해킹팀 서버에 남은 국정원의 마지막 해킹 기록 공개

2015년 07월 20일 20시 35분

- 최근 2달 총 24번 접속, 국내 실전용 해킹은 2회 추정

뉴스타파가 이탈리아 해킹팀 서버의 최근 2달간 접속 기록을 분석한 결과 국정원은 해킹팀 프로그램을 통해 모두 24건의 해킹을 시도했으며 이 가운데 해외 통신망에서 이뤄진 해킹은 15건, 국내 통신망에서 이뤄진 해킹은 2건으로 분석됐다. 또 나머지는 국내에서 테스트용으로 이뤄진 해킹이었던 것으로 나타났다.

유출된 해킹팀 자료에 들어있던 접속 기록은 해킹 목표물이 감염서버로 유인돼 접속하면서 남긴 기록이다. 여기엔 지난 5월과 6월에 이뤄진 전세계 해킹팀 고객의 해킹 시도 기록이 남아 있다.

이 접속 기록에는 감염서버에 접속한 일시와 해킹 목표가 된 단말기의 정보, 아이피 주소, 감염이 이뤄진 웹페이지 주소, 스파이웨어 설치 성공 여부 등이 포함돼 있다.

뉴스타파 취재진은 접속 기록에 포함된 이같은 정보들과 해킹팀이 국정원에 제공한 해킹용 웹페이지 주소와 첨부파일이 일치하는 지 여부를 비교해 국정원이 시도한 해킹 기록 24건을 찾아냈다.

어디를 해킹했나?

전체 24건 가운데 해외에서, 즉 해외통신망을 이용해 이뤄진 해킹이 총 15건으로 가장 많았다. 지역별로는 중국과 유럽, 동남아, 아프리카 등으로 폭넓게 이뤄졌다. 그러나 실제 해킹용 스파이웨어를 설치하는데 성공한 경우는 3건에 불과했고 12건은 실패한 것으로 나타났다.

해외에서 이뤄진 해킹 시도는 모두 국정원이 실전용이라고 해킹팀에 밝힌 것들이었다.

국내 통신망을 이용한 경우는 모두 9건이었는데 이 가운데 6건은 국정원이 테스트용이라고 밝힌 것이었고 실제로 아이피 주소(223.62.169.10, 223.62.169.56)도 겹치는 것이 많았다. 테더링으로 SK텔레콤 이동통신망에 접속해 개통하지 않은 다양한 단말기를 가지고 해킹 시험을 했기 때문에 아이피 주소가 서로 일치했던 것으로 보인다. (테더링: 휴대폰을 무선모뎀으로 활용해 인터넷에 접속하는 방식)

또 아이피 주소 223.62.169.56을 사용했던 갤럭시노트2(SKT모델) 단말기의 경우 국정원은 실전용이라고 밝혔지만 위의 테스트용 아이피주소와 겹치는 것으로 미뤄 역시 테스트용으로 분류했다.

이에 따라 국정원이 국내에서 실전용으로 실제 해킹에 사용한 것으로 보이는 접속 기록은 2건으로 추려졌다.

아이피주소223.62.169.2223.62.212.18
단말기갤럭시노트2 SKT갤럭시노트2(해외용)
해킹 일시2015.6.42015.6.17
설정 언어/국가ko-kren-ph
할당대역SKTSKT
미끼 URLhttp://www.cdc.gov/ coronavirus/mers/faq.htmlhttp://www.5zuo2.com

▲ 아이피 주소 앞 두자리인 223.62.*.*는 SK텔레콤이 국내에서 LTE 대역으로 사용하는 아이피 대역이다.

하나는 국정원이 실전용이라고 밝히면서 메르스 정보 사이트를 이용해 해킹을 요청했던 것으로 브라우저 설정이 한국어로 되어 있다. 또 하나는 영어로 설정된 단말기로 역시 실전용으로 국정원이 요청한 것이다.

▲ 미국 질병통제센터 CDC의 메르스 관련 페이지를 미끼 URL로 해킹 요청한 국정원 관리자의 이메일
▲ 미국 질병통제센터 CDC의 메르스 관련 페이지를 미끼 URL로 해킹 요청한 국정원 관리자의 이메일

물론 국정원이 실전용이라고 해킹팀에 요청했던 갤럭시노트2의 경우 아이피 주소의 앞 세자리(223.62.169.*)가 다른 테스트용(223.62.169.*)과 같은 것으로 볼 때 실제로는 실전용이 아닐 수도 있다. 그러나 다른 테스트용과는 다르게 매우 구체적인 사이트를 명시한 점으로 미뤄 충분히 국내 이동통신가입자를 상대로한 해킹이 아니냐는 의혹을 가질 수 있다

또 두번째 사례의 경우도 아이피 주소와 미끼 URL이 테스트용과 다른 것을 감안할 때 국내에 입국한 해외 교포나 외국인을 상대로 해킹을 시도한 것이 아니냐는 의심이 가는 대목이다.

다른 해킹 사례는 확인이 안되나?

뉴스타파는 앞서 공개한 자료 <국정원이 해킹팀에 보낸 ‘감염 요청 메일’ 분석 결과>에서 내국인을 상대로 사용된 것으로 추정되는 미끼 URL과 첨부파일이 모두 43개에 이른다고 보도했다. 이 가운데 2013년에 미국의 안수명 박사를 목표로 한 것으로 보이는 해킹 요청 외에도 지난 3월말과 4월 중순 사이에 한국인을 목표로 했을 것으로 의심되는 사례가 집중돼 있다.

내국인을 상대로 하지 않았다면 미끼 URL로 한글로 된 맛집 소개나 축제 관련 블로그를 사용했을 리가 없기 때문이다.

하지만 이런 미끼 URL을 이용한 해킹 시도가 누구를 대상으로 어디에서 이뤄졌는지 현재로선 확인할 방법이 없다. 해킹팀의 서버에는 접속 기록이 지난 5월과 6월치만 보관돼 있기 때문이다.

또 이동통신사를 대상으로 접속기록을 확인한다고 해도 이동통신사는 인터넷 접속 로그기록을 3개월만 보관하도록 돼 있기 때문에 위에서 언급한 2015년 5월 이전의 의심사례를 확인하는 것은 힘들다.

뉴스타파가 분석한 해킹팀 서버의 해킹 기록은 국정원의 해명대로 해외에서 주로 해킹이 이뤄졌으며 국내에서 테스트용으로 사용한 경우도 있다는 것을 보여주지만 자국민에 대한 해킹의혹을 완전히 해소시켜주는 것은 아니다.

더구나 해킹팀 유출 자료로 분석할 수 있는 접속기록은 최근 2달치에 불과한 반면 국정원이 해킹프로그램을 운용한 기간은 지난 2012년 1월부터 지금까지 3년 6개월에 이른다.

국정원은 지금까지 대테러, 대북 공작을 위해서 해외에서 해킹프로그램을 사용하거나 테스트용으로만 사용했을 뿐 자국민을 대상으로는 사용한 적이 없다고 해명하고 있다.

또 국회 정보위원들이 국정원을 방문하게 되면 그동안의 해킹프로그램 사용기록을 모두 공개하겠다는 입장이다. 과연 해킹팀과 거래를 시작한 2012년부터 현재까지 기록을 투명하게 모두 공개할지 주목된다.

이번에 분석한 접속 기록 관련 자료는 뉴스타파 <국정원과 해킹팀> 데이터 페이지에서 볼 수 있다.

관련뉴스