한국 5163부대는 스파이웨어 회사와 무엇을 거래했나

2015년 7월 6일, 이탈리아의 스파이웨어 개발업체 “해킹팀”(Hacking Team; HT)이 해킹되어 400GB 가량의 내부 자료가 토렌트로 유출되었다. 이 회사에서 유출된 자료에는 소프트웨어 소스 코드는 물론, 직원의 개인정보나 퇴직 직원들의 사직서, 연봉 수준이나 보너스 순위 같은 민감한 인사정보까지 담겨 있다.

그러나 해외 언론들이 주목한 이유는 따로 있었다. 유출된 자료에는 이 스파이웨어 회사로부터 감청장비를 구매한 각국 기관들, 특히 정부기관들에 대한 모든 정보가 있었기 때문이다.

• 월스트리트저널 – Hacking Team, the Surveillance Tech Firm, Gets Hacked
• 가디언 – Hacking Team hacked: firm sold spying tools to repressive regimes, documents claim
• 와이어드 – http://www.wired.com/2015/07/hacking-team-breach-shows-global-spying-firm-run-amok/

그리고 미국시민자유연맹의 보안분석가 크리스토퍼 소고이언의 트윗이나 와이어드 영국판 등을 통해, 이 업체의 소프트웨어를 구매한 고객 중 “한국도 포함되어 있다”는 사실이 밝혀지기 시작한다.

https://twitter.com/csoghoian/status/617862879405064192

(공개된) 파일을 통해 “해킹팀”의 고객 중에 한국, 카자흐스탄, 아제르바이잔, 사우디 아라비아, 레바논, 이집트, 나이지리아, 수단이 포함된 걸로 밝혀졌다.

Files reveal that Hacking Team customers include South Korea, Kazakhstan, Azerbaijan, Saudi Arabia, Lebanon, Egypt, Nigeria and Sudan.

와이어드 영국판 – Hacking Team’s oppressive regimes customer list revealed in hack

CSO 온라인의 기사를 보면 “해킹팀”과 거래한 더 많은 국가 리스트가 나온다.

• 이집트 / 에티오피아 / 모로코 / 나이지리아 / 수단 / 칠레 / 콜롬비아 / 에콰도르 / 온두라스 / 멕시코 / 파나마 / 미국 / 아제르바이잔 / 카자흐스탄 / 말레이시아 / 몽골 / 싱가포르 / 한국 / 태국 / 우즈베키스탄 / 베트남 / 호주 / 키프로스 / 체코 / 독일 / 헝가리 / 이탈리아 / 룩셈부르크 / 폴란드 / 러시아 / 스페인 / 스위스 / 바레인 / 오만 / 사우디아라비아 / 아랍에미리트

그리고 7월 9일 오전까지도, 한국일보를 제외한 어느 주류 언론도 이를 보도하지 않고 있다. 지금까지 이 사건을 언급한 국내 매체는 보안전문 인터넷언론 보안뉴스와 전자신문, 한국일보가 유일하다.

• 한국일보 – 伊 해킹프로그램 판매社 고객에 한국 정보기관도 있었다
• 보안뉴스 – 감시 툴 판매기업 해킹팀, 소스코드와 고객명단 유출
• 전자신문 – 글로벌 인터넷감시도구 제작기업 `해킹팀` 사이버 공격 받아

게다가 전자신문은 첫 보도부터 익명의 전문가를 빌어 ‘인권 침해로 해석하는 건 무리가 있다’며 물타기를 시도했다. 과연 그럴까? 그동안 한국 정부와 이 업체 사이에서 무슨 일이 벌어졌던 것일까?

그래서 HT로부터 유출된 자료를 직접 모두 확보해 보았다.

“해킹팀”의 고객, 한국 5163부대

다음 장표는 유출된 자료 중 아래 문서에 기록된 내용이다.

• Client Overview_list_20150603.xlsx

위의 이미지를 보면 해킹팀의 고객으로 미국의 FBI라는 이름이 보인다. 한편 한국(South Korea)의 기관명도 눈에 띄는데, “The 5163 Army Division”, 즉 “5163부대”로 기재되어 있다.

다른 부분을 살펴보자. 문서에는 금액의 단위는 생략되어 있지만, 이탈리아가 현재 이용하는 화폐인 유로로 추측하는 것은 어렵지 않다. 문서를 보면 해킹팀은 한국 “5163부대”로부터 2012년부터 총 686,400유로를 받았다고 문서에 기록되어 있다.

• 2012년 라이선스 구입 등 소프트웨어 도입 비용으로 448,000유로
• 2013년 유지보수비용으로 58,850유로
• 2014년 업그레이드 및 유지보수 비용으로 145,700유로
• 2015년 유지보수 비용으로 33,850유로

즉, 문서의 내용을 해석해보면 7월 9일 공시환율 “1유로 = 1,253원”을 적용하면 한국 “5163부대”는 약 8억6천만 원 가량의 국가 예산을 이탈리아 스파이웨어 업체에 지급했다는 것이다. 그러면 8억 원가량의 국가예산으로 이 한국 부대는 무엇을 구매했다는 것일까? 이는 ‘청구서’에 기재된 내용을 통해 쉽게 확인할 수 있다. 유출된 자료들에 의하면 다음과 같다.

• Invoice – 003_2015 – Army Division Korea.pdf

리모트 컨트롤 시스템(Remote Control System)이라고 기재되어 있다. 언뜻 보면 “네이트온 내 PC 제어”처럼 보이는 이 소프트웨어의 실체는 사실 “감청 프로그램”이다. 이 내용은 위키리크스에서 발견된다.

위키리크스 문서를 따르면 “해킹팀”의 “리모트 컨트롤 시스템”은 스텔스, 스파이웨어 기반으로 컴퓨터와 스마트폰을 공격, 감염, 감시할 수 있는 시스템이다. 또한, 표적 사용자의 암호화된 통신(스카이프 등 메신저나 보이스톡, PGP 암호 커뮤니케이션, 암호화된 웹메일 등)까지 모두 감시할 수 있는 시스템이다. 심지어 이 회사는 동영상 광고까지 제작하여 업체 홈페이지에 올려두었다.

[box type=”note”]위 동영상에 표시되는 한글 번역은 필자가 붙인 것입니다. (편집자)[/box]

이런 스파이웨어를 만드는 회사인 “해킹팀”과 한국의 “5163부대”가 거래를 한 것이다.

유출된 자료 중 아래 문서에 따르면 이 회사가 감시 가능하다고 밝힌 서비스는 스카이프, 지메일, 페이스북, 트위터 등이다.

• RCS 8 Technical.pptx

각종 인터넷전화, 무선인터넷전화, 이메일, 소셜미디어를 모두 감청할 수 있다는 이야기이다. 물론 한국 국가정보원이 구글 지메일을 감청하더라는 의혹은 한겨레 2011년 9월 6일 보도(“구글 지메일도 국정원이 감청”)를 통해 한차례 제기된 바 있다.

당시 한겨레는 보안업체 관계자의 말을 빌려 ‘기술적으로 어려운데 어찌 이것이 가능하겠느냐’고 보도했다. 하지만 네트워크 단계에서 인증서 바꿔치기, PC에 ‘감시 소프트웨어’ 설치하기 등과 같은 방법은 이미 있으므로 불가능한 일은 아니었다.

어쨌든 이 기사가 난 다음 해인 2012년 “5163부대”와 “해킹팀”의 거래가 시작되면서, 관련 시스템 구축 작업이 시작된 것으로 보인다.

무엇을 감청하겠다는 건가?

한국 “5163부대”가 구매한 해킹팀의 “리모트 컨트롤 시스템”에서 구현할 수 있다는 감청 항목에는 어떤 것이 있을까. 유출된 자료 중 아래 문서를 보자.

• RCS_9.5_Features_Compatibility_v1.0.pdf

우선 데스크톱의 경우 캠 카메라를 통한 도촬, 마이크를 통한 도청, 채팅, 파일 확보, 키보드 입력, 패스워드, 접속 사이트, 스크린샷 등이 가능하다.

모바일의 경우 폰 카메라를 통한 도촬, 마이크를 통한 도청, 위치 정보, 스크린샷 등이 가능하다.

또한, 같은 자료에서 밝히기를 운영체제의 종류와 버전에 따라 각기 지원하는 기능이 조금씩 다르기는 하지만, 데스크톱과 모바일 모두 특정 프로그램 원격 실행, 기록, 설치 삭제 및 정보 무단 삭제가 가능하다는 것이 “해킹팀”의 설명이다.

“해킹팀”의 “리모트 컨트롤 시스템”이 감염시킬 수 있는 데스크톱·스마트폰 환경에는 어떤 것들이 있을까. 위의 기능 소개 문서에도 나와 있지만 편집할 수 있는 표로 잘 기재한 문서도 있다.

• Compatibillity List (not for customers).9.6.xlsx

• 안드로이드는 2.2(프로요)부터 5.0(롤리팝)까지 가능.
• 아이폰·아이패드는 3.x부터 8.x까지 가능
• 블랙베리는 4.5부터 7.1까지 가능
• 맥OS는 10.6(스노우 레오파드)부터 10.10(요세미티)까지 가능
• 윈도우는 XP부터 10까지 가능
• 리눅스도 우분투, 데비안, 리눅스 민트, 레도라 등 가능

아니 그럼 무슨 수로 감청이 가능하다는 이야기인가?

“해킹팀”이 전 세계 정보기관과 금융권 등에 판매한 이 “리모트 컨트롤 시스템”은 앞서 소개한 바와 같이 그 본질이 ‘스파이웨어’이다. 즉 감청할 표적에 이 스파이웨어를 심어야 작동하는 구조다. “해킹팀” 역시 네트워크 패킷 감청만으로는 부족하다며 “리모트 컨트롤 시스템” 도입을 호소한다. 다음은 위키리크스를 통해 이미 공개된 바 있는 “해킹팀”의 프레젠테이션 자료 중 일부이다.

이런저런 수단을 써서 스파이웨어를 심으라는 이야기이다. 그렇다면 어떻게 이 스파이웨어를 배포할까? 이에 대한 “해킹팀”의 가이드 문서를 보자.

• RCS.pdf, RCS 9 Attack Vectors.pptx

• USB 메모리와 CD-ROM를 몰래 꽂아 부팅시켜라
• 메모리 카드를 꽂아라
• 와이파이 라우터를 조작하라

USB 메모리와 CD-ROM을 몰래 넣어 부팅시키는 방식은 요원을 침투시키거나 장비 압수수색 후 반환 시점에 작동시키는 등의 방식으로 실행이 가능할 것이다. 실제로 모로코가 이 시스템을 담은 USB를 UN 사무국 컴퓨터에 꽂아 UN 평화유지군을 해킹한 사실도 발각되었다.

• 올아프리카 – Morocco Seems to Have Hacked UN Computers With Hacking Team Technologies

와이파이 라우터를 조작하라는 가이드는 한국의 여러 인터넷 공유기 펌웨어가 조작되어 피싱사이트로 연결되었던 과거 사례를 떠올리면 원리를 쉽게 이해할 수 있다.

“해킹팀”이 제시하는 또 다른 침투방법이 몇 가지 더 있다.

• 인터넷 서비스 제공자(ISP)를 통제하라
• 모바일 서비스 제공자(3G/LTE)를 통제하라
• 인터넷을 통해 EXE나 APK를 실행시켜라

인터넷 서비스 제공자는 우리가 흔히 알고 있는 SK브로드밴드, KT, LG유플러스와 같은 인터넷 케이블 사업자를 말한다. 모바일 서비스 제공자 역시 SKT, KT, LG유플러스 같은 이통사나 삼성전자와 같은 단말기 사업자를 의미한다. 이들을 통제하여 특정 사용자의 PC나 스마트폰에 가짜 자동 업데이트를 보내 스파이웨어를 설치하도록 하는 것이다.

“해킹팀”은 이 방법을 동종업계 회사인 감마그룹(Gamma Group)의 가이드 문서와 동영상까지 가져와 상세히 안내하고 있다. 유출된 자료 중 아래 동영상은 더 적나라하다.

• 309_GAMMA-201110-FinFly_ISP.mp4

동영상을 보면 ISP의 서버실에 요원을 침투시켜 핀플라이 ISP(FinFly ISP)를 심어둔다. (동영상의 요원은 경찰이라 쓰인 옷을 입고 있다) 그런 후 네트워크 접속을 가로챈 후 감시 표적에게 가짜 아이튠스 업데이트를 보내라는 것이다.

이렇게 가짜 원격 자동 업데이트와 자동실행을 통해 스파이웨어를 심은 후 이를 통해 원격제어로 PC를 망가트리는 방식은 2013년 3월 20일 사이버테러 사건 때 한국의 KBS, MBC, YTN, 신한은행, 농협 등을 공격한 것과 같은 방식이다.

• 슬로우뉴스 – 중앙 보안 관제의 재앙 – 3.20 사이버테러의 전말

자칫 북한 소행으로 덮어졌을 이 사건의 전모는 결국 중앙 보안 관제시스템 해킹으로 밝혀졌다

한국은 알약과 같은 백신, 알집과 같은 압축프로그램, 곰플레이어 같은 각종 동영상 플레이어에 온갖 인터넷뱅킹 보안소프트웨어(액티브엑스부터 exe까지)가 계속 자동 업데이트되고 있는 국가이므로 네트워크를 통한 원격 침투에 매우 최적화된 환경을 갖추고 있는 국가라 할 수 있다.

게다가 이미 관련 기술적 조치를 법제화하기 위한 “통신비밀보호법 개정안”이 국회에 제출된 상태다. 이 개정안의 핵심은 통신사 또는 SNS 운영업체가 의무적으로 감청설비를 설치하게 하고, 이를 거부할 경우 처벌토록 하는 것이다.

• 의안정보시스템 – 통신비밀보호법 일부개정법률안 (새누리당 박민식 의원 대표발의)

유출된 자료 중 “리모트 컨트롤 시스템”의 매뉴얼에 따르면 여러 방식으로 공격을 통해 스파이웨어 에이전트가 설치되고 나면 네트워크를 통해 지속해서 감청 정보를 보내고 네트워크에 접속되어있지 않더라도 (혹은 스마트폰의 데이터 네트워크를 끄더라도) 계속 데이터를 수집한 뒤 네트워크에 연결되는 시점에 다시 모아 전송하도록 하고 있다.

• RCS 7.3 – Administration Manual.pdf

전송되는 경로 또한 익명화시켜 어디로 전송되는지 알 수 없도록 구현되어있다는 것이 “해킹팀”의 설명이다. PC에 설치된 이 문제의 감시 에이전트는 평소 PC 이용자가 자주 사용하는 프로그램과 아주 비슷하게 생긴 프로세스로 보이거나 프로세스를 확인조차 할 수 없다는 설명도 곁들여져 있다. ‘악성코드’가 하는 바로 그 짓이다.

시스템 구축을 통해 국가기관은 전 국민을 대상으로 다음과 같은 감시화면을 운영할 수 있게 된다.

아래는 실제 “리모트 컨트롤 시스템”의 구동 스크린샷이다.

감시 표적의 현재 위치가 지도에 표시되고, 감시 표적이 현재 스마트폰이나 PC로 하는 일 – 누구와 어떤 전화통화를 하는지, (무선) 인터넷 전화로 무슨 대화를 나누었는지, 카메라에 잡힌 풍경은 어떠한지, 마이크에 잡힌 대화 내용은 무엇인지, 페이스북에서 누구와 대화하고 있는지까지 모두 한 곳에서 확인할 수 있다. 영화에서나 보던 그 장면이 이제 현실이 된 것이다.

한국의 “5163부대”는 어디인가?

서울 서초구에 있는 “5163부대”의 실체는 2013년 11월 시사인 기사를 통해 밝혀진 바 있다.

‘7452부대’와 함께 국정원이 사용하는 위장 명칭은 또 있다. ‘5163 부대’이다. 5163부대와 7452부대는 국정원 직원들이 은행 대출을 받거나 외부 기관에 재직증명서를 낼 때도 사용된 이름이다. 한 시중은행 관계자는 “5163부대라고 재직증명서에 적혀 있어서 군무원인 줄 알았는데, 주소지가 국정원과 같은 내곡동이었다”라고 말했다.

출처: 시사인 – 국정원의 대외용 이름 “5163부대”

그렇다. 바로 서초구 내곡동에 있는 국가정보원이다.

지구 반대편 이탈리아 스파이웨어 개발업체 “해킹팀”은 이런 시스템을 원할 법한 한국 정보기관의 위장 명칭인 “5163부대”을 정확하게 알고 있었을까?

사건 3일째, 왜 별다른 취재가 없는 것일까?

유출된 400GB가량의 자료는 이미 토렌트를 통해 전 세계로 널리 배포되고 있다. 토렌트로 퍼지는 이상 이 데이터는 절대 삭제되지 않고 영원히 인터넷을 떠돌게 될 것이다. 아예 유출 내용을 인터넷에서 바로 확인할 수 있는 미러 사이트도 등장했다. 심지어 프로그램 소스 코드까지 계속해서 올라오고 있다.

• 레딧 – Torrent magnet for the dump (마그넷 정보)
• ht.transparencytoolkit.org/ (미러 사이트)
• 깃헙(GitHub) – “해킹팀” 리포지토리 (소스 코드)

모든 자료가 이렇게 버젓이 드러난 상황에서도 왜 한국 언론을 통해서는 제대로 된 보도가 나오지 않을까? 간단하다. 그토록 쫓는 외신이 이토록 시끄러운데도, 이 사안의 본질에 대해 모르거나, 아니면 보도할 수 없거나. 둘 중 하나일 것이다.

앞으로 한국 언론들이 이 사안을 어떻게 보도할지, 진실을 어디까지 더 캐낼 수 있을지 지켜볼 때다. 그리고 과연, 한국 국가정보원 원장이, 혹은 국가정보원의 최종 보고를 받을 한국 정부의 최고 수장이 이 사건을 어떻게 해명할지 지켜볼 때이다.

누구를 감시하려 했을까

지출 내용을 다시 보자

• 2012년 라이센스 구입 등 소프트웨어 도입 비용으로 448,000유로
• 2013년 유지보수비용으로 58,850유로
• 2014년 업그레이드 및 유지보수 비용으로 145,700유로
• 2015년 유지보수 비용으로 33,850유로

2012년

한국 “5163부대”가 이 소프트웨어를 구매했다는 2012년 당시 국정원장은 원세훈이었다. “해킹팀”이 한국의 “5163부대” 즉 국가정보원이라 강하게 추정할 수 있는 곳에 소프트웨어 도입 비용으로 448,000유로를 받았다는 그해에는 이런 일이 있었다.

• 뉴시스 – 국정원 선거개입 의혹’, 대선 전에 수사 끝날까
• 경향신문 – 축하전화 받는 박근혜 당선인

2012년 당시 국정원장은 이 소셜서비스 계정들과 관련하여 재판에까지 넘겨졌었다.

• 뉴스타파 – “국정원 사유화 바로잡아야”…원세훈에 징역 4년 구형
• 뉴스타파 – “박근혜 부담 덜기위한 짜맞추기”…원세훈 판결 반발 거세
• 뉴스타파 – 원세훈 대선개입 구속..’지록위마’ 판결 뒤집어

그해 “5163부대”, 즉 국가정보원에다 HT가 착수금 273,000유로 등 총 448,000유로의 청구서를 끊었다. 한화로 약 5억 6천만 원 가량의 국가 예산이다.

2014년

한국 “5163부대”가 업그레이드 및 유지보수 비용으로 145,700유로를 냈다는 2014년에는 세월호가 침몰했다. 여객선 세월호 침몰사고 검경 합동수사본부는 SNS 괴담 유포를 엄단하겠다고 했고, 국정원은 다음카카오에 감청영장 집행을 시도하기도 했다.

• 슬로우뉴스 – 다음카카오가 ‘압수영장’은 빼고 ‘감청영장’만 거부한 이유

그해 “5163부대”, 즉 국가정보원에다 HT가 업그레이드 명목으로 78,000유로 등 총 145,700유로의 청구서를 끊었다. 한화로 약 2억가량의 국가 예산이다.

이 모든 것들이 그저 우연으로 맞아떨어졌던 것일까?

그리고 이것은 합법일까? 아니면 불법일까?

이 사이버 무기를 전 세계 각국 정부기관들은 어떻게 활용해왔을까? 그리고 한국 “5163부대”는 과연 어떻게 활용해왔을까? 그리고, ISP 감청설비 설치 의무화 법안 = 통신비밀보호법 개정안이 통과된 이후 우리의 인터넷은 어떻게 될까? 과연 내 PC와 스마트폰에도 감시 에이전트가 스며들까?

[divide style=”2”]

덧붙임

1) 유출된 소스코드를 각국 언론들이 분석한 결과, HT는 그동안 운영체제(OS)의 버그든, 어도비 플래시(Adobe Flash)의 버그든, 여러 종류의 제로데이공격 취약성 버그를 이용해 시스템 관리권한을 탈취하고 기기를 원격 제어하도록 시스템을 구현한 것으로 확인되었다.

• the Register – KILLER! Adobe Flash, Windows zero-day vulns leak from Hacking Team raid

관련 취약성이 마구 밝혀질 예정이기 때문에 앞으로 수많은 서버 혹은 PC/스마트폰들이 공격에 노출될지도 모른다. 당분간 관련 소식을 주의깊게 살펴보는 것이 좋겠다.

2) 이와 함께, 각국 언론들이 유출된 자료에 포함된 이메일 데이터를 분석한 결과, HT는 감시 표적의 데이터를 파트너와 고객(=국가정보기관)과 함께 공유하며 꾸준히 공격 및 침투기법을 발전시켜온 것으로 보인다.

이메일 데이터에 대한 더 많은 분석이 필요하다. 각국 정세에 대한 분석 메일까지 유출된 만큼, HT와 한국 기관이 서로 주고받은 이메일도 곧 밝혀지리라 생각한다. 누군가 본래 사명에 따라 조금만 더 노력한다면.