한국일보>

최진주 기자

등록 : 2015.07.20 08:00
수정 : 2015.07.21 00:22

[단독] 伊 해킹팀, 국내 에어컨ㆍCCTV 노렸다

등록 : 2015.07.20 08:00
수정 : 2015.07.21 00:22

신경민 의원 공개 IP, 상당수가 빌딩공조시스템 제어서버로 파악돼

스파이웨어 감염 PC에서 데이터 받아 전송하는 중계서버로 활용된 듯

국정원의 “디도스 공격용 좀비PC” 주장도 잘못된 듯

새정치민주연합 신경민(왼쪽) 의원과 안철수(가운데) 국민정보지키기 위원장이 19일 국회에서 국정원의 해킹 사건에 대한 기자간담회를 열었다. 오대근기자 inliner@hankookilbo.com

국정원에 감시프로그램을 판매한 이탈리아업체 해킹팀이 국내에서 에어컨 등 빌딩 공조시스템과 CCTV DVR 등을 해킹하여 악용한 것으로 추정된다.

해킹팀의 로그파일에 있는 국내 IP들이 특정 스파이웨어(사용자 몰래 데이터를 전송하는 악성 프로그램)에 감염된 목표물의 PC에서 데이터를 전송 받을 때 경로를 '세탁'하는 중계서버로 이용된 것이 확인된 것.

국정원 에어컨

이탈리아 해킹팀의 내부자료 로그파일에 남아 있는 IP 분석결과 상당수 IP가 삼성전자의 빌딩 공조시스템 통합관리시스템인 것으로 확인됐다.

새정치민주연합 신경민 의원실은 19일 "해킹팀이 2014년 3월 4일 약 1분간 전세계 70개국으로부터 일시적으로 특정 데이터를 전송 받은 로그파일(log.csv)을 확보해 분석한 결과, 한국에 할당된 IP가 138건으로 나타났다"고 밝혔다. 한국의 해당 IP로부터 해킹팀 본사에 그날 내용을 알 수 없는 데이터가 전송됐다는 것이다.

한국일보가 보안 전문가의 도움을 받아 신 의원이 공개한 국내 IP 목록을 하나하나 조사한 결과, 상당수가 특정회사가 납품한 빌딩 공조시스템인 것으로 드러났다. 예를 들어 한국교육전산망협의회에서 IP를 관리하는 강원대 단국대 전북대의 IP주소에 /dms2/login.jsp를 덧붙여 인터넷 익스플로러에서 열어 보면 로그인 화면이 나오는데, 이 화면은 삼성전자의 공조시스템 통합관리시스템 서버(DMS)의 관리자 로그인 화면이다. 이 장비의 용도를 미국 CERT 사이트에서 검색 하면 “큰 공공건물의 여러 공조기기들을 관리하기 위해 사용되는 서버”이며 "공격자가 취약점을 활용해 몰래 관리자 권한으로 로그인할 수 있다"고 나온다.

문제는 이 IP들이 대부분 특정 스파이웨어에 감염된 PC에서 목적지로 데이터를 보낼 때 경로 추적을 방해하고 위장하기 위한 목적으로 활용하는 '중계서버'의 역할을 한 것으로 드러났다는 점이다. 바이러스 토탈 사이트의 해당 스파이웨어 분석 을 보면, 이 스파이웨어의 데이터를 전송 받는 중계서버 역할을 하는 IP 목록 중 신 의원이 공개한 IP들이 다수 있는 것. 뿐만 아니라 이 사이트에 공개된 IP 중 신 의원 목록에 없는 IP들도 상당수가 삼성전자의 DMS인 것으로 드러났다. 예를 들어 이 사이트에 있는 114.70.39.3은 서울여대의 IP인데 역시 /dms2/loging.jsp를 덧붙여 보면 같은 로그인화면이 등장한다.

보안 전문가는 "이런 종류의 스파이웨어는 특정 서버의 IP가 블록 당하면 다른 서버로 데이터를 보낼 수 있도록 해야 하므로 장악한 서버의 리스트를 넣어서 뿌리는 식으로 만들어진다"면서 "에어컨 공조기뿐 아니라 CCTV도 데이터를 전송할 중계서버 목록에 포함돼 있다"고 밝혔다.

국정원 CCTV

이탈리아 해킹팀의 내부자료 로그파일에 남아 있는 IP 분석결과 일부 IP는 CCTV나 DVR인 것으로 확인됐다. DVR은 대부분 '유니모'사의 단종된 제품이다.

실제로 신 의원이 공개한 국내 IP 중 사용자가 KT로 나오는 IP 상당수가 개인 사용자의 PC가 아닌 CCTV나 DVR(디지털 녹화가 가능한 CCTV)로 나타났다. 아시아퍼시픽 국제외국인학교가 사용하는 119.192.92.203번 IP 역시 CCTV였다. 국내 DVR은 대부분 ‘유니모’ 사의 단종된 제품으로 확인됐다.

국정원은 이 IP들의 용도에 대해 정반대의 설명을 했다. 해킹팀이 공격할 때 사용한 것이 아니라 오히려 해킹팀을 디도스 공격한 IP라는 주장이다. 해킹팀이 한국을 포함한 전세계 70개국의 좀비PC에서 디도스 공격이 오자 이를 막으면서 기록된 로그 파일이라는 것이다.

하지만 이 같은 주장은 한국일보의 조사로 볼 때 사실과 다른 것으로 보인다. 우선 디도스 공격 시 사용되는 좀비PC는 일반 윈도우 사용자의 개인용 컴퓨터가 많다. 디도스 공격은 특정 사이트에 접속을 집중해 부하를 일으키는 단순한 수준의 공격인데 IP주소가 노출되면 인터넷서비스제공자(ISP)가 막아버리거나 공격 당하는 서버 쪽에서 해당 IP를 막아버리기 때문에 그 IP는 금세 쓸모가 없어져 버린다. 또한 접속 부하를 일으키기 위해서는 수만개의 대량 PC를 사용하는 것이 좋다. 따라서 언제든지 쓰고 버릴 수 있는 개인용 PC를 이메일이나 웹하드로 배포한 악성코드로 감염시켜 좀비PC로 사용하는 일이 많다.

하지만 앞서 언급했듯 이번에 신 의원이 공개한 IP들을 한국일보가 추적한 결과 방화벽 등으로 외부에 막히거나 현재 사용되지 않아 운영체제를 추정하기 어려운 경우를 제외하고 확인한 모든 IP가 윈도우 운영체제를 사용하지 않았다. 핑(ping) 테스트를 통해 TTL을 확인한 결과 대부분 유닉스 관련 서버나 장비로 추정된다. 연구실 등에 할당된 IP도 유닉스 서버였고 상당수가 공조시스템과 CCTV 제어 장비인 것으로 보아 개인용 PC를 감염시켜 사용하는 좀비PC일 가능성은 낮은 것으로 보인다.

국정원

슈퍼유저닷컴의 한 게시물. 신경민 의원이 공개한 IP 중 하나인 223.222.241.34가 보인다.

그렇다면 해킹팀은 왜 건물 공조시스템과 CCTV 서버의 IP를 모았을까? 앞서 밝혔듯 이 IP들은 스파이웨어의 데이터를 전송할 때 IP를 세탁하는 중계서버로 활용됐다. 해킹팀이 '타깃'의 컴퓨터에 스파이웨어를 설치한 후 거기서 나온 데이터를 전송 받기 위한 중계서버로 활용했을 가능성이 높다.

또다른 증거가 있다. 세계 각국의 서버 운영자들이 모인 커뮤니티인 ‘슈퍼유저닷컴’에 올라온 한 게시물이다. 이 게시물을 올린 이는 “내 서버에 이상한 점이 있다”며 자신도 모르게 라우팅 테이블이 변경된 것을 공개했는데, 그 테이블에 있는 IP 목록 중 이번에 공개된 한국 IP(223.222.241.34)가 하나 들어있다. 말레이시아의 IP들로부터 한국과 중국의 IP들로 패킷을 보내도록 돼 있는 것으로 보인다. 만약 이 한국 IP가 디도스 공격에 사용됐다면 말레이시아의 IP들이 한국의 IP로 디도스 공격을 수행했어야 한다. 국정원 주장처럼 한국의 IP가 공격을 한 게 아니라 오히려 받았어야 한다는 말이다.

반대로 목적이 말레이시아에 있는 어떤 타깃으로부터 데이터를 전송 받으려 했던 것이라면 한국과 중국의 IP는 중계서버로 이용됐다는 추정이 가능하다.

만약 이렇게 사용했다면 디도스 공격처럼 일시적으로 공격하고 끝내는 것이 아니라 상시적으로 경유하며 사용했을 것이다. 사실일 경우 특이하게도 에어컨 공조시스템과 CCTV 서버를 활용한 이유가 설명된다. 개인 PC와 달리 1년 365일 24시간 상시 켜져 있는 시스템이고 주로 빌딩에 한번 설치하면 업그레이드를 하지 않는 경우가 많기 때문에 이 IP는 단순한 좀비PC보다 훨씬 강력한 공격 무기가 될 수 있다.

어떻게 보면 해킹팀이 이 IP를 중계서버로만 이용한 것이 다행인지도 모른다. 이 서버들의 관리자 권한을 획득한 것이 사실이라면 건물의 공조시스템을 정지시켜 환기가 안 되게 한다든가 CCTV를 마음대로 지우거나 한다든가 하는 행위도 이론적으로 가능하기 때문이다.

최진주기자 pariscom@hankookilbo.com

저작권자 © 한국일보 무단전재 및 재배포 금지

한국일보 페이스북

한국일보 트위터

한국일보닷컴 전체기사 RSS

RSS

한국일보닷컴 모바일 앱 다운받기

앱스토어구글스토어

한국일보닷컴 서비스 전체보기

Go

뉴스 NOW

이전

  • 종합
  • 정치
  • 사회
  • 경제
  • 국제
  • 문화
  • 연예
  • 라이프
  • 스포츠

다음

오늘의 사진

많이 본 뉴스

  • 1
  • 2