국정원이 구매했다는 RCS 어떻게 작동하나

이탈리아 보안업체 해킹팀으로부터 해킹 프로그램을 구매한 국가정보원의 주요 타깃이 '중국 내 한국인'으로 알려지면서 해킹에 활용된 RCS(원격제어시스템)의 작동 원리가 다시금 관심사로 떠올랐습니다.

국정원과 해킹팀 사이 거래를 중개한 나나테크의 허손구 대표는 최근 한 언론과의 인터뷰에서 숨진 국정원 직원 임 모 씨가 관심 대상을 "중국에 있는 내국인이라고 표현했다"고 밝혔습니다.

RCS(Remote Control system)는 PC나 스마트폰과 같은 기기에 침투해 원격으로 제어할 수 있는 기술을 뜻합니다.

스마트폰에서 흔히 사용하는 미아 방지 애플리케이션이나 분실 시 원격으로 단말기 앱을 삭제하거나 카메라를 조작하는 비상용 앱도 RCS 기술을 활용한 프로그램으로 분류됩니다.

특별한 해킹 소프트웨어(SW)가 아니라 이미 일상에서 폭넓게 쓰이는 기술인 셈입니다.

해킹팀이 국정원에 판매한 '갈릴레오'는 RCS를 악의적으로 이용해 만든 여러 해킹 프로그램 중 하나입니다.

각종 취약점을 활용해 특정 PC나 스마트폰에 악성코드를 심어 해당 기기에 대한 관리자 권한을 획득한 뒤 마음대로 조작하는 방식으로 공격합니다.

한번 침투하면 이용자 모르게 통화와 메신저 사용 내역, 이메일, 웹브라우저 접속 내역, 카메라 등 기기 안에서 작동하는 모든 것을 들여다보면서 정보 탈취가 가능합니다.

기기의 전원이 꺼져 있어도 마찬가지입니다.

특정 서버를 감염시키는 것이 아니라 단말기 자체를 제어하는 능력을 갖추기 때문에 이런 '전지전능한' 일이 가능한 셈입니다.

이러한 조작은 해킹팀이 전 세계 각 지역에 구축한 C&C(명령&제어) 서버를 바탕으로 이뤄집니다.

RCS를 작동하기 위해 기기에 침투하는 단계에서는 목표의 지인을 사칭하거나 관심을 끌 만한 문구를 담은 스피어피싱 메일을 보내 악성 첨부파일이나 악성 링크에 접속하도록 유도합니다.

이는 일반적인 공격자들이 사용하는 흔한 방식입니다.

사실 RCS는 높은 수준의 기술력을 필요로 하지 않습니다.

따라서 한번 감염시킨 기기를 RCS로 조작하는 일은 어렵지 않습니다.

반면 목표물의 취약점을 파악하고 악성코드에 감염시키는 작업이 고난도다.

해킹팀 역시 해외 유명 업체로부터 일부 고급 취약점을 사들인 것으로 파악됐습니다.

국정원이 밝힌 바로는 해킹팀으로부터 갈릴레오를 구입한 분량이 두 차례 10개 회선씩, 총 20명 분입니다.

일반적인 SW 구매 방식을 적용하면 이는 20개의 라이선스를 사들였다는 말이며 동시에 감시가 가능한 대상이 20명이라는 뜻으로 해석됩니다.

1개 라이선스를 대상을 바꿔가는 방식으로 여러 명에게 사용할 수 있으나 동시에 여러 명에게 사용할 수는 없는 원리입니다.

이런 이유를 들어 국정원은 20개의 라이선스만으로 무차별적인 대규모 사찰이 불가능하다고 주장하고 있습니다.

그러나 타깃을 자주 교체하는 일이 기술적으로 무리 없이 가능하다는 견해도 있습니다.

한 보안업체 관계자는 "일반적인 RCS 작동 방식을 고려하면 타깃이 악성코드에 감염되기만 했다면 자주 바꾸는 일은 기술적으로 얼마든지 가능하다고 본다"고 말했습니다.

해킹팀이 국정원의 구매를 중재한 업체 나나테크에 보낸 이메일에도 타깃 라이선스는 제한 없이 여러 번 쓸 수 있고, 조사가 끝나고 스파이웨어를 삭제하면 다른 타깃을 감염시키는 데 쓸 수 있다는 내용이 담겼습니다.

다만 해킹을 위해 제작한 악성파일이나 URL이 있어도 상대방이 열어보지 않으면 RCS가 가동되지 않아 성공 확률이 낮다는 국정원의 주장은 어느 정도 일리가 있다고 전문가들은 판단합니다.

악성코드의 위험성이 널리 알려졌고 스마트폰 자체에 기본적으로 알 수 없는 경로의 접근을 차단하는 기능이 갖춰져 있어 생각보다 쉽게 감염되지 않는다는 것입니다.

허손구 나나테크 대표 역시 언론 인터뷰에서 "국정원이 자체적으로 공격 코드를 만들지 못하는데다 타깃을 감염시키는 일 자체가 쉽지 않다"며 "실제 4분의 1도 감염시키기 어렵다"고 말했습니다.

목표물이 휴대전화를 사용하지 않으면 데이터를 가져오지 못하기 때문에 작업 시간이 오래 걸려 자주 타깃을 바꾸기가 기술적으로 어려웠을 것이라고도 했습니다.

김승주 고려대 정보보호대학원 교수는 "이런 문제(대규모 사찰여부)를 따지려면 라이선스가 20개라는 것 자체보다는 사용 가능 기간 등과 같은 세부적인 계약 조건을 정확히 알아야 한다"며 "결국 실제 계약서를 확보하고 로그 기록을 분석해 불법으로 프로그램을 연장해 사용하진 않았는지 등을 확인해야 할 것"이라고 조언했습니다. 

(SBS 뉴미디어부)