[이슈분석] 이탈리아 해킹팀 사건을 통해 본 해킹 세계의 변화 : 월간조선

지난 6월, 이탈리아 보안업체 ‘해킹팀(Hacking Team)’이 해킹을 당했다. 이 회사는 감시 및 도·감청용 스파이웨어를 개발·판매하는 업체다. 프랑스의 비(非)정부기구인 ‘국경없는 기자회(Reporters without Borders)’가 ‘인터넷 오적(五賊)’ 중 하나로 지목한 곳이기도 하다. 국경없는 기자회는 매년 〈인터넷의 적들(Enemies of The Internet)〉이란 보고서를 통해 인터넷 검열과 감시로 인권을 침해하고 정보자유를 억압하는 인터넷의 적들을 공개하고 있다. 2013년에는 “디지털 용병의 시대가 열리고 있다”며 해킹팀을 비롯해 감마 인터내셔널(Gamma International), 블루코트(Blue Coat), 아메시스(Amesys), 트로비코(Trovicor) 등 5곳을 ‘인터넷 오적’이라 밝힌 바 있다. 이 중 감마 인터내셔널도 작년에 해킹을 당했었는데, 일부 보안전문가들은 이것이 이번 이탈리아 해킹팀을 해킹한 세력과 같은 집단의 소행일 것이라 보고 있다.

디지털 용병, 이탈리아 해킹팀과 RCS

정체 모를 해커들에게 해킹을 당한 며칠 후인 7월 6일, 폭로전문 사이트 ‘위키리크스(WikiLeaks)’는 해킹팀이 갖고 있던 이메일 등 내부 자료(약 400GB 분량)를 공개했다. 이후 연일 뉴스에서는 이 업체와 거래한 내역이 있는 국가와 단체를 낱낱이 세상에 까발리고 있다.

언론 기사와 자료를 종합해 보면 지금까지 확인된 해킹팀의 고객은 모두 37개 국가, 67개 기관이다. 가장 활발히 해킹팀과 거래한 국가는 멕시코(11개 기관)였으며, 지불한 금액은 무려 580만8875유로(약 72억8200만원)이다. 이 뒤를 이탈리아(7개 기관), 모로코(2개 기관), 사우디아라비아(3개 기관) 등이 잇고 있으며, 미국(3개 기관)이 9번째로 많은 145만 유로를, 싱가포르(1개 기관)가 11번째로 많은 120만 유로를, 우리나라(1개 기관으로 국가정보원·일명 5163부대)가 19번째로 많은 68만 유로(약 8억5000만원)를 지급한 것으로 드러났다.

이 회사의 주력상품은 ‘갈릴레오’라 불리는 RCS(Remote Control System·원격조종 시스템)이다. 사실 RCS는 이미 우리 주변에서 널리 사용하고 있다. PC가 고장 나거나 특정 웹 서비스가 안 될 때 AS센터에 가지 않고 고치는 방법이 있는데, 원격에서 전문가가 의뢰자의 PC에 접속해 문제점을 진단하고 해결하는 방법이다. AS기사가 방문하면 비용과 시간이 드는 데 비해 원격에서 기사가 의뢰자 PC에 접속하면 보다 간단하고 편리하게 문제점을 찾고 고칠 수 있다. 이때 사용하는 프로그램이 RCS이다. AS기사는 사용자의 동의를 얻은 후 PC에 RCS 프로그램을 설치하고 실행한다. 이후 전문가는 마치 의뢰자의 PC 앞에서 수리를 하는 것처럼 원격에서 PC의 모든 기능을 제어하며 문제점을 해결할 수 있다. 이외에도 통신사에서 제공하는 스마트폰 위치추적 및 데이터 원격 삭제 서비스 등도 이런 RCS 기술을 이용한 것들이다.

하지만 이탈리아 해킹팀의 RCS, 갈릴레오는 이들과 기능은 거의 같지만 목적이 다르다. 우선 사용자 동의 없이 몰래 PC나 스마트폰에 설치되며, 일단 RCS가 컴퓨터에 깔리면 인터넷·e메일·컴퓨터에 보관된 각종 파일 등을 감시할 수 있게 된다. 스마트폰에서는 통화와 문자 메시지·주소록·달력 등을 감시하고 위치(GPS) 추적도 가능하다. 또한 IP anonymizer란 익명통신 기능이 내장되어 있기 때문에 제품을 만든 해킹팀조차 구매 고객 중 누가 누구를 감시하고 있는지 알아내기 어렵다. 한마디로 사용자 몰래 스파이 기능을 수행하는 것이다. 이를 위해 해킹팀은 소위 ‘제로데이(0-Day) 취약점’이란 것을 이용한다.

인터넷 세상의 메르스, 제로데이(0-Day)의 취약점

“Hacking Team breach a gold mine for criminal hackers(해킹팀이 해킹범죄를 일삼는 자들에게 금광을 노출시켰다).”

이는 이탈리아 해킹팀 내부자료 유출사건 이후 한 외신이 보도한 말이다. 여기서 금광이란 ‘제로데이(0-Day) 취약점’을 일컫는다. 사람은 완전하지 않기에 실수를 하고 잘못을 저지를 수밖에 없다. 사람이 만든 컴퓨터나 소프트웨어도 완벽할 수 없으며, 오류(일명 버그·Bug)가 존재하기 마련이다. 그러므로 업체들은 제품 출시 후에도 지속적인 업데이트 및 기술지원 서비스를 제공함으로써 이런 문제를 해결한다.

제로데이 취약점이란 제조사가 해당 오류에 대해 모르거나, 알고는 있지만 아직 오류 수정을 하지 못한 ‘컴퓨터 소프트웨어 또는 하드웨어상의 취약한 부분’을 일컫는다. 이러한 제로데이 취약점은 해킹기술과 결합될 경우 백신프로그램으로도 탐지나 치료가 불가능하다. 이 때문에 산업체, 학계, 연구기관 등 보안과 관련된 일을 하는 이들에게 꾸준한 관심의 대상이 되어 왔다. 특히 세계 각국의 정보기관들은 방어 또는 공격의 목적으로 이러한 제로데이 취약점을 조금이라도 먼저 확보하기 위해 각축을 벌이고 있다. 우리나라도 이 같은 제로데이 취약점을 이용한 해킹의 안전지대가 아니다. 작년 말 온 나라를 들쑤셔 놓은 한수원(한국수력원자력) 해킹 사고의 경우에도 범인들은 한컴 한글 워드프로세서의 제로데이 취약점을 이용해 공격을 시도했었다.

이탈리아 해킹팀의 갈릴레오 RCS가 진짜 무서운 이유는 바로 이 제로데이 취약점 때문이다. 사용자의 동의를 구하고 투명하게 설치·운영하는 일반 RCS 프로그램들과 달리, 해킹팀의 갈릴레오 RCS는 웹브라우저나 운영체제(OS), 어도비(Adobe) 플래시 플레이어 등의 제로데이 취약점을 이용해 몰래 침투한다. 기존 백신프로그램으로는 탐지나 치료가 불가능하다. 그러면 해킹팀은 이러한 제로데이 취약점을 어떻게 구할 수 있었을까.

보안전문가인 블라드 치르클레비치(Vlad Tsyrklevich)는 최근 그의 블로그를 통해 ‘해킹팀 사례로 본 제로데이 취약점 암거래 시장 연구(Hacking Team: A Zero-Day Market Case Study)’라는 제목의 글을 올린 바 있다(https://tsyrklevich.net/2015/07/22/hacking-team-0day-market/ 참조). 그에 따르면 이탈리아 해킹팀은 RCS에 사용할 제로데이 취약점을 구하기 위해 D2Sec, 넷트라가드(Netragard), 뷔펜(VUPEN), 취약점 브로커리지 인터내셔널(Vulnerabilities Brokerage International), 코세인크(COSEINC), 쿼바 시큐리티(Qavar Security) 등과 같은 공격기법을 전문적으로 연구하는 오펜시브 시큐리티(Offensive Security) 전문업체와 밀접한 관계를 맺어 왔으며, 취약점 한 개당 평균적으로 3만5000~12만 달러 사이의 가격에 매입해 왔다고 한다. 공격기법을 전문적으로 연구하는 오펜시브 시큐리티 전문업체 중에는 사이버 무기로 이용할 수 있는 제로데이 취약점을 집중 연구해 이탈리아 해킹팀과 같은 업체에 팔기도 하지만, 그레이해쉬(GrayHash), 블랙펄시큐리티(Blackperl Security), NHSC 등과 같이 고객이 의뢰한 특정 제품이나 서비스에 한해 취약점을 찾아 신속히 패치할 수 있게 돕는 업체들도 있다. 전 세계적으로 널리 사용하고 있는 기기의 취약점인지 여부, 독점적으로 자신들에게만 파는 것인지 아니면 다른 동종 업체들에게 동시에 파는 것인지 여부에 따라 가격이 달라진다고 한다.

세계 도·감청 장비 거래 규모, 한해 50억 달러

국정원 해킹 사태 해결을 위한 토론 및 백신 프로그램 발표회. 출처 블로터.

해킹팀 사고 이후 마이크로소프트(MS)와 어도비 등 제로데이 취약점으로 피해를 입은 업체들은 긴급 패치를 내놓았다. 어도비는 플래시 보안취약점 패치를 마련했고, MS도 지난 7월 21일 윈도7, 윈도8, 윈도비스타 운영체제에 대해 지적된 ‘오픈타입 폰트’ 취약점 패치를 내놨다.

국내 보안업체들 또한 발빠르게 움직이고 있다. 최근 오픈넷, 진보네트워크센터, P2P재단코리아 준비위원회 등의 시민단체들이 공동으로 “해킹팀의 스파이웨어를 국가정보원도 사용하고 있다는 의혹이 제기됐음에도 불구하고 국내 보안업체들은 여전히 아무런 대응도 하지 않고 있다”고 지적하면서 RCS용 백신(일명 오픈백신)을 오픈소스로 개발해 무료로 배포하겠다고 밝힌 바 있다.

그러나 이는 사실과 다른 얘기다. 하우리, 안랩, 이스트소프트 등 국내 보안업체들은 해킹팀 이슈가 드러난 7월7일부터 이미 자사(自社) 백신 제품군에 RCS 치료기능을 추가했으며, 해킹팀의 RCS 외에 그와 동일하거나 유사한 기능을 하는 변종에 대해서도 치료가 가능하도록 지속적으로 대응하고 있다. 이들 외에도 국내 기업으로는 엠시큐어와 KTB솔루션이 RCS와 기타 스파이 앱을 탐지·차단하는 솔루션을 이미 제공하고 있다.

오히려 국내 시민단체에서 보급하고 있는 ‘오픈백신’이나 국제앰네스티가 배포하고 있는 ‘디텍트(Detekt)’ 등은 치료기능 없이 단순히 RCS 감염(설치) 여부를 탐지하는 것만 가능하므로 일반 국민은 사용할 때 주의해야 한다. 실제로 디텍트 홈페이지(https://resistsurveillance.org/)를 방문하면 다음과 같이 “디텍트는 백신이 아닌 RCS 탐지도구이며, 반드시 최신 버전의 백신과 함께 사용할 것”을 권고하고 있다.

전 세계 감시 및 도·감청 장비의 거래 규모는 한 해 약 50억 달러(약 5조8000억원) 규모로 추정된다. 그로 인한 수익 역시 매년 20%씩 증가하고 있다고 한다. 이번 사례에서 볼 수 있듯 유럽과 미국 기업들은 그동안 지속적으로 세계 곳곳의 국가정부에 공공연하게 감시장비와 소프트웨어를 판매해 왔다. 바세나르 협정(Wassenaar Arrangement)은 최첨단 사이버 보안이나 해킹 관련 소프트웨어와 장비에 대해 그다지 효과적이지 못하다. 특히 이번 해킹팀 사고 이후 많은 사람은 제로데이 취약점이 돈이 되며, 충분히 사업화가 가능하고 성장 가능성이 있다는 것을 목격했다.

사물인터넷에 의한 위협적 해킹 사례

세계 각국에서는 다양한 형태의 해킹방어대회가 열리고 있다. 사진은 2013년 열린 코드게이트2013대회.

상황을 더욱 안 좋게 만드는 것은 최근 들어 급부상하고 있는 사물인터넷(IoT·Internet of Things)이다. 우리 주변의 다양한 사물에 통신기능을 넣어 서로 연결해 상호작용하는 IoT는 가전과 PC, 자동차와 같은 익숙한 기기는 물론 기업경영, 의료, 스포츠 등 거의 모든 분야에 접목돼 확산되고 있다. 그러나 IoT 기기가 확산하면서 이를 노린 보안위협 또한 급증하고 있는 것도 사실이다.

실제로 스마트TV의 경우 실내 몰래카메라로 악용하거나 해적 방송을 내보내는 게 가능하다는 것이 세계적 권위의 해킹·보안 콘퍼런스인 ‘블랙햇(Black Hat) 2013’에서 국내 연구팀에 의해 시연됐다. 심장병 환자들이 많이 하고 다니는 심박 조율기 같은 경우 15m 정도 떨어진 곳에서 원격으로 해킹해 심장에 전기충격을 가할 수 있다는 사실이 2012년에 발표되기도 했다. 자동차도 예외는 아니어서 올해 ‘블랙햇 2015’에서 해커들은 노트북PC를 사용해 약 16km 떨어진 거리에서 달리고 있는 지프 체로키 차량의 시스템을 해킹하는 데 성공했다.

해커의 조종으로 차량의 에어컨이 최대출력으로 작동하는가 하면, 라디오가 켜지고 와이퍼가 작동했으며, 브레이크와 액셀러레이터도 마음대로 조작이 가능했다. 결국 제조사인 크라이슬러는 해킹 위험 차 140만대를 리콜했다.

영국의 인터넷 매체인 텔레그래프는 HP의 보고서를 인용, 현재 사용되고 있는 IoT 기기가 약 250개의 잠재적인 보안 취약점을 가지고 있다고 전한 바 있다. 보고서에 따르면 90%의 기기는 개인정보를 수집하고 있었고, 이 중 70%는 이들 정보를 암호화하지 않은 상태로 전송하고 있었다. 또 60%는 보안되지 않은 인터페이스를 사용하고 있었다고 한다. 보고서는 “수많은 IoT 기기들의 인터넷 연결이 지속적으로 증가하면서 보안 관련 고려사항 역시 다양하게 나타나고 있다”며 “스마트폰과 같이 단일기기에서의 몇 가지 보안위협이 IoT를 통해 집이나 회사에 상호 연결되면서 50~60가지로 증가하고 있다”고 설명했다.

이렇듯 보안위협이 폭발적으로 증가하고 다양해지는 IoT 시대에 한두 개의 기관으로 보안대책을 세우는 것은 불가능하다. 그래서 등장한 개념이 ‘집단지성을 활용한 보안’ 일명 ‘크라우드 시큐리티(Crowd Security)’다. 미국 《와이어드 매거진(Wired Magazine)》의 제프 하우(Jeff Howe)가 2005년에 만든 용어 크라우드 소싱을 빗댄 ‘크라우드 시큐리티’는 외부자원을 활용해 보안성을 강화하자는 것이다. 원래 크라우드 소싱(Crowd Sourcing)이란, 대중(Crowd)과 외부발주(Sourcing)의 합성어로 생산·서비스 등 기업활동 일부 과정에 대중을 참여시키는 것을 말한다.

크라우드 시큐리티의 대표적인 예로는 기업 등이 자사 서비스 제품의 보안성 강화를 위해 제로데이 취약점을 찾아 신고해 준 사람에게 포상금을 지급하는 ‘버그 바운티(Bug Bounty)’와 캐나다에서 열리는 국제 제로데이 취약점 찾기 대회인 ‘캔섹웨스트 폰투오운(CanSecWest Pwn2Own)’을 들 수 있다. 실제로 지난 3월에 열린 ‘캔섹웨스트 폰투오운 2015’에서는 한국의 한 화이트해커가 구글 크롬, 마이크로소프트 인터넷 익스플로러, 애플 사파리 등 3개의 주요 웹브라우저에서 7개의 보안 취약점을 발견해 대회 역사상 최대 규모인 22만5000달러(한화 약 2억5342만원)의 상금을 차지해 화제가 되기도 했다.

판도라의 상자 열려, 적극 대응해야

캔섹웨스트 폰투오운 역대 최대 상금 수상자 이정훈씨. 출처 라온시큐어.

이 같은 크라우드 시큐리티를 우리나라에 도입하기에는 현실적으로 어려움이 많다. 첫째는 법적인 문제이다. 소프트웨어저작권보호와 관련해 우리나라는 역분석(reversing)을 ‘호환성 확보를 목적으로 한 것’ 외에는 금지하고 있다. 그래서 많은 기업이 이 조항을 확대 적용해 연구활동을 위해 제품의 취약점을 분석하고 그 결과를 논문 등의 형태로 발표하는 행위를 원천적으로 막고 있는 실정이다.

둘째는 의식의 문제이다. 해킹기술의 발전속도는 방어기술의 개발속도보다 훨씬 빠르기 때문에 취약점이 있다는 것은 더 이상 창피한 일이 아니다. 그런데 우리 기업들은 자사 서비스나 제품에서 보안 취약점이 발견됐다는 사실 자체를 쉬쉬하며 감추려고만 하는 경향이 있다. 이런 의식을 바꿔야 하고 국민도 사이버 안보상의 흐름에 대해 알고 있어야 한다.

구글, 마이크로소프트, 페이스북, 페이팔 등은 이미 크라우드 시큐리티를 널리 활용하고 있다. 국내의 경우 대기업 중 삼성전자가 시행하고 있기는 하지만 그마저도 스마트TV 한 분야에 국한되어 있다. 관련 대회로는 한국인터넷진흥원(KISA)이 후원하는 ‘시큐인사이드 CTB(SECUINSIDE Capture The Bug)’ 대회가 올해 처음 열렸으나 외국에 비해 상금 규모가 작아 우수 화이트해커들의 적극적인 참여를 유도하기 어렵다.

이제 언제 어디에서나 온라인 상태로 사는 세상이다. 사람도 물건도 모두 실시간으로 연결되는 삶은 편리한 만큼 불안하기도 하다. 감시 및 도·감청 장비 시장은 더욱 커질 것이고 제로데이 취약점 거래는 앞으로 더 활발해질 것이다. 이탈리아업체 해킹팀의 내부정보가 유출되면서 열린 판도라의 상자에 대해 이제는 우리도 본격적인 고민을 시작해야 할 때이다.⊙