[취재파일] RCS를 검출하는 '오픈 백신', 저도 돌려봤습니다

이탈리아에 근거지를 두고 각국 정보기관과 기업에게 해킹 프로그램인 RCS(Remote Control System)를 판매해 온 기업 '해킹팀'의 자료 400 기가바이트가 역시 '해킹'에 의해 공개됐는데, 이 자료를 분석해 보니 우리나라의 국가정보원이 2012년부터 이들의 고객이었다는 게 드러난 지 벌써 한 달이 넘었습니다.  

국가정보원은 '대북 작전'을 위해 해킹팀으로부터 해당 프로그램을 구매했지만 해외 정보수집과 테스트용으로 활용했을 뿐, 국내 일반인에 대한 해킹 시도는 없었다며 일각에서 제기된 '내국인 해킹 의혹'을 강하게 부인했죠. 여기에 지난 7월 18일 국정원 전산 담당자의 자살과 이를 둘러싼 의혹을 놓고 정국이 달아오르면서 여전히 국회에서는 날선 공방이 계속되고 있습니다.  

'달을 보라는 데 가리키는 손가락만 보고 있다'는 푸념은 우리 사회에서는 하루 이틀의 문제가 아닙니다만, 특히 국가정보원이 구매한 RCS 프로그램이 과연 어떤 범위로 얼마나 활용됐는지 아직 베일에 가려진 부분이 많습니다. 국정원장이 '직을 걸고 내국인에게는 RCS를 사용한 적이 없다'고 밝혔지만, 그 말만 믿고 넘어가기는 여전히 찜찜한 기분이 드는 게 사실입니다.
 
이런 가운데 3개 시민단체(사단법인 오픈넷, 진보네트워크센터, P2P재단코리아준비위원회)가 공동으로 스마트폰의 RCS 감염 여부를 판단하는 무료 앱 '오픈 백신'을 구글 안드로이드 마켓(플레이스토어)에 공개했습니다. 마켓에서 내려받아 설치한 뒤 실행시키면 스마트폰 속의 파일을 스캔한 뒤, 사전에 데이터베이스(DB)화된 RCS의 시그니쳐(식별코드)와 실시간으로 비교하는 방식입니다. 백문이 불여일견, 제가 한 번 돌려봤습니다. 
 
구글 플레이스토어에서 '오픈 백신'을 검색합니다. 
   
11일 낮 현재 다운로드 수가 1000건을 넘었습니다. RCS에 대한 관심과, 이에 수반되는 '공포(또는 분노)'를 감안하면 다운로드 수는 계속 늘 것만 같습니다. 
   
오픈 백신의 전체 크기는 12.61 메가바이트입니다. 다운로드에 1분도 채 걸리지 않습니다. 
   
다운로드를 완료하고 바로 실행합니다. 
   
실행화면입니다. 스캔 진행률을 게이지를 통해 퍼센테이지(%)로 보여줍니다. 게이지 아래서는 현재 스캔중인 파일의 위치와 파일명을 확인할 수 있습니다. 
   
진행률이 60%를 넘었습니다. 지금은 카카오톡 캐시파일을 스캔하고 있는 중입니다.  검사가 완료됐습니다. 제 스마트폰에서는 해킹팀의 감시코드가 검출되지 않았다는 내용의 팝업 창이 떴습니다. 제 스마트폰의 경우 전체 검사에 3분 정도가 걸렸습니다만, 스마트폰 속의 데이터량에 따라 검사 시간은 차이가 있을 수 있습니다.  

검색이 완료되면 파일명이 나오는 자리에 해당 기기의 운영체제와 버전 번호, 기기 모델 정보, 네트워크 업체, 기기 제조업체가 표시됩니다. 오픈 백신은 백신 이용 현황에 대한 정확한 정보를 파악하기 위해 기본적인 기기 정보를 수집한다고 합니다. 
   
만약에 스마트폰에서 RCS의 식별코드가 발견되면 이런 메시지가 팝업으로 노출됩니다. (이미지는 오픈 백신을 배포한 오픈넷의 보도자료에서 가져왔습니다.) 이런 메시지가 떴다면 'OK'를 누르고, 잠시 후 백신 실행화면 우측 끝에서 활성화되는 '신고' 버튼을 눌러 검사 결과를 백신 제작팀에 발송할 수 있습니다.

백신 제작팀에 전송되는 정보는 앞서 말씀드린 기기의 기본정보 외에 감염된 파일에 대한 고유 정보(해시값)도 포함되도록 설계됐다는 설명입니다. 기기정보와 감염(의심) 파일을 받은 제작팀은 포렌식 분석을 통해 해당 기기가 정말 RCS에 감염됐는지를 분석하게 됩니다. 

다만, 이 앱은 RCS가 해당 기기에 설치됐는지 여부만을 판단할 뿐 치료를 해 주는 것은 아닙니다. 그 점이 시중 보안업체의 스마트폰 백신과 다른 점입니다.
 
백신을 제작하고 배포한 사단법인 오픈넷 측은 유출된 '해킹팀'의 자료와 위키리크스가 폭로한 각국 기관과의 이메일 내용들을 계속 분석해서 RCS 식별코드 데이터베이스를 계속 업데이트하고 있다며, 오픈 백신을 내려받은 뒤 한 번 돌려보고 RCS 파일이 검출되지 않았다고 안심할 게 아니라, 마치 일반 바이러스 백신을 실행시키듯, 때때로 백신을 돌려보는 것을 권장하고 있습니다. 
   
구글 플레이스토어의 앱 페이지에 달려 있는 리뷰입니다. '악성해커도 아니고 정부기관으로부터 나를 지켜야한다는 현실이 안타깝다'라는 말에 이번 사태를 바라보는 일반 사용자들의 심정이 그대로 반영돼 있습니다. 
 
현재 국정원 해킹 파문을 둘러싼 국회에서의 진상 규명 작업은 국정원 직원의 자살 이후의 수사 과정에 대한 공방에 머물러 있습니다. 물론 이런 과정이 전혀 의미가 없다고는 할 수는 없습니다만, 이번 RCS 파문의 핵심이 자살 수사 과정의 잘잘못을 따지는 데 있지 않다는 것은 분명합니다.

제가 소개해 드린 '오픈 백신'은 사실 몇몇 시민단체들이 바로 이런 상황을 '보다 못해' 만든 것입니다. 앱 자체의 완성도와 '검증 능력'이 어떤 수준인지 정확하게 알 수도 없습니다. 그러나 그토록 강한 어조의 '해명'조차 믿지 못해 시민단체들이 나설 수 밖에 없도록 상황을 몰고 간 책임이 과연 어디에 있는지를 정부는 깊이 생각해 봐야 할 것입니다.