본문 바로가기

주간동아 로고

  • Magazine dongA
통합검색 전체메뉴열기

COVER STORY | 神이 된 해커 줄줄~ 새는 내 비밀 04

줄줄 새는 기업정보… 헉, 노트북이 도청장치라고?

3~5m 이내 음성 녹음, 외부로 전송 … 팜톱PC·PMP도 안전에 구멍

줄줄 새는 기업정보… 헉, 노트북이 도청장치라고?

줄줄 새는 기업정보… 헉, 노트북이 도청장치라고?
“김 부장, 이번엔 A펀드에 대해 보고해주세요.”

“A회사는 3분기 연속으로 매출 신장률이 두 자릿수를 기록했습니다. 최근 보도와 기술개발 동향에 따르면 이 회사의 가치는 계속 올라갈 것으로 예상됩니다. B사에 투자했던 자금을 회수해 A사 주식을 사는 게 좋겠습니다.”

“그럼 조처를 취하고 다음 주 중 적당한 시점을 잡아 매수에 들어가세요.”

Z증권 펀드매니저인 김 부장은 임원회의에 보고한 대로 A사 주식을 매수하려 기다리고 있었다. 그런데 회의를 마치고 나온 지 얼마 되지 않아 한 통의 전화가 왔다. B사 주식을 팔지 말라는 전화였다. 괴전화의 주인공은 이상하리만큼 자신의 분석 내용을 정확하게 알고 있었다. 회의에 참석한 사람이라는 착각이 들 정도. 김 부장은 ‘혹시 회의실에 도청장치가 있는 것은 아닐까’ 하는 의심이 들었다. 회의실에 있는 전자기기는 노트북 컴퓨터, 프로젝터, 회의 참가자의 휴대전화뿐이었다.

당신은 이런 경험이 없는가? 김 부장처럼 기밀업무를 다루지 않더라도 이해관계가 첨예하게 얽히는 직종에 종사하다 보면 이 같은 경험을 가끔 하게 된다. 정부, 정보기관, 금융회사, 언론사 종사자들은 언제 도청당할지 모른다는 생각을 한다. 도청이라고 하면 보통 누군가가 사무실과 같은 정해진 공간에 침입해 소형 마이크를 설치하고 원격으로 녹음하거나, 음성 전화기의 회선을 활용해 남의 말을 엿듣는 것을 가리킨다.



e메일로 도청 악성코드 심기

하지만 최근에는 노트북 컴퓨터라는 디지털 기기를 활용한 도청기법이 쓰인다. 아날로그 음성을 그대로 수집한다는 점에서는 과거의 도청기법과 다름이 없다. 충격적인 것은 평범한 노트북 컴퓨터가 해커의 의지에 따라 최첨단 도청기기로 돌변한다는 점. 해커는 e메일로 남의 노트북 컴퓨터에 도청 프로그램을 심어놓고, 이를 통해 음성을 빼간다.

이러한 사실은 한 보안전문가 집단이 제보했다. 앞의 사례에서 보듯 요즘은 회의 시간에 필기를 하는 대신 노트북 컴퓨터를 이용하는 경우가 많고, 또 컴퓨터를 프로젝터와 연결해 발표를 하기도 한다. 회의는 대체로 노트북 컴퓨터 주변 3~5m에서 진행된다. 만일 노트북 컴퓨터의 마이크로 회의 내용을 기록해 통신망을 통해서 이를 외부로 전송하면 고스란히 기밀이 새나간다. 노트북 컴퓨터뿐 아니라 마이크 등 집음 장치가 들어간 디지털 기기는 잠재적으로 도청장치로 활용될 수 있다는 주장이다.

“제가 지금 e메일을 보낼 테니 한번 확인해보세요.”

1월5일 기자는 제보 내용을 확인하고자 보안전문가들의 모임인 시큐어연구회를 찾았다. 이 연구회의 이경태 회장은 대뜸 기자에게 그 자리에서 e메일부터 확인하라고 했다. 취재에 앞서 해킹과 관련한 몇 가지 질문을 했는데, 그에 대한 답변을 e메일에 첨부문서 형식으로 보내놓았다는 것.

기자는 가지고 간 노트북 컴퓨터를 켜고 인터넷에 접속해 압축파일을 다운로드한 후 문서를 열어 읽었다. 그러고 난 뒤 이 회장과 이날 취재 내용에 대해 얘기를 나눴다.

“평소 해킹을 막으려면 어떻게 해야 합니까?”

“최근 중국 해커들의 동향은 어떻습니까?”

대화를 시작한 지 10분 남짓 되었을까. 이 회장은 “이제 됐다”며 벌떡 자리에서 일어나더니 건너편 사무실에서 노트북 컴퓨터 하나를 가져왔다.

줄줄 새는 기업정보… 헉, 노트북이 도청장치라고?

노트북 도청 개념도

“e메일에 첨부된 파일을 확인하셨죠? 그럼 제가 놀라운 도청 신기술을 알려드리겠습니다.”

이 회장이 가져온 PC 바탕화면에서 ‘웨이브(wav)’ 파일 하나를 클릭하자, 그동안 기자와 이 회장이 주고받은 대화가 녹음돼 있었다. “도청에 무방비로 노출됐다”는 취재 내용은 물론, 취재에 앞서 나눈 가벼운 안부 인사며 날씨 얘기까지 그대로 들렸다. 물론 잡음이 섞여 있고 멀리서 말한 느낌이 들었지만 이어폰을 끼고 들으면 충분히 내용을 이해할 수 있을 정도였다.

이 회장이 기자에게 직접 만든 ‘도청 악성코드’를 문서 형태의 파일에 숨겨 e메일로 보낸 것이다. 그 파일에는 해커(이 회장)의 서버 컴퓨터로 도청된 음성을 파일로 저장해 보낼 수 있는 악성코드도 장착돼 있었다. 마이크를 일부러 켠 것도 아니고, 파일을 평범하게 확인하고 작동했을 뿐인데 음성이 그대로 녹음돼 다른 컴퓨터로 이동했다. 노트북 주변이 아닌 5m가량 떨어진 곳의 음성까지 녹음될 만큼 노트북 컴퓨터의 마이크 성능은 강력했다.

감염된 노트북 컴퓨터에 녹음된 내용은 해커가 지정한 서버 컴퓨터에 고스란히 저장된다. 이 회장이 만든 악성코드는 C드라이브의 특정 디렉토리에 저장되도록 설정됐다. 감염된 노트북 컴퓨터의 C드라이브 루트 폴더를 확인하니 ‘20101510493.wav’ 등 10개 파일이 보였다. 생성 시점은 2010년 1월5일 10시49분3초. 1분 단위로 쌓인 음성파일(형식 wav)의 흔적과 함께 10분 정도 녹음한 내용이 모두 담겨 있었다. 용량은 1MB(메가바이트)도 되지 않았다.

하지만 이는 기자에게 보여주기 위해 저장해둔 것일 뿐, 해킹된 컴퓨터에 저장된 도청파일은 해커 PC로 전송됨과 동시에 자동으로 지워지게 프로그래밍돼 있다. 따라서 컴퓨터 감염자가 아무리 오랜 시간 동안 대화를 해도 거의 무한정으로 음성을 도청해 해커 컴퓨터로 보낼 수 있다. 심지어 이 악성코드는 일정 시간이 지나면 악성코드 자체를 삭제할 수도 있다. 그만큼 해킹과 도청 사실이 드러나기 어렵게 프로그래밍을 할 수 있다는 얘기다.

간단한 작동원리 … 기존 백신 무용지물

도청 악성코드의 작동원리는 간단하다. 마이크가 장착된 컴퓨터라면 모두 공격의 대상이 된다. 꼭 노트북 컴퓨터가 아니더라도 마이크가 설치된 모든 PC는 도청에 이용될 수 있다. 마이크를 따로 달아야 하는 데스크톱 컴퓨터와 달리 최근 3, 4년 이내에 출시된 노트북 컴퓨터는 마이크가 기본적으로 장착돼 도청 악성코드에 노출될 가능성이 가장 크다.

이 마이크는 주기판의 제어칩과 연결돼 있는데, 악성코드는 이 제어칩에 도청 작업명령을 내린다. 사용자의 의지와 관계없이 노트북 컴퓨터의 마이크가 작동하면서 자동으로 녹음이 시작되는 것이다. 녹음된 음성은 ‘웨이브’ 파일 형태로 저장되고, 그 즉시 이 파일은 통신망을 타고 외부로 빠져나간다.

이때 악성코드에 해커 PC의 인터넷주소(IP)를 입력해놓으면 거기로 도청된 음성파일이 들어간다. 만일 해커가 자신의 컴퓨터가 아닌 제3자의 컴퓨터로 보내고 싶다면, 처음부터 악성코드에 제3자의 IP를 설정하면 된다.

다만 이 회장이 만든 악성코드는 마이크에 전원이 들어와야 하기 때문에 컴퓨터가 켜진 상태에서만 도청이 이뤄진다. 이 회장은 “꺼져 있는 PC를 원격제어를 통해 부팅시킨 뒤 도청을 하도록 하는 악성코드도 이론적으로는 만들 수 있다. 하지만 일부러 컴퓨터를 켜서 도청하는 악성코드를 만드는 것은 현재 기술로선 쉽지 않다”고 설명했다.

“중급 수준 해커도 쉽게 만들 수 있다”

줄줄 새는 기업정보… 헉, 노트북이 도청장치라고?

최근 3, 4년 이내에 출시된 노트북 컴퓨터는 마이크가 기본적으로 장착돼 있다.

문제는 이 회장이 개발한 악성코드는 2009년 말까지 나온 보안프로그램으로는 잡아낼 수 없다는 점. 아직 도청 해킹 사례가 신고되지 않았기 때문에 이에 대한 백신제품이 개발되지 않았다. 보안 전문가들은 “해킹 솔루션이 다른 실행파일과 달리 일반적인 소프트웨어 형태라 찾아내기 쉽지 않은 것만은 사실”이라고 설명했다. 1분당 전송되는 데이터 양이 1MB 미만으로 적기 때문에 네트워크 보안에 걸릴 확률이 그만큼 낮다는 설명이었다. 이 회장은 “우리 보안업체들의 기술 수준이 높기 때문에 도청 악성코드가 실제 발견된다면 이를 사전에 차단하거나 추적해 박멸할 수 있는 보안 솔루션 프로그램도 얼마의 시간이 걸리지 않아 만들어질 것”이라고 말했다.

이 회장이 보낸 도청 악성코드의 경우, 애초에 해킹 파일이 C드라이브에 저장되도록 설치해 시연했기 때문에 확인이 가능했을 뿐, 만일 해커들이 이상한 디렉토리로 저장되게 악성코드를 구성한다면 일반인은 결코 찾아낼 수 없다. 시연이 끝나자, 이 회장은 기자의 컴퓨터 제어판에 들어가서 프로세서 기능에서 악성코드를 찾아내 삭제했다. 이 역시 이 회장이 사전에 해당 해킹 파일의 명칭을 알고 있었기 때문에 가능한 일이다.

노트북 컴퓨터가 도청기기로 활용된다는 것은 정보기술(IT) 전문가 사이에서는 놀라운 일이 아니다. 보안 전문가들은 이미 여러 첩보영화에서 노트북 컴퓨터를 도청 도구로 활용한 유사한 기술을 소재로 사용한 점을 사례로 들며 “이런 일이 처음은 아닐 것”으로 추측한다. 도청 악성코드를 만들기가 어렵지 않아서 이미 국내외 정보기관, 산업스파이, 중국 해커 등이 활용했을 개연성을 배제할 수 없다. 그만큼 우리 군의 연구기관이나 정보기관 등은 충분한 수준의 정보기술(IT)이 있다. 이미 오래전부터 활용해오면서 ‘쉬쉬’해왔을 수 있다는 얘기다.

도청 악성코드를 시험 제작한 이 회장은 “도청 악성코드는 기술적인 문제보다 아이디어성 해킹 도구라 이미 제작돼 유포됐을 수 있다. 이 정도 악성코드라면 중급 수준의 실력을 가진 해커가 쉽게 만들 수 있을 것”이라고 말했다.

노트북 마이크 꺼도 소용 없어

줄줄 새는 기업정보… 헉, 노트북이 도청장치라고?

도청 악성코드가 작동되자 외부에서 도청된 음성파일이 1분 단위로 들어온다.

더욱 우려스러운 점은 이렇듯 일반 노트북 컴퓨터에서 도청이 가능했다면 그와 유사한 운영체제(OS)를 쓰는 팜톱PC, PMP, 스마트폰 등에서도 악성코드를 활용할 수 있다는 사실이다. 마이크 장치가 내장돼 있고 통신망과 연결된 디지털 기기라면 어떠한 형태로든지 음성 또는 데이터 해킹이 가능하기 때문이다. 팜톱PC나 PMP는 노트북 컴퓨터와 유사한 구조와 환경을 쓰고 있어 현재의 솔루션을 일부만 수정하면 가능하다. 이 회장은 “이론적으로는 스마트폰도 감염시킬 수 있으며 이미 국내외 해커들이 도전하고 있을 것”이라고 내다봤다.

이 같은 사실이 알려진 뒤 공공기관 및 기업들은 노트북 컴퓨터를 이용한 도청에 대비하기 시작했다. 실제 기밀을 다루는 정부 기관에서는 회의실에 노트북 컴퓨터 등 전자기기 일체를 반입하지 못하게 한 것으로 전해졌다. 익명을 요구한 정부의 한 관계자는 “노트북 컴퓨터를 이용한 도청 등에 대비한 조치를 취했지만 외부에 알리면 해커 등의 주요 표적이 될 것으로 보고 조용하게 대처했다”고 말했다.

노트북 컴퓨터 도청을 막으려면 마이크 기능을 물리적으로 없애면 된다. 하지만 일반 사용자가 노트북에서 마이크를 제거하기는 쉽지 않다. 임시방편이긴 하나 사용자가 ‘제어판’→ ‘장치관리자’에서 마이크를 끄면 녹음이 안 돼 도청이 불가능하다. 그러나 이마저도 해킹으로 다시 마이크를 켤 수 있어서 완전한 방법은 아니다.

제조업체들은 소프트웨어적이 아니라 하드웨어적으로 노트북 컴퓨터의 마이크를 켜고 끌 수 있는 장치를 마련할 것으로 보인다. 지금까지는 노트북 컴퓨터를 부팅한 뒤 바탕화면에서 마이크를 끌 수 있었지만, 앞으로는 물리적으로 켜고 끄는 장치를 다는 식 등으로 말이다.

무엇보다 중요한 것은 사용자의 도청에 대한 경각심이다. 마이크에 대한 통제뿐 아니라 일상적인 컴퓨터 사용에서도 주의를 기울여야 한다. 지난해 7월 디도스(DDos·분산 서비스 거부) 공격 이후 한국인터넷진흥원에서 공개한 ‘해킹 및 바이러스 감염 자가진단법’에 따르면 △ 자기도 모르게 프로그램이 생성되거나 삭제된 경우 △ 알 수 없는 파일이 생긴 경우(특히 공유 폴더) △ 이유 없이 컴퓨터 프로그램 실행 속도가 느려지고 시스템이 멈춘 경우 △ 사용자 의사와 관계없이 프로그램이 실행되거나 주변 장치가 스스로 움직이는 증상이 나타난 경우 악성코드 감염을 의심해봐야 한다. 이 회장은 “출처를 알 수 없거나 의심스러운 e메일은 읽지 않고 삭제하는 것이 좋다. 파일공유 사이트 등에서 출처를 알 수 없는 파일은 함부로 내려받지 않는 게 바람직하다”고 당부했다.

‘보안의 성자’ 시큐어연구회

“해킹 막아라” 지식 공유 … ‘정보 보안관’ 역할


줄줄 새는 기업정보… 헉, 노트북이 도청장치라고?

시큐어연구회 홈페이지 화면.

중국과 일본 해커들의 사이버테러가 거세지던 1999년. 뜻있는 대학생과 평범한 직장인 30여 명이 모여 ‘515부대’를 창설했다. 해킹에 쓰는 각종 소스코드를 분석하고 사이버테러에 신속히 대응할 수 있는 방안을 찾기 위해서였다. ‘515’는 보안의 성자(SIS·Saint In Security)란 뜻이다. 해커 용어로 ‘S’는 5를 가리킨다.

515부대의 뿌리는 국내 최초 민간 해커부대 ‘31337부대’에 있다. 31337부대가 미지근한 활동 끝에 해체되자 이곳에서 활동하던 핵심 멤버들이 주축이 돼 515부대를 결성한 것. 해커의 모임이던 515부대는 2년 뒤인 2001년 ‘시큐어연구회’(www.sislab.or.kr)로 명칭을 바꿨다. 현재 인터넷으로 모이는 회원 수는 2400명 수준. 대부분이 보안업계 종사자거나 국가 기관 및 기업 등에서 보안을 담당하는 사람이다.

이 모임은 일종의 ‘보안지식 장터’다. 여기에 몸담고 있는 보안 담당자와 해커 모두 서로가 지닌 지식을 공유하고 자신이 설정해놓은 회사 및 기관의 보안 상황을 점검해주기 때문이다. 컴퓨터에 침입해 파일을 훔쳐가거나 서버를 마비시키는 ‘크래커’ 집단이 아니라 정보를 보호하기 위한 ‘정보 보안관’의 모임인 셈이다.

실제 시큐어연구회는 그동안 수차례 보안상의 문제점을 폭로했다. 올해 1월 노트북에 장착된 마이크가 도청장치로 사용될 수 있다는 사실 외에도 2009년 10월 휴대전화로 웹서버를 공격할 수 있다는 것을 발표했다. 또 2007년 12월에는 운영체제(OS)가 윈도 기반인 무인자동발급기, 즉 현금자동입출금기(ATM)나 주민등록등·초본 무인발급기의 해킹 사례를 공개했다. 당시 행정자치부는 무인민원 시스템 관련 보안 자문을 시큐어연구회에 맡겼다.

이들은 문제점을 지적만 하는 것이 아니라 해킹을 방지하는 대책도 내놓는다. 지난 1월에는 메신저 피싱으로 인한 금전적 피해를 사전 예방할 수 있는 사이버 수사기법을 개발해 사이버범죄수사대에 제안했다. 메신저 피싱은 피해자의 비밀번호 등을 해킹해 메신저에 접속한 후 피해자의 지인에게 금품을 요구하는 것을 말한다.

네이트온, MSN 등 메신저를 운영하는 기업이 메신저 창 옆에 실명인증 사고를 접수하는 별도의 등록 창을 만들어두면 사용자가 메신저 피싱이 의심되는 메신저를 받았을 때 이를 해당 창에 등록해 경찰청에 곧바로 알리는 식이다. 지난해 10월16일에는 연구회에서 개발한 개인용 해킹방지 솔루션을 무료로 배포하기도 했다.

이 밖에도 정기적으로 보안 세미나를 열어 보안에 관심 있는 사람을 대상으로 강의하거나 최신 해킹 기술과 관련된 토론을 벌인다.

변태섭 동아사이언스 기자 xrockism@donga.com




주간동아 2010.03.09 726호 (p30~33)

  • 김규태 동아사이언스 기자 kyoutae@donga.com
다른호 더보기 목록 닫기
1213

제 1213호

2019.11.08

매장 차별화와 플랫폼 서비스로 ‘한국의 아마존’을 시험하는 편의점

목차보기구독신청이번 호 구입하기

지면보기 서비스는 유료 서비스입니다.