[TF기획 ③ 국정원 해킹 의혹] '침투' 시연 영상

'국가정보원 해킹 의혹'이 정치권의 '블랙홀'로 떠올랐다. 최근 국정원이 이탈리아 해킹팀의 해킹 프로그램 구입을 시인했고, 업무를 담당한 임모 과장이 자살했다. 때문에 '국가 안보냐, 민간인 사찰이냐'를 놓고 '진실게임'이 벌어지고 있다. <더팩트>는 해킹 정의와 유형 및 예방책, 정보보안전문가 인터뷰, 시연 영상 등을 조명한다. <편집자 주>

"인터넷 익스플로러 업데이트를 다운받으세요"

컴퓨터의 지시대로 업데이트를 하자마자 공격자(해커)가 '내 컴퓨터'를 넘나든다. 그들은(블랙해커) 나의 일거수일투족을 감시한다. 인터넷뱅킹으로 금융거래를 할 때 액수와 비밀번호까지 손쉽게 알아 냈다. 분명 만 원을 인출했는데, 통장 잔고는 텅 비었다. 해커 짓이다. 해킹은 언제, 어느 때, 누구에게 일어날지 알 수 없다.

22일 <더팩트>는 경기 성남시 분당구 판교디지털센터에 자리 잡은 큐브피아(정보보안업체)에서 권석철(45) 대표(새정치연합 국민정보지키기위원회)를 만나 해커가 PC에 침투하는 장면을 실시간으로 목격했다. RCS(원격조정시스템) 툴을 사용한 공격자의 PC 침투를 '실시간'으로 탐지하는 기술은 큐브피아만 가진 국내외에서 유일한 프로그램이며, 아직 시판되지 않았다는 게 그의 설명이다. RCS는 국정원이 이탈리아 해킹팀으로부터 구입한 해킹 프로그램이다.

시연은 '사용자 PC'와 '관제사 PC' '공격자가 연결되는 RCS 서버'를 보여주는 세 대의 모니터를 중점적으로 이뤄졌다. 먼저 공격자가 외부에서 사용자 PC로 접속해 악성코드를 심었다. 'RCS 서버'에선 '사용자 PC'가 훤히 들여다 보이지만 '사용자 PC'는 악성코드에 감염됐는지 알 길 없다.

'실시간 상황 탐지' 권 대표가 22일 경기 성남시 분당구 판교디지털센터에 자리 잡은 큐브피아에서 사용자 PC에 악성코드를 침투시켜 원격 조종하는 작업을 시연하고 있다./판교디지털센터=배정한 기자

다만 '관제사 PC'로 공격자가 사용자의 문서 파일을 꺼내고, 삭제하며, 문서를 생산하는 등 실시간 상황(로그기록)을 엿볼 수 있었다. 공격자가 침투해 어떤 명령을 실행했고, 어떤 목적을 위해서 이 행동을 했는지 파악할 수 있었다. 해커가 명령할 때마다 '파란색' 문자로 표시되며, 이때 원격(빨간색 표시)에서 조종을 하는 건지까지 구분 가능하다.

권 대표는 "백신으로 아무리 검색해도 악성코드는 잡히지 않는다. 해커들이 잡을 수 없는 악성코드를 심기 때문"이라면서 "해커가 들어와서 무엇을 했는지 로그기록만 본다고 알 수 없다. 드나드는 광경을 실시간에 볼 수 있어야 한다"고 설명했다.

그는 역으로 '해커를 속이는 기술'도 공개했다. 사용자는 평소처럼 PC를 사용하고 있지만, 공격자 컴퓨터에서는 로그 기록이 무조건 '0'으로 남아 "파일이 깨졌나 보다" "하루종일 PC를 사용하지 않네"라고 생각하게 만드는 기술이다. 즉 해커가 들어와도 아무런 의미가 없다.

[더팩트 | 판교디지털센터=오경희·서민지 기자 mj79@tf.co.kr]