https://thenewspro.org/?p=13534

레드삭스, 해킹팀 역추적 자료 심층 분석, 국정원이 “가장 적극적인 고객”
– 5163 육군부대, 최소 15개국에서 최소 109개의 아이피(IP)로 접속
– 목표 대상 감염시키려 다양한 가상의 개인 서버(VPS) 사용

네덜란드에 본사를 둔 악성 코드 감별 및 보안 전문회사인 레드삭스(RedSocks)는 21일 해킹팀에서 유출된 세부 자료를 역추적하고 심층 분석한 결과를 발표했다. 

이 보고서에서 주목할만한 점은 해킹팀으로부터 해킹 프로그램 구매와 관련, 최근 논란에 한 가운데 있는 국정원에 대한 언급 부분이다. 

레드삭스의 전문가들은 devilangel1004@gmail.com이라는 이메일 주소와 관련이 있는 “5163 육군부대”가 해킹팀의 “가장 적극적인 고객 중 하나”이며 최소 15개국에서 최소 109개의 아이피(IP)로 접속했다고 폭로했다. 

이어 한국 국가정보원의 위장 사무실로 여겨지는 5163 육군부대는 자신의 위치를 인터넷상에서 숨기기 위해 운영보안 체계를 적절한 곳에 잘 배치했으며 이에 대해 주목할 만하다고 평가하기도 했다. 

또 그들은 목표 대상을 감염시키기 위해 아래와 같은 아주 다양한 가상의 개인 서버 VPS(Virtual private server) 인프라를 활용하고 있었다고 덧붙였다. 

DE – 198.105.125.107
DE – 198.105.125.108
CZ – 198.105.122.117
CZ – 198.105.122.118
NL – 131.72.137.101
NL – 131.72.137.104
DE – 185.72.246.46
RU – 46.38.63.194
US – 162.216.7.167

레드삭스는 앞으로의 해킹 공격에 대한 역추적을 돕기 위해 해킹팀의 유출 자료들을 정확히 설명하고 그들의 배후에 누가 있는지 자세히 조사하기로 했다고 이번 심층 분석의 의도를 설명했다. 

또 해킹 공격에 대한 역추적은 다양한 정황적 증거를 바탕으로 이루어질 수 있어 쉬운 일이 아니며 독특하면서도 분명한 청사진이 공격 중에 나타나야 가능하다고 말했다. 

따라서 이번 분석은 연구자들에게 현재와 미래의 해킹 그룹들과 그들이 사용하는 도구들과 IP 범위, 그리고 능력과 동기에 관한 가치 있는 정보를 수집할 수 있도록 도움을 줄 수 있을 것이라고 설명했다.

레드삭스는 해킹팀 고객들의 이메일 주소, 코드 이름, 고객 이름, 그리고 연결된 아이피 주소가 적힌 리스트를 공개했으며 요청이 있으면 전체 리스트를 제공하겠다는 의사도 밝혔다.