큰사진보기
▲  국가정보원이 이탈리아 ‘해킹 팀’의 프로그램으로 스마트폰을 해킹하기 위해 포르노 사이트를 피싱 사이트로 이용했음이 드러났다.
ⓒ 이주연	관련사진보기

국가정보원이 이탈리아 '해킹 팀'의 프로그램으로 스마트폰을 해킹하기 위해 포르노 사이트를 피싱 사이트로 이용한 정황이 드러났다. 피싱 사기범들이 즐겨 쓰는 수법을 모방한 걸로 보인다.

<오마이뉴스>는 국정원용 RCS(해킹 시스템) 아이디로 추정되는 'devilangel'(데빌엔젤)이 지난해 12월 5일부터 올해 6월 29일까지 해킹 팀에  URL 제작을 의뢰한 사례를 수집했다. 그 결과 피싱URL을 통해 스마트폰에 스파이웨어가 설치된 뒤 표시되는 사이트 주소, 즉 데스티네이션 URL에 포르노사이트 세 곳이 포함돼 있었다.

데빌엔젤은 지난 6월 17과 23일 두 차례 http://www.myasian****.com 사이트를 데스티네이션 URL로 이용했다. 데빌엔젤은 각각 5개의 피싱 URL 제작을 요구했다. 해킹팀이 만들어준 하나의 피싱 URL은 하나의 타깃에게만 사용될 수 있으며 유효기간은 7일인 것으로 확인됐다.

데빌엔젤은 지난 6월 16일에도 http://www.5z***.com 포르노 사이트를 데스티네이션 URL로 이용했으며 해킹 팀에 5개의 피싱 URL을 요구했다. 데빌엔젤이 포르노 사이트를 처음 이용한 것은 지난 2월 23일이다. http://www.you****.com/search/chinese-1.html를 사용했으며 3개의 URL 제작을 요청했다.

국정원은 14일 해킹 팀의 PC·모바일 감청 프로그램인 RCS를 도입·운용했다고 시인했다. 해킹 팀 내에서 국정원의 고객기호는 'South Korea Army'를 줄인 SKA다. SKA가 사용하는 아이디가 데빌엔젤이고 이는 곧 국정원용 아이디이기도 하다.

'안드로이트' 스마트폰 대상으로 한 공격만 확인

이같은 피싱사이트를 이용한 해킹 방법은 지난해 12월부터 적용했다. 특이하게도 '안드로이드' 스마트폰을 대상으로 한 보안 공격만 확인된다. 아이폰, 아이패드용 OS인 iOS에 대한 보안공격도 해킹팀과의 계약내용에 포함돼 있지만 데빌엔젤이 iOS용 보안공격을 시도한 흔적은 없다.

데빌엔젤은 피싱 활동 초반에는 데스티네이션 URL로 위키피디아, 구글 등 일반적인 사이트를 이용했으나 점차 포르노 사이트를 동원하는 등 피싱 수법이 진화한 것으로 보인다. 데빌엔젤은 삼성전자 공식 사이트도 피싱용으로 자주 애용했고, 중국 포털 '바이두'도 사용했다.

구글 스토어로 직접 연결 돼 '한국어 입력기' 등 특정 앱을 소개한 페이지로 연결되는 경우도 있었다. 최신 안드로이드 폰 관련 정보를 모아 놓은 사이트 http://www.androidcentral.com도 빈번하게 사용했다. 이밖에도 <오마이뉴스>가 14일 단독 보도했듯이, 미국 질병통제센터 CDC의 누리집 주소를 연결해 메르스 관련 정보를 전달하거나 떡볶이 정보나 벚꽃 축제 내용을 담은 블로그로 연결하는 등 '이용자' 친화적 정보를 담은 방식으로 발전했다. (관련 기사 : 메르스·떡볶이 URL, 국정원이 던진 '피싱' 미끼?)

'피싱'을 진행하는 구체적인 방법은 이렇다. 피싱 URL이 담긴 메시지를 감시 대상자에게 보낸 후, 메시지를 받은 대상이 URL에 접속하면 휴대폰 기기에 스파이웨어 프로그램이 설치된다. 메시지를 받은 사람에게는 '데스티네이션 URL(포르노 사이트 등)'만 노출돼, 스파이웨어가 설치됐는지 알 수 없게 진행된다. 이렇게 감염된 스마트폰은 통화녹음, SMS·메신저, 사진 등의 정보를 감시자의 모니터링 단말기에 전송한다.