[설명환의 IT읽기] 누군가 지켜보고 있다 '스마트폰 해킹'

최영무 2015-08-01  
메일보내기 인쇄하기
AVING 뉴스레터 신청하기

영국의 소설가 조지 오웰(George Orwell)의 소설 《1984년》에서 '빅브라더(Big Brother)'는 텔레스크린을 통해 소설 속의 사회를 끊임없이 감시한다. 사회 곳곳에, 심지어는 화장실에까지 설치되어 있어 실로 가공할 만한 사생활 침해를 보여준다.

소설속의 '빅브라더'는 매우 비현실적으로 그려졌지만, 국제 해커그룹이 이탈리아 IT기업 '해킹팀(Hacking Team)'을 해킹해 인터넷에 올린 내부정보를 보면 소설 속의 그것과 흡사한 감시체제가 현실에서도 일어났음을 보여준다.

공개된 '해킹팀'의 내부정보 400GB에는 한국(국정원·5163부대), 미국, 수단, 사우디아라비아, 러시아, 아랍에미리트, 레바논 등 각국 고객들과 주고받은 이메일, 음성파일 직원들이 쓰는 암호 등이 포함돼 있다.

 

> 해킹팀 '아르시에스'는 어떤 프로그램?

국정원이 지난 2012년 초 이탈리아 '해킹팀'으로부터 수억 원을 주고 구매한 해킹 프로그램 '아르시에스(RCS·Remote Control System)'는 컴퓨터나 휴대폰을 감시할 수 있는 원격제어시스템으로 감시 대상의 컴퓨터와 스마트폰에 악성코드를 몰래 심어 전화통화, 메신저 대화, 페이스북 채팅, 파일, 화면, 마이크, 사진, 키보드 조작 등 컴퓨터와 휴대폰에서 이뤄지는 모든 내용을 그대로 감시자에게 보여주는 스파이웨어 프로그램이다.

사용자 몰래 컴퓨터에 웹캠이 달려 있다면 사진을 찍어 보낼 수 있고 스마트폰 통화 내용을 녹음해 전송할 수 있다. 비교적 안전하다고 알려진 텔레그램 대화 내용도 볼 수 있다.

백신에도 잡히지 않고 마이크로소프트의 윈도, 리눅스, 구글 안드로이드, 애플의 아이오에스(iOS), 블랙베리, 심비안 등 모든 운영체제를 해킹 할 수 있다. 아이디와 비밀번호는 키보드 입력 단계에서 정보를 가로챌 수 있기 때문에 입력하는 순간 노출된다.

문제의 해킹프로그램은 미 연방수사국(FBI)를 비롯해 35개국 97개 기관이 구입했다.

 

> 스마트폰 해킹 확인은?

국제앰네스티가 배포한 디텍터(Detekt), 네덜란드 보안업체 레드삭스(Redsocks)가 만든 MTD(Malware Threat Defender), 루크 시큐리티(Rook Security)의 밀라노(Milano) 등 아르시에스를 식별할 수 있는 프로그램은 이미 배포돼 있지만 윈도 PC용으로 제한돼 있기 때문에 스마트폰이 아르시에스에 감염됐는지 온전히 확인할 수 있는 방법이 현재로서는 없다. 사용자 스스로가 주의하는 것이 최선이다.

해킹 프로그램이 설치되는 경로는 △대상자의 무선공유기를 조작해 아르시에스를 설치하거나 △문서파일로 위장한 악성코드 설치 파일을 보내거나 △일반 웹사이트로 보이는 변조된 설치 링크를 보내는 방법 등을 이용했다.

레드삭스가 공개한 '이탈리아 해킹팀 유출자료 분석 보고서'에 따르면, "5163부대(한국 국정원)는 해킹 활동을 위해 최소 세계 15개 국가에서 109개의 IP address(인터넷 프로토콜 주소)를 활용했으며 타깃을 감염시키기 위해 다양한 VPS(가상사설서버)를 쓴 것으로 나타났다"고 밝혔다.

VPS를 활용하면 해당 지역에 서버를 설치하지 않고 해킹한 대상의 정보를 받아올 수 있다.

(사진설명: 조지 오웰(본명 에릭 아서 블레어·1903~1950) 원작의 영화 《1984년》 1984~1956 Version. 출처=www.youtube.com)

 

> 개인의 동선, 생각 실시간 기록되는 공간

우리 국민 대다수는 스마트폰 알람으로 아침을 시작해 스마트폰에서 흘러나오는 음악을 들으며 하루를 마감한다. 지인들과 소통, 금융거래, 사진촬영 등은 물론 모르는 길은 스마트폰 내비게이션 앱을 통해 안내를 받는다. 스마트폰은 통신기능을 넘어 개인의 동선과 생각들이 실시간으로 기록되는 공간이다. 이를 증명하듯 한국은 전 세계 무선 데이터 사용량 1위 국가다.

국경 없는 정보전쟁 시대에 북한의 사이버 도발을 막고 국가안보와 국익보호를 위해 국가정보기관의 감청 활동은 필요하다. 안보 위협이나 마약사범 등 각종 범죄 수사와 관련해 현행법은 영장에 의한 도감청을 허용하고 있다. 하지만, 초법적인 기관이 개인의 사생활 언제든 엿볼 수 있다는 가능성은 국민 불안을 증폭시키고 체념케 한다.

헌법 17조와 18조는 모든 국민의 사생활 비밀과 자유, 그리고 통신의 비밀을 침해하지 않도록 규정하고 있다. 국가기관이 해킹을 통해 임의로 정보를 빼내는 것은 실정법(정보통신망법) 위반이다.

국민의 인권과 국가안보 사이의 균형이 무너질 때 '빅브라더'는 우리 앞에 나타날 수 있다.

 

* 설명환 칼럼니스트

설명환 칼럼니스트는 NI, SI, 반도체, IoT, 플랫폼 등 IT분야에 대한 폭넓은 지식의 IT(정보기술)전문가다. 현재 대한민국 1세대 IT그룹社와 세계 5위권 메모리카드 전문 제조기업의 커뮤니케이션팀장으로 재직하고 있다. 2010년부터 문화체육광광부 KOREPA 전문위원과 서울특별시교육청 청소년 멘토로 활동하며 청소년들의 진로에 대한 종합적인 조언과 강의를 해오고 있다. 이메일 pr1st@naver.com

Global News Network 'AVING'

 

모바일/컴퓨팅 기사

엔비스는 오는 6월 17(수)부터 19(금)까지 코엑스에서 열리는 제42회 국제환경산업기술 & 그린에너지전(이하 ENVEX 2020)에 참가해 친환경 제품인 음식물 처리기를 소개할 예정이다.
주식회사 스타보트는 오는 6월 5일(금)부터 7일(일)까지 KINTEX 제1전시장 4, 5홀 / 김포 아라마리나에서 열리는 '2020 경기국제보트쇼 (Korea International Boat Show 2020)'
동산테크는 오는 6월 5일(금)부터 7일(일)까지 KINTEX 제1전시장 4, 5홀 / 김포 아라마리나에서 열리는 '2020 경기국제보트쇼 (Korea International Boat Show 2020)'에 참가해
수성은 오는 6월 5일(금)부터 7일(일)까지 KINTEX 제1전시장 4, 5홀 / 김포 아라마리나에서 열리는 '2020 경기국제보트쇼 (Korea International Boat Show 2020)'에 참가해 '
음향전문기업 브리츠(Britz)에서는 TWS 블루투스이어폰 'BribudsTWS10' 구매시 럭키박스 증정 이벤트를 진행한다고 25일 밝혔다.
세계 최대 테크놀로지 전시회 'CES 2020'이 지난...