해킹팀 탐정놀이 - 어떤 단독기사

 

반달가면 이글루에서 백업 - http://bahndal.egloos.com/557448 (2015.7.25)

(백업하면서 위키리크스의 링크가 사라질 것에 대비해 본문에 언급된 이메일을 pdf로 첨부했다.)

호기심으로 해킹팀 탐정놀이 몇번 하다가 오히려 언론에 대한 불신감이 급상승하던 차에, 뭔가 색다른(?) 기사를 발견했다.

[단독] 허손구 나나테크 대표 “국정원 주 타깃은 중국 내 한국인”

이 기사를 보면 7월 21일 인터뷰에서 얼마전에 숨진 국정원 직원이 나나테크 대표에게 "중국에 있는 내국인"이 공격대상이라고 밝혔다는 얘기가 나온다. 기사 내용이 맞다면, 해당 국정원 직원은 나나테크 대표에게 내국인 해킹을 수행한다면서 명백한 범죄사실을 알려 주었고 나나테크는 이런 얘기를 듣고도 그냥 계속 하던대로 사업을 했다는 얘기다. 엄청나다! -_-;

그리고 나서 기사 중간에 "인터뷰 전문"에 대한 링크가 아래와 같이 나온다.

허손구 나나테크 대표 “관련된 국정원 직원 5명 안팎…그들 관심은 휴대폰”

그런데 인터뷰 전문에서 나나테크 대표는 그 어디서도 대상이 "한국인"이라는 언급을 하지 않는다. RCS 구성상 무차별적 감청은 거의 힘들다는 점과 대상이 중국에 있다는 얘기는 있다. 전문(全文)이라고 했으면 인터뷰 내용 전체라는 뜻일텐데, 인터뷰를 근거로 나온 기사와 링크되어 있는 인터뷰 전문의 내용이 앞뒤가 맞지 않는다. 설마 한자가 다른 전문인가;;; -_-; 뭔가 좀 이상하긴 한데 인터뷰 당사자가 아닌 이상 뭔가 더 할 수 있는 것이 없어 보이니 일단 넘어가자.

그 다음 얘기를 보자. 해킹팀 서버에 "Decoy page displayed"라는 표시와 함께 4개의 국내 IP주소가 발견되었다는 내용이다. 그러면서 국내 유선통신망 사용자가 해킹 당했거나 해당 IP주소를 가지고 있는 공유기에 와이파이로 접속한 스마트폰이 해킹당했을 수 있다는 내용이 나온다.

언론에 대한 신뢰를 회복할 좋은 기회일 수도 있을 듯해서, 좀 귀찮지만 탐정놀이를 한번 더 해 보았다.

우선 해킹팀 RCS에서 "Decoy page"가 무엇을 의미하는지 찾아보았다. 위키리스크에서 검색해 보니 해킹팀측이 데빌엔젤에게 설명한 내용중에도 나온다. 원문은 여기로.

ht77105.pdf

0.13MB

RCS 버전 9.2에서 변경된 부분을 설명하고 있는데, decoy page 관련 내용을 번역하자면 아래와 같다.

9.2에서 변경된 부분:
우리는 인증서에 대한 접근과 "decoy page"를 제거했다.
agent(스파이웨어)가 아닌 다른 클라이언트의 접근(access from non-agents)이 있을 경우 방화벽이 탑재된 대다수 호스트와 마찬가지로 연결 초기화(connection reset) 또는 연결 시간 초과(timeout)를 야기한다.
응답시간을 기반으로한 추적을 피하기 위해 응답시간은 무작위로 정해진다.
anonymizer를 다른 VPS와 구분하기는 불가능하다.

무슨 얘기냐 하면, 예전 버전에서는 anonymizer에 비인가 접속을 할 경우 decoy page가 표시되었으나 9.2 이후부터는 connection reset/timeout으로 바꿨다는 얘기다.

메일을 하나 더 살펴보자. 독일인(.de 도메인 이메일 주소 사용)으로 보이는 고객이 해킹팀에 보낸 이메일이다. 원문은 여기로. RCS 설정과 관련해서 제대로 동작이 안되어 도움을 요청하는 메일이다. 아래와 같은 내용이 나온다.

ht967973.pdf

0.14MB

- 유효한 동글(dongle)과 라이센스를 탑재한 윈도우2008R2에 RCS를 셋업했다. (웹브라우저에서 localhost에 접속하면 decoy page가 표시된다.)
- 우분투 10.04LTS 기반의 서버(vps)를 임대했다.
- vps의 OpenSSH 서버의 포트를 12345로 설정하고 설정 파일(sshdconfig)에서 TCPPortForwarding을 활성화했다.
- putty를 설정했다. 첨부한 스크린샷을 보기 바란다.
- 이제 putty에서 연결을 하고 다른 PC의 웹브라우저에서 서버(원문엔 vpn이라고 적혀 있는데 vps의 오타임이 분명해 보인다)의 공인 IP주소로 접속하면 decoy page가 표시되어야 하는데 그게 안되고 있다.

이게 무슨 얘기냐 하면 anonymizer를 제대로 설정했을 경우 일반 웹브라우저로 접근할 경우 - 즉 agent(스파이웨어)가 아닌 클라이언트가 접속할 경우 - 비인가 접속으로 간주되어 decoy page가 표시되어야 한다는 얘기다. 이 고객은 anonymizer를 설정한 후에 제대로 동작하는지 시험하는 차원에서 일부러 일반 웹브라우저로 접속을 해서 decoy page가 잘 나오는지 확인하고 있다.

이것 말고도 위키리크스를 검색하면 "Decoy page displayed" 메세지가 포함된 서버 로그가 담겨 있는 메일도 여러개 나오는데, 해킹에 성공했다는 내용이 아니라 뭔가 문제가 있으니 로그를 보고 좀 해결해 달라는 식이다.

따라서 서버의 로그에 "Decoy page displayed"라는 메세지가 있고 이 메세지에 한국 IP주소가 나와 있다면 십중팔구 둘 중 하나다.

1. 해당 IP주소에서 RCS와 연동되는 anonymizer 서버에 비인가 접속을 시도했다. 또는 anonymizer의 정상 동작 여부를 확인하기 위해 일부러 비인가 접속을 해 보았다. 이쪽이 사실일 가능성이 훨씬 높다고 생각된다. 기사에 의하면 해당 로그가 2012년 11월부터 2013년 2월 사이에 있다고 하는데, 그 시기면 RCS를 제대로 운영할 준비가 되어 있지 않은 것으로 보이기 때문이다. (이전 게시물을 참고하자. 여기로)

2. (백번 양보해서 미친 척하고) 공격을 감행하였으나, 스파이웨어(agent)가 제대로 설치되지 않았다. 따라서 anonymizer는 해당 접속 시도를 비인가 접속으로 간주했으며, decoy page를 표시하고 끝냈다.

둘 중 어느쪽이었는지 100% 확신하려면 해당 로그를 더 자세히 봐야 실마리가 있을 듯하다. 그 문제의 로그가 어디 있는지, 한국 IP주소가 무엇인지는 아직 모르겠지만;;

아무튼 해당 신문기사에서는 decoy page를 "유인용 페이지"라고 번역했는데, 이건 대상자를 해킹하기 위한 페이지가 아니라 불청객으로부터 RCS 서버를 숨기기 위한 "위장용 페이지"다.

아쉽지만 신뢰 회복은 실패인 듯하다. -_-;;