본문 바로가기 메뉴 바로가기 검색 바로가기

한국일보, 국정원의 '국내사찰 부인'에 조목조목 반박

"국정원의 '디도스 공격용 좀비PC' 주장은 잘못된 듯"

새정치민주연합이 국내사찰 의혹을 제기한 138건의 한국 IP에 대해 국정원은 이탈리아 해킹팀이 디도스 공격을 당한 IP라고 일축했으나, <한국일보>는 자체 분석결과 국정원 해명을 믿을 수 없다며 조목조목 의문을 제기해 향후 국정원의 대응이 주목된다.

새정치민주연합 신경민 의원은 19일 "해킹팀이 2014년 3월 4일 약 1분간 전세계 70개국으로부터 일시적으로 특정 데이터를 전송 받은 로그파일(log.csv)을 확보해 분석한 결과, 한국에 할당된 IP가 138건으로 나타났다"고 밝혔다. 한국의 해당 IP로부터 해킹팀 본사에 그날 내용을 알 수 없는 데이터가 전송됐다는 것.

국정원은 이에 대해 문제의 IP들은 이탈리아 해킹팀이 공격할 때 사용한 것이 아니라 오히려 해킹팀을 디도스 공격한 IP라고 반박했다. 해킹팀이 한국을 포함한 전세계 70개국의 좀비PC에서 디도스 공격이 오자 이를 막으면서 기록된 로그 파일이라는 것.

그러나 <한국일보>는 20일 "한국일보가 보안 전문가의 도움을 받아 신 의원이 공개한 국내 IP 목록을 하나하나 조사한 결과, 상당수가 특정회사가 납품한 빌딩 공조시스템인 것으로 드러났다"면서 "이탈리아업체 해킹팀이 국내에서 에어컨 등 빌딩 공조시스템과 CCTV DVR 등을 해킹하여 악용한 것으로 추정된다"며 국정원 해명에 강한 의문을 제기했다.

<한국일보>에 따르면, 예를 들어 한국교육전산망협의회에서 IP를 관리하는 강원대 단국대 전북대의 IP주소에 /dms2/login.jsp를 덧붙여 인터넷 익스플로러에서 열어 보면 로그인 화면이 나오는데, 이 화면은 삼성전자의 공조시스템 통합관리시스템 서버(DMS)의 관리자 로그인 화면이다.

또한 바이러스 토탈 사이트의 해당 스파이웨어 분석을 보면, 이 스파이웨어의 데이터를 전송 받는 중계서버 역할을 하는 IP 목록 중 신 의원이 공개한 IP들이 다수 있었다. 뿐만 아니라 이 사이트에 공개된 IP 중 신 의원 목록에 없는 IP들도 상당수가 삼성전자의 DMS인 것으로 드러났다.

보안 전문가는 "이런 종류의 스파이웨어는 특정 서버의 IP가 블록 당하면 다른 서버로 데이터를 보낼 수 있도록 해야 하므로 장악한 서버의 리스트를 넣어서 뿌리는 식으로 만들어진다"면서 "에어컨 공조기뿐 아니라 CCTV도 데이터를 전송할 중계서버 목록에 포함돼 있다"고 밝혔다.

<한국일보>는 이탈리아 해킹팀이 디도스 공격을 당한 IP라는 주장에 대해서도 "한국일보의 조사로 볼 때 사실과 다른 것으로 보인다"며 조목조목 의문을 제기했다.

<한국일보>에 따르면, 우선 디도스 공격 시 사용되는 좀비PC는 일반 윈도우 사용자의 개인용 컴퓨터가 많다. 디도스 공격은 특정 사이트에 접속을 집중해 부하를 일으키는 단순한 수준의 공격인데 IP주소가 노출되면 인터넷서비스제공자(ISP)가 막아버리거나 공격 당하는 서버 쪽에서 해당 IP를 막아버리기 때문에 그 IP는 금세 쓸모가 없어져 버린다. 또한 접속 부하를 일으키기 위해서는 수만개의 대량 PC를 사용하는 것이 좋다. 따라서 언제든지 쓰고 버릴 수 있는 개인용 PC를 이메일이나 웹하드로 배포한 악성코드로 감염시켜 좀비PC로 사용하는 일이 많다.

<한국일보>는 "하지만 신 의원이 공개한 IP들을 한국일보가 추적한 결과 방화벽 등으로 외부에 막히거나 현재 사용되지 않아 운영체제를 추정하기 어려운 경우를 제외하고 확인한 모든 IP가 윈도우 운영체제를 사용하지 않았다. 핑(ping) 테스트를 통해 TTL을 확인한 결과 대부분 유닉스 관련 서버나 장비로 추정된다"면서 "연구실 등에 할당된 IP도 유닉스 서버였고 상당수가 공조시스템과 CCTV 제어 장비인 것으로 보아 개인용 PC를 감염시켜 사용하는 좀비PC일 가능성은 낮은 것으로 보인다"며 국정원 주장에 의문을 제기했다.

<한국일보>는 이어 "그렇다면 해킹팀은 왜 건물 공조시스템과 CCTV 서버의 IP를 모았을까?"면서 "앞서 밝혔듯 이 IP들은 스파이웨어의 데이터를 전송할 때 IP를 세탁하는 중계서버로 활용됐다. 해킹팀이 '타깃'의 컴퓨터에 스파이웨어를 설치한 후 거기서 나온 데이터를 전송 받기 위한 중계서버로 활용했을 가능성이 높다"며 이탈리아 해킹팀이 해킹을 했을 가능성에 방점을 찍었다.

<한국일보>는 또한 "만약 이렇게 사용했다면 디도스 공격처럼 일시적으로 공격하고 끝내는 것이 아니라 상시적으로 경유하며 사용했을 것"이라며 "사실일 경우 특이하게도 에어컨 공조시스템과 CCTV 서버를 활용한 이유가 설명된다. 개인 PC와 달리 1년 365일 24시간 상시 켜져 있는 시스템이고 주로 빌딩에 한번 설치하면 업그레이드를 하지 않는 경우가 많기 때문에 이 IP는 단순한 좀비PC보다 훨씬 강력한 공격 무기가 될 수 있다"고 지적했다.

<한국일보>는 결론적으로 "어떻게 보면 해킹팀이 이 IP를 중계서버로만 이용한 것이 다행인지도 모른다"면서 "이 서버들의 관리자 권한을 획득한 것이 사실이라면 건물의 공조시스템을 정지시켜 환기가 안 되게 한다든가 CCTV를 마음대로 지우거나 한다든가 하는 행위도 이론적으로 가능하기 때문"이라고 꼬집었다.
이영섭 기자

댓글이 9 개 있습니다.

  • 0 0
    김기팔

    국민의 여론은 대부분 이렇다.
    해체하고 새로운 조직이 필요하다고 한다.
    수십년 독재권력의밑에서 특수 권력을 향유한자들이
    그걸 내려놓을 이유가 없다.

  • 18 1
    지리멸렬

    존재의 필요성을 못느낀다... 없애야한다. 쉬레기집단이다..

  • 18 2
    수개표만답이다

    늙고 병든 야당이 앞으로 선거에서 이기려면 무조건 전국 수개표로 할 수 있도록 해야한다.
    그렇지 않고서는 영영 재집권은 물건너 간 얘기가 되는것이다.

  • 51 1
    국민1인

    그동안 우리나라에서 일어났던 모든 디도스 공격을 재조사해야 한다.
    저자들을 믿을 수 없다.

  • 30 1
    발라주마

    [뉴스타파] 국알단은 구라질을 해도 리듬을 타면서 해야지, 매 순간순간 구라질이냐? 창의력없는 것 같으니라고.

  • 47 1
    최악의정권

    이 정권에선 어떤 것도 믿을 수 없다. 선거 개표에 컴퓨터로 집계하는 것 역시 믿을 수 없게 되었다. 야당은 선거법부터 개정해서 수개표를 실시해야 할것이다. 보수란 놈들 허구헌날 자유민주주의를 씨부려 대지만 하는 행동은 모든게 반민주적이다.

  • 54 0
    폴리애널

    아무리 그래도 그렇지 국가의 공공기관이 좀비 피시로 전락되었다는 것에
    누가 믿으려고 하겠나
    사실이라면 이 것은 심각한 국가 문제지

  • 102 1
    닭년과 개정원 도살

    결론적으로 개정원은 해체가 답이고, 닭년은 끌어내려 능지처참해야 하는 것이다.

  • 106 0
    ㅋㅋㅋㅋ

    해킹은 쉽게 풀어 얘기해야한다 컴퓨터 공학의 꽃이 시큐리티관련된 영역이기 때문에 막연하고 단어도 어렵고 개념도 어렵다
    저렇게 얘기하면 일반인들 관심도 없고 어려워한다
    야당은 되도록 쉽게 풀어서 대중들에게 내놓아야한다

↑ 맨위로가기