해킹팀 탐정놀이 - 2012년 IT/잡담

이탈리아의 해킹 전문업체인 해킹팀(Hacking Team)이 오히려 해킹을 당했구나 -_-;; 위키리크스에 엄청난 분량의 해킹팀 이메일이 공개되었다.

보아하니 내부 이메일 전체가 다 유출된 듯. 위키리크스에서 친절하게도(?) 유출된 메일을 잘 모아서 검색 기능까지 추가해 놓았구나. (여기에 가면 볼 수 있다.) 워낙 언론에 많이 나오고 있기도 하고, 호기심도 들어서 약간의 탐정놀이를 해 보았다.

우선 메일에 나온 내용을 가지고 추정해 보자면, 해킹팀은 익스플로잇 포털(exploit portal)을 통해서 고객에게 기술지원과 공격도구를 제공했던 것으로 보인다. 아마 자사의 고객지원 웹사이트인 것 같다. 여기에 요청을 올리면 해당 내용이 인트라넷에서 관련 담당자에게 이메일로 보내지는 모양이다.

해킹팀의 내부 메일이 전부 유출되면서 익스플로잇 포털에 있던 내용까지 같이 공개되었다. 즉, 해킹팀 내부에서 주고 받은 메일뿐만 아니라 고객에 해킹팀에 요청한 사항까지 다 나와 있다.

아무튼 그래서, 신문기사 등에서 국정원측 인물이라고 지목한 사용자가 총선과 대선이 있었던 2012년에 뭘 하고 있었는지 좀 찾아보았다. devilangel로 시작되는 메일계정을 썼으므로 이하 데빌엔젤로 지칭한다.

해킹팀이 데빌엔젤의 메일 주소를 인지한 시점은 2012년 1월이다. 그러나 실제로 데빌엔젤이 해킹팀과 교류를 하기 시작하는 시점은 2012년 7월이다. 아마도 그 사이에 원격 해킹 시스템인 RCS를 구매하고 설치하고 뭐 그런 일들을 했을 것이라 짐작된다.

데빌엔젤의 요청사항을 보면 주로 기능이나 익스플로잇(exploit)에 대한 질문이다. 이런 종류의 S/W에 익숙하지 않기 때문인 듯하다.

2012년 7월 24일에 데빌엔젤은 시험용 기기에서 안드로이드 agent(스마트폰에 설치되는 스파이웨어)가 제대로 동작하지 않는다면서 해결을 요청한다. 공격은 고사하고 자신이 가지고 있는 스마트폰으로 시험할 때도 제대로 동작이 안되는 모양이다. -_-; 이 문제는 8월 14일이 되어서야 해결된다.

자, 그러면 이제 다 괜찮아졌나? 아니다. 이후 데빌엔젤은 블랙베리 agent가 제대로 동작하지 않는 문제, RCS 콘솔이 제대로 동작하지 않는 문제, IP주소 추적을 따돌리기 위한 anonymizer 설정 문제 등으로 계속 해킹팀에 질문을 하고 도움을 청한다. 그리고 이러한 상황은 최소한 2013년 1월말까지 계속된다. 그 이후의 메일은 안 봐서 모르겠다.

이것으로 몇가지 추측을 해 볼 수 있는데, 대략 이렇다.

데빌엔젤은 해커가 아니다. 문제가 발생했을 때 문제의 원인을 추정할 수 있는 수준의 지식을 가지고 있지는 않다. 그렇기 때문에 대부분 겉으로 나타나는 현상을 설명하면서 "이 부분이 잘 안됩니다. 확인해 주세요."라는 식으로 질문을 하고 있다. 일반 월급쟁이 IT엔지니어인 나와 비교해서 별반 나을 것이 없는 수준인 듯하다.

데빌엔젤이 속한 팀에도 해커가 없다. 만약 해커들이 있었으면 먼저 그들에게 물어봤을 것이고, 저렇게 오랜 기간 동안 헤매고 있진 않았을 것이다. 그리고 해킹팀에 보내는 질문도 훨씬 더 기술적이고 구체적이었을 것이다.

2012년 내내, 그리고 2013년 1월까지, 데빌엔젤은 남을 해킹할 준비가 제대로 되어 있지 않은 상태다. 따라서 데빌엔젤의 IQ가 80 이상이라는 전제하에, 2012년 총선이나 대선에 사찰을 하겠다고 해킹팀의 RCS를 사용했을 가능성은 거의 없다. 이런 엉성한 상태에서 공격을 감행할 수 있는 대상은 외국에 나가 있는 북한인 정도일 듯(이건 어차피 들켜도 상관 없으니까).

일단 여기까지. 유출된 이메일을 보면 재미있을 것이라고 생각했는데 막상 해보니 생각보다 시간도 많이 들고 꽤나 귀찮은 작업이었다. -_-;



핑백

  • 반달가면 : 해킹팀 탐정놀이 - 해킹 당한 변호사 2015-07-17 21:43:51 #

    ... 해킹팀 탐정놀이를 시작한 김에, 조금만 더 해 보기로 했다. 언론 기사가 너무 자극적이어서 설마 정말 그럴까 싶어서 직접 확인해 보기로. 국정원이 변호사를 해킹했다는 기사가 잔뜩 ... more

  • 반달가면 : 해킹팀 탐정놀이 - 유출 로그 파일에 있는 국내 IP주소 2015-07-20 00:30:03 #

    ... 을까 했는데, 뭔가 좀 심하게 판타지적인(?) 느낌을 주는 기사들이 보여서 한번 더 탐정놀이 -_-; 아무래도 뭔가 연재만화 비슷하게 되어 가는 느낌이다;;; (지난회는 여기와 여기로;;) 대략의 내용은, 해킹팀 유출자료에서 로그 파일에서 한국 IP주소 138개가 발견되었기 때문에 "대북/해외정보 수집용"이라는 국정원의 해명이 거짓말이 ... more

  • 반달가면 : 해킹팀 탐정놀이 - 어떤 단독기사 2015-07-25 00:17:39 #

    ... 012년 11월부터 2013년 2월 사이에 있다고 하는데, 그 시기면 RCS를 제대로 운영할 준비가 되어 있지 않은 것으로 보이기 때문이다. (이전 게시물을 참고하자. 여기로) 2. (백번 양보해서 미친 척하고) 공격을 감행하였으나, 스파이웨어(agent)가 제대로 설치되지 않았다. 따라서 anonymizer는 해당 접속 시도를 비인 ... more

덧글

  • 채널 2nd™ 2015/07/17 03:25 # 답글

    >> https://www.wikileaks.org/hackingteam/emails

    이 주소는 어째서 ... 그 이상한 정부 기관에서 차단을 안했을까 개궁금. <-- 어떤 사이트는 닥치고 차단이던데............. ((이거, 이거, 이거, 도둑이 제 발 저리는 격인가?)) ;;;
  • 반달가면 2015/07/17 21:45 #

    좀 싱거운 답변이겠습니다만, 차단할 법적인 근거가 없기 때문에 차단 못합니다. 유출된 이메일이 음란물도 아니고 국내 저작권법에 저촉되지도 않으며 북한을 찬양하고 있지도 않으니 차단할 근거가 없습니다.
  • RuBisCO 2015/07/17 09:09 # 답글

    2월까지도 여전히 이런 저런 질문을 끊임없이 하는거 봐선 그 뒤로 잡아야 하지 않을까 싶네요.
  • 반달가면 2015/07/17 21:47 #

    그렇군요. 아무튼 이 정도 분위기면 연구용으로 샀다는 주장도 그럴듯 합니다;;;
댓글 입력 영역
* 비로그인 덧글의 IP 전체보기를 설정한 이글루입니다.

Google Analytics


B-Side


adsense(w160_h600)2

통계 위젯 (화이트)

136646
3914
2013148

ad_widget_2