▲시티즌랩 연구팀은 한국 국정원이 한국 민간인의 컴퓨터나 스마트폰을 감염시키기 위해 첨부파일을 사용했다고 주장하고 있다. 사진은 해당 첨부파일 중 하나인 천안함 관련 내용.
빌 마크젝
빌을 인터뷰한 기사가 나간 뒤 1년 4개월이 지난 2015년 7월, 그가 당시 인터뷰에서 밝힌 내용이 대부분 사실인 것으로 드러났다. 최근 이탈리아 '해킹팀'의 자료가 해킹을 당하면서 한국 정부와 해킹팀 간 스파이웨어 매매 계약이 이뤄진 것으로 밝혀졌다.
이탈리아 '해킹팀'의 스파이웨어 활동에 대한 연구를 하는 빌과 '시티즌랩' 연구원들은 그동안 한국을 포함해 아제르바이잔, 콜롬비아, 이집트, 에티오피아, 헝가리, 이탈리아, 카자흐스탄, 말레이시아, 멕시코, 모로코, 나이지리아, 오만, 파나마, 폴란드, 사우디아라비아, 수단, 태국, 터키, 아랍에미리트 연합국, 우즈베키스탄 등에서 '해킹팀'의 스파이웨어를 산 것으로 보인다고 주장하고 있다.
다음은 국정원의 이탈리아 해킹팀 스파이웨어 구입 관련, 최근 며칠 동안 빌과 인터뷰한 내용을 정리한 것이다.
- 1년 4개월 전 인터뷰에서 주장한 내용들의 증거들이 최근 드러났다. 인터뷰 당시 당신은 한국의 경우 한국통신 KT의 IP(아이피) 주소가 이탈리아 '해킹팀' 스파이웨어와 일치한다고 주장했다. '원격조종장치(Remote Control System, RCS)'라는 이탈리아 '해킹팀'의 스파이웨어를 구매한 한국 정부가 스마트폰과 컴퓨터를 감염시킨 후 그 사람의 메일, 메시지, 전화내용, 스카이프 등을 해킹할 수 있고 한 번 감염시키면 어떤 파일이나 패스워드도 알아낼 수 있다고 했다. 또 사용자의 마이크와 웹캠을 이용해 컴퓨터와 전화통화 내용을 다 보고 들을 수 있다고 도 했다. 이번 상황을 어떻게 보고 있나."결국 시티즌랩(Citizen Lab)이 지난해 2월부터 주장한 것처럼 한국 정부기관에서 이탈리아 '해킹팀'의 스파이웨어를 샀다는 사실이 뒤늦게라도 확인이 된 셈이다. 우리 '시티즌랩'은 이미 지난해 2월 '기술적'으로는 (한국 정부의) 은폐사실을 알고 있었다. 단지 우리에겐 한국 정부와 이탈리아 '해킹팀'간 스파이웨어 매매계약서 같은 구체적 증거가 없었을 뿐이었다. 우리는 컴퓨터 관련 전공 연구자들로 연구 결과는 우리 연구팀이 발견한 컴퓨터 기술 분석 결과에 기초한다. 하여간 뒤늦게나마 명백한 증거가 드러나서 보람을 느낀다."
- 최근 이탈리아 '해킹팀' 자료가 유출되면서 시티즌랩의 주장이 상당부분 사실인 것으로 드러났다. 지난해 2월 이후 한국 민간인에 대한 한국 정부의 해킹 스파이웨어 사용 관련 연구 중 진전된 부분이 있나. "나는 그동안 한국 국정원과 이탈리아 '해킹팀' 사이의 서포트 포털(support portal)에 대한 교신내용(communications)을 분석했다. 그 결과, 한국 국정원이 한국 민간인의 컴퓨터나 스마트폰을 감염시키기 위해 다음과 같은 명칭의 문서명을 사용한다는 것을 발견했다. 즉 아래와 같은 첨부파일을 열었다면 당신의 컴퓨터가 국정원에 의해서 감염되었다고 볼 수 있다.
▲ '천안함 조사 문의'라는 제목의 첨부문서 (2013년 10월 4일자)
▲ 'Happy New Year'를 제목으로 한 첨부 문서 6개 (2013년 7월 24일자)
▲ 스탠포드 대학교 수업의 '기계학습(Machine Learning)이라는 제목의 파워포인트 (2013년 5월 20일자)
▲ 'Save you privacy!'라는 제목의 파워포인트와 '아이폰 웹 검색기록 삭제법'이라는 제목의 첨부문서 (2015년 4월 27일자)
▲ 뉴욕 엠버 엔지니어링 회사의 '기밀 이력서'라는 제목의 첨부문서 (2013년 5월 21일자)
▲ '[긴급] 중국 수출 결제 정보'라는 제목의 첨부문서(2013년 6월 4일 자)
▲ '암치료 행동계획 보고서'라는 제목의 첨부 문서와 암치료와 관련된 컨퍼런스 내용의 첨부 파워포인트 (2015년 5월 4일자)
▲ '2014년 월드컵과 2016년 하계올림픽'이라는 제목의 첨부 파워포인트와 '브라질 올림픽' 이라는 제목의 첨부문서 (2015년 4월 24일자)
▲ 'Invitation_2015_Meeting,'이라는 제목의 문서와 "Echo [sic] Vision." "Welcome." 이라는 제목의 파워포인트(2015년 4월 23일자) 첨부 문서
이 문서들을 열어봤다면 당신의 컴퓨터는 감염됐을 가능성이 크다. 이외에도 그동안 내가 연구한 결과에 의하면 'free_korean_movies'라는 제목의 파일 등도 국정원에서 구입한 '원격조종장치(Remote Control System, RCS)' 스파이웨어로 의심된다.