국가정보원이 스파이툴을 악용해 민간인 사찰을 했는지 여부에 대해 현장방문을 통한 검증이 이뤄질 예정이다.
국정원 내부에서 어떤 방식으로 감시 활동을 수행해 왔는지를 확인할 수 있는 첫 자리다.
16일 디지털증거수사, 침해사고대응업무 등을 맡아왔던 한 보안전문가에 따르면, 현장을 방문한다고 해서 국내 사찰에 해킹팀 스파이툴을 사용했는지 여부를 검증하기는 쉬운 일이 아니다. 그럼에도 불구하고 몇 가지 기술적으로 검증할 방안은 있다.
먼저 국정원이 감시 대상에게 보낸 이메일이나 첨부파일, 혹은 스마트폰 문자메시지를 확보해 기존에 일반인들을 대상으로도 여기에 포함된 취약점 공격(익스플로잇) 수법이 쓰인 적이 있는지를 확인하는 일이다.
최근 해킹팀 자료유출을 통해 알려진 어도비 플래시 플레이어에서 발견된 제로데이 취약점의 경우 일부는 수 년 넘게 어도비 측이 보안업데이트를 하지 않아 은밀하게 악용돼왔다. 따라서 해킹팀이 사용한 취약점이 일반 국민들이 사용하는 PC, 스마트폰 등에서도 발견됐다면 국내 사찰 가능성이 커진다.
국내 악성코드 샘플 정보를 수집하고 있는 안랩, 하우리, 이스트소프트 등 주요 백신회사들과 한국인터넷진흥원(KISA)과 같은 곳이 확보한 DB와 비교해 보는 방법을 생각해 볼 수 있다.
두번째로는 북한공작원들을 대상으로 테스트했다고 하는 스파이툴을 어떤 식으로 활용했는지에 대한 작업 내역이 담긴 문서를 확보해 국내 다른 곳에서도 배포된 적이 있는지 여부를 확인하는 일이다.
다만 이 보안전문가는 일각에서 지적한 것처럼 국내 불특정 다수를 상대로 스파이툴을 뿌렸을 가능성은 희박하다고 봤다.
웹페이지 내에 악성스크립트를 삽입하는 등의 방식을 썼다면 실시간으로 웹사이트를 모니터링하고 있는 국내 보안업체들을 피해가기가 어렵기 때문이다. 국정원의 민간인 사찰 의혹이 사실이라고 하더라도 불특정 다수를 대상으로 했을 가능성은 낮은 셈이다.
현재까지 해킹팀 내부자료가 해킹을 통해 유출되면서 국가정보원이 2012년부터 도감청을 위한 스파이툴을 구매해왔다는 사실이 확인됐다.
또 국정원 관계자로 추정되는 인물이 'devilangel****@gmail.com'이라는 계정으로 해킹팀과 주고받은 이메일에 따르면 국정원은 지난달까지도 스파이툴을 설치하기 위해 필요한 안드로이드 익스플로잇을 요청하고 실제로 받았던 것으로 나타났다. 안드로이드폰 사용자들에게 스미싱이나 이메일을 보내는 등의 방법으로 악성링크를 클릭하도록 유도해 악성코드에 감염시키는 수법을 쓴 것이다.
관련기사
- 안철수, 국정원 해킹의혹 진상조사 이끈다2015.07.16
- 국정원도 산 해킹 프로그램, 어떻게 작동하나2015.07.16
- 어도비, 해킹팀 해킹으로 유출된 플래시 취약점 패치2015.07.16
- 해킹팀 "누구나 누구든 공격할 수 있게 됐다"2015.07.16
국내서 주로 쓰이는 카카오톡, 라인과 함께 안랩 백신을 우회할 수 있는 방법 등을 주고 받으며, 천안함, 메르스 등 키워드와 함께 네이버블로그 등을 악성코드에 감염시키기 위한 경로로 활용해왔다는 점에서 국내 사찰용으로 쓰였을 수 있다는 의혹이 더욱 커지고 있다.
이에 따라 국회에서는 안철수 의원(새정치민주연합)이 불법사찰 진상조사위원회 위원장(가칭)을 맡아 전문가들과 함께 국정원을 직접 방문해 불법도감청 여부를 조사한다는 방침이다.