https://thenewspro.org/?p=13669
레드삭스, 국정원이 해킹시 미끼로 사용한 파일 공개, 대테러와 연관성 없어 보여
– 스코틀랜드 정부 문서와 아일랜드 대학 학회 홍보 문서를 미끼로 사용
– 영문 문서 파일에서 한글 발견돼, 한국임을 자백한 꼴
– 맑은 고딕 선호하는 국정원?
뉴스프로는 지난 23일 네덜란드 보안업체 레드삭스가 국정원이 해킹팀의 가장 적극적인 고객이었다고 폭로한 기사를 보도한 바 있다.
이후 레드삭스는 뉴스프로와의 추가 인터뷰에서, 국정원이 사용한 109개의 아이피 주소가 모두 토르 (Tor) 아이피 주소이며, 이것은 5163 육군 부대가 해킹팀과 연락할 때 자신들의 위치를 철저히 숨기기 위해 토르 네트워크를 이용했다는 것을 의미한다고 설명했다.
또 국정원이 미끼로 사용한 첨부파일과 관련, 뉴스프로가 해당 파일을 요청하자, 레드삭스는 국정원이 해킹 목표를 감염시키기 위해 보낸 이메일에 첨부했던 문서 파일 일부를 뉴스프로에 보내왔다. 보낸 문서 파일은 모두 영어로 작성돼 있었다.
국정원은 대북 공작이나 대테러를 위해 해킹을 했다고 주장하고 있어, 뉴스프로는 국정원이 사용한 감염 파일을 자세히 분석해 보았다.
레드삭스에서 보내준 파일은 총 6개이다.
파일 1
1. 파일명: Better Cancer Care, an Action Plan Progress Report.docx, 생성일: 2015년 5월 4일
놀랍게도 이 파일은 스코틀랜드 정부 사이트에 올라온 문서이다 (문서 바로 가기 ☞ www.gov.scot/resource/0039/00398267.doc). 이 문서는 스코틀랜드에서 2008년에 암 생존율을 높였던 암 관리법을 하이라이트한 ‘Better Cancer Care’ 문서를 발간한 후 2년간 모니터하고 쓴 리뷰 문서이다.
이 문서가 국정원이 예의주시하고 있던 테러리스트들과 무슨 연관성이 있는지 궁금하지 않을 수 없다. 국정원의 주장대로라면 한국에 테러 위협이 되는 스코틀랜드 사람이 암에 관심이 높고 따라서 스코틀랜드 정부의 암 관련 문서를 클릭할 것이라고 봤다는 뜻인가?
작년 중국 공문서 위조로 조사를 받은 적이 있는 국정원이 이번에는 해킹을 위해 스코틀랜드 정부 문서까지 이용한 것이 밝혀진 셈이다.
파일 2 – 1
파일 2 – 2
2. 파일명: NCIN materials.ppsx, 생성일: 2015년 5월 4일
이 파일은 아일랜드의 퀸스 대학교 벨파스트 (Queen’s University Belfast) 에서 2015년 6월 8일 월요일부터 10일 수요일까지 열리는 암 관련 학회 (Cancer Outcomes Conference 2015) 참석 홍보를 위해 만든 자료이다(파일 바로 가기 ☞ http://qub.ac.uk/research-centres/nicr/FileStore/Filetoupload,456152,en.ppt).
테러리스트들과 암 학회와의 진정한 연관성에 의문이 생기지 않을 수 없다. 테러리스트들을 해킹하기 위해 외국 대학 학회 홍보물이 필요했다는 것 역시 선뜻 수긍이 가지 않는다. 더욱이 실소를 금할 수 없는 것은 이 영문 문서 파일 속성에서 타이틀이 ‘PowerPoint 프레젠테이션’으로 되어 있어, 이 파일 작성자가 한국인임을 쉽게 눈치챌 수 있다는 것이다.
파일 3
3. 파일명: Practice makes perfect.docx, 생성일: 2015년 1월 13일
이 파일은 ‘연습이 완벽하게 해준다, 고통 없이 얻는 것은 없다’는 내용이다.
파일 4
4. 파일명: order.docx, 생성일: 2015년 1월 21일
이 파일은 피자를 먹자고 제안하는 내용이다.
파일 5
5. 파일명: Invitation_2015_Meeting.docx, 생성일: 2015년 4월 23일
이 파일은 2015년 6월 31일에 다운타운에서 생태계 관리를 위한 회의가 열린다는 내용이다.
파일 6 – 1
파일 6 – 2
6. 파일명: How to Access and Clear Your iPhone’s Web Browsing History.docx, 생성일: 2015년 4월 27일
이 파일은 아이폰 인터넷에서 이전에 방문한 페이지를 즐겨 찾기하는 방법에 대해서 설명한다. 인터넷에서 캡처한 내용으로 (기사 바로가기 ☞ http://www.dummies.com/how-to/content/how-to-access-and-clear-your-iphones-web-browsing-.html), 아이폰 사용자를 타겟으로 했을 수도 있다.
뉴스프로가 위의 파일들을 자세히 분석한 결과, 2번부터 6번 파일까지 파일의 폰트 설정이 ‘맑은 고딕’으로 되어있다는 점을 발견하게 되었다. 국정원이 미끼로 영문 문서를 사용하고 폰트 설정은 한국어로 해놓아서 결국 출처가 한국임을 자백한 꼴이 된 것이다.
또 하나 눈길을 끄는 것은 모든 파일이 ‘me’라는 사용자에 의해 작성되었다는 것이다. 따라서 수상한 메일에서 첨부된 MS 문서의 작성자가 ‘me’이고 폰트 설정이 ‘맑은 고딕’이라면 국정원이 보낸 파일이라 한번쯤 의심해 보아도 좋을 듯하다.
대테러를 목적으로 해킹했다는 국정원의 해명은 그들이 미끼로 사용한 위의 문서파일들을 볼 때 쉽게 납득이 되지 않는다. 국정원이 외국 정부 문서와 외국 대학의 학회 홍보 문서를 그대로 사용하여 해킹을 시도한 대상이 누군지 밝히지 않는 이상, 이는 절대로 풀리지 않을 궁금증일 것이다.
|
|
일병 
까이끼
1
