감시 툴 전문 업체 해킹 팀, 해킹 당해 내부 자료 400GB 유출 - 1부

각국 정부의 첩보 활동을 도와주는, 세상에서 가장 악명높은 보안업체인 해킹 팀(Hacking Team)이 해킹을 당했다.

감시 기술에 특화된 해킹 팀은 400GB가 넘는 내부 자료가 전세계에 유출됐다. 프라이버시 옹호론자들은 이 업체가 들어갈 비용을 계산하면서 샤덴프로이데(Schadenfreude, 남의 불행에서 얻는 행복)를 즐기고 있다.

이탈리아 업체인 해킹 팀은 각 정부와 사법당국들에게 침입 및 감시 툴을 팔았다.

이 해킹 팀에 의해 개발된 합법적 감청(lawful interception) 툴은 지금까지 보안 연구원들과 언론에 의해 고발된 프라이버시 침입 사례들과 다수 연관이 있다.

국경없는기자회(Reporters Without Borders)는 해킹 팀의 비즈니스와 그들의 기본적인 감시툴인 다 빈치(Da Vinci)를 이유로 인터넷의 적(Enemies of the Internet) 목록에 등재했다.

해킹팀을 해킹한 이는 아직 누군지 모른다. 그러나 이 공격자들은 400GB 분량의 내부 문서, 소스코드, 이메일 통신 기록들을 누구나 볼 수 있도록 토렌트 파일을 올렸다.

게다가 이 공격자들은 해킹 팀 계정을 뚫고 들어가 새로운 로고와 회사 소개를 트위터에 게재하면서 해킹한 데이터 이미지와 함께 메시지를 함께 실었다.

업데이트 1.
토렌트 파일 목록을 기반으로 크리스토퍼 소고얀은 "해킹 팀의 고객들은 대한민국, 카자흐스탄, 사우디아라비아, 오만, 레바논, 몽골 등이 포함되어 있다. 이 업체는 인권을 억압하는 정부와 비즈니스를 하지 않는다는 정책을 유지한다"고 말했다.

업데이트 2.
연구원들은 토렌트에 올려진 파일에서 의미있는 정보들을 뽑아내기 시작했다. 그 가운데 하나는 해킹 팀이 이집트에게 청구한 RCS 익스플로잇 포털(RCS Exploit Portal) 5만 8,000유로짜리 청구서다.

업데이트 3.
다음 동영상은 해킹 팀의 대표 툴인 다 빈치의 광고다.



업데이트 4.
여러 도메인과 연관된 한 사람으로부터 온 이메일은 2012년 사망 전까지 에티오피아 전 수상이었던 멜레스 제나위 재단(Meles Zenawi Foundation, MZF)과 연관되어 있다.

이 이메일에서 비니암 테올데는 높은 가치의 표적에게 들어갈 수 있도록 도와준 해킹 팀에게 감사의 표시를 했다.


이 이메일을 보낸 시점이 전 수상의 죽음 이후 8개월이 지난 때라는 점에서 논란이 많다. 테올데는 MZF와 연계된 다른 8개의 도메인을 갖고 있었다. 높은 가치의 표적이 누구인지는 아직 밝혀지지 않았다.

에티오피아가 해킹 팀에게 해킹 팀의 원격 제어 시스템, 프로페셔널 서비스, 통신 장비 대가로 100만 비르(ETB)를 지불했다고 보여주는 청구서가 노출됐다.

업데이트 5.
공격자들에 의해 유출된 내부 문서에 따르면, 해킹 팀의 고객들은 다음 국가에 위치한다.

이집트, 에티오피아, 모로코, 나이지리아, 수단, 칠레, 콜롬비아, 에콰도르, 온두라스, 멕시코, 파마나, 미국, 아제르바이잔, 카자흐스탄, 말레이시아, 몽골, 싱가포르, 대한민국, 타이, 우즈베키스탄, 베트남, 오스트레일리아, 키프로스, 체코공화국, 독일, 헝가리, 이탈리아, 룩셈부르크, 폴란드, 러시아, 스페인, 스위스, 바레인, 오만, 사우디아라비아, UAE

48만 유로(약 6억 원)를 청구한 이 문서는 해킹 팀이 주장한 바대로 그들은 결코 수단과 비즈니스를 하지 않는다는 주장이 틀렸음을 입증했다.

국제인권감시단체인 휴먼라이츠워치(Human Rights Watch)에 따르면, 수단 치안 부대는 정부에 대해 항의하는 사람들을 대상으로 여러 차례 끔찍한 억압행위를 저질러 2013년 170명 이상의 사람들을 죽였다.

업데이트 6.
5일 저녁, 해킹 팀에 의해 사용된 이 트위터 계정은 해킹당해 400GB 토렌트 파일을 올린 링크를 게재했다. 이 파일에는 다수의 뉴스거리를 포함되어 있는데, 특히 해킹 팀과 기본적인 인권을 도외시한 국가 간의 의심스러운 비즈니스 관계가 내포되어 있다.

해킹 팀 사건에서 새롭게 발굴된 문서 가운데에는 다양한 정부 고객들과 유지 보수 중에 있는 것으로 밝혀졌다. SynAckPwn에 의해 공유된 이 문서는 러시아와 수단이 고객 명단에 포함되어 있었다. 하지만 이 국가들의 계정은 기한이 만료되어 공식적으로 지원하지 않는 국가에 등록되어 있었다.




이 유지 보수 고객 명단은 이미 밝혀진 정부 고객 목록과 유사하다. 특히 언급할만한 것은 미국방부(Department of Defense)는 비활동군에 속해 있는 반면, 미국 마약 단속국(Drug Enforcement Administration, DEA)은 계속 서비스 중이었다. 이 문서에 따르면, 미국 FBI는 2015년 6월 30일까지 유지 계약을 맺고 있었다.

이 기록에 따르면, 해킹 팀과 스페인 국가첩보센터는 2016년 1월 31일까지 유지 보수 계약을 맺었는데, 총 계약금액은 340만 유로, 약 42억 3,823만 원이었다.

이 사건에서 공개된 대규모 데이터의 일부에서 해킹 팀의 보안 엔지니어인 크리스티안 포지는 파이어폭스 비밀번호 저장소에 저장된 비밀번호가 노출됐다.

이 파일 내에 있는 비밀번호들은 보안성이 그리 좋지 못했다. 이 비밀번호들은 쉽게 추측할 수 있을 법한 패턴의 혼합으로, 보안 엔지니어나 사이버범죄 해커라면 일반적으로 알만한 것들이다.

이 웹사이트에는 라이브(Live), 페이스북(Facebook), 링크드인(LinkedIn) 등 소셜 미디어 정보를 포함해 은행, 페이팔과 같은 금융정보, 네트워크 연관 정보들이 올라와 있었다.

포지만이 비밀번호를 유출된 것이 아니다. 정부 고객들은 계약과 온라인에서 회람하기 위해 자신들의 비밀번호를 갖고 있었는데, 이것들이 노출됐다.

불행하게도 이 비밀번호들은 한번에 다 보이고 있는데, 다음은 비밀번호들의 일부 예시다.

HTPassw0rd/ Passw0rd!81/ Passw0rd/ Passw0rd!/ Pas$w0rd/ Rite1.!!

업데이트 7.
@SynAckPwn에 의해 공유된 문서들에는 고객 상세정보가 포함되어 있었는데, 다수의 설정 및 접속 정보들이 포함되어 있었다.

이 데이터에 따르면, 해킹 팀은 이집트와 레바논 내 고객에게 미국과 독일에 기반으로 한 VPN 서비스를 한다고 말했다. editor@itworld.co.kr