- RCS, 스파이웨어로 PC나 스마트폰 원격 통제.
- 대화, 통화내용, 카메라까지 통제 가능해.
- 낚시로 악성코드 배포하는 기초적인 공격 확인되었지만.
- 국가단위 인터넷망 통해 전국민 통제하는 것도 가능해.
- 단순 업데이트만 받아도 스파이웨어에 감염될 수 있어.
- 바이러스 침투, 안드로이드폰이 더 취약한 측면 있어.
- 보이스피싱 사기단, 북한이 활용하면 더 위험할 수도.
[CBS 라디오 '시사자키 정관용입니다']
■ 방 송 : FM 98.1 (18:00~20:00)
■ 방송일 : 2015년 7월 16일 (목) 오후 7시
■ 진 행 : 정관용 (한림국제대학원대학교 교수)
■ 출 연 : 이준행 (프로그래머)
◇ 정관용> 지난주에 국정원 해킹프로그램 구입 문제를 국내에 최초로 알린 분이죠. 정확히 1주일 전 저희 시사자키와 인터뷰도 진행했었습니다. 프로그래머 이준행 씨 스튜디오에 모셨습니다. 어서 오십시오.
◆ 이준행> 네, 안녕하세요.
◇ 정관용> 어떻게 알게 되셨어요? 처음에 이 문제를 제기하시게 된 것은?
◆ 이준행> 사실 외신에 굉장히 많은 기사들이 이미 나왔었고요. 7월 6일에 관련 자료가 유포되기 시작했었는데 7월 9일까지도 국내에는 아무런 보도가 나오지 않아서 답답한 마음에 제가 찾아서 글을 쓰기 시작했습니다.
◇ 정관용> 7월 6일 유출됐고 그다음부터 외신은 여기저기 막 나왔군요?
◆ 이준행> 네, 뉴욕타임즈나 월스트리트저널 같은 데 그런 기사가 굉장히 많이 나왔었는데 국내에는 이상하게 보도가 나오지 않더라고요. 그런데 여기 구매자 명단에 한국이 있다라는 보도는 계속 나오고 있었거든요.
◇ 정관용> 외신에서?
◆ 이준행> 네.
◇ 정관용> 국내에서는 왜 그런 보도가 없었을까요?
◆ 이준행> 왜 이게 안 나올까 궁금하다 보니까 .
◇ 정관용> 이것을 이준행 씨에게 물어볼 일은 아니죠?
◆ 이준행> 네.
◇ 정관용> 그래서 이준행 씨가 답답한 마음에 이걸 알렸다. 그다음에 국내 후속 보도들이 막 쏟아져 나오기 시작했습니다. 해킹팀이라는 회사는 그래도 꽤 실력이 있는 회사인가 봐요? 국제적으로 인정받나 봐요?
◆ 이준행> 외신에서 나오는 기사로서는 어느 정도 실력이 있는 회사로 평가된다고 이야기가 나오고 있습니다. 그런데 RCS라는 프로그램이 그렇게 좋은 프로그램이거나 그런 것은 아니고요. 일반적으로 우리가 흔히 얘기하는 스파이웨어나 악성코드와 그렇게 다르지는 않은 일반적인 프로그램입니다.
◇ 정관용> 그러니까 바로 이것을 제가 여쭤보고 싶어서 해킹팀이라는 회사가 유명한 것이냐를 여쭤본 것인데 전 세계 여러 정보기관이 이 해킹팀에서 사갔다고 하는 건 나오고 있지 않습니까? 이게 그렇게 특별한 기술이 필요로 되는 그런 프로그램이 아니라면 꼭 이 회사 것을 안 사도 아니면 심지어 우리 국정원에도 해커들이 있을 것 아니에요, 고용된 분들, 또 이준행 씨 같은 프로그래머들도 정부기관에 많이 있을 것 아닙니까? 이준행 씨도 이런 것 만들 수 있죠?
◆ 이준행> 어지간한 개발자들이라면 만들려면 만들 수는 있습니다.
◇ 정관용> 여기저기 많이 있는 프로그램이고 프로그래머 어느 정도 수준이면 만들 수 있는 것이라면 해킹팀의 이 프로그램은 뭔가 특별해요?
◆ 이준행> 다만 이 회사 같은 경우에는 정부에 특화되어 있는 형태로 따로 만들었다는 그런 광고를 하고 있고요. 예를 들면 암호화 되어 있는 메시지라든지 국민들이 대화하는 그런 모든 내용들을 국가가 좀 봐야 되지 않겠느냐라고 광고를 하면서 정부를 상대로 광고를, 영업을 많이 했던 것으로 알려져 있습니다.
◇ 정관용> 어쨌든 지금 알려진 바로는 이 RCS 해킹프로그램을 쓰면 무엇을 어떻게 한다는 것인지, 지금 새정치민주연합에서 시연까지 해서 웬만한 청취자 분들 듣고 알고는 계실 텐데 다시 한 번 설명을 해 주세요. 어떻게 하는 겁니까, 이게?
◆ 이준행> 기본적으로 이 프로그램은 스파이웨어이기 때문에 PC나 스마트폰에 감염이 되면 그 PC나 스마트폰의 모든 내용들을 이제 원격으로 통제할 수 있다라는 그런 특징이 있겠습니다. 그래서 PC에서 사용하는 프로그램이 무엇인지 누구와 대화를 하고 있는지 어떤 사이트에 접속을 하고 있는지 비밀번호는 무엇인지 이런 것들도 다 확인이 가능하고요.
◇ 정관용> 비밀번호까지?
◆ 이준행> 네, 그렇습니다. 키보드 입력내용들을 모두 빼 갈 수가 있으니까요. 스마트폰 같은 경우에는 마이크나 카메라가 달려 있기 때문에 주변의 대화 내용들 혹은 통화내용들 혹은 카메라에 잡혀 있는 풍경들도 모두 다 빼서 확인할 수 있는 형태로 지금 구성되어 있습니다.
◇ 정관용> 그 카메라를 휴대폰 이용자가 켜지 않아도 원격으로 내가 카메라를 켰다 껐다 할 수 있단 말이죠?
◆ 이준행> 맞습니다. 스마트폰의 전원을 우리가 껐다고 얘기했을 때 그냥 인식하기로는 껐다고 우리는 인식을 하지만 사실은 스마트폰이 그사이에도 계속해서 통신을 하고 있거나 작동을 하고 있거든요. 그리고 버튼을 누르면 화면이 다시 뜨는데 그것을 대기하고 있는 모드들도 있고요. 그렇다 보니까 그것도 나름 컴퓨터가 계속해서 작동하고 있는 것이기 때문에 그 사이에 많은 일들을 할 수가 있는 것이죠.
◇ 정관용> 중요한 건 그러면 일단 이걸 감염시키는 과정이 더 중요하겠군요? 스파이웨어를 휴대폰이나 컴퓨터에 심는 과정, 그걸 위해서 이번에 공개된 문서에 보면 서울대 공대 동창회 명부, 맛집 소개, 벚꽃 축제 이런 것을 다룬 블로그나 메르스 정보 링크, 이런 것을 악성코드에 심어 달라, 이렇게 요청한 내용이 이번에 공개가 됐죠?
◆ 이준행> 네, 그렇습니다.
◇ 정관용> 이건 무슨 뜻입니까?
◆ 이준행> 기본적으로 악성코드를 사용자에게 배포하기 위해서는 낚아야 되는 것이죠. 낚시를 해야 되는 것인데 속여서 무언가를 클릭하게끔 해서 프로그램을 설치하게끔 하는 그런 과정들이 일단 필요합니다. 그게 기본적으로 작동하는 원리인데요. 그래서 이런 형태로 클릭을 하게 되면 PC나 스마트폰의 어떤 통제권 자체가 기관으로 넘어가게 되는 것이죠. 여기서 더 문제가 되는 것은 사실 이런 기초적인 수준에서의 공격을 지금 시도한 정황들은 확인이 되었는데 이 업체 같은 경우에는 그런 것들 말고 원격으로 네트워크를 통해서 감염을 시켜달라는 그런 권고를 하고 있는 상황입니다. 그렇다 보니까 어떤 국가 단위의 인터넷망 전체를 관리할 수 있는 기관에서 전 국민을 상대로 프로그램을 설치하게끔 하면 전 국민을 통제할 수 있는 형태로 운영할 수 있다고 광고를 하고 있었는데 실제로도 기술적으로 그렇게 구현이 가능하거든요.
◇ 정관용> 전 국민이 내려 받는 파일이 있다는 거죠?
◆ 이준행> 그렇습니다. 이미 많은 분들께서 사용을 하고 계실 텐데요. 윈도우 업데이트라든지 OS 업데이트, 스마트폰 업데이트나 프로그램 업데이트를 자동으로 받는 과정들에게 작동을 하고 있기 때문에.
◇ 정관용> 그렇죠. 거기에 이걸 심으면 그 기관과 연결해서 그러면 그것을 다운받은 모든 컴퓨터나 휴대폰에 이 스파이웨어가 심긴다는 얘기죠?
◆ 이준행> 그렇습니다.
◇ 정관용> 그런데 그렇게 모든 컴퓨터나 휴대폰에 심겼으면 그다음부터는 내가 노리는 것만 찾아가서 원격제어를 하면 되는 거군요?
◆ 이준행> 그렇습니다. 이미 통신망 자체가 누군가의 PC를 특정지어서 지금 사이트나 이런 것들을 조작할 수 있는 형태로 구성이 되어 있다 보니까 당연히 구현이 가능하겠죠.
◇ 정관용> 네, 그런데 실제 그렇게까지 했는지는 모르는 거죠?
◆ 이준행> 실제 그렇게 했는지에 대해서는 지금 확인되고 있지 않지만 그것들을 하기 위한 법안이나 이런 것들이 지금 상정이 되어 있는 상태이기 때문에 그 법안이 통과된다라고 하면 통신비밀보호법이 개정된다고 하면 구현이 가능한 형태로 운영이 되는 것으로 지금 위험성이 있습니다.
◇ 정관용> 통신비밀보호법 개정안의 내용이 뭐죠? 핵심이?
◆ 이준행> 통신사들, SK텔레콤이나 KT 같은 그런 통신사들이 망에 감청장비를 의무적으로 설치를 하고 설치하지 않을 경우에는 과태료를 부과하게끔 하는 법안이 있습니다. 이 법안이 통과가 되면 전체 통신망에 감청장비가 설치가 되고요. 이것을 통해서 전체 국민들에게 특정 데이터에 접속을 했을 적에 다른 바이러스를 내려 받는다든가 하는 것들이 기술적으로는 구현이 가능하게 되는 것이죠.
◇ 정관용> 이것은 제가 청취자 분들을 위해 조금 부연설명을 하면 일단 감청설비를 통신사들이 갖고 있게끔 법에 근거를 두어야 그다음에 누구를 감청하겠다는 것은 법원의 영장을 받아서 하겠다, 그게 지금 이 법을 개정하려고 하는 분들의 취지인 것이죠?
◆ 이준행> 그렇습니다.
◇ 정관용> 외국은 이미 이런 걸 하고 있다. 그런데 우리는 이걸 지금 못하고 있다. 그 이유는 설비, 설치가 되어 있지 않기 때문이다, 이런 논리인 것이죠?
◆ 이준행> 그렇습니다. 그리고 그 설비를 설치함에 있어서 국고를 지원하게끔 되어 있고요. 사실 미국 같은 경우에 NSA라는 기관에서 시스코나 그런 장비를 생산하는 업체에다가 라우터 장비에 스파이웨어를 설치할 수 있게끔 요청을 하는 그런 사례들도 확인이 되어서 국제적으로 논란이 되었었는데요. 그것과 같은 원리로 한국의 전체 인터넷망에도 이것이 설치가 되려고 했었던 그런 시도들이 지금 확인되고 있는 상황입니다.
◇ 정관용> 이 법 개정을 하는 것이 옳은지 그른지는 또 다른 논점으로 계속 논의해 갈 주제로 놔두고 아까 했던 질문으로 다시 돌아가서 그렇다면 이제 뭔가 낚시를 해야 되니까 맛집 소개, 벚꽃 축제 이런 것들이 거론이 됐는데 우리가 오래 전부터 ‘잘 모르는 사람한테서 이메일이 왔을 때 첨부파일 있는 것 함부로 열지 마세요’ 만날 그러잖아요.
◆ 이준행> 맞습니다.
◇ 정관용> 경고 받았지 않습니까? 똑같은 거죠, 그러니까?
◆ 이준행> 사실 같은 겁니다.
◇ 정관용> 같은 건데 우리가 잘 모르는 이메일이니까 열지 말아야지 하는 의식이 없게끔, 이렇게 하면 열 겁니다라고까지 알려줬다는 것 아닙니까?
◆ 이준행> 그렇습니다.
◇ 정관용> 아니면 아예 그냥 원격네트워크 전체 망을 깔아버리는 방법도 있습니다. 이렇게 알려줬다는 것이고.
◆ 이준행> 그렇습니다.
◇ 정관용> 이게 컴퓨터나 휴대폰 전부 다 침투가 가능합니까?
◆ 이준행> 사실 우리가 쓰는 휴대폰도 일종의 컴퓨터입니다. 달나라로 가는 그런 인공위성보다 더 성능이 좋은 것이 우리의 스마트폰이기 때문에 기본적으로 원리는 똑같고요. 그렇다 보니까 감염되는 구조들도 사실은 똑같습니다.
◇ 정관용> 아니, 제가 이것을 여쭤보는 것은 2014년 2월 국정원이 질문한 것에 대한 대답을 보면 현재 탈옥한, 영어로 jailbroken, 탈옥한 폰에서만 가능하다라고 대답되어 있는 게 지금 공개가 되었습니다. 탈옥한 폰이라는 게 무슨 뜻이에요?
◆ 이준행> 탈옥이라고 하는 것은 이제 안드로이드나 아이폰 같은 그런 스마트폰의 어떤 보안시스템을 해제시키는 것을 의미합니다. 그래서 관리자권한을 획득하는 것을 의미를 하는데요. 일반적으로 사용자들이 컴퓨터나 스마트폰을 썼을 적에는 관리자권한은 제공하지 않게끔 구성이 되어 있으나 만약에 관리자권한을 획득하게 되면 그 기기에 달려 있는 모든 어떤 기능들을 다 프로그램에 접근할 수 있게끔 권한이 주어지게 됩니다. 그렇게 되면서 카메라나 마이크 같은 것들도 사용자 모르게 작동할 수 있게끔.
◇ 정관용> 저는 설명을 들어도 잘 모르겠는데요. 그러니까 더 무식하게 질문해 볼게요. 아이폰은 침투가 되고 예를 들면 삼성 갤럭시폰은 침투가 안 되고, 이런 차이가 있는 겁니까? 없는 겁니까?
◆ 이준행> 사실 OS별로 구조가 다르기 때문에 안드로이드폰이 굉장히 취약한 것으로 지금 확인이 되고 있고요.
◇ 정관용> 안드로이드폰은 삼성제품, 이런 데서 쓰는 것이죠?
◆ 이준행> 맞습니다. 한국에서 굉장히 많이 쓰이고 있는 OS인데요. 이 OS 같은 경우는 구조가 워낙 공개가 되어 있다 보니까 취약성도 당연히 전 세계적으로 공개가 되어 있는 형태이고요.
◇ 정관용> 아이폰은요?
◆ 이준행> 아이폰 같은 경우는 사실 애플에서 만들 적에 소스코드를 공개를 안 했었습니다. 그렇다 보니까 취약점에 대해서는 공개가 되어 있지 않다보니 어떤 해킹프로그램을 설치하는 데 어느 정도 애로 사항은 있는 것으로 지금 확인이 되고 있습니다.
◇ 정관용> 정말 설치가 불가능하다, 이건 아닌 거예요?
◆ 이준행> 사실 그렇지는 않습니다.
◇ 정관용> 테스트 안 해 봤습니까, 이것 혹시?
◆ 이준행> 여러 종류의 테스트를 거치다 보면 사실 아이폰도 어느 정도 취약성이 있고요. 그리고 이런 저런 종류의 사용자가 무관심한 상태에서 부주의로 무언가를 설치를 했을 적에 감염이 되는 것은 아이폰도 마찬가지입니다.
◇ 정관용> 지금 논란이 되는 게 2012년부터 구입을 했다는 것인데, 그다음에 업데이트도 받고. 이것 말고도 국내에도 다른 프로그램들이 많이 있다고 하지 않았습니까?
◆ 이준행> 네.
◇ 정관용> 그런데 최신버전은 과거 2012년 버전에 비해서 뭐가 좀 특별히 다르다거나 그런 게 있나요?
◆ 이준행> 사실 그렇지는 않습니다. 갈릴레오라는 버전명도 있고 다빈치라는 버전명도 있는데 사실은 그냥 버전에 따른 별칭인 것이고요. 지속적으로 업데이트를 했다고 보시면 될 것입니다. 물론 과거에는 일반적인 스카이프나 SNS 감청 정도의 기능만 가지고 있었다고 하면 그 이후에 카카오톡이나 라인 같은 새로이 등장하는 메신저들도 감청할 수 있게끔 요청한 사항들이 있고요. 이런 것들이 업데이트가 되면서 버전이 업그레이드가 되고 최종적으로는 우리가 흔히 얘기하는 보이스톡, 메신저를 통해서 전화를 대신하는 그런 기능들까지 모두 감청을 할 수 있게 해달라는 그런 요청들이 지금 확인되고 있는 상황입니다.
◇ 정관용> 그렇게 감청을 대상을 넓히는 정도의 버전 업그레이드?
◆ 이준행> 그렇습니다.
◇ 정관용> 그렇다고 해서 스파이웨어가 심어졌는지 안 심어졌는지를 도저히 알 수도 없게 감춘다든지 그런 기능이 추가되고 이런 것은 아닌 겁니까?
◆ 이준행> 기본적으로 이 프로그램이 처음 나왔을 때부터 우리는 스텔스 기능, 스스로의 존재를 감출 수 있는 기능을 갖추고 있다고 이야기를 했었습니다. 그 이야기는 정보기관에서 감청을 할 적에는 당연히 그 존재를 숨겨야 하기 때문에 그렇게 해야겠죠? 그러다 보니 백신프로그램이나 이런 것들을 사용하면 당연히 악성코드가 잡혀야 하는데, V3 같은 그런 프로그램에서 잡히지 않게끔 해달라는 요청사항이 지금 확인되고 있고요. 그렇다 보니까 이것들이 실제로 국민들 사이에서 감염됐는지 안 됐는지도 지금 확인할 수 없는 상황이 되었습니다.
◇ 정관용> 이제 그 대목부터가 중요한 대목이군요? 지금 야당에서는 진상조사위 같은 것 만들어서 야당 국회의원들, 당직자 또 일반 국민들 것까지 검사해 주겠다고 하는데 그 검사로 찾아낼 수 없는 거잖아요?
◆ 이준행> 사실 국정원에서 요청한 사항에 V3 프로그램에서 검출이 되었으니 검출이 되지 않게끔 수정해달라는 요청이 있었고 해당 이탈리아 해킹팀이라는 회사에서 V3에서 검출이 되지 않게끔 보완을 했다고 답변을 한 사항들이 있습니다. 그렇다 보니까 지속적으로 백신프로그램에서 검출이 되지 않게끔 계속해서 지금 업데이트를 하고 있었다는 이야기거든요. 그렇다 보니 국민들 사이에서 뭔가 스스로의 핸드폰이 감염이 되었는지 지금 대응할 수 있는 방법이 없는 상태입니다, 지금으로서.
◇ 정관용> 그렇죠. 이게 업그레이드가 되어 있다면 그것을 잡아낼 수 있는 백신까지가 개발돼야 되는 것 아닙니까?
◆ 이준행> 그렇습니다.
◇ 정관용> 그게 지금 아직 개발이 안 되어 있는 것이죠?
◆ 이준행> 물론 지금 해킹팀이라는 업체의 활동이 정지되어 있는 상태이고 해킹이 되어 있다 보니까 모든 소스코드가 공개된 상태라서 이것들에 대응하기 위한 백신들이 속속 나오고 있고요. 이런 것들을 통해서 현재까지 나왔었던 취약점에 대해서 보완을 하거나 혹은 치료를 할 수 있는 형태의 백신들이 조금씩 나오고 있는 상황입니다.
◇ 정관용> 지난 번 저랑 인터뷰 할 때 이 기술은 그렇게 아주 어려운 기술은 아니지만 지금 쭉 설명해 주신 것처럼 스스로를 감춘다든지 또 자꾸 업데이트를 시켜서 감청할 수 있는 범위를 넓힌다든지 이런 식으로 하다 보면 보이스피싱 사기단이나 등등이 이런 것을 더 활용하면 정말 위험할 수 있겠네요?
◆ 이준행> 사실은 그렇습니다. 에이전트가 광범위하게 퍼져있다고 할 경우에는 그 개개인의 PC나 스마트폰이 굉장히 위험한 상태라는 것인데, 이것을 통제하는 것이 국정원이 아니라 다른 기관에서도 통제할 수 있다는 얘기거든요. 중국의 보이스피싱 사기단이나 예를 들면 북한 같은 곳에서 한국의 PC 등을 해킹을 해서 어떤 이득을 취할 수 있는 상황들이 벌어질 수 있는 것이죠. 그렇다 보니까 한국 내에서도 현재 벌어지는 이 상황들에 대해서 예의주시를 하고 대응할 수 있는 그런 노력들이 지금 필요한 상황입니다.
◇ 정관용> 오늘 이 프로그램을 가지고 할 수 있는 일들에 대해서는 쭉 다 소개를 받았습니다. 정말 뭘 했는지 이거는 우리가 여기에서 이야기할 것은 아닌 거죠?
◆ 이준행> 네.
◇ 정관용> 조사를 해봐야 되는 거죠?
◆ 이준행> 네.