2015년 3월 19일 국정원은 이탈리아 ‘해킹팀’에 한 통의 메일을 보냅니다. 네이버 블로그 주소를 알려주며 2주 내지 한 달 동안 이 사이트를 감염시킬 수 있는지를 물어봅니다. 국정원이 사용하려고 했던 방법은 흔히 좀비PC로 감염되는 과정과 유사합니다.
① 특정 사이트 링크 ② 숨겨진 악성코드 설치 ③ 특정 사이트 접속 ④ 원격감시, 해킹 가능
스파이웨어가 숨겨진 피싱 링크 주소를 감시대상이 클릭하면 자동으로 바이러스가 설치됩니다. 감시대상은 평범한 인터넷 주소를 클릭하면서 설치되는 스파이웨어를 단순히 사이트 연결에 필요한 흔한 엑티브엑스쯤으로 생각합니다. 사이트가 접속되면 원격감시나 해킹이 가능하게 됩니다.
국정원이 의뢰한 네이버 블로그는 ‘To 블로그씨’라는 네이버 이벤트 카테고리와 연결된 글입니다. 주제별로 네이버 블로그들이 관련 글을 올리면 많은 사람들이 주제에 맞춰 글을 볼 수 있습니다. 당시 주제는 ‘내가 추천하는 최고의 분식’으로 떡볶이 관련 글입니다.
일반인들이 떡볶이에 관련된 글을 보다가 국정원이 만든 특정 사이트를 링크하면 ‘installer38.default.apk’속에 담긴 스파이웨어가 자동으로 설치되고, 국정원은 감시할 수 있게 됩니다.
국정원은 해킹팀에 피싱 사이트로 이용할 수 있게 해달라며 두 개의 네이버 블로그 주소를 보냈습니다. 떡볶이 관련 글이 있는 네이버 블로그는 총 4차례, 금천구 벚꽃축제 글이 있는 네이버 블로그는 총 3차례에 걸쳐 메일을 주고받았습니다.
공교롭게도 국정원이 해킹팀에 보낸 네이버 블로그 관련 메일은 3월 19일을 제외하고는 3월 30일, 4월 1일, 4월 8일로 동일했습니다. 이는 네이버 블로그를 이용해 스파이웨어를 설치하려고 다양한 시도를 했다고 볼 수 있습니다.
떡볶이가 나오는 사이트는 평범한 신변잡기 블로그였습니다. 그러나 금천구 벚꽃축제가 나오는 네비어 블로그는 국정원이 만든 사이트가 아닌가 하는 의심이 들었습니다.
일반 기자들은 잘 모르겠지만, 블로거 입장에서 보면 금천구 벚꽃축제가 나온 yoo********* 블로그는 일반인이 운영하는 사이트가 아닙니다.
① 국정원이 해킹팀에 요청한 날짜와 동일한 게시글
국정원이 yoo********* 블로그를 피싱 사이트로 만들어 달라고 요청한 날짜는 3월 30일입니다. 공교롭게도 yoo********* 블로그에 금천구청 벚꽃축제 글이 올라온 날짜도 3월 30일입니다. 우연의 일치라고 볼 수 있다고 주장할 수도 있습니다. 그러나 결코 아닙니다.
② 특수 목적을 위해 제작된 블로그
yoo********* 블로그는 게시글이 단 한 개밖에 없습니다. 글이 하나밖에 없는 네이버 블로그를 보통 사람이 네이버에서 찾아낼 방법은 거의 없습니다. '금천구'라는 키워드를 검색해 수백 개의 블로그 리스트를 봐도 찾아낼 수 없습니다. yoo********* 블로그에는 태그조차 없습니다.
보통 이런 게시글 하나짜리 블로그는 블로그 마케팅이나 특정 용도로 사용되기 위한 테스트용 블로그입니다. 사진 몇 장 올려놓고 어떤 목적을 테스트해보기 위한 경우가 대부분입니다.
③ 국정원 직원이 만든 사이트?
yoo********* 블로그의 아이디를 가지고 검색한 결과, 2013년에 ‘국정원 수험서’를 판매했던 흔적을 발견했습니다. 국정원 시험을 공부하던 사람이 채용돼 자신의 아이디를 가지고 테스트용 네이버 블로그를 사용하지 않았느냐는 의혹이 듭니다.
특히 yoo*********라는 아이디의 흔적은 어디에서도 찾아보기 어렵습니다. 평범한 사람이 온라인에서 이 정도로 흔적을 남기지 않을 수 있는 것은 특정 프로그램을 사용해 정보를 삭제해야 가능하거나 아예 온라인 활동을 전혀 하지 않거나 둘 중의 하나입니다.
국정원이 단순하게 네이버 블로그를 피싱 사이트로 이용한 것이 아니라, 수차례에 걸쳐 다양한 시도와 테스트를 했던 것으로 추정됩니다.
국정원은 해킹팀에 5차례에 걸쳐 피싱 사이트로 이용할 수 있게 해달라는 메일을 보냈습니다. 삼성 스마트폰 제품을 사람들이 많이 찾기 때문에 이 점을 노린 것이 아닌가 의심됩니다.
도청이나 감청 등은 법원의 영장이 있으면 불법이 아닙니다. 그러나 국정원이 해킹팀에 의뢰해 특정사이트를 이용해 악성코드나 스파이웨어를 심어 정보를 빼내는 행위는 불법입니다. 스파이웨어 등을 이용해 정보를 빼내는 방법은 법원에서 허가를 내주지 않습니다. 왜냐하면, 사이트나 파일을 클릭하게 만드는 함정이 포함돼 있기 때문입니다.
국정원이 삼성 사이트를 이용해 악성코드를 심으려고 했던 메일 증거가 5건이나 있습니다. 그렇다면 삼성에서는 기업 사이트를 불법으로 이용했기 때문에 국정원에 소송을 걸 수가 있습니다. 그러나 별로 삼성은 관심도 없는 듯합니다.
네이버 블로그와 삼성 사이트 이용자가 수천만 명에 이른다고 가정한다면, 국정원의 불법 행위로 수천만 명의 사람들이 불안에 떨고 있습니다. 네이버와 삼성이 국정원을 상대로 소송해야 하는 이유가 될 것입니다. 자사 제품 이용자를 보호하지 못하고 오히려 정권의 눈치를 보는 기업을 과연 소비자가 믿고 사용해야 하는지도 의문이 듭니다.
|
No comments:
Post a Comment