큰사진보기
|
| ▲ 국가정보원이 이탈리아 ‘해킹 팀’의 프로그램으로 스마트폰을 해킹하기 위해 포르노 사이트를 피싱 사이트로 이용했음이 드러났다. |
| ⓒ 이주연 |
관련사진보기 |
국가정보원이 포르노 사이트를 미끼로 던지는 등 피싱 사기범들이 즐겨 쓰는 수법으로 스마트폰을 해킹하려 한 정황이 드러나 논란이 된 가운데, 실제 이런 방법으로 해킹을 시도한 횟수가 최소 195건은 되는 것으로 확인됐다.
7개월 동안 최소 195개... 감시대상자 기호에 따른 '맞춤 제작'<오마이뉴스>는 국정원이 PC·모바일 감청 솔루션 RCS에 접속할 때 쓰는 아이디인 'devilangel'(데빌엔젤)이 안드로이드 스마트폰 해킹을 위해 이탈리아 해킹 팀에 피싱 URL 제작을 요청한 내역을 전수조사 했다.
그 결과 국정원은 지난해 12월 5일부터 올해 6월 29일까지 약 7개월 동안 50여 차례 제작을 요청했고, 이렇게 생성된 피싱 URL은 195개였다. 하지만 이는 해킹돼 공개된 해킹팀의 이메일 내역을 조사한 결과이고, 여기서 확인되지 않은 다른 해킹 시도가 더 있을 수 있기 때문에 최소 195건의 스마트폰 해킹 시도가 있었다고 보는 게 맞다. 이 같은 시도는 모두 안드로이드 스마트폰을 대상으로 이뤄졌다.
피싱 URL은 감시 대상의 스마트폰으로 전송돼 스파이웨어를 몰래 심는 용도로 이용된다. 감시 대상에게 흥미를 끄는 문구와 함께 맞춤 제작된 피싱 URL을 메시지로 보내 클릭을 유도하는 방법이다. 이를 클릭하면 미리 설정해 둔 최종 웹페이지로 이동하는 사이에 스마트폰에 스파이웨어가 설치된다. 감염된 스마트폰은 기기에 저장된 메시지, 음성녹음, 사진 파일 등을 감시자에게 전송한다. 당연히 피싱 URL은 감시 대상의 기호에 따라 '맞춤 제작'된다.
다음은 전수조사 자료를 토대로 국정원의 안드로이드 스마트폰 해킹 방법을 숫자를 중심으로 정리한 것이다.
① 195건데빌엔젤이 안드로이드 스마트폰 해킹을 위해 맞춤 제작한 피싱 URL 숫자다. 해킹으로 유출된 해킹 팀의 내부 이메일 자료에 따르면 아이디 '데빌엔젤'은 지난해 12월 5일 처음으로 피싱 URL 10개를 주문한다. 이를 시작으로 올해 6월 29일까지 총 53차례에 걸쳐 195개 피싱 URL을 요청했다.
이 기간 데빌엔젤이 해킹 팀에 주문한 피싱 URL은 총 239개지만, '테스트용'으로 명시한 44개를 제외하면 195개가 된다. 만약 이 모두를 포함 한다면 데빌엔젤은 총 60번에 걸쳐 239개 피싱 URL을 요청한 셈이다.
피싱 URL은 특정인 한 명에게만 전송할 수 있기 때문에 URL 생성 횟수는 안드로이드 스마트폰 해킹을 시도한 횟수이기도 하다. 거기에 이번에 유출된 자료가 일부분이라는 점을 감안한다면 국정원이 안드로이드 스마트폰 해킹을 시도한 횟수는 최소 195건 이상이다.
큰사진보기
|
| ▲ 이탈리아 '해킹 팀' 자료 중 국정원용 아이디로 추정되는 devilangel이 스마트폰 해킹용 스파이웨어를 주문한 내역. 미국 질병통제센터 CDC의 메르스 관련 FAQ 화면을 위장한 실전용 스파이웨어 URL 6개를 주문했다. 한국 사회에서 메르스 공포가 확산일로이던 6월 3일자 주문이다. |
| ⓒ Wikileaks |
관련사진보기 |
② 29개데빌엔젤이 피싱 URL로 활용한 사이트 종류다. 활동 초반에는 '구글', '위키피디아' 등 일반적 사이트를 활용했던 국정원은 시간이 지날수록 점점 진화해 급기야는 포르노 사이트 3곳과 메르스 정보가 있는 미국 질병통제센터(CDC) 사이트를 해킹에 이용하기도 했다. 특히 미국질병통제센터는 메르스에 대한 공포가 확산일로인 시점인 지난 6월 3일자 주문이다.
그 중에서도 데빌엔젤이 가장 많은 피싱 URL 제작에 활용한 곳은 최신 안드로이드 폰 정보를 볼 수 있는 사이트(www.androidcentral.com)다. 데빌엔젤은 이 주소로 총 29개 피싱 URL을 만들어 달라고 요청했다. 방문자가 검색을 하면 금전이나 포인트로 보상받는 리워드 포털사이트(www.swagbucks.com)와 삼성전자 누리집(
http://www.samsung.com)이 각각 15개, 12개로 그 뒤를 이었다.
그 외에도 한국어번역기 앱을 다운받을 수 있는 구글스토어 페이지나, 떡볶이 맛집과 금천구 벚꽃 축제 일정을 소개하는 네이버 블로그 등도 등장한다. 감시 대상자의 선호를 고려한 '맞춤 피싱 URL'을 주문한 것으로 보인다.
③ 7일한 개의 피싱 URL은 특정인 한 명에게만 사용할 수 있으며, 유효 기간은 7일이다. 유효기간이 지난 뒤에 클릭하면 존재하지 않는 페이지라는 알림이 뜬다.
때문에 데빌엔젤은 해킹 팀에 '유효기간 연장'을 문의하기도 했다. 지난 3월 19일 데빌엔젤은 떡볶이 맛집 정보를 담은 네이버 블로그로 피싱 URL 3개를 주문하면서 유효기간을 2주 혹은 한 달로 연장할 수 없겠느냐고 묻는다. 이에 해킹팀은 유효 기간 만료 전에 확장을 요청하라고 답한다.
④ 0629데빌엔젤이 가장 최근에 피싱 URL을 요청한 날짜다. 유출된 내부 자료에서 데빌엔젤은 페이스북(www.facebook.com)을 최종 목적지로 설정한 피싱 URL 4개를 주문했다. 14일을 기준으로 불과 16일 전이다. 국정원이 최근까지도 누군가의 스마트폰을 해킹하려 시도했다는 정황이다.