[성상훈기자] 국가정보원이 이탈리아 소프트웨어 기업 '해킹팀(Hacking Team)' 으로부터 구입한 것으로 알려진 '원격조정시스템(RCS) 해킹 소프트웨어' 파문이 날로 커지고 있다.
소셜네트워크서비스(SNS)까지 해킹 가능한 것으로 알려진 RCS에 대해 국내 보안 전문가들은 "전혀 새로울 것이 없는 제품으로 다방면에서 활용되고 있다"고 말한다.
해킹 증거도 남지 않는다는 RCS는 과연 무엇인가, RCS에 뚫리면 우리는 알아치릴 수 있을까?
◆'RCS' 가 대체 뭐길래?
정치권과 업계에 따르면 국정원은 해킹팀으로부터 'RCS' 해킹 프로그램을 구입했고, 구입 당시 '5163부대'라는 이름을 사용했다. 국정원은 해킹팀으로부터 해킹 지원을 받으며 국내 통신사를 통해 출시된 스마트폰(갤럭시 시리즈)의 해킹 방법도 요청한 것으로 전해졌다.
뿐만 아니라 특정 메신저(카카오톡)의 해킹까지 요청한 것으로 알려지며 일반 이용자들까지 해킹대상이 된 것 아니냐는 의혹의 시선을 받고 있다.
당초 이같은 사실이 드러난 것은 폭로 전문 웹사이트 위키리크스가 이탈리아 소프트웨어기업 '해킹팀'과 전세계 각국 정부가 주고 받은 해킹 소프트웨어 거래 자료를 폭로하면서부터다.
약 400기가바이트(GB) 분량의 방대한 유출 자료 중에는 라시아, 수단, 에티오피아, 카자흐스탄, 나이지리아 등 국제 사회로부터 비난의 대상에 올랐던 국가들이 포함되어 있다. 폭력성으로 악명 높은 방글라데시 경찰 내부에 디지털 외인 부대 이름으로 해킹팀과의 거래 내역이 들어 있다.
여기서 언급되는 'RCS'는 원격 제어 시스템을 일컫는 기술 및 카테고리 명칭이다. 스마트폰 뿐만 아니라 데스크톱PC, 산업 제어시스템에도 폭넓게 쓰인다. 스마트폰 중에서도 미아 방지 앱, 자녀 관리 앱 등과 같은 앱들도 RCS 카테고리에 포함된다.
스마트폰을 분실했을때 원격으로 단말기 앱을 삭제하거나 카메라를 조작하는 비상용 앱도 RCS의 한 종류다. 즉 특별한 해킹 소프트웨어 종류가 아닌 이미 우리 일상 분야에도 폭넓게 쓰이고 있는 기술이라는 것이 전문가들의 지적이다.
김승주 고려대 정보보호대학원 교수는 "이미 우리 주변에 많이 퍼져 있는 앱들도 RCS 종류의 일부"라며 "다만 이번에 논란이 되는 RCS는 통칭 '스파이앱' 이라고 지칭하는 앱을 가리키는 것"이라고 설명했다.
김승주 교수는 "스파이앱과 같은 기능을 가진 소프트웨어는 많지만 얼마나 다양한 디바이스에서 동작하는가, 백신에 얼마나 탐지가 안되는가 등이 성능의 핵심"이라며 "이탈리아 해킹팀이 만든 RCS는 다양한 디바이스에서 구동되는 점에서 높은 점수를 받은 툴"이라고 분석했다.
해킹팀의 RCS 툴은 제로데이(취약점) 공격을 사용해 백신 프로그램에서도 잘 발각되지 않는 것으로 알려졌다.
◆언제든 민간활용 가능성에 우려↑
이병호 국정원장은 지난 14일 비공개 국회 정보위원회의에서 "35개국 97개 정보수사기관이 (해킹 프로그램을) 사들였다"며 대북 해외 정보전을 위한 기술분석과 전략 수립을 위한 연구개발용이라고 강조했다.
그럼에도 RCS의 성능을 감안하면 국민적 불안감을 줄이기 쉽지 않아 보인다.
보안업계에 따르면 해킹팀의 RCS툴은 디바이스나 운영체제, 소프트웨어의 취약점을 파고드는 '제로데이' 공격으로 침투한다. 예를 들어 MS워드의 취약점을 파고들려고 한다면 워드문서에 스파이웨어를 감염시켜 사용자가 스마트폰이나 PC에서 파일을 열면 곧바로 감염된다. 이를 제로데이 공격이라 부른다.
국정원이 RCS툴을 구입하면서 공격용 툴(Exploit Kit)을 함께 구입했는지 여부는 유출 자료에도 나와있지 않다. 그러나 여러 방면의 해킹 방법을 의뢰했던 것으로 볼때 익스플로잇 키트도 함께 구입했을 가능성도 존재한다.
글로벌 보안기업 파이어아이코리아 최고기술책임자(CTO) 김현준 상무는 "RCS는 제어를 하기 위한 소프트웨어이며 익스플로잇은 타깃이 모르게 단말기에 해킹툴을 설치해야 하는 것이 골자"라고 설명했다.
제로데이 공격은 알려지지 않은 취약점을 파고들기 때문에 해당 소프트웨어 제조사가 이를 알기 전에는 계속 무방비 상태로 당하게 된다. 최근 어도비 플래시 플레이어에 대한 취약점도 이번에 위키리크스 폭로에 의해 발견됐을 정도다. 플래시 플레이어가 그동안 해킹 공격자의 침투 경로로 활용된 것이다.
업계 관계자는 "국정원이 RCS툴로 제로데이 공격을 통해 어딘가에 침투를 시도했다면 상대방은 여전히 자신의 단말기가 침투된 상태라는 것을 모를 가능성이 크다"고 말했다.
기술적 시나리오상 민간 침투용으로 사용했어도 상대가 이 사실을 알 수 없으므로 원격으로 삭제하면 그만이다. 결국 증거는 남지 않는다.
국정원 불법사찰 조사위원장을 맡은 안철수 새정치민주연합 의원이 "시간이 경과할 수록 증거를 찾기가 어려워진다"고 언급한 것도 이 때문이다.
라온시큐어 화이트해커 조주봉 팀장은 "취약점 패치가 되기 전까지는 무조건 뚫린다고 보면 된다"며 "보안담당자 조차도 일단 (해킹툴이)설치되면 전혀 눈치챌 수 없다"고 지적했다.
이어 조 팀장은 "안드로이드 스마트폰의 경우 제조사 취약점 펌웨어 업데이트가 상당히 늦기 때문에 기본 브라우저 라든지 운영체제 상의 취약점이 존재하는 기간도 길다"며 "그 기간동안에는 언제나 위험이 노출된 무방비 상태로 있을 수 밖에 없는 것"이라고 전했다.
성상훈기자 hnsh@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기