“A회사는 3분기 연속으로 매출 신장률이 두 자릿수를 기록했습니다. 최근 보도와 기술개발 동향에 따르면 이 회사의 가치는 계속 올라갈 것으로 예상됩니다. B사에 투자했던 자금을 회수해 A사 주식을 사는 게 좋겠습니다.”
“그럼 조처를 취하고 다음 주 중 적당한 시점을 잡아 매수에 들어가세요.”
Z증권 펀드매니저인 김 부장은 임원회의에 보고한 대로 A사 주식을 매수하려 기다리고 있었다. 그런데 회의를 마치고 나온 지 얼마 되지 않아 한 통의 전화가 왔다. B사 주식을 팔지 말라는 전화였다. 괴전화의 주인공은 이상하리만큼 자신의 분석 내용을 정확하게 알고 있었다. 회의에 참석한 사람이라는 착각이 들 정도. 김 부장은 ‘혹시 회의실에 도청장치가 있는 것은 아닐까’ 하는 의심이 들었다. 회의실에 있는 전자기기는 노트북 컴퓨터, 프로젝터, 회의 참가자의 휴대전화뿐이었다.
당신은 이런 경험이 없는가? 김 부장처럼 기밀업무를 다루지 않더라도 이해관계가 첨예하게 얽히는 직종에 종사하다 보면 이 같은 경험을 가끔 하게 된다. 정부, 정보기관, 금융회사, 언론사 종사자들은 언제 도청당할지 모른다는 생각을 한다. 도청이라고 하면 보통 누군가가 사무실과 같은 정해진 공간에 침입해 소형 마이크를 설치하고 원격으로 녹음하거나, 음성 전화기의 회선을 활용해 남의 말을 엿듣는 것을 가리킨다.
e메일로 도청 악성코드 심기
하지만 최근에는 노트북 컴퓨터라는 디지털 기기를 활용한 도청기법이 쓰인다. 아날로그 음성을 그대로 수집한다는 점에서는 과거의 도청기법과 다름이 없다. 충격적인 것은 평범한 노트북 컴퓨터가 해커의 의지에 따라 최첨단 도청기기로 돌변한다는 점. 해커는 e메일로 남의 노트북 컴퓨터에 도청 프로그램을 심어놓고, 이를 통해 음성을 빼간다.
이러한 사실은 한 보안전문가 집단이 제보했다. 앞의 사례에서 보듯 요즘은 회의 시간에 필기를 하는 대신 노트북 컴퓨터를 이용하는 경우가 많고, 또 컴퓨터를 프로젝터와 연결해 발표를 하기도 한다. 회의는 대체로 노트북 컴퓨터 주변 3~5m에서 진행된다. 만일 노트북 컴퓨터의 마이크로 회의 내용을 기록해 통신망을 통해서 이를 외부로 전송하면 고스란히 기밀이 새나간다. 노트북 컴퓨터뿐 아니라 마이크 등 집음 장치가 들어간 디지털 기기는 잠재적으로 도청장치로 활용될 수 있다는 주장이다.
“제가 지금 e메일을 보낼 테니 한번 확인해보세요.”
1월5일 기자는 제보 내용을 확인하고자 보안전문가들의 모임인 시큐어연구회를 찾았다. 이 연구회의 이경태 회장은 대뜸 기자에게 그 자리에서 e메일부터 확인하라고 했다. 취재에 앞서 해킹과 관련한 몇 가지 질문을 했는데, 그에 대한 답변을 e메일에 첨부문서 형식으로 보내놓았다는 것.
기자는 가지고 간 노트북 컴퓨터를 켜고 인터넷에 접속해 압축파일을 다운로드한 후 문서를 열어 읽었다. 그러고 난 뒤 이 회장과 이날 취재 내용에 대해 얘기를 나눴다.
“평소 해킹을 막으려면 어떻게 해야 합니까?”
“최근 중국 해커들의 동향은 어떻습니까?”
대화를 시작한 지 10분 남짓 되었을까. 이 회장은 “이제 됐다”며 벌떡 자리에서 일어나더니 건너편 사무실에서 노트북 컴퓨터 하나를 가져왔다.
노트북 도청 개념도
이 회장이 가져온 PC 바탕화면에서 ‘웨이브(wav)’ 파일 하나를 클릭하자, 그동안 기자와 이 회장이 주고받은 대화가 녹음돼 있었다. “도청에 무방비로 노출됐다”는 취재 내용은 물론, 취재에 앞서 나눈 가벼운 안부 인사며 날씨 얘기까지 그대로 들렸다. 물론 잡음이 섞여 있고 멀리서 말한 느낌이 들었지만 이어폰을 끼고 들으면 충분히 내용을 이해할 수 있을 정도였다.
이 회장이 기자에게 직접 만든 ‘도청 악성코드’를 문서 형태의 파일에 숨겨 e메일로 보낸 것이다. 그 파일에는 해커(이 회장)의 서버 컴퓨터로 도청된 음성을 파일로 저장해 보낼 수 있는 악성코드도 장착돼 있었다. 마이크를 일부러 켠 것도 아니고, 파일을 평범하게 확인하고 작동했을 뿐인데 음성이 그대로 녹음돼 다른 컴퓨터로 이동했다. 노트북 주변이 아닌 5m가량 떨어진 곳의 음성까지 녹음될 만큼 노트북 컴퓨터의 마이크 성능은 강력했다.
감염된 노트북 컴퓨터에 녹음된 내용은 해커가 지정한 서버 컴퓨터에 고스란히 저장된다. 이 회장이 만든 악성코드는 C드라이브의 특정 디렉토리에 저장되도록 설정됐다. 감염된 노트북 컴퓨터의 C드라이브 루트 폴더를 확인하니 ‘20101510493.wav’ 등 10개 파일이 보였다. 생성 시점은 2010년 1월5일 10시49분3초. 1분 단위로 쌓인 음성파일(형식 wav)의 흔적과 함께 10분 정도 녹음한 내용이 모두 담겨 있었다. 용량은 1MB(메가바이트)도 되지 않았다.
하지만 이는 기자에게 보여주기 위해 저장해둔 것일 뿐, 해킹된 컴퓨터에 저장된 도청파일은 해커 PC로 전송됨과 동시에 자동으로 지워지게 프로그래밍돼 있다. 따라서 컴퓨터 감염자가 아무리 오랜 시간 동안 대화를 해도 거의 무한정으로 음성을 도청해 해커 컴퓨터로 보낼 수 있다. 심지어 이 악성코드는 일정 시간이 지나면 악성코드 자체를 삭제할 수도 있다. 그만큼 해킹과 도청 사실이 드러나기 어렵게 프로그래밍을 할 수 있다는 얘기다.
간단한 작동원리 … 기존 백신 무용지물
도청 악성코드의 작동원리는 간단하다. 마이크가 장착된 컴퓨터라면 모두 공격의 대상이 된다. 꼭 노트북 컴퓨터가 아니더라도 마이크가 설치된 모든 PC는 도청에 이용될 수 있다. 마이크를 따로 달아야 하는 데스크톱 컴퓨터와 달리 최근 3, 4년 이내에 출시된 노트북 컴퓨터는 마이크가 기본적으로 장착돼 도청 악성코드에 노출될 가능성이 가장 크다.
이 마이크는 주기판의 제어칩과 연결돼 있는데, 악성코드는 이 제어칩에 도청 작업명령을 내린다. 사용자의 의지와 관계없이 노트북 컴퓨터의 마이크가 작동하면서 자동으로 녹음이 시작되는 것이다. 녹음된 음성은 ‘웨이브’ 파일 형태로 저장되고, 그 즉시 이 파일은 통신망을 타고 외부로 빠져나간다.
이때 악성코드에 해커 PC의 인터넷주소(IP)를 입력해놓으면 거기로 도청된 음성파일이 들어간다. 만일 해커가 자신의 컴퓨터가 아닌 제3자의 컴퓨터로 보내고 싶다면, 처음부터 악성코드에 제3자의 IP를 설정하면 된다.
다만 이 회장이 만든 악성코드는 마이크에 전원이 들어와야 하기 때문에 컴퓨터가 켜진 상태에서만 도청이 이뤄진다. 이 회장은 “꺼져 있는 PC를 원격제어를 통해 부팅시킨 뒤 도청을 하도록 하는 악성코드도 이론적으로는 만들 수 있다. 하지만 일부러 컴퓨터를 켜서 도청하는 악성코드를 만드는 것은 현재 기술로선 쉽지 않다”고 설명했다.
“중급 수준 해커도 쉽게 만들 수 있다”
최근 3, 4년 이내에 출시된 노트북 컴퓨터는 마이크가 기본적으로 장착돼 있다.
이 회장이 보낸 도청 악성코드의 경우, 애초에 해킹 파일이 C드라이브에 저장되도록 설치해 시연했기 때문에 확인이 가능했을 뿐, 만일 해커들이 이상한 디렉토리로 저장되게 악성코드를 구성한다면 일반인은 결코 찾아낼 수 없다. 시연이 끝나자, 이 회장은 기자의 컴퓨터 제어판에 들어가서 프로세서 기능에서 악성코드를 찾아내 삭제했다. 이 역시 이 회장이 사전에 해당 해킹 파일의 명칭을 알고 있었기 때문에 가능한 일이다.
노트북 컴퓨터가 도청기기로 활용된다는 것은 정보기술(IT) 전문가 사이에서는 놀라운 일이 아니다. 보안 전문가들은 이미 여러 첩보영화에서 노트북 컴퓨터를 도청 도구로 활용한 유사한 기술을 소재로 사용한 점을 사례로 들며 “이런 일이 처음은 아닐 것”으로 추측한다. 도청 악성코드를 만들기가 어렵지 않아서 이미 국내외 정보기관, 산업스파이, 중국 해커 등이 활용했을 개연성을 배제할 수 없다. 그만큼 우리 군의 연구기관이나 정보기관 등은 충분한 수준의 정보기술(IT)이 있다. 이미 오래전부터 활용해오면서 ‘쉬쉬’해왔을 수 있다는 얘기다.
도청 악성코드를 시험 제작한 이 회장은 “도청 악성코드는 기술적인 문제보다 아이디어성 해킹 도구라 이미 제작돼 유포됐을 수 있다. 이 정도 악성코드라면 중급 수준의 실력을 가진 해커가 쉽게 만들 수 있을 것”이라고 말했다.
노트북 마이크 꺼도 소용 없어
도청 악성코드가 작동되자 외부에서 도청된 음성파일이 1분 단위로 들어온다.
이 같은 사실이 알려진 뒤 공공기관 및 기업들은 노트북 컴퓨터를 이용한 도청에 대비하기 시작했다. 실제 기밀을 다루는 정부 기관에서는 회의실에 노트북 컴퓨터 등 전자기기 일체를 반입하지 못하게 한 것으로 전해졌다. 익명을 요구한 정부의 한 관계자는 “노트북 컴퓨터를 이용한 도청 등에 대비한 조치를 취했지만 외부에 알리면 해커 등의 주요 표적이 될 것으로 보고 조용하게 대처했다”고 말했다.
노트북 컴퓨터 도청을 막으려면 마이크 기능을 물리적으로 없애면 된다. 하지만 일반 사용자가 노트북에서 마이크를 제거하기는 쉽지 않다. 임시방편이긴 하나 사용자가 ‘제어판’→ ‘장치관리자’에서 마이크를 끄면 녹음이 안 돼 도청이 불가능하다. 그러나 이마저도 해킹으로 다시 마이크를 켤 수 있어서 완전한 방법은 아니다.
제조업체들은 소프트웨어적이 아니라 하드웨어적으로 노트북 컴퓨터의 마이크를 켜고 끌 수 있는 장치를 마련할 것으로 보인다. 지금까지는 노트북 컴퓨터를 부팅한 뒤 바탕화면에서 마이크를 끌 수 있었지만, 앞으로는 물리적으로 켜고 끄는 장치를 다는 식 등으로 말이다.
무엇보다 중요한 것은 사용자의 도청에 대한 경각심이다. 마이크에 대한 통제뿐 아니라 일상적인 컴퓨터 사용에서도 주의를 기울여야 한다. 지난해 7월 디도스(DDos·분산 서비스 거부) 공격 이후 한국인터넷진흥원에서 공개한 ‘해킹 및 바이러스 감염 자가진단법’에 따르면 △ 자기도 모르게 프로그램이 생성되거나 삭제된 경우 △ 알 수 없는 파일이 생긴 경우(특히 공유 폴더) △ 이유 없이 컴퓨터 프로그램 실행 속도가 느려지고 시스템이 멈춘 경우 △ 사용자 의사와 관계없이 프로그램이 실행되거나 주변 장치가 스스로 움직이는 증상이 나타난 경우 악성코드 감염을 의심해봐야 한다. 이 회장은 “출처를 알 수 없거나 의심스러운 e메일은 읽지 않고 삭제하는 것이 좋다. 파일공유 사이트 등에서 출처를 알 수 없는 파일은 함부로 내려받지 않는 게 바람직하다”고 당부했다.
|
