[TF기획 ① 국정원 해킹 의혹] 내 '알몸'도 본다?

'해킹 비상' 최근 국정원의 민간인 사찰 의혹이 일면서 해킹에 대한 관심이 커지고 있다. 22일 경기 성남시 분당구 판교디지털센터 큐브피아에서 만난 권석철 대표(야당 국가정보지키기위원회 위원)는 "해킹은 우리 가까이 와 있다"고 설명했다./판교디지털센터=배정한 기자

'국가정보원 해킹 의혹'이 정치권의 '블랙홀'로 떠올랐다. 최근 국정원이 이탈리아 해킹팀의 해킹 프로그램 구입을 시인했고, 업무를 담당한 임모 과장이 자살했다. 때문에 '국가 안보냐, 민간인 사찰이냐'를 놓고 '진실게임'이 벌어지고 있다. <더팩트>는 해킹 정의와 유형 및 예방책, 정보보안전문가 인터뷰, 시연 영상 등을 조명한다. <편집자 주>

당신도 모르는 사이, 누군가 내 '알몸'을 훔쳐본다고 생각한 적 있는가.

해킹이란 PC 또는 휴대전화 등에 몰래 침투(악성코드를 심어)해 정보를 빼내거나 삭제하는 행위다. 개인적인 목적을 노려 악의적으로 해킹하면 '블랙해커(불법)', 서버의 취약점을 연구해 방어 전략을 구상하면 '화이트해커', 중간 지점(겉은 프로그램을 개발하고, 속은 정보를 빼내 블랙마켓에서 판매)을 '그레이해커'라 이른다.

국정원이 구입한 해킹 프로그램(스파이웨어, 디지털 기기 내부를 엿보는 소프트웨어)은 RCS(Remote Control System, 원격조정시스템)로, 위장 앱이나 파일 등을 유포해 다운로드를 받도록 유도한 뒤 악성코드를 심는 방식이다. 총이 RCS라면 악성코드가 총알인 셈이다. 누구든 사적 영역을 뚫고, 정보를 캘 수 있다.

◆ 'RCS', 정체가 뭐야

'국정원, RCS 구입한 까닭은?' 국정원이 구입한 해킹 프로그램인 RCS는 실시간으로 기기를 조작할 수 있도록 지원하기 때문에 PC나 휴대전화 속 문서를 빼내는 것 뿐 아니라 카메라, 마이크, 각종 프로그램을 활성화 시키거나 지우는 일까지 수행할 수 있다./더팩트DB

RCS는 말 그대로 원격으로 조정하는 시스템이다. 신개념이 아니라 불법과 합법이냐의 문제다. 실시간으로 기기를 조작할 수 있도록 지원하기 때문에 PC나 휴대전화 속 문서를 빼내는 것 뿐 아니라 카메라, 마이크, 각종 프로그램을 활성화 시키거나 지우는 일까지 수행할 수 있다.

스마트폰을 해킹하면 전원이 꺼져도 카메라를 작동시켜 사용자를 감시할 수 있다. 위치 파악은 물론 이메일, 사진, 녹음 파일 등을 빼낼 수 있으며 통화 내용을 녹음할 수도 있다. 만약 휴대전화를 욕실에 두고 샤워를 한다면 당신이 모르는 사이 알몸을 노출할 수 있다.

다만 사용자의 스마트폰에 해킹을 위한 악성 코드가 심어져 있어야 한다. iOS(아이폰 운영체제)는 ‘탈옥폰(애플의 스마트폰에서 잠금장치를 해제)'만 해킹이 가능하고 안드로이드 기반은 버전에 따라 다르다.

정보보안업체 권석철 큐브피아 대표(새정치연합 국민정보지키기위원회)는 22일 <더팩트>와 만나 "해킹은 기술로 이야기하면 지금의 상황이 특별한 게 아니다. 과거에도 해킹은 존재했고, 다만 더 넓고 밀접하게 이뤄지고 있다는 점이다. 우리 가까이 와 있다"면서 "집에 보안용 CCTV를 설치하면 나를 감시한다고 생각하는가, 보호한다고 생각하는가. 조금만 조작하면 자기 자신을 비출 수 있다. '맛집' 앱에 악성코드를 심고 해킹하면 누구라도 공격(사찰) 대상이 되는 것"이라고 말했다.

이탈리아 해킹팀이 해킹당한 400GB의 자료 중 일부를 분석한 결과, 국정원은 맛집 떡볶이 웹페이지부터 이메일까지 다양한 유포 경로를 만들어온 것으로 밝혀지고 있다. 임 과장은 불법성을 알면서도 해킹팀의 RCS 프로그램 등을 구매하는 데 총 70만1400유로(약 8억8300만원)를 지출한 것으로 알려졌다.

◆ '해킹 흔적'을 찾아라

'국정원 직원은 왜 흔적을 삭제했나' 지난 18일 국정원의 해킹 의혹을 부인한 유서를 쓰고 자살한 임모 과장의 죽음을 놓고 정치권에서 의문을 제기하고 있다./문병희 기자

결국 해킹 의혹을 풀 단서는 '흔적 찾기'다. 로그기록을 확보·복원해 진위를 가리는 것이다. 로그기록엔 누가 언제 접속해 어떤 일을 한 정보가 담겨 있다.

문제는 로그기록의 복원 가능성이다. 지난 18일 자살한 국정원 직원 임모 과장은 20년 경력의 보안 전문가로, 의혹을 부인하며 해킹 프로그램 사용과 관련한 로그기록을 삭제했다. 이는 곧 흔적을 지웠다는 얘기다.

때문에 야당은 21일 국정원에 로그기록 제출을 요구하고 진상규명에 나섰다. 국정원과 새누리당은 디지털포렌식 기법으로 삭제된 자료를 이번 주 안에 100% 복구할 수 있다고 주장한다.

그러나 디가우징(Degaussing, 자기장을 활용해 하드디스크 등에 저장된 데이터를 완전히 삭제하는 과정)을 활용해 저장매체에 물리적 변화를 가했다면 100% 복원은 불가능하다는 게 보안업계 관계자들의 전언이다. 야당이 임 씨의 자살에 의문을 제기하고, 로그기록을 출력된 유인물이 아닌 파일 자체를 요구하는 이유다.

'한국 IP 발견, 증거 효력은?' 정보보안전문가들은 이탈리아 해킹업체 로그파일에서 한국 인터넷프로토콜(IP) 주소 138개를 발견했다는 단서 만으로 민간인 사찰인지 아닌지를 가늠하기 어렵다고 밝혔다./신경민 의원실 제공

복원에 성공해도 의혹을 풀려면 장기전으로 흐를 가능성이 크다. 로그기록은 방대하고, 그만큼 시간도 오래 걸린다. 보안전문가들은 400GB를 분석하려면 최소 4~5년 이상 걸릴 것으로 예측한다.

여러 기계에 남은 흔적을 하나의 퍼즐 조각이라고 가정하면, 이 조각을 모두 모아 퍼즐을 완성해야만 명확하게 실체를 밝힐 수 있기 때문이다. 즉, 이탈리아 해킹팀 로그파일에서 한국 인터넷프로토콜(IP) 주소 138개를 발견했다는 단서 만으로 민간인 사찰인지 아닌지를 가늠하기 어렵다는 뜻이다. 말 그대로 이 사실 하나로는 '그럴 수도, 아닐 수도' 있다.

권 대표는 "예를 들어 자동차 사고가 났다고 가정하자. 누가 들이받았는지, 스키드마크가 과거의 것인지 지금 시점의 것인지, 자살인지 타살인지 급발진인지는 개별 증거를 수집하고 사건 순서대로 재구성해야 결론에 이른다"면서 "국정원 해킹 의혹도 마찬가지다. 개별 증거는 존재하는데 의혹을 풀 연결고리를 찾고 분석해야 원인을 규명할 수 있다"고 설명했다.

◆ '당신은 안전할까요?'

'해킹이 의심된다면…' 현재로썬 일반 백신으로 RCS의 악성코드를 탐지하기 쉽지 않다는 게 보안전문가들의 공통된 의견이다. 만약 RCS가 아니더라도 악성코드 감염이 의심된다면, 환경설정, 애플리케이션 관리에서 다운로드 항목에 의심스러운 앱을 모두 삭제하도록 당부했다./더팩트DB

국정원의 해킹 의혹과 별도로 우리는 RCS로부터 안전할까. 현재로썬 일반 백신으로 RCS의 악성코드를 탐지하기 쉽지 않다는 게 보안전문가들의 공통된 의견이다.

해킹팀의 RCS 툴은 제로데이(취약점, 해킹 공격에 따른 방어와 치료 백신을 개발하는 기간) 공격을 사용해 백신 프로그램에서도 잘 발각되지 않는 것으로 알려졌다. 알려지지 않은 공격(악성코드)이기 때문에 분석이 존재하지 않고, 방어책(백신)도 없다는 얘기다.

권 대표는 "메르스(중동호흡기증후근)와 비교하면 기침과 호흡기질병과 유사하나 신종 바이러스의 출현으로 백신이 존재하지 않는 것과 같은 개념"이라면서 "과거의 해킹이 '창과 방패'의 대결이었다면, 지금은 흔적을 지우고 찾는 일이다. 즉, 방어막이 아닌 실시간 트랩(침투하는 사람을 감지)이 필요하다"고 강조했다.

세종대학교 정보보안학과 A 교수는 21일 <더팩트>와 통화에서 "국정원과 연계돼 있어 관련 발언을 하기 사실상 조심스럽다. 만약 RCS가 아니더라도 악성코드 감염이 의심된다면, 환경설정, 애플리케이션 관리에서 다운로드 항목에 의심스러운 앱을 모두 삭제하거나 공공 장소에서의 와이파이 사용 등에 주의할 것"을 당부했다.

[더팩트 | 오경희·서민지 기자 ari@tf.co.kr]