에 국제적으로는 상당히 논란이 크다고요?
◆ 이준행> 네, 맞습니다. 기본적으로 위키리크스의 외교문서 유출에 준해서 대부분의 언론사들이 보도를 하고 있는 상황인데다가 이번에 그 유출되었던 자료들 중에서는 소스코드들, 그러니까 이 문제의 스파이웨어 소스코드까지 공개가 되면서 각 PC나 스마트폰에 어떻게 스파이웨어가 침투할 수 있는지에 대한 보완취약성까지 모두 공개가 된 상황입니다. 그렇다 보니까 이것들로 인해서 파생되는 여러 가지 어떤 해킹이라든지 또는 서버 공격들에 대상이 되고 있는 상황이라서 어제 같은 경우에는 미국에서 증권거래소가 마비가 되었다든지 혹은 비행기 시스템이 마비가 된 그 상황들도 이것들과 연관되어 있는 것이 아닌가 하는 그런 의구심이 제기되고 있는 상황입니다.
◇ 정관용> 이것은 뭐 언론뿐 아니라 정부 차원에서도 빨리 그 내용을 정확하게 분석해 볼 필요가 있겠네요.
◆ 이준행> 네, 맞습니다.
◇ 정관용> 이 자료를 분석해서 그걸 또 악용하려는 사람들이 생길 수 있으니까요.
◆ 이준행> 네, 맞습니다.
◇ 정관용> 그리고 이 자료를 통해서는 아닐 수 있겠습니다마는 이번에 해킹 당한 해킹팀이라는 회사의 프로그램을 민간이 막 함부로 산다면 아까 스미싱 문자 같은 걸 이용하면 악성코드를 심어서 이런저런 범행도 저지를 수 있다고 하셨지 않습니까?
◆ 이준행> 네, 맞습니다.
◇ 정관용> 우리나라에 지금 막 활개를 치고 있는 보이스피싱 사기단 등등이 이런 기술을 활용하면 이것은 문제 아닙니까?
◆ 이준행> 맞습니다. 유출된 기법을 활용해서 악성코드도 만들 수 있는 상황이다 보니까 각 소프트웨어 업체들이 현재 긴급히 보안패치를 배포하고 있는 상황입니다. 당장 유럽연합 같은 경우에는 이 스파이웨어가 러시아 정부기관에 공급이 되면서 이탈리아 당국에 대해서 신속한 조사를 촉구하고 있고요. 지금 각계에서 기술적인 요소들, 외교적인 요소들 굉장히 많은 부분에서 여러 논란이 퍼져 나오고 있는 상황입니다.