“국정원 스파이웨어 증거 추적” 해킹팀 추적 ‘시티즌 랩’

 

 

외신전문사이트 뉴스프로가 한국 정부의 ‘해킹팀’ 스파이웨어 구매 가능성을 시사한 바 있는 ‘시티즌 랩’ 연구원 빌 마크잭과 서면 인터뷰를 했다. 인터뷰는 총 2회에 걸쳐 게재될 예정이다.

 

오마이뉴스에 따르면 빌 마크잭은 인터뷰 당시 ‘시티즌랩’의 연구 결과 한국을 포함한 다수의 국가가 ‘해킹팀’의 스파이웨어를 구매한 것으로 추정되며, 언론인이나 인권운동가들을 감시하는 데 사용하고 있을 것이라고 말했었다.

 

빌 마크잭은 이번 인터뷰에서 국정원이 ‘해킹팀’에 문의한 TNI 장치에 대해 대답하고 그 기능을 상세히 설명했다. 그는 “TNI와 연결된 네트워크에 있는 모든 사람이 공격 대상이 될 수 있다”고 말했다. 또 TNI를 사용해 주입한 스파이웨어는 흔적없이 파일을 빼가거나, 도청은 물론, 온라인 계정의 비밀번호를 훔치고, 웹캠이나 마이크를 켜는 등, 수많은 스파이 활동을 가능하게 한다고 덧붙였다.

 

TNI 공격으로부터 보호받을 수 있느냐는 질문에 대해 “일반 사용자가 자신을 보호하기는 쉽지 않으며 TNI 감지 또한 지극히 어려운 문제”라고 답했다. 원격 삭제(遠隔削除)가 가능한 스파이웨어가 제거된 경우에는 감지가 아예 불가능하거나 전문가의 도움을 받아야 하는 등 매우 어려울 수 있다고 대답했다.

 

국정원이 해킹 프로그램을 선거와 관련해서 어떻게 사용할 수 있느냐는 질문에 그는 “유출된 이메일에 들어있던 국정원이 ‘실제 타겟’이라고 말한 작전의 스파이웨어 일지에서 한국 IP 주소들을 봤다”며 실제 타겟의 존재 가능성을 시사했다.

 

빌 마크잭은 “국정원이 스파이웨어 또는 TNI를 어떻게 사용하고 있었는지, 그들이 누구를 목표로 삼았는지 ‘천천히 하지만 확실하게’ 계속 증거를 찾아 끼워 맞춰야 한다”고 강조했다.

 

 

 

다음은 뉴스프로가 번역한 빌 마크잭과의 서면 인터뷰 전문이다.

번역 감수 : 임옥

 

빌 마크잭과의 서면 인터뷰 전문 – 1

 

We know an agent from the National Intelligence Service (NIS) in South Korea contacted Hacking Team to inquire about the TNI, or the Tactical Network Injector in 2014. In fact, the NIS received a TNI to test in April 2014 from Hacking Team, according to their email correspondence. We understand that the TNI can infect an entire Wi-Fi network and all users using the network once this device gets plugged into the ISP or Internet Service Provider:

질문: 한국 국정원의 요원이 2014년 해킹팀에 연락해 TNI 혹은 전략적 네트워크 주입기에 대해 문의한 사실을 알고 있다. 실제로 국정원은 2014년 4월 해킹팀으로부터 테스트용 TNI를 받았음이 이메일 교신에서 드러났다. TNI가 ISP 혹은 인터넷 서비스 제공자에 설치되면 무선 네트워크와 사용자 전체를 감염시킬 수 있는 것으로 안다.

 

1. Would you explain a little how the TNI works for our readers?

TNI가 어떤 작용을 하는지 설명을 해주겠나?

 

Bill: Sure. The TNI is a laptop that you can connect it to a local area network (such as in a home, a hotel, a company, or a building), and hijack connections of people connected to that network. It works for either wired or wireless networks. For wired networks, you need special access to the network to use the TNI (maybe you need to go into a telecommunications closet or server room). For some wireless networks, you may not need any special access for the TNI.

빌: 물론이다. TNI는 휴대용 컴퓨터로서 이를 근거리 통신 네트워크(가정, 호텔, 회사 혹은 빌딩 등)에 연결하면 그 네트워크에 접속한 사람들의 접속을 빼앗을 수 있다. 이것은 무선 혹은 유선 네트워크에 모두 해당된다. 유선 네트워크에서는 TNI를 사용하기 위해 네트워크에 특별히 접근할 필요가 있다 (원격통신실 혹은 서버룸으로 들어갈 필요가 있을지도 모른다). 무선 네트워크에서는 TNI를 위해 특별하게 접근할 필요가 없을지도 모른다.

 

Once the TNI is connected to the network, it can see the Internet traffic of everyone else connected to the network (for example,whatwebsites they are visiting). If the internet traffic is not encrypted (e.g., not HTTPS), then the TNI can see the web content. The TNI can target everyone on the network, or it can target specific people on the network. The person operating the TNI can select targets using metadata (for example target by IP address or MAC address), or they can select targets based on a string in the data (for example, they can target anyone whose computer is sending or receiving the string “***@yahoo.com”) Of course, Yahoo Mail is encrypted, so they won’t see this e-mail address when you signin to Yahoo mail, but if you use the e-mail address “***@yahoo.com” as a login or username to any sites that are un-encrypted, then they can identify you when you visit these sites and target you (assuming they are running the TNI on the local network you are connected to).

일단 TNI가 네트워크에 연결되면, TNI는 그 네트워크에 연결된 모든 사람들의 인터넷 트래픽(예를 들어 그들이 방문하고 있는 웹 사이트들)을 볼 수 있게 된다. 그 인터넷 트래픽이 암호화된 것이 아니면(예를 들어 HTTPS가 아니면), TNI는 웹 콘텐츠를 볼 수 있다. TNI는 네트워크에 있는 모든 사람들을 목표물로 삼을 수도 있고 네트워크상의 특정 인물을 목표물로 삼을 수도 있다. TNI를 운영하는 사람은 메타 데이터를 이용해 목표물들을 선택하거나 (예를 들면, 아이피(IP) 주소나 MAC 주소로 목표물을 선별), 혹은 데이터에 있는 단서를 근거로 목표물을 선택할 수 있다 (예를 들면, “***@yahoo.com”이라는 단서를 보내거나 받는 사람을 목표물로 삼을 수 있다). 물론 야후 메일은 암호화되어 있어서 당신이 야후 메일에 들어갈 때는 그들이 그 이메일 주소를 볼 수 없지만 만일 “***@yahoo.com”이라는 이메일 주소를 암호화되지 않은 사이트에 로그인 혹은 사용자 이름으로 사용한다면, 가령 당신이 이 사이트들을 방문할 때 그들은 당신을 알아낼 수 있으며 (당신이 접속한 단거리 네트워크에 그들이 TNI를 작동시키고 있다면) 당신을 목표물로 삼을 수 있다.

 

Once the TNI has identified you as a target, it can target you in several ways. First, it can alter normal files you download or normal websites you visit over the network via HTTP (not HTTPS), to insert spyware or exploits. Second, it can block the Adobe Flash Player on unencrypted (not HTTPS) websites, including porn websites like youporn.com, and insert a message into the website asking you to update the flash player, which contains a link to the spyware.

일단 TNI가 당신을 타겟으로 규정하면 TNI는 여러 방법으로 당신을 목표로 삼을 수 있다. 우선, TNI는 당신이 다운받은 정상적인 파일들 혹은 HTTP(HTTPS가 아니라)를 통해 당신이 방문했던 정상적인 웹사이트를 변경하여 스파이웨어나 공격물을 삽입할 수 있다. 두 번째, TNI는 youporn.com과 같은 포르노 웹사이트들을 포함한 암호화되지 않은(HTTPS가 아니라) 웹사이트들에서 어도비 플래시 플래이어를 차단한 다음 플래시 플레이어를 업데이트시킬 것을 요청하는 메시지를 웹사이트에 삽입하고 그 안에 스파이웨어로 가게 하는 링크를 심을 수 있다.

 

2. Would you tell us what the NIS could possibly achieve by using this device (or the spyware that the device is injecting)?

국정원이 이 장치(혹은 그 장치를 사용해 주입한 스파이웨어)를 사용함으로써 무엇을 이룰 수 있는지 말해줄 수 있나?

 

Bill: It’s not clear what their purpose of purchasing this device is. But it allows the NIS to infect people with spyware in a very stealthy way, which is extremely hard to detect or prove. The spyware allows the NIS to take files from your computer; to record phone calls, messages, e-mails, and social media activity even if you are using encryption; to steal passwords for online accounts; to turn on your webcam or microphone; and many other spy features. Hacking Team advertises that the spyware allows you to “look through your target’s eyes.”

빌 : 국정원이 이 기기를 구매한 목적이 무엇인지 분명하지는 않다. 하지만 국정원은 이 기기를 이용해서 아주 은밀한 방법으로 사람들을 스파이웨어에 감염시킬 수 있으며 그래서 사람들은 이를 찾아내거나 혹은 증명하기가 매우 어려울 것이다. 국정원은 이 스파이웨어를 이용해서, 당신이 암호화를 시키고 있다 해도 당신 컴퓨터에서 파일을 빼가고, 전화 통화, 메시지, 이메일 그리고 소셜미디어 활동 등을 도청할 수 있으며, 온라인 계정의 비밀번호를 훔치고, 웹캠이나 마이크를 켜거나 그 외 다른 많은 스파이 첩보 활동들을 할 수 있다. 해킹팀은 스파이웨어가 “당신 타겟의 눈을 통해 볼 수” 있게 해준다고 광고한다.

 

3. Is there any way to be protected from a TNI attack? Is it possible to detect the infection when infected? Is it true that the spyware can be injected and removed remotely? Would there be any evidence or trace of the use of the TNI by the NIS, for example, in infected computers or mobile devices? How about after the spyware has been removed remotely? If there is a way to detect the use of TNI or any spyware what should be looked for in order to do so?

TNI 공격으로부터 보호받을 수 있는 방법이 있나? 감염될 때 감염되었다는 것을 감지할 수 있나? 스파이웨어가 주입되고 삭제되는 것이 원격으로 가능한 것이 사실인가? 예를 들어 감염된 컴퓨터나 모바일 장비에 국정원이 TNI를 사용한 증거나 흔적이 남는가? 스파이웨어가 원격으로 삭제된 뒤에는 어떠한가? 만일 TNI 혹은 스파이웨어의 사용을 감지하는 방법이 있다면 그것은 어떤 것인가?

 

Bill: It is hard for an ordinary user to be protected from a TNI attack. If you use VPNs or Tor Browser, or only browse using a virtual machine on your computer, this may give you more protection from a TNI. VPN or Tor will encrypt all of your browsing in a way that the TNI cannot attack. If a virtual machine becomes infected, it is much harder for the infection to spread outside the virtual machine to the rest of the computer.

 

빌: 일반 사용자들이 TNI 공격으로부터 자신을 보호하는 것은 쉽지 않다. VPNs나 Tor 브라우저, 또는 가상 컴퓨터 시스템을 이용해서 검색한다면 TNI 공격으로부터 더 안전할지도 모른다. VPN이나 Tor는 TNI가 공격할 수 없도록 당신이 검색한 모든 것을 암호화할 것이기 때문이다. 만약 가상 컴퓨터 시스템이 감염된다고 하더라도 이 시스템 밖으로 퍼져나가 컴퓨터의 다른 부분까지 감염시키는 것은 훨씬 더 어렵다.

 

At this time, I don’t think ordinary people in Korea need to be too concerned about the TNI, because the NIS needs to send someone with the TNI device near their target. Any time you talk about an agent having to physically go somewhere, that costs a lot of time and money. So, if the NIS is targeting someone with it, it will probably be a very high-value target. We have not yet established whether the NIS actually used this device in real operations, or just for testing. We should keep investigating to find this out.

현재로서는 일반인들이 TNI에 대해 너무 걱정할 필요는 없다고 생각한다. 왜냐하면 국정원이 TNI 기기를 직접 사람을 시켜 목표물 근처에 보내야 하는데 이는 시간과 비용이 많이 드는 일이기 때문이다. 따라서 국정원이 누군가를 TNI 공격 목표로 삼는다면, 그는 그럴만한 가치가 아주 높은 인물일 것이다. 우리는 국정원이 실제로 TNI를 사용했는지 또는 이것이 단지 실험용인지 알아내지 못했다. 이 같은 사실을 알아내기 위해 계속 조사해야 할 것이다.

 

Let me answer your questions about detection. As for detecting the TNI itself, this is an extremely hard problem. When the TNI hijacks a connection, there is a very short window of time in which it may be able to be detected, because your computer might receive a response both from the website you are browsing, and also a fake response injected by the TNI. You won’t notice this as a regular computer user, but if you are running an Intrusion Detection System (IDS), you may be able to notice it.

그럼 감지에 대한 질문에 답하도록 하겠다. TNI 자체를 감지하는 것은 지극히 어려운 문제다. TNI가 해킹을 하면 이를 발견할 수 있는 시간대는 매우 짧다. 왜냐하면 컴퓨터는 당신이 브라우징 중이던 웹사이트가 주는 답변과 TNI가 주입한 가짜 답변 둘 다 받게 되기 때문이다. 일반적인 컴퓨터 사용자라면 이를 알아차릴 수 없지만, 만약 침입 감지 시스템(Intrusion Detection System)을 운영 중이라면 알 수 있을지도 모른다.

 

Detecting the spyware once it is on your computer is easier, but still hard. As you say, any infection can be removed remotely, and at that point it becomes very hard, if not impossible to detect, and would require an expert in computer forensics to detect. If the infection has not yet been removed, it will be easier to detect, but may require a computer security expert, because the spyware bypasses anti-virus products, and maintains invisibility from common analysis tools. However, since the Hacking Team source code has leaked, anti-virus companies are rapidly adding detection for the older versions of the spyware. It is perhaps possible that someone may still have an older version of the spyware on their computer, and running an anti-virus product might detect it, but it is not guaranteed.

스파이웨어가 당신의 컴퓨터에 심어지면 스파이웨어를 감지하는 것이 좀 더 쉽긴 하나 그래도 어렵다. 당신이 말했듯 어떠한 감염도 원격으로 제거될 수 있으며, 이렇게 제거되면 감지가 아예 불가능하거나 매우 어려워질 것이고 이때는 컴퓨터 과학 수사 전문가가 필요할 것이다. 만약 감염이 아직 제거되지 않았다면, 감지하기는 더욱 쉽겠지만, 컴퓨터 보안 전문가가 필요할지 모른다. 왜냐하면 스파이웨어는 안티바이러스 프로그램에 걸리지 않아 일반적인 분석 도구로는 눈에 띄지 않을 것이기 때문이다. 하지만 해킹팀의 소스 코드가 누출된 이후로 안티바이러스 회사들은 그 스파이웨어의 이전 버전을 감지하는 기능을 신속히 추가하고 있다. 누군가가 자신의 컴퓨터에 그 스파이웨어의 이전 버전을 아직 가지고 있다면, 그리고 안티바이러스 제품을 사용한다면 그것을 찾아낼 수 있을지도 모르나 보장은 할 수 없다.

 

4. The NIS purchased hacking programs, especially ahead of national elections. What can they do with these programs in relation to elections, polling, or voting?

국정원이 특히 선거 전에 해킹 프로그램들을 구입했다. 그들이 이러한 프로그램을 이용해 선거나 여론조사, 또는 투표와 관련하여 무엇을 할 수 있는가?

 

Bill: First, we have not yet established evidence to suggest how the NIS was using the spyware or TNI, or who they were targeting. We have seen Korean IP addresses in the spyware logs, for operations that the NIS described in the leaked e-mails as targeting “real targets,” rather than testing. Assuming these are real targets, we do not yet know why these people were targeted or who they are.

It is tough, and it may take a while of careful searching, but we need to keep looking and piecing together the evidence, slowly but surely.

빌: 첫째로 우리는 국정원이 스파이웨어 또는 TNI를 어떻게 사용하고 있었는지 혹은 그들이 누구를 목표로 삼았는지에 대해 말해주는 증거를 아직 가지고 있지 않다. 우리는 유출된 이메일에서 국정원이 테스트가 아닌 “진짜 타겟”을 목표로 삼을 것이라고 말했던 작전들의 스파이웨어 일지에서 한국 아이피 주소들을 보았다. 이들이 진짜 타겟이라고 가정할 때 우리는 왜 그 사람들이 목표가 되었는지 혹은 그들이 누구인지 아직 알지 못한다.

이 일은 어렵고 상당 기간의 신중한 탐색을 필요로 할 것이지만, 우리는 계속 증거를 찾아 끼워 맞추는 일을 해야한다. 천천히 하지만 확실하게.

 

<2편 계속>