해킹팀 탐정놀이 - 해킹 당한 변호사

 

반달가면 이글루에서 백업 - http://bahndal.egloos.com/556791 (2015.7.17)

(백업하면서 위키리크스의 링크가 사라질 것에 대비해 본문에 언급된 이메일을 pdf로 첨부했다.)

해킹팀 탐정놀이를 시작한 김에, 조금만 더 해 보기로 했다. 언론 기사가 너무 자극적이어서 설마 정말 그럴까 싶어서 직접 확인해 보기로.

국정원이 변호사를 해킹했다는 기사가 잔뜩 나왔는데, 어떻게 된 일인가 싶어 관련 이메일을 찾아 보았다.

결론부터 말하자면, 일부 언론에서 대작 판타지 소설을 쓴 듯하다 -_-;

변호사 해킹과 관련하여 위키리크스에 공개된 원문 메일은 여기로

ht493013.pdf

0.14MB

2013년 9월 16일, 해킹팀 CTO 마르코 발레리가 보안 컨설턴트(senior security consultant) 세르쥬 운에게 메일을 보내는 것이 시작이다. 메일 제목은 "SKA and MOACA anon"이다. 여기서 SKA가 한국군(South Korean Army)을 지칭하기 때문에 국정원이 변호사를 해킹했다는 취지로 기사나 나왔는데, 정말 그런지 시간 순서대로 차분하게 번역을 해 보았다. 9월 16일에서 17일까지 주고 받은 내용이다.


마르코 발레리(Marco Valleri, 이하 마르코): SKA측에서 설정 이전(configuration migration)을 마쳤다는 통보를 받았다. 그들이 실제로 anonymizer를 종료했는지 확인해 줄 수 있나? 당신이 MOACA측에도 같은 절차를 취하도록 요청하는 것이 좋겠다. MOACA측의 스카우트(스파이웨어를 지칭하는 듯)가 분석 당하고 있다.

세르쥬 운(Serge Woon, 이하 세르쥬): SKA측에서 내가 서버에 접속하는 것을 허가하지 않는다. 문제의 anonymizer의 80번 포트에서 연결시간초과(connection time out)를 확인했다. MOACA측 보안유출(MOACA compromise)에 대한 정보를 가지고 있는가? 즉, 문제가 되는 anonymizer의 IP주소와 factory ID 말이다.

마르코: 티켓 IFO-474-63318을 확인하라. MOACA측이 해당 티켓과 관련하여 우리가 권고한 절차를 따르도록 하라.
  1) 31번이 정확한 대상이라고 해도 즉시 그것(스파이웨어)을 제거(uninstall)하라. 왜냐하면 그것도 분석당할 수 있기 때문이다. agent를 다시 열 수 없기 때문에 새로 만들어야 한다.
  2) 물리적이라는 것이 무슨 의미인가? 오프라인 CD/USB? melted 또는 silent executable(실행파일)?

세르쥬: MOACA측이 스카우트와 스카우트를 생성한 factory를 종료하게 도와주었다. 그들은 버전 8.3.4를 사용중이다. 그들이 바이너리를 다운로드한 후에 업그레이드를 도와줄 예정이다.

마르코: 훌륭하다. 몇가지 참고할 사항이 있다.
  1) 버전 8.4.x로 업그레이드하기 전에 대체 그들이 어떤 방식으로 작업을 했는지 알아내는 것이 중요하다.
  2) 만약 1번에 대한 대답이 만족스럽지 않다면, 나는 강제로 31(1)(the elite)를 종료할 것이다. 분석당할 수도 있기 때문이다.
  3) 그들은 최대한 빨리 anonymizer를 바꿔야 한다.
 
세르쥬: 그들은 기기에 물리적으로 접근하여 설치했다. 그들에게 anonymizer를 바꾸라고 권고했다. fallback configuration이 활성화되면 anonymizer 변경을 진행할 것이다.

마르코: 알겠다. 물리적으로 기기에 접근했다는 것이군. 그런데 silent installer로 더블클릭해서 설치한 것인가, 아니면 cd/usb offline installer를 사용한 것인가?

세르쥬: silent installer를 사용했다.

마르코: 알겠다. installer를 분석자에게 보내지 않았다는 가정하에, 해당 factory에서 해킹한 대상자만이 그것을 보낸 듯하다. (대체 뭔소린지;;) 그들은 31(1) instance를 종료해야 한다. 대상자들이 감시당하고 있다는 사실은 인지하고 있기 때문이다.

알베르토 오르나기(Alberto Ornaghi): (세르쥬에게) 해당 고위 대상자(elite target)의 기기 정보를 입수할 수 있는가? 어떤 백신이 설치되었는지 확인하기 위함이다.

마르코: 한가지 더 있다. fallback configuration을 보내기 전에 31(1) instance를 종료해야 한다. 만약 분석당하고 있다면, 분석자가 새로운 주소도 알아낼 것이기 때문이다.

세르쥬: (마르코, 알베르토에게) 기기 정보를 첨부했다. 내가 고객에게 받은 정보를 바탕으로 이해하기로는, 대상자는 변호사(lawyer)이고 기술분야에 지식이 별로 없다(not technical). 고객은 31(1) 제거에 동의하지 않고 있으며 만약 이상한 징후가 보이면 바로 알려주겠다고 한다. 나는 그들에게 서버(vps) 몇개를 더 마련해서 31(1)을 격리시키라고 권고했다. 이것이 내가 할 수 있는 최선이다.

마르코: 백신이 설치되어 있지 않다. 어떻게 스카우트가 분석자에게 넘어갔는지 알기 어렵다. 내부에서 보안 유출이 일어났을 가능성이 가장 높다. 그들에게 작업할 때 더욱 신경을 써야 한다고 전하라.
 

여기까지다. 본문을 읽어 보면 금방 알 수 있듯이, 제목에 SKA가 들어간 이유는 보안문제가 발생한 MOACA에 SKA측에서 실행했던 anonymizer 설정 이전 절차를 똑같이 하도록 권고하라는 내용이 있기 때문이었다. 정작 변호사를 해킹한 장본인은 SKA가 아니라 MOACA측이다.

자, 그럼 MOACA는 대체 어디일까? 어느 기관인지는 모르겠으나 어쨌든 국적은 몽고(Mongolia)다. 원문은 여기로.

ht590401.pdf

0.13MB

기왕에 여기까지 왔으니, 위의 해킹팀 교신에 언급된 티켓 IFO-474-63318의 주인을 찾아 보았다. 원문 이메일은 여기로. 내용을 보자면, 9월3일에 대상자 한명을 해킹하였으나 자신들이 가져와야 할 자료를 제3자가 입수했다는 것이다. 즉 들킨 것 같다는 얘기다. 누군가 우리를 찾고 있는 것 같은데 어떻게 하면 좋겠느냐고 묻고 있다. 그리고 이 티켓의 주인은 ulziibadrakh@iaac.mn이다. ".mn"이 어느 나라에 속한 도메인인지 굳이 더 설명할 필요는 없을 것이다.

ht107718.pdf

0.13MB

사실관계를 정리해 보자. 몽고에서 어느 변호사를 해킹했는데 문제가 발생했고, 해킹팀의 스파이웨어가 악성코드 분석자에게 넘어갔을 가능성이 있다. 해킹팀은 anonymizer 설정 이전을 권고한다. (전에 SKA에서 이전을 한번 했으므로 해당 절차를 그대로 따라서 하면 된다.) 또한 해킹팀측에서는 스파이웨어를 제거하라고 권고했으나 몽고측은 대상자가 기술분야를 잘 모르는 변호사라는 이유로 동의하지 않았다.

국정원은 이 변호사 해킹과 관계가 없다.