뉴스프로는 지난 28일 해킹팀을 연구해 온 캐나다의 ‘시티즌 랩’ 연구원 빌 마크잭과의 인터뷰 기사를 내보낸 바 있다.
마크잭은 인터뷰에서 지난 5월 혹은 6월, 국정원이 보낸 악성 링크를 클릭한 사용자의 아이피(IP) 주소가 있는 로그파일을 점검했고, 몇 개의 한국인 아이피 주소가 그 안에 있었다고 말했었다.
다음은 뉴스프로의 요청에 따라 그가 보내온 국정원의 “실제 타겟”이었던 사람들의 아이피(IP) 주소들이다.
마크잭은 이 중 한국에서 두 개, 러시아에서 한 개 등, 단 세 개만이 성공적으로 감염됐다고 밝혔다. 그 주소들은 아래에서 굵게 하이라이트 처리됐다.
IP Address Country Code City Location ISP
IP주소 국가코드 도시 위치 ISP
109.188.125.17 RU Moscow, Moscow, Russia, Europe OJSC MegaFon
111.80.143.117 TW Taipei, Taipei, Taiwan, Asia Chunghwa Telecom Co.
114.124.0.237 ID Jakarta, Daerah Khusus Ibukota Jakarta, Indonesia, Asia Telkomsel
139.193.176.58 ID Jakarta, Daerah Khusus Ibukota Jakarta, Indonesia, Asia FASTNET
175.168.46.204 CN Shenyang, Liaoning, China, Asia China Unicom Liaoning
212.5.158.22 BG Bulgaria, Europe Vivacom
212.5.158.70 BG Sofia, Sofia-Capital, Bulgaria, Europe Vivacom
213.87.129.241 RU Russia, Europe MTS OJSC
220.181.132.217 CN Beijing, Beijing Shi, China, Asia China Telecom
223.62.169.2 KR Seoul, Seoul, Republic of Korea, Asia SK Telecom
223.62.212.18 KR Seoul, Seoul, Republic of Korea, Asia SK Telecom
41.210.154.105 UG Kampala, Kampala District, Central Region, Uganda, Africa MTN Uganda
41.210.154.13 UG Kampala, Kampala District, Central Region, Uganda, Africa MTN Uganda
49.230.225.3 TH Bangkok, Bangkok, Thailand, Asia AIS Mobile
49.230.231.158 TH Bangkok, Bangkok, Thailand, Asia AIS Mobile
85.140.1.86 RU Nizhnekamsk, Tatarstan, Russia, Europe MTS OJSC
92.230.140.206 DE Berlin, Land Berlin, Germany, Europe Telefonica Germany
93.84.2.181 BY Minsk, Minsk, Belarus, Europe Belpak
마크잭은 또한 아래와 같이 한국 내 두 타겟의 해킹에 성공한 날짜와 시간(UTC 기준)도 알려 주었다.
223.62.169.2 (SK 텔레콤 아이피 주소)는 2015년 6월 4일 6시 33분에 감염됐고, 이 해킹 링크는 2015년 6월 3일 7시 33분에 국정원에 보내져 활성화됐으며, 감염된 기종은 SK 텔레콤 갤럭시 노트 2로서 언어는 “한국어-한국어”로 설정되어 있었다.
223.62.212.18(SK 텔레콤 아이피 주소)은 2015년 6월 17일 10시 46분에 감염됐고, 이 해킹 링크는 2015년 6월 16일 8시 35분에 국정원에 보내져 활성화됐으며, 감염된 기종은 갤럭시 노트 2 해외판으로서 언어는 “영어-필리핀어”로 설정되어 있었다.
마크잭은 국정원이 보낸 악성 링크는 1회 감염의 효과밖에 없으며, 일단 공격 대상이 링크에 접속하면 더이상 소용이 없어진다고 말했다. 또 국정원이 해킹팀에게 ‘실제 타겟’에 사용할 링크를 요청한 메시지도 있다고 덧붙였다.
그는 RCS나 TNI가 감염시킨 컴퓨터에 삽입된 특정 프로그램에 대한 업그레이드나 삭제가 원격으로도 가능하다고 말했다. 이어 RCS나 TNI로 감염된 컴퓨터나 기기들을 이용한 디도스 공격 또한 이론상으로 할 수 있다고 밝혔다.
다음은 뉴스프로가 번역한 빌 마크잭과의 서면 인터뷰 전문이다.
번역 감수 : 임옥
[빌 마크잭과의 서면 인터뷰 전문 – 2 ] 1. You mentioned in your answer that you had checked the logs that show the IP addresses of everyone who clicked on a malicious link sent by the NIS in May or June 2015 and had seen a few Korean IPs there. Could you identify them? Please give us as much information on these targets as you can.보내준 답변에서 당신은 2015년 5월 혹은 6월에 국정원이 보낸 악성 링크를 클릭한 모든 사용자들의 아이피(IP) 주소들을 보여주는 로그파일을 점검했고 거기에서 몇 개의 한국인 아이피 주소를 봤다고 언급했다. 그 주소들을 밝혀줄 수 있는가? 이 타겟들에 대한 가능한 많은 정보를 우리에게 보내달라.Bill: Yes, I checked the logs for everyone who clicked on a malicious link that used Hacking Team’s exploit service, and was sent by the NIS, in May or June 2015 (the NIS may have sent other malicious links not using Hacking Team’s exploit service). Each time the NIS wanted to use this service, it had to submit a request to Hacking Team for a link. The link could only be used to infect someone once. After one person had clicked on the link, it would be invalid. In some of its messages to Hacking Team, the NIS requested links for “real targets.” In some of its messages, the NIS requested links for “test.”
빌 : 그렇다. 나는 해킹팀의 해킹서비스를 사용해 국정원이 2015년 5월 혹은 6월에 보낸 악성 링크를 클릭한 모든 사용자의 로그 파일을 점검했다(국정원은 해킹팀 해킹 서비스를 사용하지 않고 다른 악성 링크들을 보냈을 수도 있다). 이 서비스를 이용하고자 할 때마다 국정원은 해킹팀에 링크를 요청해야 했다. 그 링크는 누군가를 단 한 번 감염시키는 데 사용될 수 있었고, 그 한 사람이 링크를 접속하면 그것은 더 이상 소용이 없어진다. 해킹팀에게 보낸 일부 메시지에서 국정원은 “실제 타겟”에 사용하기 위한 링크를 요청했다. 일부 다른 메시지에서는 국정원이 “테스트”용 링크들도 요청하기도 했다.
I went through and looked at the logs for everyone who clicked on a link sent by the NIS that was for a “real target.” There were 18 IP addresses that clicked. Only three were successfully infected (probably, because the exploit is unreliable). The IP addresses are below, I bolded and highlighted the ones that were successfully infected (two in Korea, one in Russia):
나는 국정원이 보낸 링크를 클릭한 사람들로서 “실제 타겟”이었던 모든 사용자들의 로그 파일을 살펴보았다. 거기에는 링크를 클릭한 18개의 아이피(IP) 주소들이 있었다. 그중 세 개만이 성공적으로 감염됐다(아마 그 해킹이 불확실해서). 이 아이피 주소들은 아래와 같고, 성공적으로 감염된 주소들을 굵은 글씨체로 쓰고 하이라이트 처리했다(한국에서 두 개, 러시아에서 한 개의 아이피 주소들).
IP Address Country Code City Location ISP IP주소 국가코드 도시 위치 ISP109.188.125.17 RU Moscow, Moscow, Russia, Europe OJSC MegaFon111.80.143.117 TW Taipei, Taipei, Taiwan, Asia Chunghwa Telecom Co.
114.124.0.237 ID Jakarta, Daerah Khusus Ibukota Jakarta, Indonesia, Asia Telkomsel
139.193.176.58 ID Jakarta, Daerah Khusus Ibukota Jakarta, Indonesia, Asia FASTNET
175.168.46.204 CN Shenyang, Liaoning, China, Asia China Unicom Liaoning
212.5.158.22 BG Bulgaria, Europe Vivacom
212.5.158.70 BG Sofia, Sofia-Capital, Bulgaria, Europe Vivacom
213.87.129.241 RU Russia, Europe MTS OJSC
220.181.132.217 CN Beijing, Beijing Shi, China, Asia China Telecom
223.62.169.2 KR Seoul, Seoul, Republic of Korea, Asia SK Telecom223.62.212.18 KR Seoul, Seoul, Republic of Korea, Asia SK Telecom41.210.154.105 UG Kampala, Kampala District, Central Region, Uganda, Africa MTN Uganda
41.210.154.13 UG Kampala, Kampala District, Central Region, Uganda, Africa MTN Uganda
49.230.225.3 TH Bangkok, Bangkok, Thailand, Asia AIS Mobile
49.230.231.158 TH Bangkok, Bangkok, Thailand, Asia AIS Mobile
85.140.1.86 RU Nizhnekamsk, Tatarstan, Russia, Europe MTS OJSC
92.230.140.206 DE Berlin, Land Berlin, Germany, Europe Telefonica Germany
93.84.2.181 BY Minsk, Minsk, Belarus, Europe Belpak
2. Could you tell me the date and time when these Korean IP addresses were successfully infected?한국 아이피 주소가 성공적으로 감염된 날짜와 시간을 알려 줄 수 있나 ?Bill: 223.62.169.2 (SK Telecom IP address) was infected at 2015-06-04 06:33:24 UTC. The exploit link was activated (sent to NIS) at 2015-06-03 07:33:16 UTC.
According to the logs, 223.62.169.2 was an SK Telecom edition Galaxy Note 2, with language set to “ko-kr” (Korean/Korea).
223.62.212.18 (SK Telecom IP address) was infected at 2015-06-17 10:46:42 UTC. The exploit link was activated (sent to NIS) at 2015-06-16 08:35:13 UTC.
According to the logs, 223.62.212.18 was an international edition Galaxy Note 2, with language set to “en-ph” (English/Philippines).
빌: 223.62.169.2(SK 텔레콤 아이피 주소)은 2015년 6월 4일 6시 33분에 감염됐다. 이 해킹 링크는 2015년 6월 3일 7시 33분에 활성화됐다(국정원에 보내졌다).
로그 파일에 따르면, 223.62.169.2 은 SK 텔레콤 갤럭시 노트 2이며 언어는 “한국어-한국어”로 설정되어 있었다.
223.62.212.18(SK 텔레콤 아이피 주소)은 2015년 6월 17일 10시 46분에 감염됐다. 이 해킹 링크는 2015년 6월 16일 8시 35분에 활성화됐다(국정원에 보내졌다).
로그 파일에 따르면, 223.62.212.18은 갤럭시 노트 2 해외판이며, 언어는 “영어-필리핀어”로 설정되어 있었다.
3. Is it possible to upgrade a specific program placed in infected computers hacked with the RCS or TNI to a newer version of the same program? In other words, is upgrading a spyware remotely possible?RCS 혹은 TNI로 해킹당해 감염된 컴퓨터에 심어진 특정 프로그램을 같은 프로그램의 새로운 버전으로 업그레이드하는 것이 가능한가? 다시 말해 스파이웨어를 업그레이드 하는 것이 원격으로 가능한가?Bill: Yes, it is possible for the NIS to upgrade an infection to a newer version, as well as remove it.
빌 : 그렇다. 국정원이 감염을 새로운 버전으로 업그레이드하거나 제거하는 것 모두 가능하다.
4. Can one do a DDoS attack using infected computers and devices that had been hacked with the RCS or TNI?RCS 혹은 TNI로 해킹당해 감염된 컴퓨터나 장치들을 사용하여 디도스 공격을 할 수 있나?Bill: In theory, yes, because it is possible for the NIS to use RCS to upload and run any programs or command they wish on an infected phone or computer. However, I haven’t seen anything to indicate that the NIS used RCS in this way.
빌 : 이론상으로는 가능하다. 왜냐하면 국정원이 RCS를 이용해서 국정원이 원하는 어떤 프로그램이나 명령도 감염된 전화기나 컴퓨터에 실어 작동하는 것이 가능하기 때문이다. 그러나 나는 국정원이 이런 방식으로 RCS를 사용했음을 보여주는 어떤 증거도 보지 못했다.