한국 정보기관이 이탈리아 기업으로부터 구입했다는 의혹을 받고 있는 감청 프로그램 데이터를 분석한 결과, 아직 세상에 공개되지 않은 취약점 이른바 '제로데이(0-day) 공격 코드'가 추가 발견된 것으로 확인됐다. 보안 전문가들은 이들 제로데이 공격 코드가 특정 타깃 대상자의 PC와 스마트폰에 은밀히 감청 프로그램을 심는데 사용돼왔으며, 아직 확인되지 않은 취약점이 더 있을 것으로 추정하고 있다.
13일 국내 보안 전문가는 "이탈리아 '해킹팀'이 판매하는 감청 프로그램 '리모트 컨트롤 시스템(RCS)'를 입수해 분석한 결과, 2종의 제로데이 공격코드가 숨겨져 있다는 사실이 발견됐다"며 "이 가운데 1종은 지난 주말 직전 추가로 발견된 신규 취약점"이라고 밝혔다.
제로데이 공격이란 특정 운영체제(OS)나 프로그램의 알려지지 않은 보안 취약점을 이용한 공격으로, 해당 SW 제작사가 보안패치가 내놓을 때까지 근본적으로 막을 방법이 없다는 점에서 파급력이 크다.
해킹팀 감청 프로그램에서 발견된 제로데이 공격코드 2종은 모두 어도비 플래시 프로그램의 신규 취약점. 지난 9일(현지시각) 해킹 문서가 공개 되면서 이 중 1종은 SW개발사에 의해 긴급 보안 업데이트가 진행됐다. 하지만 추가로 발견된 또 다른 1종은 아직 보안 업데이트가 나오기 전이라 매우 위험한 상황.
가령, 해당 취약점 공격 코드를 이용해 이메일 첨부파일이나 인터넷주소(ULR) 링크하면, 해당 프로그램 이용자는 속수무책으로 악성코드가 PC나 스마트폰에 무조건 깔리게 된다.
일반적으로 제로데이 공격코드를 이용할 경우, 보안제품이 설치 단계에서 이를 탐지하기 어렵다. 백신업계의 한 관계자는 "제로데이 코드의 경우, 설치된 이후 특정 이상 징후가 나올 때 유사 악성코드로 분류해 탐지하는 이상행위 패턴기술로 밖에 걸러낼 수 밖에 없는데, 이마저 기존 정상 프로그램들과 구별하기 쉽지 않다"고 말했다.
제품 소스코드가 동시 공개된 만큼, 제로데이 취약점을 보안업체나 소프트웨어 개발사가 먼저 발견할 수도 있지만, 악의적인 해킹그룹이 먼저 발견하면 곧바로 이를 악용한 공격이 시작된다. 실제 지난 9일 발견된 어도비 플래시 취약점을 악용한 악성코드가 국내 일부 인터넷 사이트에서 유포된 정황도 포착됐다.
이 프로그램이 몰래 설치된 특정 타깃 인사들의 PC나 스마트폰 속 정보 역시 그대로 모니터링될 가능성도 없지 않다는 게 보안 전문가들의 분석이다. 해킹팀이 공식 성명서를 통해 "지난 6일 해커들의 집중 공격을 받아 그동안 관리해오던 자사 스파이웨어 프로그램에 대한 통제권을 상실해 심각한 위협에 처해 있다"고 밝힌 것도 이같은 맥락으로 보인다.
해당 프로그램을 분석한 보안업계 관계자는 "시중에 암암리에 유포되고 있는 스파이앱과의 근본적인 차이 중 하나가 특정 타깃에 감시 프로그램을 몰래 설치할 때 다수의 제로데이 코드를 이용하고 있다는 것"이라며 "아마도 이 때문에 세계 정보기관들이 이탈리아 '해커팀'의 스파이 프로그램을 구매했을 것"이라고 밝혔다.
실제 해킹을 통해 공개된 '해킹팀'의 내부자료에 따르면, 미국 FBI(연방수사국), 호주연방경찰을 비롯해 전세계 주요 국가 정보기관들이 이 회사의 RCS 프로그램을 구매했다. 이 가운데 국가정보원으로 추정되는 한국 '5163부대'도 2012년부터 올해까지 868만6400유로(한화 약 8억6200억원)를 프로그램 사용료로 지급한 것으로 기재돼 있다.
또 다른 국내 보안업계 코드 공격자는 "이탈리아 해킹팀이 지난 수년간에 걸쳐 자신들의 감청 프로그램에 제로데이 공격 코드를 추가해왔던 것 같다"며 "분석 작업이 진행 중이지만, 새로운 제로데이 취약점들이 추가적으로 더 나올 가능성도 배제할 수 없다"고 전했다. 하지만 400 기가바이트(GB) 상당의 해킹팀의 내부 문서(압축파일 포함)를 일일이 분석해야 하기 때문에 분석 작업에 시간이 걸리는 것으로 알려졌다.
한편, '해킹팀'이 판매한 감청 프로그램의 기능은 시중 스파이 프로그램들과 유사하다. 표적 PC나 스마트폰에 침투하면 기기에 저장된 문서파일이나 비밀번호 등 사용자가 키보드에 입력하는 정보 등을 탈취할 수 있다. 스마트폰의 경우, 카메라로 촬영된 사진, 스마트폰 이용자의 이동경로 등을 전송할 수 있다.
그러나 뜯어보면 시중에 유통되는 상용 프로그램보다도 기술적으로 정교하게 설계돼 있으며, 특히 특정 국가 고객기관의 요청에 맞춰 맞춤형 감시 프로그램을 제작하고, 관리해왔다는 정황도 잇따라 포착되고 있다. 공개된 해킹팀의 내부 문서에 따르면, 한국 5163부대는 대행사인 N사를 통해 과거 카카오톡과 한국산 안드로이드폰에 대한 공격 기능 개발 등 진척 상황을 질의했던 것으로 알려졌다.