[디지털데일리 이유지기자] 이탈리아 밀라노에 있는 해킹 도구 제작·판매 업체인 ‘해킹팀’ 해킹 파장이 일파만파다.

지난 6일(현지시간), 이 해킹팀이라는 업체가 사이버공격을 받아 400기가바이트(GB) 분량의 내부자료가 공개되는 일이 발생했다. 해당 자료 내용이 분석되면서 국가정보원이 육군 5163부대라는 이름으로 중개업체를 내세워 도·감청이 가능한 이 업체의 해킹 프로그램을 사들인 것으로 드러났다. 이는 곧바로 해킹 프로그램을 이용한 민간 불법 사찰 의혹으로 번졌다.

유출된 자료에서 국정원은 해킹 프로그램 구입 외에도 해킹팀에 안랩 백신 우회, 삼성전자 갤럭시 스마트폰 도·감청, 카카오톡같은 메신저 감청 기능을 요청하는 등 의심을 살만한 여러 정황이 발견된 탓이다.

해킹팀으로부터 사들인 ‘RCS((Remote Control System)’ 프로그램은 PC나 스마트폰에 설치해 이메일 정보를 빼내거나 촬영과 도청까지 할 수 있는 기능을 갖춘 것으로 분석되고 있다. 음성 녹음은 물론 위치 정보, 연락처, 이메일 내용 등을 모두 기록해 서버로 전송되는 기능을 갖추고 있는 것으로 나타났다.

이병호 국정원장은 14일 오후 열린 국회 정보위원회 전체회의에서 이 프로그램을 사들인 것을 시인했다. “2012년 1월과 7월 이탈리아 업체로부터 각각 10인용씩 총 20인분의 RCS 소프트웨어를 구입했다”고 말했다. 다만 “이는 대북 해외 정보전을 위한 기술 분석 연구개발용”으로 “우리 국민들을 대상으로 활용한 바가 없다”며 민간 불법사찰 의혹을 부인했다.

하지만 이같은 해명은 그리 신뢰감을 주지 못한 상황이다. 새정치민주연합은 곧바로 국정원의 불법사찰 의혹 진상조사위원회를 꾸려 조사에 나섰다. 15일 국내 최초의 컴퓨터 백신 개발자이자 안랩 창업자인 안철수 의원이 위원장을 맡았다.

이번 이슈는 지난 2013년 에드워드 스노든이 미국 국가안보국(NSA)이 비밀 정보수집프로그램인 ‘프리즘(PRISM)’ 사용해 미국인들을 비롯해 전세계 사람들의 개인정보를 수집·감시하고 있다는 것을 폭로했던 일을 연상케 한다.

프리즘을 이용해 미국 정부가 개인들의 인터넷 접속기록과 이메일, 메신저 대화, 소셜미디어 활동, 음성통화 등에 접근했고, 구글 검색 내용을 포함해 인터넷까지 무차별로 감시했다는 것이 주요 내용이었다. 한국을 포함해 주요국 정상들의 정보수집과 도청까지 시도했다고 알려지면서 미국 오바마 행정부는 크게 곤혹스러운 입장에 처하기도 했다.

이 폭로로 전세계인들은 미국 정부기관이 누구라도 마음만 먹으면 감시할 수 있지 않을까 하고 짐작만 했던 사실을 비로소 알게 됐다.

도·감청이 가능한 해킹 프로그램을 국정원이 구입한 사실이 알려진 과정은 미국의 스노든 폭로사태와는 다르다. 해킹팀이 가진 민감한 자료가 해킹에 의해, 누구든지 접근 가능한 형태로 공개됐다는 점은 보안위협이 확산될 수 있다는 점에서 우려가 제기된다.

해킹팀의 RCS 프로그램의 소스코드와 이들이 사용한 취약점, 사이버공격 방법 등이 모두 공개됐기 때문이다.

보안업체인 카스퍼스키랩 등의 분석에 따르면, 해킹팀은 RCS 스파이웨어를 컴퓨터나 PC에 심기 위해 사회공학기법을 동원한다. 예를 들어 대상 동료나 지인 등을 사칭하거나 관심을 끌만한 문구를 담은 스피어피싱 메일을 보내 악성코드가 심어진 파일이나 링크를 접속하도록 유도한다.

이번에 드러난 ‘서울대 공대 동창회 명부’라는 제목의 파일에 악성코드를 심은 것이 그 한 사례다.

전세계 각지에 명령·제어(C&C) 서버를 두고 있는 것도 발견됐다. 해킹 프로그램 추적을 어렵게 하기 위해 아주 정교한 방식을 사용했다고 한다.

이들은 사람들이 많이 쓰는 프로그램에서 취약점을 찾아내 악용하기도 했다.

악의적인 사이버공격자들이 흔히 사용하는 수법과 같다.

해킹팀 해킹 직후 어도비 플래시 플레이어 제로데이 취약점이 여러개 발견됐다. 안드로이드뿐 아니라 상대적으로 안전하다고 알려진 아이폰을 탈옥시켜 악성코드에 감염시키는 공격 수법도 나왔다. 스마트폰을 PC를 먼저 감염시켜 동기화하기 위해 USB 케이블로 연결하는 동안에 탈옥시키는 방법이다.

보안업체를 비롯해 전문가들은 공개된 자료를 토대로 해킹팀의 공격기법과 툴에 대한 분석에 나섰다. 문제는 이같은 분석은 보안전문가들만 하는 것은 아니라는 점이다.

이번 사건으로 공개된 어도비 플래시 플레이어 제로데이 취약점을 악용한 공격수법(익스플로잇)이 최근 여럿 발견된 것은 우연이 아니다.

전세계 공격자들과 악의적인 해킹조직들은 발빠르게 나섰다는 분석은 이미 나왔다.

트렌드마이크로는 최근 공개된 해킹팀의 공격 패키지와 코드 구조가 유사한 공격사례가 잇달아 발견됐다고 밝히기도 했다.

파이어아이는 최근 중국 해킹그룹이 어도비 플래시 플레이어 취약점을 이용한 공격을 포착했다고 발표했다.

어도비는 이번에 발견된 제로데이 취약점들과 이를 이용한 익스플로잇이 발견된 플래시 플레이어 버전에 대한 긴급 업데이트를 실시했다.

이렇게 해킹팀 해킹으로 알려진 제로데이 취약점이나 공격방식, 해킹 프로그램을 공격자들이 악용하는 사례가 잇달아 나오고 있지만 정작 국내 보안업계는 조용하다. 모두 해외에서 들어오는 소식뿐이다.

각종 사이버보안 사고나 대형 보안이슈가 생길 때마다 주의 경고나 필요한 조치, 기술적인 분석 내용을 담은 자료를 쏟아내던 여느 때와는 사뭇 다른 모습이다.

우리나라가 연관돼 있는 사안이기 때문에 일반 사용자·국민들에게 각별한 주의와 보안 조치를 당부해야 하는 상황일텐데 의아하다. 국정원이 연루된 이슈라서 그럴 것이라고 짐작할 뿐이다.

안랩조차도 관련문의에 “이번 이슈에는 대응하지 않는다는 방침”이라고 14일 밝혔다. 극도로 조심하는 모양새다. 국정원의 안랩의 백신 프로그램 우회 요청 등이 언급되기도 했고 이제는 창업자인 안철수 의원이 진상조사위원장으로 참여하게 됐으니 더더욱 불필요한 논란이 불거지는 것을 차단하자는 입장일 수 있다.

국정원이 해외업체로부터 해킹 프로그램을 구입했고 그 용도가 민간 불법사찰이라는 의혹이 제기된다는 점에서 이번 사안은 아주 민감하다. 민감한 때일수록 신중한 언행이 필요한 법이다. 하지만 보안업계에서 전세계 사이버공격자들이 악용할만한 보안위협이나 긴급 패치, 보안업데이트와 같은 필요한 정보를 공표하는 것까지 조심할 필요는 없다.

<이유지 기자>yjlee@ddaily.co.kr