한국일보, 국정원의 '국내사찰 부인'에 조목조목 반박
"국정원의 '디도스 공격용 좀비PC' 주장은 잘못된 듯"
새정치민주연합 신경민 의원은 19일 "해킹팀이 2014년 3월 4일 약 1분간 전세계 70개국으로부터 일시적으로 특정 데이터를 전송 받은 로그파일(log.csv)을 확보해 분석한 결과, 한국에 할당된 IP가 138건으로 나타났다"고 밝혔다. 한국의 해당 IP로부터 해킹팀 본사에 그날 내용을 알 수 없는 데이터가 전송됐다는 것.
국정원은 이에 대해 문제의 IP들은 이탈리아 해킹팀이 공격할 때 사용한 것이 아니라 오히려 해킹팀을 디도스 공격한 IP라고 반박했다. 해킹팀이 한국을 포함한 전세계 70개국의 좀비PC에서 디도스 공격이 오자 이를 막으면서 기록된 로그 파일이라는 것.
그러나 <한국일보>는 20일 "한국일보가 보안 전문가의 도움을 받아 신 의원이 공개한 국내 IP 목록을 하나하나 조사한 결과, 상당수가 특정회사가 납품한 빌딩 공조시스템인 것으로 드러났다"면서 "이탈리아업체 해킹팀이 국내에서 에어컨 등 빌딩 공조시스템과 CCTV DVR 등을 해킹하여 악용한 것으로 추정된다"며 국정원 해명에 강한 의문을 제기했다.
<한국일보>에 따르면, 예를 들어 한국교육전산망협의회에서 IP를 관리하는 강원대 단국대 전북대의 IP주소에 /dms2/login.jsp를 덧붙여 인터넷 익스플로러에서 열어 보면 로그인 화면이 나오는데, 이 화면은 삼성전자의 공조시스템 통합관리시스템 서버(DMS)의 관리자 로그인 화면이다.
또한 바이러스 토탈 사이트의 해당 스파이웨어 분석을 보면, 이 스파이웨어의 데이터를 전송 받는 중계서버 역할을 하는 IP 목록 중 신 의원이 공개한 IP들이 다수 있었다. 뿐만 아니라 이 사이트에 공개된 IP 중 신 의원 목록에 없는 IP들도 상당수가 삼성전자의 DMS인 것으로 드러났다.
보안 전문가는 "이런 종류의 스파이웨어는 특정 서버의 IP가 블록 당하면 다른 서버로 데이터를 보낼 수 있도록 해야 하므로 장악한 서버의 리스트를 넣어서 뿌리는 식으로 만들어진다"면서 "에어컨 공조기뿐 아니라 CCTV도 데이터를 전송할 중계서버 목록에 포함돼 있다"고 밝혔다.
<한국일보>는 이탈리아 해킹팀이 디도스 공격을 당한 IP라는 주장에 대해서도 "한국일보의 조사로 볼 때 사실과 다른 것으로 보인다"며 조목조목 의문을 제기했다.
<한국일보>에 따르면, 우선 디도스 공격 시 사용되는 좀비PC는 일반 윈도우 사용자의 개인용 컴퓨터가 많다. 디도스 공격은 특정 사이트에 접속을 집중해 부하를 일으키는 단순한 수준의 공격인데 IP주소가 노출되면 인터넷서비스제공자(ISP)가 막아버리거나 공격 당하는 서버 쪽에서 해당 IP를 막아버리기 때문에 그 IP는 금세 쓸모가 없어져 버린다. 또한 접속 부하를 일으키기 위해서는 수만개의 대량 PC를 사용하는 것이 좋다. 따라서 언제든지 쓰고 버릴 수 있는 개인용 PC를 이메일이나 웹하드로 배포한 악성코드로 감염시켜 좀비PC로 사용하는 일이 많다.
<한국일보>는 "하지만 신 의원이 공개한 IP들을 한국일보가 추적한 결과 방화벽 등으로 외부에 막히거나 현재 사용되지 않아 운영체제를 추정하기 어려운 경우를 제외하고 확인한 모든 IP가 윈도우 운영체제를 사용하지 않았다. 핑(ping) 테스트를 통해 TTL을 확인한 결과 대부분 유닉스 관련 서버나 장비로 추정된다"면서 "연구실 등에 할당된 IP도 유닉스 서버였고 상당수가 공조시스템과 CCTV 제어 장비인 것으로 보아 개인용 PC를 감염시켜 사용하는 좀비PC일 가능성은 낮은 것으로 보인다"며 국정원 주장에 의문을 제기했다.
<한국일보>는 이어 "그렇다면 해킹팀은 왜 건물 공조시스템과 CCTV 서버의 IP를 모았을까?"면서 "앞서 밝혔듯 이 IP들은 스파이웨어의 데이터를 전송할 때 IP를 세탁하는 중계서버로 활용됐다. 해킹팀이 '타깃'의 컴퓨터에 스파이웨어를 설치한 후 거기서 나온 데이터를 전송 받기 위한 중계서버로 활용했을 가능성이 높다"며 이탈리아 해킹팀이 해킹을 했을 가능성에 방점을 찍었다.
<한국일보>는 또한 "만약 이렇게 사용했다면 디도스 공격처럼 일시적으로 공격하고 끝내는 것이 아니라 상시적으로 경유하며 사용했을 것"이라며 "사실일 경우 특이하게도 에어컨 공조시스템과 CCTV 서버를 활용한 이유가 설명된다. 개인 PC와 달리 1년 365일 24시간 상시 켜져 있는 시스템이고 주로 빌딩에 한번 설치하면 업그레이드를 하지 않는 경우가 많기 때문에 이 IP는 단순한 좀비PC보다 훨씬 강력한 공격 무기가 될 수 있다"고 지적했다.
<한국일보>는 결론적으로 "어떻게 보면 해킹팀이 이 IP를 중계서버로만 이용한 것이 다행인지도 모른다"면서 "이 서버들의 관리자 권한을 획득한 것이 사실이라면 건물의 공조시스템을 정지시켜 환기가 안 되게 한다든가 CCTV를 마음대로 지우거나 한다든가 하는 행위도 이론적으로 가능하기 때문"이라고 꼬집었다.
<저작권자ⓒ뷰스앤뉴스. 무단전재-재배포금지>