해킹팀 탐정놀이 - KT IP주소 3개

 

반달가면 이글루에서 백업 - http://bahndal.egloos.com/559931 (2015.8.22)

며칠전에 안철수 의원이 이끄는 국민정보지키기 위원회의 해킹팀 유출자료 자체조사 결과 발표가 있었다.

이전에 해킹팀 탐정놀이를 하면서 해킹팀 유출 관련 언론 기사의 판타지적 요소에 실망이 컸던 만큼, 이번 발표에는 뭔가 제대로 된 것이 나오지 않을까 하는 기대를 가지고 굳이 시간을 내서 챙겨 보았다. 해당 발표 전체를 팩트TV에서 동영상으로 유튜브에 게재해 놓았기 때문에 누구나 볼 수 있다.

https://youtu.be/n2RPVcOv6jQ

(백업하는 현 시점에서 해당 동영상은 비공개처리 되어 있다.)

정치적인 논의에는 별 관심이 없어서 그냥 다 넘기고 유출자료 설명 부분만 보았는데, 유출자료에서 KT가 소유한 국내 IP주소 3개가 발견되었다는 것이 요지다.

3개 IP주소가 국내 주소이기 때문에 국정원이 내국인 PC를 해킹했음이 분명하다고 주장을 했는데, 일단 최소한 IP주소 1개는 명백하게 뭔가 좀 이상하다. -_-;
 
이번 발표에서 국민정보지키기 위원회는 국내 IP주소가 유출자료중 구체적으로 어디에서 발견되었는지 명확하게 제시하지 않았다. 유출자료에서 직접 보여준 것이 아니라 별도로 만들어 놓은 디렉토리 안에 파일을 따로 모아 놓고 이 파일들을 열어서 보여주고 있다. 시간관계상 또는 편의상 그렇게 한 것인지 모르겠으나 어쨌든 직접 찾아보기도 귀찮으니, 해당 IP주소가 진짜로 유출자료 안에 있었다고 일단 믿고 넘어가자.

팩트TV의 유튜브 동영상에서 18분 59초 부근을 보면 첫번째 국내 IP주소가 보인다. 웹서버를 좀 만져본 사람이라면 금방 알아챘겠지만, 이 유출자료는 웹서버의 접속 로그(access log)다.

동영상의 21분 17초 부근에서도 동일한 IP주소가 나오는 로그를 보여준다. IP주소는 121.160.164.186, KT가 소유하고 있다.

로그 내용은 아래와 같다.

유튜브 동영상 18분 59초
121.160.164.186 - - [21/Jul/2013:00:44:51 +0800] "HEAD / HTTP/1.0" 403 - "-"

유튜브 동영상 21분 17초
121.160.164.186 - - [17/Aug/2013:23:41:31 -0400] "HEAD / HTTP/1.0" 403 - "-" "-"

2013년 7월 21일과 8월 17일, 2회에 걸쳐 접속이 있었다. 그런데 요청 메소드(request method)가 뭔가 좀 이상하다. GET이 아니라 HEAD다. 클라이언트가 웹서버에 웹페이지 또는 파일을 보내달라고 요청할 때 사용하는 메소드는 GET이어야 한다.

HEAD 메소드는 클라이언트가 웹서버에 응답을 요청할 때, 실제 내용물은 제외하고 HTTP 헤더(header)만 보내라는 뜻이다. 즉, 웹페이지나 파일 자체를 아예 안 받겠다는 얘기다. 악성코드를 내려받기 위해 HEAD 메소드로 접속하는 스파이웨어는 없다. HEAD 메소드로 접속하면 아예 파일이 안 내려오기 때문이다. -_-;

HEAD 메소드는 웹개발자/관리자가 특정 URL이 유효한지 확인하는 등 웹서버를 테스트하거나, 또는 해커가 웹서버를 공격할 때 GET/POST 메소드에 대한 보안 정책을 우회하기 위해서 사용할 수 있는 메소드다. 통상적인 클라이언트-서버 통신에서는 나올 일이 없다.

좀 더 살펴 보자. 접속 URL은 "/", 해당 웹서버에 접속하면 처음 나오는 페이지, 즉 대문 페이지다. 해킹팀 고객이 한두명이 아닐텐데, 그중 한명이 사용한 특정 스파이웨어가 받아갈 악성코드를 웹서버 대문 페이지에 올려둘 리가 없다. 해킹팀 엔지니어의 지능지수가 80 이상임을 전제로 한다.

접속 요청에 대한 응답 코드는 403이다. 웹브라우저로 보면 통상 "403 Forbidden"이라고 나온다. 해당 URL에 대한 접속 권한이 없으니 차단하겠다는 응답이다.

동영상을 보면 이 IP주소에 대해 설명하면서 "RCS를 이용하여 국내 PC를 해킹 시도하였으나 뭔가 문제가 발생해서 악성코드가 다운로드되지 않았다"는 취지로 얘기하고 있는데, 정작 로그의 내용은 해당 웹서버의 대문 페이지에 접속하면서 응답 헤더만 요청한 것이다. 전혀 앞뒤가 맞지 않는다.

KT 소유 IP주소 121.160.164.186에 관련된 로그는 해킹팀 RCS를 이용한 사이버 공격에 의한 것이 아니다.

나머지 두개 IP주소도 마찬가지로 웹 접속 로그에서 보이고 있는데, GET 메소드를 사용한 정상적인 접속 시도이므로 위와 같이 간단하게 검증할 수 있는 사안은 아니다. 다만, 이전에 SK텔레콤 IP주소가 나왔을 때와 마찬가지로 이번에도 IP주소의 수가 너무 적어서 자체적으로 시험하는 과정에서 국내 IP주소가 로그에 남았다고 해도 크게 이상해 보이진 않는다는 것이 문제(?)라고 해야 되나;;