⊙ 경찰, 국내 테러리스트 의사소통 방식 등 정보 수집 나서
⊙ ISIS 등 테러단체 다양한 형태로 조직원에게 메시지 전달
⊙ 국제 테러단체들 비밀 교신 수단 ‘스테가노그래피’ 활용
⊙ ISIS 등 테러단체 다양한 형태로 조직원에게 메시지 전달
⊙ 국제 테러단체들 비밀 교신 수단 ‘스테가노그래피’ 활용
- 이라크 북부와 시리아의 동부를 점령하고 국가를 자처했던 극단주의 수니파 무장단체 IS(이슬람국가)가 전 세계 추종자들을 모집하기 위해 홍보영상을 찍고 있다. 사진=온라인 캡처
2001년 9·11테러 당시 오사마 빈라덴은 ‘모나리자 사진’에 비행기 도면을 숨겨 하부 조직원들에게 이메일로 전송한 것으로 알려졌다. 국제테러단체들은 이와 비슷한 방법을 활용에 테러에 악용한다. 얼마 전까지는 미국이나 유럽을 대상으로 한 테러에 사용됐지만, 최근엔 대한민국에서도 이와 비슷한 방법으로 국제테러단체들이 활동을 시작한 것으로 알려졌다.
《월간조선》은 2019년 9월경 경찰 내부에서 만들어진 〈테러단체들의 비밀 교신 수단 활용 실태 분석〉이라는 보안자료를 입수했다. 자료에는 수니파 극단주의 무장조직인 IS(이슬람국가)와 알카에다 등 국제테러단체들이 사용하는 비밀 교신 방법에 대해 나와 있다.
자료에 따르면 ISIS(이라크 레반트 이슬람국가) 등 각종 테러단체는 조직의 전략을 반영한 동영상, 포스터 등 다양한 형태로 제작한 메시지를 조직원과 그 추종자들에게 전달하고 있다. 특히, 자료에 따르면 테러 공격 지령 등 민감한 사안의 경우, 공유 당사자만 알 수 있도록 정교하게 암호화된 형태로 교신하는 것으로 밝혀졌다.
자료는 각국의 대(對)테러 기관들은 테러단체들이 이미지, 동영상 등 정상적으로 보이는 객체 안에 메시지를 숨겨 전달하는 방식을 선호한다는 데 주목하고 있다. 그중에서도 9·11테러 이후 테러리스트들이 비밀 교신 수단으로 사용한 것으로 알려진 ‘스테가노그래피’ 기법 활용 실태를 분석해 국내 대테러 활동에 참고할 것을 권고하고 있다.
9·11테러에 사용한 ‘스테가노그래피’
스테가노그래피(Steganography)란 그리스어로 ‘Steganos(보호하다)’와 ‘Graphein(쓰다)’의 합성어로 ‘감추어 쓰다’는 의미다. 즉 스테가노그래피는 보이는 곳에 비밀을 숨기는 은닉법이다.
스테가노그래피는 현대에서 주로 이미지, MP3, 동영상이나 텍스트 파일 등 해가 없어 보이는 객체 안에 비밀 메시지를 감춰두는 방식으로 그 내용을 숨긴다. 테러범이나 정부 첩보기관이 정보를 주고받을 때도 디지털 스테가노그래피를 이용한다. 실제로 9·11테러 당시 오사마 빈라덴이 테러범들과 메시지를 주고받을 때도 스테가노그래피를 사용했다.
스테가노그래피가 사이버 공격용으로 처음 사용된 것은 2011년 악성코드 ‘두쿠(Duqu)’다. 이는 피해자의 시스템에서 정보를 수집해 JPEG 파일에 숨겨, 자신의 제어 서버로 전송하는 방식이었다. 이후 악성코드 ‘러크(Lurk)’와 온라인 광고를 통해 악성코드를 유포하는 ‘멀버타이징(malvertising)’ ‘랜섬웨어’ 유포 등의 수법이 등장하여 PC 이용자들을 혼란에 빠뜨렸다.
해커들이 스테가노그래피를 애용하는 이유는 대부분 보안을 쉽게 피할 수 있기 때문이다. 예방책도 있다. 소프트웨어를 주기적으로 갱신하거나 신뢰할 수 있는 업체의 애플리케이션만 설치하는 것 등이 방법이다. 기발한 방법으로 서로의 메시지를 전달하기 위해 탄생한 스테가노그래피. 현대에서는 악성코드 유포 방식으로 많이 사용되고 있다.
해당 자료는 서울경찰청에서 정보요원들에게 하달한 자료다. 여기에는 ‘열람 후 파기’라는 문구가 있다. 한 경찰 관계자는 “이런 문서들은 외부 유출이 불가능하다. 내부에서도 해당하는 사람들 이외 볼 수가 없다”고 말했다.
자료에는 테러 의심자 수사 시 대상자의 외적 성향과 어울리지 않는 미디어 파일(사진·동영상)이나 음란물 다량 소지자의 경우, 면밀한 파악이 필요하다고 명시되어 있다. 스테가노그래피를 활용한 테러리스트들의 의사소통은 치밀하고 교묘한 방식으로 진화하고 있기 때문에 사전 적발이나 차단에 한계가 있다. 이를 위해 국내외 전문가, 해외 대테러 공조기관과 협력을 통해 스테가노그래피 같은 메시지 암호화 기법, 테러범 수사 시 관련 유(有)경험 사례를 수집해 공유가 필요하다고 밝혔다.
IS로 달려간 한국인들
경찰 관계자는 “이런 자료가 전달된 것은 거의 없다. 2019년 9월 갑자기 전달된 것은 그전에 국제테러단체들의 움직임이 포착된 것으로 봐야 한다”며 “이러한 테러단체들의 움직임을 사전에 차단하지 못할 경우 대한민국 안보에 큰 위협이 될 것”이라고 말했다.
국가정보원 정보관리실장을 지낸 김정봉 한중대 석좌교수는 “2015년에 한국 국적의 10대 청소년이 ISIS에 가입하기 위해 출국한 사건도 있고, 얼마 전엔 IS 테러리스트 2명이 국내에 들어오려다 적발됐다”며 “현재 한국에 IS 가담자가 없다고 볼 수도 없다. 모르는 것뿐이다. 이들이 국내 거점을 만들어 이슬람교도들을 포섭해 미군 기지를 대상으로 테러를 저지를 가능성은 충분히 있다”고 말했다.
2015년 1월 터키를 여행하던 한국인 10대 남성 김모군이 터키와 시리아의 접경 지역에서 행방불명된 사건이 벌어졌다. 이후 그는 자발적으로 이라크 레반트 이슬람국가에 가담한 것이 확인되었으며, 현재 그는 사망한 것으로 추정된다.
2016년 4월에는 시리아와 이라크에서 활동하는 수니파 무장조직 IS에 한국인 청년 김모군 외에 또 다른 한국인이 가담했을 가능성이 제기됐다는 언론 보도도 있었다
2018년 7월에는 이슬람 극단주의 테러조직인 IS를 추종하는 시리아인이 국내에서 IS를 선전·포섭 활동을 해오다 구속되기도 했다. 당시 인천지방경찰청 국제범죄수사대는 테러방지법 위반 혐의로 시리아인 A씨를 구속해 검찰에 송치했다. 2016년 제정된 테러방지법을 적용해 구속한 첫 사례다.
A씨는 2007년 한국에 입국한 후 수년 동안 시리아인 등 동료 외국인 노동자들에게 IS가 만든 홍보 영상을 보여주고 IS 가입을 권유한 혐의를 받았다. A씨는 최초 입국 당시 한국 정부에 난민 신청을 하지만 거부당했고, 대신 인도적 체류 허가를 받아 경기도 일대 폐차장 등지에서 일한 것으로 알려졌다. 검거 당시 A씨 차량 안에서는 부탄가스와 폭죽 등 다수의 폭발성 물질이 발견됐고, 노트북에는 IS 관련 홍보물이 담겨 있었다.
2019년 7월에는 IS를 추종해 가입을 시도한 현역 병사도 있었다. 당시 국방부 발표에 따르면 7월 2일에 전역한 B씨는 입대 후에도 IS와 접촉해 ‘자생적 테러’를 준비한 정황이 포착됐다. 해당 병사는 복무 기간에 군용 폭발물 점화 장치를 훔쳤으며, 이를 테러에 사용하려 한 혐의를 받았다. 2017년 10월 입대한 B씨는 입대 전 IS와 접촉한 이력도 있는 것으로 파악됐다. 입대 후에도 IS 지지자들이 활용하는 애플리케이션을 휴대전화에 설치해 IS 측과의 접촉을 이어간 것으로 전해졌다.
왕재산 사건
북한 간첩들이 국내에서 스테가노그래피 방식으로 교신한 사례도 있다. 2011년 8월, 북한 지령으로 국내에서 간첩 활동을 벌인 혐의로 공안당국에 적발된 종북(從北) 성향 지하당 조직 ‘왕재산’은 수사기관의 추적을 피하기 위해 첨단 스테가노그래피 기법을 썼다.
당시 검찰이 왕재산 총책인 김씨로부터 압수한 휴대용 저장장치(USB 메모리)에는 수상한 문서가 가득했다. 확장자명이 ‘.doc’인 평범한 문서파일을 열면 최근 본 듯한 신문 기사가 뜬다. 유럽에서 발생한 슈퍼 박테리아나 만성위염 예방법 따위에 대한 평범한 기사다. 하지만 북한 공작조직이 직접 개발한 특수 프로그램을 실행해 암호문을 보통 문장으로 바꾸면 ‘관덕봉 동지 앞’으로 시작하는 북한의 지령문이 뜬다.
거꾸로 북한에 보고문을 보낼 때에도 이 프로그램을 이용해 메시지를 암호화하면 신문 기사로 위장한 스테가노그래피를 만들 수 있다. 검찰은 압수한 김씨의 USB메모리에서 스테가노그래피로 만든 문서 40여 개를 찾았다. 김씨 등 왕재산 조직원들은 수사기관이 추적하지 못하도록 G메일 등 해외에 서버를 둔 e메일 서비스를 이용해 스테가노그래피 기법으로 숨긴 지령과 대북(對北) 보고문을 주고받은 것으로 확인됐다.
포르노 속에 감춘 테러문건들
알카에다 등 주요 테러단체들은 하부 조직원들에게 비밀사항이나 테러공격 지령 시 스테가노그래피 기법을 사용한다는 것을 공개했다. 2007년 2월 ‘테크니컬 무자히드(Technical Mujahid)’라는 알카에다 온라인 간행물에서 최초로 미디어 파일 속에 기밀을 숨기는 기법을 소개했다.
2011년 5월 독일에서는 알카에다의 테러 지령문이 암호화된 형태로 저장된 포르노 파일을 소지한 남성이 체포된 사례도 있다.
독일 베를린의 모처에서 독일 경찰들이 알카에다 조직원으로 의심되는 오스트리아 청년 마크 수드로딘을 붙잡았다. 심문 도중 수드로딘의 팬티 속에서 소형 메모리카드를 발견했다. ‘섹시 타냐’ ‘킥애스’ 따위의 제목을 가진 포르노 영상물이 가득했다. 영상물 해독 결과는 놀라웠다. 영상 속에는 알카에다의 향후 테러 계획 및 작전 지침 등이 담긴 100여 개 문서가 암호화돼 숨어 있었다.
당시 독일 수사 당국이 입수한 파일 중 ‘앞으로 작업’이라는 문건에서 가장 눈에 띄는 계획은 ‘여객선 납치 계획’이었다. 알카에다는 문건에서 “(여객선) 승객을 인질로 붙잡으면 여론의 압력이 고조될 것”이라면서 “인질들을 한 명씩 살해하며 특정 수감자의 석방을 요구할 것”이라고 밝혔다. 또 인질들에게 미군 관타나모 수용소에서 테러 용의자들이 입는 오렌지색 옷을 입히고 이들을 살해하는 모습을 영상으로 촬영한다는 계획도 담겨 있다.
파일에는 또 알카에다가 유럽에 ‘뭄바이식 테러 공격’을 가하려고 논의한 정황도 담긴 것으로 알려졌다. 인도의 최대 도시 뭄바이에서는 2008년 11월 자동무기와 수류탄으로 무장한 세력이 테러 공격을 벌여 180여 명이 사망했다. 실제로 수드로딘이 체포되고 2주 뒤 오스트리아 빈에서 유수프 오카크라는 인물이 검거됐으며, 서방 정보기관들은 수드로딘과 오카크가 유럽 내 자살폭탄 테러범을 모집하려 한 것으로 보고 있다.
IS 역시 전 세계 동조·추종자들과 테러 관련 정보를 비밀리에 공유하기 위해 다양한 방법을 사용하고 있다. 2017년 12월, IS를 추종하는 텔레그램 채널에 지하디스트(이슬람 성전주의자)를 위한 ‘무슬림크립트(MuslimCrypt)’라는 스테가노그래피 프로그램이 소개된 바 있다. 또 최근에는 인터넷 ‘아카이브(archive)’를 활용한 테러 메시지 저장·교환 방식도 발견되는 등 수법과 방식도 다양하다.
김정봉 교수는 “한국도 IS나 알카에다 등 국제테러단체들의 예외 국가는 아니다”라고 말했다.⊙
《월간조선》은 2019년 9월경 경찰 내부에서 만들어진 〈테러단체들의 비밀 교신 수단 활용 실태 분석〉이라는 보안자료를 입수했다. 자료에는 수니파 극단주의 무장조직인 IS(이슬람국가)와 알카에다 등 국제테러단체들이 사용하는 비밀 교신 방법에 대해 나와 있다.
자료에 따르면 ISIS(이라크 레반트 이슬람국가) 등 각종 테러단체는 조직의 전략을 반영한 동영상, 포스터 등 다양한 형태로 제작한 메시지를 조직원과 그 추종자들에게 전달하고 있다. 특히, 자료에 따르면 테러 공격 지령 등 민감한 사안의 경우, 공유 당사자만 알 수 있도록 정교하게 암호화된 형태로 교신하는 것으로 밝혀졌다.
자료는 각국의 대(對)테러 기관들은 테러단체들이 이미지, 동영상 등 정상적으로 보이는 객체 안에 메시지를 숨겨 전달하는 방식을 선호한다는 데 주목하고 있다. 그중에서도 9·11테러 이후 테러리스트들이 비밀 교신 수단으로 사용한 것으로 알려진 ‘스테가노그래피’ 기법 활용 실태를 분석해 국내 대테러 활동에 참고할 것을 권고하고 있다.
9·11테러에 사용한 ‘스테가노그래피’
 |
| 2001년 9·11테러를 주도한 알카에다의 지도자 오사마 빈 라덴. 사진=뉴시스 |
스테가노그래피는 현대에서 주로 이미지, MP3, 동영상이나 텍스트 파일 등 해가 없어 보이는 객체 안에 비밀 메시지를 감춰두는 방식으로 그 내용을 숨긴다. 테러범이나 정부 첩보기관이 정보를 주고받을 때도 디지털 스테가노그래피를 이용한다. 실제로 9·11테러 당시 오사마 빈라덴이 테러범들과 메시지를 주고받을 때도 스테가노그래피를 사용했다.
스테가노그래피가 사이버 공격용으로 처음 사용된 것은 2011년 악성코드 ‘두쿠(Duqu)’다. 이는 피해자의 시스템에서 정보를 수집해 JPEG 파일에 숨겨, 자신의 제어 서버로 전송하는 방식이었다. 이후 악성코드 ‘러크(Lurk)’와 온라인 광고를 통해 악성코드를 유포하는 ‘멀버타이징(malvertising)’ ‘랜섬웨어’ 유포 등의 수법이 등장하여 PC 이용자들을 혼란에 빠뜨렸다.
해커들이 스테가노그래피를 애용하는 이유는 대부분 보안을 쉽게 피할 수 있기 때문이다. 예방책도 있다. 소프트웨어를 주기적으로 갱신하거나 신뢰할 수 있는 업체의 애플리케이션만 설치하는 것 등이 방법이다. 기발한 방법으로 서로의 메시지를 전달하기 위해 탄생한 스테가노그래피. 현대에서는 악성코드 유포 방식으로 많이 사용되고 있다.
해당 자료는 서울경찰청에서 정보요원들에게 하달한 자료다. 여기에는 ‘열람 후 파기’라는 문구가 있다. 한 경찰 관계자는 “이런 문서들은 외부 유출이 불가능하다. 내부에서도 해당하는 사람들 이외 볼 수가 없다”고 말했다.
자료에는 테러 의심자 수사 시 대상자의 외적 성향과 어울리지 않는 미디어 파일(사진·동영상)이나 음란물 다량 소지자의 경우, 면밀한 파악이 필요하다고 명시되어 있다. 스테가노그래피를 활용한 테러리스트들의 의사소통은 치밀하고 교묘한 방식으로 진화하고 있기 때문에 사전 적발이나 차단에 한계가 있다. 이를 위해 국내외 전문가, 해외 대테러 공조기관과 협력을 통해 스테가노그래피 같은 메시지 암호화 기법, 테러범 수사 시 관련 유(有)경험 사례를 수집해 공유가 필요하다고 밝혔다.
IS로 달려간 한국인들
경찰 관계자는 “이런 자료가 전달된 것은 거의 없다. 2019년 9월 갑자기 전달된 것은 그전에 국제테러단체들의 움직임이 포착된 것으로 봐야 한다”며 “이러한 테러단체들의 움직임을 사전에 차단하지 못할 경우 대한민국 안보에 큰 위협이 될 것”이라고 말했다.
국가정보원 정보관리실장을 지낸 김정봉 한중대 석좌교수는 “2015년에 한국 국적의 10대 청소년이 ISIS에 가입하기 위해 출국한 사건도 있고, 얼마 전엔 IS 테러리스트 2명이 국내에 들어오려다 적발됐다”며 “현재 한국에 IS 가담자가 없다고 볼 수도 없다. 모르는 것뿐이다. 이들이 국내 거점을 만들어 이슬람교도들을 포섭해 미군 기지를 대상으로 테러를 저지를 가능성은 충분히 있다”고 말했다.
2015년 1월 터키를 여행하던 한국인 10대 남성 김모군이 터키와 시리아의 접경 지역에서 행방불명된 사건이 벌어졌다. 이후 그는 자발적으로 이라크 레반트 이슬람국가에 가담한 것이 확인되었으며, 현재 그는 사망한 것으로 추정된다.
2016년 4월에는 시리아와 이라크에서 활동하는 수니파 무장조직 IS에 한국인 청년 김모군 외에 또 다른 한국인이 가담했을 가능성이 제기됐다는 언론 보도도 있었다
2018년 7월에는 이슬람 극단주의 테러조직인 IS를 추종하는 시리아인이 국내에서 IS를 선전·포섭 활동을 해오다 구속되기도 했다. 당시 인천지방경찰청 국제범죄수사대는 테러방지법 위반 혐의로 시리아인 A씨를 구속해 검찰에 송치했다. 2016년 제정된 테러방지법을 적용해 구속한 첫 사례다.
A씨는 2007년 한국에 입국한 후 수년 동안 시리아인 등 동료 외국인 노동자들에게 IS가 만든 홍보 영상을 보여주고 IS 가입을 권유한 혐의를 받았다. A씨는 최초 입국 당시 한국 정부에 난민 신청을 하지만 거부당했고, 대신 인도적 체류 허가를 받아 경기도 일대 폐차장 등지에서 일한 것으로 알려졌다. 검거 당시 A씨 차량 안에서는 부탄가스와 폭죽 등 다수의 폭발성 물질이 발견됐고, 노트북에는 IS 관련 홍보물이 담겨 있었다.
2019년 7월에는 IS를 추종해 가입을 시도한 현역 병사도 있었다. 당시 국방부 발표에 따르면 7월 2일에 전역한 B씨는 입대 후에도 IS와 접촉해 ‘자생적 테러’를 준비한 정황이 포착됐다. 해당 병사는 복무 기간에 군용 폭발물 점화 장치를 훔쳤으며, 이를 테러에 사용하려 한 혐의를 받았다. 2017년 10월 입대한 B씨는 입대 전 IS와 접촉한 이력도 있는 것으로 파악됐다. 입대 후에도 IS 지지자들이 활용하는 애플리케이션을 휴대전화에 설치해 IS 측과의 접촉을 이어간 것으로 전해졌다.
왕재산 사건
북한 간첩들이 국내에서 스테가노그래피 방식으로 교신한 사례도 있다. 2011년 8월, 북한 지령으로 국내에서 간첩 활동을 벌인 혐의로 공안당국에 적발된 종북(從北) 성향 지하당 조직 ‘왕재산’은 수사기관의 추적을 피하기 위해 첨단 스테가노그래피 기법을 썼다.
당시 검찰이 왕재산 총책인 김씨로부터 압수한 휴대용 저장장치(USB 메모리)에는 수상한 문서가 가득했다. 확장자명이 ‘.doc’인 평범한 문서파일을 열면 최근 본 듯한 신문 기사가 뜬다. 유럽에서 발생한 슈퍼 박테리아나 만성위염 예방법 따위에 대한 평범한 기사다. 하지만 북한 공작조직이 직접 개발한 특수 프로그램을 실행해 암호문을 보통 문장으로 바꾸면 ‘관덕봉 동지 앞’으로 시작하는 북한의 지령문이 뜬다.
거꾸로 북한에 보고문을 보낼 때에도 이 프로그램을 이용해 메시지를 암호화하면 신문 기사로 위장한 스테가노그래피를 만들 수 있다. 검찰은 압수한 김씨의 USB메모리에서 스테가노그래피로 만든 문서 40여 개를 찾았다. 김씨 등 왕재산 조직원들은 수사기관이 추적하지 못하도록 G메일 등 해외에 서버를 둔 e메일 서비스를 이용해 스테가노그래피 기법으로 숨긴 지령과 대북(對北) 보고문을 주고받은 것으로 확인됐다.
 |
| 2011년 11월 20일 국제테러단체 알카에다의 연계조직인 알누스라 전선을 추종한 혐의로 경찰에 체포된 인도네시아인 A씨가 20일 오후 서울 서초구 서울중앙지법에서 사문서 위조와 출입국관리법 위반 등의 혐의로 영장실질심사를 받고 법원을 나오고 있다. 사진=뉴시스 |
2011년 5월 독일에서는 알카에다의 테러 지령문이 암호화된 형태로 저장된 포르노 파일을 소지한 남성이 체포된 사례도 있다.
독일 베를린의 모처에서 독일 경찰들이 알카에다 조직원으로 의심되는 오스트리아 청년 마크 수드로딘을 붙잡았다. 심문 도중 수드로딘의 팬티 속에서 소형 메모리카드를 발견했다. ‘섹시 타냐’ ‘킥애스’ 따위의 제목을 가진 포르노 영상물이 가득했다. 영상물 해독 결과는 놀라웠다. 영상 속에는 알카에다의 향후 테러 계획 및 작전 지침 등이 담긴 100여 개 문서가 암호화돼 숨어 있었다.
당시 독일 수사 당국이 입수한 파일 중 ‘앞으로 작업’이라는 문건에서 가장 눈에 띄는 계획은 ‘여객선 납치 계획’이었다. 알카에다는 문건에서 “(여객선) 승객을 인질로 붙잡으면 여론의 압력이 고조될 것”이라면서 “인질들을 한 명씩 살해하며 특정 수감자의 석방을 요구할 것”이라고 밝혔다. 또 인질들에게 미군 관타나모 수용소에서 테러 용의자들이 입는 오렌지색 옷을 입히고 이들을 살해하는 모습을 영상으로 촬영한다는 계획도 담겨 있다.
파일에는 또 알카에다가 유럽에 ‘뭄바이식 테러 공격’을 가하려고 논의한 정황도 담긴 것으로 알려졌다. 인도의 최대 도시 뭄바이에서는 2008년 11월 자동무기와 수류탄으로 무장한 세력이 테러 공격을 벌여 180여 명이 사망했다. 실제로 수드로딘이 체포되고 2주 뒤 오스트리아 빈에서 유수프 오카크라는 인물이 검거됐으며, 서방 정보기관들은 수드로딘과 오카크가 유럽 내 자살폭탄 테러범을 모집하려 한 것으로 보고 있다.
IS 역시 전 세계 동조·추종자들과 테러 관련 정보를 비밀리에 공유하기 위해 다양한 방법을 사용하고 있다. 2017년 12월, IS를 추종하는 텔레그램 채널에 지하디스트(이슬람 성전주의자)를 위한 ‘무슬림크립트(MuslimCrypt)’라는 스테가노그래피 프로그램이 소개된 바 있다. 또 최근에는 인터넷 ‘아카이브(archive)’를 활용한 테러 메시지 저장·교환 방식도 발견되는 등 수법과 방식도 다양하다.
김정봉 교수는 “한국도 IS나 알카에다 등 국제테러단체들의 예외 국가는 아니다”라고 말했다.⊙
조양연
(2020-05-13)
: 0
: 1
