[한겨레] 이탈리아 해킹업체에 파일 보내 악성코드 심은 단서
해킹업체 “5163부대 컴퓨터론 열지 마라” 주의 당부
국정원 ‘대북용’ 해명 불구 ‘국내 사찰용’ 의혹 짙어져
언론인 사칭한 메일도…‘천안함’ 전문가 해킹 노린듯
이탈리아 보안업체인 ‘해킹팀’의 해킹 프로그램 ‘갈릴레오’ 소개 영상 갈무리.
이탈리아 업체 ‘해킹팀’으로부터 해킹 프로그램을 사들인 국가정보원이 이 업체에 부탁해 ‘서울대 공과대학 동창회 명부’라는 한글 제목 파일에 해킹용 악성코드를 심은 정황이 드러났다. 국정원이 이 프로그램을 북한 등을 대상으로 하지 않고 국내 인사를 대상으로 사용한 것 아니냐는 의혹이 더욱 짙어지고 있다.
13일 <한겨레>가 해킹팀 내부 이메일을 분석해 보니, 2013년 10월2일 해킹팀 ‘고객’인 ‘한국 5163부대’(국정원의 위장 명칭) 이메일을 통해 ‘서울대 공과대학 동창회 명부’라는 한글 제목의 파일이 해킹팀에 전달된다. 국정원 쪽은 “엠에스(MS) 워드의 보안 취약점을 이용하기 위한 샘플 파일을 첨부했다. 오늘 바로 회신을 달라”고 했다. 13시간 뒤 해킹팀은 ‘악성코드’를 심은 동창회 명부 파일을 다시 이메일로 보내면서 “본인(5163부대) 컴퓨터에서는 열지 말라”고 조언한다.
현재 해당 파일은 데이터가 파괴된 상태다. 실제 동창회 명부가 담겼는지 확인할 수는 없지만, 국정원이 이 파일을 ‘타깃’으로 삼은 서울대 공대 출신 누군가에게 보내고 해당 인물이 파일을 열어봤다면 그의 컴퓨터·스마트폰은 해킹됐을 가능성이 높다.
같은 시기 국정원은 해킹팀에 ‘Cheonan-ham (Cheonan Ship) inquiry’라는 영어 제목 워드파일에도 악성코드를 심어달라고 부탁한다. 이 파일에는 ‘천안함 1번 어뢰 부식 사진 의문사항 문의(미디어오늘 조현우 기자)’라는 제목으로 “박사님의 의견을 듣고 싶다”는 내용의 한글 파일이 실렸다.(위 사진)‘박사님’이 누구인지는 특정되지 않았다. 여기에 적힌 ‘조현우 기자’와 이름이 비슷한 미디어 전문지 <미디어오늘>의 조현호 기자는 천안함 관련 기사를 많이 썼다. 조 기자는 <한겨레>와 한 통화에서 “해당 파일을 누군가에게 보낸 사실이 전혀 없다. 국정원에도 해명을 요청했다”고 했다.
이를 종합하면, 2013년 10월 초 국정원은 천안함 침몰 사건과 관련해 ‘서울대 공대 출신 전문가’들에게 해킹용 악성코드를 심은 파일을 보낸 것으로 추정된다. 직전인 그해 9월 천안함 침몰에 의문을 제기하는 영화 <천안함 프로젝트>가 개봉했다.
RCS 해킹 방식이란
‘해킹팀’의 대표 해킹 프로그램 ‘아르시에스’(RCS)에는 ‘다빈치’와 ‘갈릴레오’ 두 종류가 있다. 두 제품 모두 목표로 하는 스마트폰이나 컴퓨터에 ‘멀웨어’(malicious software·악성코드)를 몰래 설치한 뒤 각종 음성 정보와 데이터를 빼간다. 국제 개인정보보호단체인 ‘프라이버시인터내셔널’은 “아르시에스용 멀웨어는 타깃이 되는 인물이 전혀 의심하지 못할 제목의 파일이나 첨부파일에 심어놓는다”고 했다. ‘타깃’이 무심코 파일을 열면 멀웨어에 감염되고, 그 순간부터 스마트폰과 컴퓨터의 모든 기능은 주인 모르게 아르시에스 통제 범위에 들어가는 것이다.
허승 김규남 기자 raison@hani.co.kr
해킹업체 “5163부대 컴퓨터론 열지 마라” 주의 당부
국정원 ‘대북용’ 해명 불구 ‘국내 사찰용’ 의혹 짙어져
언론인 사칭한 메일도…‘천안함’ 전문가 해킹 노린듯
이탈리아 업체 ‘해킹팀’으로부터 해킹 프로그램을 사들인 국가정보원이 이 업체에 부탁해 ‘서울대 공과대학 동창회 명부’라는 한글 제목 파일에 해킹용 악성코드를 심은 정황이 드러났다. 국정원이 이 프로그램을 북한 등을 대상으로 하지 않고 국내 인사를 대상으로 사용한 것 아니냐는 의혹이 더욱 짙어지고 있다.
13일 <한겨레>가 해킹팀 내부 이메일을 분석해 보니, 2013년 10월2일 해킹팀 ‘고객’인 ‘한국 5163부대’(국정원의 위장 명칭) 이메일을 통해 ‘서울대 공과대학 동창회 명부’라는 한글 제목의 파일이 해킹팀에 전달된다. 국정원 쪽은 “엠에스(MS) 워드의 보안 취약점을 이용하기 위한 샘플 파일을 첨부했다. 오늘 바로 회신을 달라”고 했다. 13시간 뒤 해킹팀은 ‘악성코드’를 심은 동창회 명부 파일을 다시 이메일로 보내면서 “본인(5163부대) 컴퓨터에서는 열지 말라”고 조언한다.
현재 해당 파일은 데이터가 파괴된 상태다. 실제 동창회 명부가 담겼는지 확인할 수는 없지만, 국정원이 이 파일을 ‘타깃’으로 삼은 서울대 공대 출신 누군가에게 보내고 해당 인물이 파일을 열어봤다면 그의 컴퓨터·스마트폰은 해킹됐을 가능성이 높다.
같은 시기 국정원은 해킹팀에 ‘Cheonan-ham (Cheonan Ship) inquiry’라는 영어 제목 워드파일에도 악성코드를 심어달라고 부탁한다. 이 파일에는 ‘천안함 1번 어뢰 부식 사진 의문사항 문의(미디어오늘 조현우 기자)’라는 제목으로 “박사님의 의견을 듣고 싶다”는 내용의 한글 파일이 실렸다.(위 사진)‘박사님’이 누구인지는 특정되지 않았다. 여기에 적힌 ‘조현우 기자’와 이름이 비슷한 미디어 전문지 <미디어오늘>의 조현호 기자는 천안함 관련 기사를 많이 썼다. 조 기자는 <한겨레>와 한 통화에서 “해당 파일을 누군가에게 보낸 사실이 전혀 없다. 국정원에도 해명을 요청했다”고 했다.
이를 종합하면, 2013년 10월 초 국정원은 천안함 침몰 사건과 관련해 ‘서울대 공대 출신 전문가’들에게 해킹용 악성코드를 심은 파일을 보낸 것으로 추정된다. 직전인 그해 9월 천안함 침몰에 의문을 제기하는 영화 <천안함 프로젝트>가 개봉했다.
RCS 해킹 방식이란
‘해킹팀’의 대표 해킹 프로그램 ‘아르시에스’(RCS)에는 ‘다빈치’와 ‘갈릴레오’ 두 종류가 있다. 두 제품 모두 목표로 하는 스마트폰이나 컴퓨터에 ‘멀웨어’(malicious software·악성코드)를 몰래 설치한 뒤 각종 음성 정보와 데이터를 빼간다. 국제 개인정보보호단체인 ‘프라이버시인터내셔널’은 “아르시에스용 멀웨어는 타깃이 되는 인물이 전혀 의심하지 못할 제목의 파일이나 첨부파일에 심어놓는다”고 했다. ‘타깃’이 무심코 파일을 열면 멀웨어에 감염되고, 그 순간부터 스마트폰과 컴퓨터의 모든 기능은 주인 모르게 아르시에스 통제 범위에 들어가는 것이다.
허승 김규남 기자 raison@hani.co.kr
No comments:
Post a Comment