반달가면 [B-Side]

반달가면 이글루에서 백업 - http://bahndal.egloos.com/557448 (2015.7.25)

(백업하면서 위키리크스의 링크가 사라질 것에 대비해 본문에 언급된 이메일을 pdf로 첨부했다.)

호기심으로 해킹팀 탐정놀이 몇번 하다가 오히려 언론에 대한 불신감이 급상승하던 차에, 뭔가 색다른(?) 기사를 발견했다.

[단독] 허손구 나나테크 대표 “국정원 주 타깃은 중국 내 한국인”

이 기사를 보면 7월 21일 인터뷰에서 얼마전에 숨진 국정원 직원이 나나테크 대표에게 "중국에 있는 내국인"이 공격대상이라고 밝혔다는 얘기가 나온다. 기사 내용이 맞다면, 해당 국정원 직원은 나나테크 대표에게 내국인 해킹을 수행한다면서 명백한 범죄사실을 알려 주었고 나나테크는 이런 얘기를 듣고도 그냥 계속 하던대로 사업을 했다는 얘기다. 엄청나다! -_-;

그리고 나서 기사 중간에 "인터뷰 전문"에 대한 링크가 아래와 같이 나온다.

허손구 나나테크 대표 “관련된 국정원 직원 5명 안팎…그들 관심은 휴대폰”

그런데 인터뷰 전문에서 나나테크 대표는 그 어디서도 대상이 "한국인"이라는 언급을 하지 않는다. RCS 구성상 무차별적 감청은 거의 힘들다는 점과 대상이 중국에 있다는 얘기는 있다. 전문(全文)이라고 했으면 인터뷰 내용 전체라는 뜻일텐데, 인터뷰를 근거로 나온 기사와 링크되어 있는 인터뷰 전문의 내용이 앞뒤가 맞지 않는다. 설마 한자가 다른 전문인가;;; -_-; 뭔가 좀 이상하긴 한데 인터뷰 당사자가 아닌 이상 뭔가 더 할 수 있는 것이 없어 보이니 일단 넘어가자.

그 다음 얘기를 보자. 해킹팀 서버에 "Decoy page displayed"라는 표시와 함께 4개의 국내 IP주소가 발견되었다는 내용이다. 그러면서 국내 유선통신망 사용자가 해킹 당했거나 해당 IP주소를 가지고 있는 공유기에 와이파이로 접속한 스마트폰이 해킹당했을 수 있다는 내용이 나온다.

언론에 대한 신뢰를 회복할 좋은 기회일 수도 있을 듯해서, 좀 귀찮지만 탐정놀이를 한번 더 해 보았다.

우선 해킹팀 RCS에서 "Decoy page"가 무엇을 의미하는지 찾아보았다. 위키리스크에서 검색해 보니 해킹팀측이 데빌엔젤에게 설명한 내용중에도 나온다. 원문은 여기로.

RCS 버전 9.2에서 변경된 부분을 설명하고 있는데, decoy page 관련 내용을 번역하자면 아래와 같다.

9.2에서 변경된 부분:
우리는 인증서에 대한 접근과 "decoy page"를 제거했다.
agent(스파이웨어)가 아닌 다른 클라이언트의 접근(access from non-agents)이 있을 경우 방화벽이 탑재된 대다수 호스트와 마찬가지로 연결 초기화(connection reset) 또는 연결 시간 초과(timeout)를 야기한다.
응답시간을 기반으로한 추적을 피하기 위해 응답시간은 무작위로 정해진다.
anonymizer를 다른 VPS와 구분하기는 불가능하다.

무슨 얘기냐 하면, 예전 버전에서는 anonymizer에 비인가 접속을 할 경우 decoy page가 표시되었으나 9.2 이후부터는 connection reset/timeout으로 바꿨다는 얘기다.

메일을 하나 더 살펴보자. 독일인(.de 도메인 이메일 주소 사용)으로 보이는 고객이 해킹팀에 보낸 이메일이다. 원문은 여기로. RCS 설정과 관련해서 제대로 동작이 안되어 도움을 요청하는 메일이다. 아래와 같은 내용이 나온다.

- 유효한 동글(dongle)과 라이센스를 탑재한 윈도우2008R2에 RCS를 셋업했다. (웹브라우저에서 localhost에 접속하면 decoy page가 표시된다.)
- 우분투 10.04LTS 기반의 서버(vps)를 임대했다.
- vps의 OpenSSH 서버의 포트를 12345로 설정하고 설정 파일(sshdconfig)에서 TCPPortForwarding을 활성화했다.
- putty를 설정했다. 첨부한 스크린샷을 보기 바란다.
- 이제 putty에서 연결을 하고 다른 PC의 웹브라우저에서 서버(원문엔 vpn이라고 적혀 있는데 vps의 오타임이 분명해 보인다)의 공인 IP주소로 접속하면 decoy page가 표시되어야 하는데 그게 안되고 있다.

이게 무슨 얘기냐 하면 anonymizer를 제대로 설정했을 경우 일반 웹브라우저로 접근할 경우 - 즉 agent(스파이웨어)가 아닌 클라이언트가 접속할 경우 - 비인가 접속으로 간주되어 decoy page가 표시되어야 한다는 얘기다. 이 고객은 anonymizer를 설정한 후에 제대로 동작하는지 시험하는 차원에서 일부러 일반 웹브라우저로 접속을 해서 decoy page가 잘 나오는지 확인하고 있다.

이것 말고도 위키리크스를 검색하면 "Decoy page displayed" 메세지가 포함된 서버 로그가 담겨 있는 메일도 여러개 나오는데, 해킹에 성공했다는 내용이 아니라 뭔가 문제가 있으니 로그를 보고 좀 해결해 달라는 식이다.

따라서 서버의 로그에 "Decoy page displayed"라는 메세지가 있고 이 메세지에 한국 IP주소가 나와 있다면 십중팔구 둘 중 하나다.

1. 해당 IP주소에서 RCS와 연동되는 anonymizer 서버에 비인가 접속을 시도했다. 또는 anonymizer의 정상 동작 여부를 확인하기 위해 일부러 비인가 접속을 해 보았다. 이쪽이 사실일 가능성이 훨씬 높다고 생각된다. 기사에 의하면 해당 로그가 2012년 11월부터 2013년 2월 사이에 있다고 하는데, 그 시기면 RCS를 제대로 운영할 준비가 되어 있지 않은 것으로 보이기 때문이다. (이전 게시물을 참고하자. 여기로)

2. (백번 양보해서 미친 척하고) 공격을 감행하였으나, 스파이웨어(agent)가 제대로 설치되지 않았다. 따라서 anonymizer는 해당 접속 시도를 비인가 접속으로 간주했으며, decoy page를 표시하고 끝냈다.

둘 중 어느쪽이었는지 100% 확신하려면 해당 로그를 더 자세히 봐야 실마리가 있을 듯하다. 그 문제의 로그가 어디 있는지, 한국 IP주소가 무엇인지는 아직 모르겠지만;;

아무튼 해당 신문기사에서는 decoy page를 "유인용 페이지"라고 번역했는데, 이건 대상자를 해킹하기 위한 페이지가 아니라 불청객으로부터 RCS 서버를 숨기기 위한 "위장용 페이지"다.

아쉽지만 신뢰 회복은 실패인 듯하다. -_-;;

반달가면 이글루에서 백업 - http://bahndal.egloos.com/556921 (2015.7.20)

(백업하는 현 시점에서 유출 파일 미러링 사이트는 사라진 듯하다.)

해킹팀 탐정놀이는 이쯤에서 접을까 했는데, 뭔가 좀 심하게 판타지적인(?) 느낌을 주는 기사들이 보여서 한번 더 탐정놀이 -_-; 아무래도 뭔가 연재만화 비슷하게 되어 가는 느낌이다;;; (지난회는 여기와 여기로;;)

대략의 내용은, 해킹팀 유출자료에서 로그 파일에서 한국 IP주소 138개가 발견되었기 때문에 "대북/해외정보 수집용"이라는 국정원의 해명이 거짓말이라는 취지다. 문제가 된 파일은 log.csv, log(2).csv 이렇게 2개.

자, 그러면 해킹팀 유출자료에서 이 문제의 파일을 한번 찾아보자. 위키리크스는 이메일만 제공하고 있지만, 유출자료 전체를 미러링해서 제공하는 웹사이트가 있다. 여기로.

로그 파일이라고 하니 아마도 서버 관련된 자료중에 있을 것이라 짐작할 수 있다. 조금 뒤져보니 별로 어렵지 않게 찾을 수 있었다. 파일서버(FileServer)라는 디렉토리 아래에 있다. 정확한 위치는 아래와 같다.

https://hacked.thecthulhu.com/HT/FileServer/FileServer/TEMP/

로그 파일 2개를 다운로드 받아 보았다. 각 항목(field)을 쉼표(,)로 구분하는 csv 형식이다. 항목중에 IP주소가 속한 국가가 있기 때문에 "KR"로 검색하면 국내 IP주소들을 확인할 수 있다. 리눅스 shell 명령어의 조합으로 그리 어렵지 않게 분석할 수 있다.

# 한국 IP주소가 있는 항목만 추출
cat log.csv | grep KR | more

그렇다면, 이 로그의 정체는 무엇일까? 일단 항목 구성을 보자. csv 파일의 첫째줄이 항목 이름인데, 아래와 같다.

# 첫번째 줄만 출력
cat log.csv | head -1
Domain,Receive Time,Serial #,Type,Threat/Content Type,Config Version,Generate Time,Source address,Destination address,NAT Source IP,NAT Destination IP,Rule,Source User,Destination User,Application,Virtual System,Source Zone,Destination Zone,Inbound Interface,Outbound Interface,Log Action,Time Logged,Session ID,Repeat Count,Source Port,Destination Port,NAT Source Port,NAT Destination Port,Flags,IP Protocol,Action,Bytes,Bytes Sent,Bytes Received,Packets,Start Time,Elapsed Time (sec),Category,Padding,seqno,actionflags,Source Country,Destination Country,cpadding,pkts_sent,pkts_received

항목 이름중에 위협(Threat)이라는 단어도 보이고 해서 뭔가 해킹과 관련된 것이라고 생각할 여지도 없는 것은 아니나, 일단 이 로그가 상용 프로그램에서 나온 것인지 아니면 해킹팀에서 자체적으로 개발한 프로그램에서 나온 것인지 알아볼 필요가 있다. 위와 같은 형식의 로그가 또 있나 싶어 구글 검색을 해 보았다. "Splunk"라는 회사의 게시판에 꽤 흥미로운 내용이 보인다. 아래의 링크로 들어가 보자.

Best way to have the Splunk Indexers handle a CSV log file

이 게시물의 요지는 대략 이렇다. 어떤 사용자가 Splunk의 복잡한 csv 로그를 효율적으로 다루는 방법이 무엇이냐고 묻고 있다. 그러면서 csv 파일의 내용이 아래와 같다고 한다.

Domain,Receive Time,Serial #,Type,Threat/Content Type,Config Version,Generate Time,Source address,Destination address,NAT Source IP,NAT Destination IP,Rule,Source User,Destination User,Application,Virtual System,Source Zone,Destination Zone,Inbound Interface,Outbound Interface,Log Setting,Time Logged,Session ID,Repeat Count,Source Port,Destination Port,NAT Source Port,NAT Destination Port,Flags,IP Protocol,Action,Bytes,Bytes Sent,Bytes Received,Packets,Start Time,Elapsed Time (sec),Category,Padding

처음에 문제 삼았던 로그 파일의 형식과 비교해 보자. 똑같다. 즉, 위의 로그 파일은 Splunk라는 프로그램에서 생성한 트래픽 로그다. 그러면 대체 Splunk가 무엇이냐가 문제인데, 해당 업체의 공식 웹사이트에 가보면 대충은 감을 잡을 수 있다. 여기로.

Splunk 웹사이트에 나온 바에 의하면, Splunk는 다양한 IT기기/시스템의 동작상황과 관련된 정보들(업체의 표현을 빌리자면 machine data)을 로그 형태로 만들어 이것을 분석하고 시각화하여 효과적인 의사결정을 내리고 문제/위협을 탐지하게 해 주는 프로그램이다. 한마디로 해킹팀이 도입해서 사용중인 IT보안체계의 일부라는 얘기다.

로그 파일의 내용을 잠깐 살펴보자. 국내 IP주소들이 어떤 통신을 했는지 확인해 보았다.

# 시간, ip_src, ip_dst, srcport, dstport, protocol
cat log.csv | grep KR | cut -d',' -f2,8,9,25,26,30

트래픽이 발생한 시간을 보면 단 몇초 동안 국내 IP주소에서 이탈리아의 한 서버(IP주소 93.62.139.41, 이탈리아 밀라노)에 동시다발적으로 udp 패킷을 마구 보냈는데, IP 주소와 무관하게 출발지 포트(source port)는 123, 도착지 포트(destination port)는 80이다. 스파이웨어는 절대 이런식으로 통신하지 않는다. 정상적인 클라이언트-서버 통신이라면 출발지 포트가 서로 달라야 한다. 출발지 포트가 무작위로 선택되기 때문에 저렇게 다 같이 123번이 나올 수가 없다.

그러면 국내 IP주소 외에 다른 IP주소는 어떨까? 온통 출발지 포트 123에 도착지 포트 80이다.

# 한국(KR) 제외
cat log.csv | grep -v KR | cut -d',' -f2,8,9,25,26,30

이제 정리해 보자. 수많은 IP주소에서 동시에 이탈리아의 한 서버로 패킷을 보낸다. 그런데 하나 같이 출발지 포트 123, 도착지 포트 80이다. IT 보안에 약간의 지식이 있다면 이것이 무슨 의미인지 이미 알고 있을 것이다.

이것은 이탈리아 밀라노에 있는 해킹팀 서버에 대한 DDoS 공격이다. 즉, 해당 로그 파일에서 나온 한국 IP주소는 해킹팀 서버에 DDoS 공격을 가한 호스트들이다.

반달가면 이글루에서 백업 - http://bahndal.egloos.com/556791 (2015.7.17)

(백업하면서 위키리크스의 링크가 사라질 것에 대비해 본문에 언급된 이메일을 pdf로 첨부했다.)

해킹팀 탐정놀이를 시작한 김에, 조금만 더 해 보기로 했다. 언론 기사가 너무 자극적이어서 설마 정말 그럴까 싶어서 직접 확인해 보기로.

국정원이 변호사를 해킹했다는 기사가 잔뜩 나왔는데, 어떻게 된 일인가 싶어 관련 이메일을 찾아 보았다.

결론부터 말하자면, 일부 언론에서 대작 판타지 소설을 쓴 듯하다 -_-;

변호사 해킹과 관련하여 위키리크스에 공개된 원문 메일은 여기로

2013년 9월 16일, 해킹팀 CTO 마르코 발레리가 보안 컨설턴트(senior security consultant) 세르쥬 운에게 메일을 보내는 것이 시작이다. 메일 제목은 "SKA and MOACA anon"이다. 여기서 SKA가 한국군(South Korean Army)을 지칭하기 때문에 국정원이 변호사를 해킹했다는 취지로 기사나 나왔는데, 정말 그런지 시간 순서대로 차분하게 번역을 해 보았다. 9월 16일에서 17일까지 주고 받은 내용이다.


마르코 발레리(Marco Valleri, 이하 마르코): SKA측에서 설정 이전(configuration migration)을 마쳤다는 통보를 받았다. 그들이 실제로 anonymizer를 종료했는지 확인해 줄 수 있나? 당신이 MOACA측에도 같은 절차를 취하도록 요청하는 것이 좋겠다. MOACA측의 스카우트(스파이웨어를 지칭하는 듯)가 분석 당하고 있다.

세르쥬 운(Serge Woon, 이하 세르쥬): SKA측에서 내가 서버에 접속하는 것을 허가하지 않는다. 문제의 anonymizer의 80번 포트에서 연결시간초과(connection time out)를 확인했다. MOACA측 보안유출(MOACA compromise)에 대한 정보를 가지고 있는가? 즉, 문제가 되는 anonymizer의 IP주소와 factory ID 말이다.

마르코: 티켓 IFO-474-63318을 확인하라. MOACA측이 해당 티켓과 관련하여 우리가 권고한 절차를 따르도록 하라.
  1) 31번이 정확한 대상이라고 해도 즉시 그것(스파이웨어)을 제거(uninstall)하라. 왜냐하면 그것도 분석당할 수 있기 때문이다. agent를 다시 열 수 없기 때문에 새로 만들어야 한다.
  2) 물리적이라는 것이 무슨 의미인가? 오프라인 CD/USB? melted 또는 silent executable(실행파일)?

세르쥬: MOACA측이 스카우트와 스카우트를 생성한 factory를 종료하게 도와주었다. 그들은 버전 8.3.4를 사용중이다. 그들이 바이너리를 다운로드한 후에 업그레이드를 도와줄 예정이다.

마르코: 훌륭하다. 몇가지 참고할 사항이 있다.
  1) 버전 8.4.x로 업그레이드하기 전에 대체 그들이 어떤 방식으로 작업을 했는지 알아내는 것이 중요하다.
  2) 만약 1번에 대한 대답이 만족스럽지 않다면, 나는 강제로 31(1)(the elite)를 종료할 것이다. 분석당할 수도 있기 때문이다.
  3) 그들은 최대한 빨리 anonymizer를 바꿔야 한다.
 
세르쥬: 그들은 기기에 물리적으로 접근하여 설치했다. 그들에게 anonymizer를 바꾸라고 권고했다. fallback configuration이 활성화되면 anonymizer 변경을 진행할 것이다.

마르코: 알겠다. 물리적으로 기기에 접근했다는 것이군. 그런데 silent installer로 더블클릭해서 설치한 것인가, 아니면 cd/usb offline installer를 사용한 것인가?

세르쥬: silent installer를 사용했다.

마르코: 알겠다. installer를 분석자에게 보내지 않았다는 가정하에, 해당 factory에서 해킹한 대상자만이 그것을 보낸 듯하다. (대체 뭔소린지;;) 그들은 31(1) instance를 종료해야 한다. 대상자들이 감시당하고 있다는 사실은 인지하고 있기 때문이다.

알베르토 오르나기(Alberto Ornaghi): (세르쥬에게) 해당 고위 대상자(elite target)의 기기 정보를 입수할 수 있는가? 어떤 백신이 설치되었는지 확인하기 위함이다.

마르코: 한가지 더 있다. fallback configuration을 보내기 전에 31(1) instance를 종료해야 한다. 만약 분석당하고 있다면, 분석자가 새로운 주소도 알아낼 것이기 때문이다.

세르쥬: (마르코, 알베르토에게) 기기 정보를 첨부했다. 내가 고객에게 받은 정보를 바탕으로 이해하기로는, 대상자는 변호사(lawyer)이고 기술분야에 지식이 별로 없다(not technical). 고객은 31(1) 제거에 동의하지 않고 있으며 만약 이상한 징후가 보이면 바로 알려주겠다고 한다. 나는 그들에게 서버(vps) 몇개를 더 마련해서 31(1)을 격리시키라고 권고했다. 이것이 내가 할 수 있는 최선이다.

마르코: 백신이 설치되어 있지 않다. 어떻게 스카우트가 분석자에게 넘어갔는지 알기 어렵다. 내부에서 보안 유출이 일어났을 가능성이 가장 높다. 그들에게 작업할 때 더욱 신경을 써야 한다고 전하라.
 

여기까지다. 본문을 읽어 보면 금방 알 수 있듯이, 제목에 SKA가 들어간 이유는 보안문제가 발생한 MOACA에 SKA측에서 실행했던 anonymizer 설정 이전 절차를 똑같이 하도록 권고하라는 내용이 있기 때문이었다. 정작 변호사를 해킹한 장본인은 SKA가 아니라 MOACA측이다.

자, 그럼 MOACA는 대체 어디일까? 어느 기관인지는 모르겠으나 어쨌든 국적은 몽고(Mongolia)다. 원문은 여기로.

기왕에 여기까지 왔으니, 위의 해킹팀 교신에 언급된 티켓 IFO-474-63318의 주인을 찾아 보았다. 원문 이메일은 여기로. 내용을 보자면, 9월3일에 대상자 한명을 해킹하였으나 자신들이 가져와야 할 자료를 제3자가 입수했다는 것이다. 즉 들킨 것 같다는 얘기다. 누군가 우리를 찾고 있는 것 같은데 어떻게 하면 좋겠느냐고 묻고 있다. 그리고 이 티켓의 주인은 ulziibadrakh@iaac.mn이다. ".mn"이 어느 나라에 속한 도메인인지 굳이 더 설명할 필요는 없을 것이다.

사실관계를 정리해 보자. 몽고에서 어느 변호사를 해킹했는데 문제가 발생했고, 해킹팀의 스파이웨어가 악성코드 분석자에게 넘어갔을 가능성이 있다. 해킹팀은 anonymizer 설정 이전을 권고한다. (전에 SKA에서 이전을 한번 했으므로 해당 절차를 그대로 따라서 하면 된다.) 또한 해킹팀측에서는 스파이웨어를 제거하라고 권고했으나 몽고측은 대상자가 기술분야를 잘 모르는 변호사라는 이유로 동의하지 않았다.

국정원은 이 변호사 해킹과 관계가 없다.

반달가면 이글루에서 백업 - http://bahndal.egloos.com/556690 (2015.7.16)

(백업하면서 위키리크스의 링크가 사라질 것에 대비해 본문에 언급된 이메일을 pdf로 첨부했다.) 

이탈리아의 해킹 전문업체인 해킹팀(Hacking Team)이 오히려 해킹을 당했구나 -_-;; 위키리크스에 엄청난 분량의 해킹팀 이메일이 공개되었다.

보아하니 내부 이메일 전체가 다 유출된 듯. 위키리크스에서 친절하게도(?) 유출된 메일을 잘 모아서 검색 기능까지 추가해 놓았구나. (여기에 가면 볼 수 있다.) 워낙 언론에 많이 나오고 있기도 하고, 호기심도 들어서 약간의 탐정놀이를 해 보았다.

우선 메일에 나온 내용을 가지고 추정해 보자면, 해킹팀은 익스플로잇 포털(exploit portal)을 통해서 고객에게 기술지원과 공격도구를 제공했던 것으로 보인다. 아마 자사의 고객지원 웹사이트인 것 같다. 여기에 요청을 올리면 해당 내용이 인트라넷에서 관련 담당자에게 이메일로 보내지는 모양이다.

해킹팀의 내부 메일이 전부 유출되면서 익스플로잇 포털에 있던 내용까지 같이 공개되었다. 즉, 해킹팀 내부에서 주고 받은 메일뿐만 아니라 고객에 해킹팀에 요청한 사항까지 다 나와 있다.

아무튼 그래서, 신문기사 등에서 국정원측 인물이라고 지목한 사용자가 총선과 대선이 있었던 2012년에 뭘 하고 있었는지 좀 찾아보았다. devilangel로 시작되는 메일계정을 썼으므로 이하 데빌엔젤로 지칭한다.

해킹팀이 데빌엔젤의 메일 주소를 인지한 시점은 2012년 1월이다. 그러나 실제로 데빌엔젤이 해킹팀과 교류를 하기 시작하는 시점은 2012년 7월이다. 아마도 그 사이에 원격 해킹 시스템인 RCS를 구매하고 설치하고 뭐 그런 일들을 했을 것이라 짐작된다.

데빌엔젤의 요청사항을 보면 주로 기능이나 익스플로잇(exploit)에 대한 질문이다. 이런 종류의 S/W에 익숙하지 않기 때문인 듯하다.

2012년 7월 24일에 데빌엔젤은 시험용 기기에서 안드로이드 agent(스마트폰에 설치되는 스파이웨어)가 제대로 동작하지 않는다면서 해결을 요청한다. 공격은 고사하고 자신이 가지고 있는 스마트폰으로 시험할 때도 제대로 동작이 안되는 모양이다. -_-; 이 문제는 8월 14일이 되어서야 해결된다.

자, 그러면 이제 다 괜찮아졌나? 아니다. 이후 데빌엔젤은 블랙베리 agent가 제대로 동작하지 않는 문제, RCS 콘솔이 제대로 동작하지 않는 문제, IP주소 추적을 따돌리기 위한 anonymizer 설정 문제 등으로 계속 해킹팀에 질문을 하고 도움을 청한다. 그리고 이러한 상황은 최소한 2013년 1월말까지 계속된다. 그 이후의 메일은 안 봐서 모르겠다.

이것으로 몇가지 추측을 해 볼 수 있는데, 대략 이렇다.

데빌엔젤은 해커가 아니다. 문제가 발생했을 때 문제의 원인을 추정할 수 있는 수준의 지식을 가지고 있지는 않다. 그렇기 때문에 대부분 겉으로 나타나는 현상을 설명하면서 "이 부분이 잘 안됩니다. 확인해 주세요."라는 식으로 질문을 하고 있다. 일반 월급쟁이 IT엔지니어인 나와 비교해서 별반 나을 것이 없는 수준인 듯하다.

데빌엔젤이 속한 팀에도 해커가 없다. 만약 해커들이 있었으면 먼저 그들에게 물어봤을 것이고, 저렇게 오랜 기간 동안 헤매고 있진 않았을 것이다. 그리고 해킹팀에 보내는 질문도 훨씬 더 기술적이고 구체적이었을 것이다.

2012년 내내, 그리고 2013년 1월까지, 데빌엔젤은 남을 해킹할 준비가 제대로 되어 있지 않은 상태다. 따라서 데빌엔젤의 IQ가 80 이상이라는 전제하에, 2012년 총선이나 대선에 사찰을 하겠다고 해킹팀의 RCS를 사용했을 가능성은 거의 없다. 이런 엉성한 상태에서 공격을 감행할 수 있는 대상은 외국에 나가 있는 북한인 정도일 듯(이건 어차피 들켜도 상관 없으니까).

일단 여기까지. 유출된 이메일을 보면 재미있을 것이라고 생각했는데 막상 해보니 생각보다 시간도 많이 들고 꽤나 귀찮은 작업이었다. -_-;