광고
광고
광고
광고
광고
광고
광고
광고
광고
광고
광고
광고
광고
광고
광고
광고
광고
인터뷰·인물 > 2차섹션 선택

뉴스프로, 해킹팀 추적해 온 ‘시티즌 랩’ 연구원 빌 마크잭과 인터뷰

실전 암시하는 스파이웨어 일지에서 한국 IP 주소 확인, 실제 타겟 존재 가능성 시사해

임영원 기자 | 기사입력 2015/07/31 [00:51]
인터뷰·인물 >2차섹션 선택

뉴스프로, 해킹팀 추적해 온 ‘시티즌 랩’ 연구원 빌 마크잭과 인터뷰

실전 암시하는 스파이웨어 일지에서 한국 IP 주소 확인, 실제 타겟 존재 가능성 시사해

임영원 기자 | 입력 : 2015/07/31 [00:51]

– TNI와 연결된 네트워크에 있는 모든 대상이 공격 목표 될 수 있어
– TNI를 사용해 주입한 스파이웨어, 원격조정으로 흔적 없이 해킹 가능
– ‘시티즌 랩’ 국정원의 스파이웨어 및 TNI 사용 증거 계속 추적할 것

[플러스코리아타임즈=임영원 기자] 뉴스프로는 지난해 3월 <오마이뉴스>와의 인터뷰에서 한국 정부의 ‘해킹팀’ 스파이웨어 구매 가능성을 시사한 바 있는 ‘시티즌 랩’ 연구원 빌 마크잭과 지난 며칠 동안 서면 인터뷰를 했다. 인터뷰는 총 2회에 걸쳐 게재될 예정이다. 

오마이뉴스에 따르면 빌 마크잭은 인터뷰 당시 ‘시티즌랩’의 연구 결과 한국을 포함한 다수의 국가가 ‘해킹팀’의 스파이웨어를 구매한 것으로 추정되며, 언론인이나 인권운동가들을 감시하는 데 사용하고 있을 것이라고 말했었다.

빌 마크잭은 이번 뉴스프로와의 인터뷰에서 국정원이 ‘해킹팀’에 문의한 TNI 장치에 대해 대답하고 그 기능을 상세히 설명했다. 그에 따르면 TNI와 연결된 네트워크에 있는 모든 사람이 공격 대상이 될 수 있다고 말한다. 또 TNI를 사용해 주입한 스파이웨어는 흔적없이 파일을 빼가거나, 도청은 물론, 온라인 계정의 비밀번호를 훔치고, 웹캠이나 마이크를 켜는 등, 수많은 스파이 활동을 가능하게 한다고 덧붙였다. 

TNI 공격으로부터 보호받을 수 있느냐는 질문에 대해서는 일반 사용자가 자신을 보호하기는 쉽지 않으며 TNI 감지 또한 지극히 어려운 문제라고 답했다. 원격 삭제가 가능한 스파이웨어가 제거된 경우에는 감지가 아예 불가능하거나 전문가의 도움을 받아야 하는 등 매우 어려울 수 있다고 대답했다. 

국정원이 해킹 프로그램을 선거와 관련해서 어떻게 사용할 수 있느냐는 질문에는 유출된 이메일에 들어있던 국정원이 “실제 타겟”이라고 말한 작전의 스파이웨어 일지에서 한국 IP 주소들을 봤다고 말하며 실제 타겟이 있었을 것에 대한 가능성을 시사했다.

빌 마크잭은 국정원이 스파이웨어 또는 TNI를 어떻게 사용하고 있었는지, 그들이 누구를 목표로 삼았는지 ‘천천히 하지만 확실하게’ 계속 증거를 찾아 끼워 맞춰야 한다고 강조했다. 

다음은 뉴스프로가 번역한 빌 마크잭과의 서면 인터뷰 전문이다.

번역 감수 : 임옥

[빌 마크잭과의 서면 인터뷰 전문 – 1 ] 

We know an agent from the National Intelligence Service (NIS) in South Korea contacted Hacking Team to inquire about the TNI, or the Tactical Network Injector in 2014. In fact, the NIS received a TNI to test in April 2014 from Hacking Team, according to their email correspondence. We understand that the TNI can infect an entire Wi-Fi network and all users using the network once this device gets plugged into the ISP or Internet Service Provider:

질문: 한국 국정원의 요원이 2014년 해킹팀에 연락해 TNI 혹은 전략적 네트워크 주입기에 대해 문의한 사실을 알고 있다. 실제로 국정원은 2014년 4월 해킹팀으로부터 테스트용 TNI를 받았음이 이메일 교신에서 드러났다. TNI가 ISP 혹은 인터넷 서비스 제공자에 설치되면 무선 네트워크와 사용자 전체를 감염시킬 수 있는 것으로 안다.

1. Would you explain a little how the TNI works for our readers?

TNI가 어떤 작용을 하는지 설명을 해주겠나?

Bill: Sure. The TNI is a laptop that you can connect it to a local area network (such as in a home, a hotel, a company, or a building), and hijack connections of people connected to that network. It works for either wired or wireless networks. For wired networks, you need special access to the network to use the TNI (maybe you need to go into a telecommunications closet or server room). For some wireless networks, you may not need any special access for the TNI.

빌: 물론이다. TNI는 휴대용 컴퓨터로서 이를 근거리 통신 네트워크(가정, 호텔, 회사 혹은 빌딩 등)에 연결하면 그 네트워크에 접속한 사람들의 접속을 빼앗을 수 있다. 이것은 무선 혹은 유선 네트워크에 모두 해당된다. 유선 네트워크에서는 TNI를 사용하기 위해 네트워크에 특별히 접근할 필요가 있다 (원격통신실 혹은 서버룸으로 들어갈 필요가 있을지도 모른다). 무선 네트워크에서는 TNI를 위해 특별하게 접근할 필요가 없을지도 모른다.

Once the TNI is connected to the network, it can see the Internet traffic of everyone else connected to the network (for example,whatwebsites they are visiting). If the internet traffic is not encrypted (e.g., not HTTPS), then the TNI can see the web content. The TNI can target everyone on the network, or it can target specific people on the network. The person operating the TNI can select targets using metadata (for example target by IP address or MAC address), or they can select targets based on a string in the data (for example, they can target anyone whose computer is sending or receiving the string “***@yahoo.com”) Of course, Yahoo Mail is encrypted, so they won’t see this e-mail address when you signin to Yahoo mail, but if you use the e-mail address “***@yahoo.com” as a login or username to any sites that are un-encrypted, then they can identify you when you visit these sites and target you (assuming they are running the TNI on the local network you are connected to).

일단 TNI가 네트워크에 연결되면, TNI는 그 네트워크에 연결된 모든 사람들의 인터넷 트래픽(예를 들어 그들이 방문하고 있는 웹 사이트들)을 볼 수 있게 된다. 그 인터넷 트래픽이 암호화된 것이 아니면(예를 들어 HTTPS가 아니면), TNI는 웹 콘텐츠를 볼 수 있다. TNI는 네트워크에 있는 모든 사람들을 목표물로 삼을 수도 있고 네트워크상의 특정 인물을 목표물로 삼을 수도 있다. TNI를 운영하는 사람은 메타 데이터를 이용해 목표물들을 선택하거나 (예를 들면, 아이피(IP) 주소나 MAC 주소로 목표물을 선별), 혹은 데이터에 있는 단서를 근거로 목표물을 선택할 수 있다 (예를 들면, “***@yahoo.com”이라는 단서를 보내거나 받는 사람을 목표물로 삼을 수 있다). 물론 야후 메일은 암호화되어 있어서 당신이 야후 메일에 들어갈 때는 그들이 그 이메일 주소를 볼 수 없지만 만일 “***@yahoo.com”이라는 이메일 주소를 암호화되지 않은 사이트에 로그인 혹은 사용자 이름으로 사용한다면, 가령 당신이 이 사이트들을 방문할 때 그들은 당신을 알아낼 수 있으며 (당신이 접속한 단거리 네트워크에 그들이 TNI를 작동시키고 있다면) 당신을 목표물로 삼을 수 있다.

Once the TNI has identified you as a target, it can target you in several ways. First, it can alter normal files you download or normal websites you visit over the network via HTTP (not HTTPS), to insert spyware or exploits. Second, it can block the Adobe Flash Player on unencrypted (not HTTPS) websites, including porn websites like youporn.com, and insert a message into the website asking you to update the flash player, which contains a link to the spyware.

일단 TNI가 당신을 타겟으로 규정하면 TNI는 여러 방법으로 당신을 목표로 삼을 수 있다. 우선, TNI는 당신이 다운받은 정상적인 파일들 혹은 HTTP(HTTPS가 아니라)를 통해 당신이 방문했던 정상적인 웹사이트를 변경하여 스파이웨어나 공격물을 삽입할 수 있다. 두 번째, TNI는 youporn.com과 같은 포르노 웹사이트들을 포함한 암호화되지 않은(HTTPS가 아니라) 웹사이트들에서 어도비 플래시 플래이어를 차단한 다음 플래시 플레이어를 업데이트시킬 것을 요청하는 메시지를 웹사이트에 삽입하고 그 안에 스파이웨어로 가게 하는 링크를 심을 수 있다.

2. Would you tell us what the NIS could possibly achieve by using this device (or the spyware that the device is injecting)?

국정원이 이 장치(혹은 그 장치를 사용해 주입한 스파이웨어)를 사용함으로써 무엇을 이룰 수 있는지 말해줄 수 있나?

Bill: It’s not clear what their purpose of purchasing this device is. But it allows the NIS to infect people with spyware in a very stealthy way, which is extremely hard to detect or prove. The spyware allows the NIS to take files from your computer; to record phone calls, messages, e-mails, and social media activity even if you are using encryption; to steal passwords for online accounts; to turn on your webcam or microphone; and many other spy features. Hacking Team advertises that the spyware allows you to “look through your target’s eyes.”

빌 : 국정원이 이 기기를 구매한 목적이 무엇인지 분명하지는 않다. 하지만 국정원은 이 기기를 이용해서 아주 은밀한 방법으로 사람들을 스파이웨어에 감염시킬 수 있으며 그래서 사람들은 이를 찾아내거나 혹은 증명하기가 매우 어려울 것이다. 국정원은 이 스파이웨어를 이용해서, 당신이 암호화를 시키고 있다 해도 당신 컴퓨터에서 파일을 빼가고, 전화 통화, 메시지, 이메일 그리고 소셜미디어 활동 등을 도청할 수 있으며, 온라인 계정의 비밀번호를 훔치고, 웹캠이나 마이크를 켜거나 그 외 다른 많은 스파이 첩보 활동들을 할 수 있다. 해킹팀은 스파이웨어가 “당신 타겟의 눈을 통해 볼 수” 있게 해준다고 광고한다.

3. Is there any way to be protected from a TNI attack? Is it possible to detect the infection when infected? Is it true that the spyware can be injected and removed remotely? Would there be any evidence or trace of the use of the TNI by the NIS, for example, in infected computers or mobile devices? How about after the spyware has been removed remotely? If there is a way to detect the use of TNI or any spyware what should be looked for in order to do so?

TNI 공격으로부터 보호받을 수 있는 방법이 있나? 감염될 때 감염되었다는 것을 감지할 수 있나? 스파이웨어가 주입되고 삭제되는 것이 원격으로 가능한 것이 사실인가? 예를 들어 감염된 컴퓨터나 모바일 장비에 국정원이 TNI를 사용한 증거나 흔적이 남는가? 스파이웨어가 원격으로 삭제된 뒤에는 어떠한가? 만일 TNI 혹은 스파이웨어의 사용을 감지하는 방법이 있다면 그것은 어떤 것인가?

Bill: It is hard for an ordinary user to be protected from a TNI attack. If you use VPNs or Tor Browser, or only browse using a virtual machine on your computer, this may give you more protection from a TNI. VPN or Tor will encrypt all of your browsing in a way that the TNI cannot attack. If a virtual machine becomes infected, it is much harder for the infection to spread outside the virtual machine to the rest of the computer.

빌: 일반 사용자들이 TNI 공격으로부터 자신을 보호하는 것은 쉽지 않다. VPNs나 Tor 브라우저, 또는 가상 컴퓨터 시스템을 이용해서 검색한다면 TNI 공격으로부터 더 안전할지도 모른다. VPN이나 Tor는 TNI가 공격할 수 없도록 당신이 검색한 모든 것을 암호화할 것이기 때문이다. 만약 가상 컴퓨터 시스템이 감염된다고 하더라도 이 시스템 밖으로 퍼져나가 컴퓨터의 다른 부분까지 감염시키는 것은 훨씬 더 어렵다.

At this time, I don’t think ordinary people in Korea need to be too concerned about the TNI, because the NIS needs to send someone with the TNI device near their target. Any time you talk about an agent having to physically go somewhere, that costs a lot of time and money. So, if the NIS is targeting someone with it, it will probably be a very high-value target. We have not yet established whether the NIS actually used this device in real operations, or just for testing. We should keep investigating to find this out.

현재로서는 일반인들이 TNI에 대해 너무 걱정할 필요는 없다고 생각한다. 왜냐하면 국정원이 TNI 기기를 직접 사람을 시켜 목표물 근처에 보내야 하는데 이는 시간과 비용이 많이 드는 일이기 때문이다. 따라서 국정원이 누군가를 TNI 공격 목표로 삼는다면, 그는 그럴만한 가치가 아주 높은 인물일 것이다. 우리는 국정원이 실제로 TNI를 사용했는지 또는 이것이 단지 실험용인지 알아내지 못했다. 이 같은 사실을 알아내기 위해 계속 조사해야 할 것이다.

Let me answer your questions about detection. As for detecting the TNI itself, this is an extremely hard problem. When the TNI hijacks a connection, there is a very short window of time in which it may be able to be detected, because your computer might receive a response both from the website you are browsing, and also a fake response injected by the TNI. You won’t notice this as a regular computer user, but if you are running an Intrusion Detection System (IDS), you may be able to notice it.

그럼 감지에 대한 질문에 답하도록 하겠다. TNI 자체를 감지하는 것은 지극히 어려운 문제다. TNI가 해킹을 하면 이를 발견할 수 있는 시간대는 매우 짧다. 왜냐하면 컴퓨터는 당신이 브라우징 중이던 웹사이트가 주는 답변과 TNI가 주입한 가짜 답변 둘 다 받게 되기 때문이다. 일반적인 컴퓨터 사용자라면 이를 알아차릴 수 없지만, 만약 침입 감지 시스템(Intrusion Detection System)을 운영 중이라면 알 수 있을지도 모른다.

Detecting the spyware once it is on your computer is easier, but still hard. As you say, any infection can be removed remotely, and at that point it becomes very hard, if not impossible to detect, and would require an expert in computer forensics to detect. If the infection has not yet been removed, it will be easier to detect, but may require a computer security expert, because the spyware bypasses anti-virus products, and maintains invisibility from common analysis tools. However, since the Hacking Team source code has leaked, anti-virus companies are rapidly adding detection for the older versions of the spyware. It is perhaps possible that someone may still have an older version of the spyware on their computer, and running an anti-virus product might detect it, but it is not guaranteed.

스파이웨어가 당신의 컴퓨터에 심어지면 스파이웨어를 감지하는 것이 좀 더 쉽긴 하나 그래도 어렵다. 당신이 말했듯 어떠한 감염도 원격으로 제거될 수 있으며, 이렇게 제거되면 감지가 아예 불가능하거나 매우 어려워질 것이고 이때는 컴퓨터 과학 수사 전문가가 필요할 것이다. 만약 감염이 아직 제거되지 않았다면, 감지하기는 더욱 쉽겠지만, 컴퓨터 보안 전문가가 필요할지 모른다. 왜냐하면 스파이웨어는 안티바이러스 프로그램에 걸리지 않아 일반적인 분석 도구로는 눈에 띄지 않을 것이기 때문이다. 하지만 해킹팀의 소스 코드가 누출된 이후로 안티바이러스 회사들은 그 스파이웨어의 이전 버전을 감지하는 기능을 신속히 추가하고 있다. 누군가가 자신의 컴퓨터에 그 스파이웨어의 이전 버전을 아직 가지고 있다면, 그리고 안티바이러스 제품을 사용한다면 그것을 찾아낼 수 있을지도 모르나 보장은 할 수 없다.

4. The NIS purchased hacking programs, especially ahead of national elections. What can they do with these programs in relation to elections, polling, or voting?

국정원이 특히 선거 전에 해킹 프로그램들을 구입했다. 그들이 이러한 프로그램을 이용해 선거나 여론조사, 또는 투표와 관련하여 무엇을 할 수 있는가?

Bill: First, we have not yet established evidence to suggest how the NIS was using the spyware or TNI, or who they were targeting. We have seen Korean IP addresses in the spyware logs, for operations that the NIS described in the leaked e-mails as targeting “real targets,” rather than testing. Assuming these are real targets, we do not yet know why these people were targeted or who they are.
It is tough, and it may take a while of careful searching, but we need to keep looking and piecing together the evidence, slowly but surely.

빌: 첫째로 우리는 국정원이 스파이웨어 또는 TNI를 어떻게 사용하고 있었는지 혹은 그들이 누구를 목표로 삼았는지에 대해 말해주는 증거를 아직 가지고 있지 않다. 우리는 유출된 이메일에서 국정원이 테스트가 아닌 “진짜 타겟”을 목표로 삼을 것이라고 말했던 작전들의 스파이웨어 일지에서 한국 아이피 주소들을 보았다. 이들이 진짜 타겟이라고 가정할 때 우리는 왜 그 사람들이 목표가 되었는지 혹은 그들이 누구인지 아직 알지 못한다.
이 일은 어렵고 상당 기간의 신중한 탐색을 필요로 할 것이지만, 우리는 계속 증거를 찾아 끼워 맞추는 일을 해야한다. 천천히 하지만 확실하게.
<저작권자 ⓒ pluskorea 무단전재 및 재배포 금지>
임영원 기자의 다른기사보기
닉네임 패스워드 도배방지 숫자 입력
내용
기사 내용과 관련이 없는 글, 욕설을 사용하는 등 타인의 명예를 훼손하는 글은 관리자에 의해 예고 없이 임의 삭제될 수 있으므로 주의하시기 바랍니다.
 
광고
포토뉴스
메인사진
[포토] 보성녹차마라톤대회, 메타세콰이어길에서 열정의 레이스 시작
이전
1/23
다음
연재
고조선의 등불=일손 박종호
식약처, 자료 허위제출 코오롱생명과학에 '철퇴'
고유성씨 되찾기운동
[포토] 김인창 서해해경청장, 현충탑 참배로 새해 첫날 일정 돌입
줄기세포 진실
[앵콜] 삼성가 막내딸 故이윤형양 죽음은 자살 아니다?
천웅도=심신수련 원류
안산시, 코로나19 장기화 ‘사각지대’ 없앤다
우리글=한글 가림토 상음문자
[우리글] 훈민정음 해례본 제자해-초성 [꼭지ㅇ,ㄹ,스]
칼럼 장수비법 김현철 언론인
박정희여자 중 기구한 운명의 여배우
우리말사랑 소리이론=신민수
설동호 대전교육감, 대학수학능력시험 수험생 응원
하늘길별자리=笑山 李福宰
[소산 詩] 인생사
시와 우주= 白山 김기수시인
[김기수 詩] 구두를 재생하다
역사 재정립=신용우소설가
[신간소개 신용우 장편소설] 육필집 ‘대마도의 눈물’ 출간
暻井 강욱규 시인
[강욱규 詩] 떠나는 겨울
하늘 한 모금=고현자 시인
[고현자 詩] 단풍
여자들의 이유있는 분노=임서인 소설가
[임서인의 중편소설] 곳고리 17
안문길 소설가
[안문길의 단편소설] 아파트 공화국의 몰락
박종규 소설가
[박종규 단편소설] 잃어버린 이야기 5회
철학-풍수지리=박옥테레진
[박옥태레 진의 시] 시인의 업보
하늘소식=백학시인
[백학 詩] 우리의 술잔엔 항상
풀밭닮기=김명숙시인
<김명숙 詩> 만추
정성태 시인
[정성태 詩] 오늘을 건너며
박준서 소설가
'정치 1번지' 종로구 여론조사 곽상언 50% vs 최재형 38% vs 금태섭 4%
이하천 소설가
[이하천 칼럼] 윤석렬이 대통령이 된 것은 ‘신의 한 수’였다!
임기추 홍익사상
홍익인간 정치론 [35] 재세이화의 시민사회적 주요의무
정해준 열사가 걸어온 길
메인사진
동영상 아이콘'잊혀진 계절'누굴위해 존재하는가
메인사진
양산습지에서 희귀 잠자리 발견
광고
많이 본 기사
메인사진
1
美 핵폭격기 서해출몰과 北 대응은 과연
메인사진
2
전공의 연속근무 단축 시범사업 착수…‘36시간’ → ‘24~30시간’
메인사진
3
항소심도"윤 대통령 식사비·영화비 공개하라"…납세자연맹 2심도 승소
메인사진
4
임현택 의협회장 "의대 정원 발표, 사법부 존중 않는 비민주적 행태"지적
메인사진
5
여자 U-17 대표팀 ‘미들라이커’ 범예주 “아시안컵에선 플레이메이커로”
메인사진
6
한동훈, 국힘 당직자들과 만찬 회동‥"정기적으로 보자"
메인사진
7
조국 "한동훈, 국민의힘 대표되면 땡큐…만나면 여러가지 따져볼 생각"
메인사진
8
차기 국회의장 선호도, 추미애 40.3%로 1위
메인사진
9
국민의힘 차기 대표, 나경원 17.7% vs. 원희룡 14.1%…'모름·기타'가 과반수 육박
메인사진
10
공무원 평균나이 42.2세…남성 육아휴직 13.9→32.8% 증가
최신기사
모가스 회장 겸 설립자 빈센트 루이스 모가스 사망
공영민 고흥군수, 집중호우 대처 및 피해 긴급 상황점검 회의가져
충남고등학교 총동창회관 3일 개관...개교60주년 기념사업으로 총22억여원을 들여 매입
김영록 전남도지사, 강진 맥류 도복 피해현장 살펴
전남도, 국립의대 설립위해 목포·순천과 소통 자리 만든다