![[오늘의 운세] 5월 17일](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202405/17/9866f29c-fc4e-4fd9-ad4a-3d0a95d53514.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
한 인터넷방송의 인기 BJ로 활약 중인 A씨(24·여)는 지난해 ‘졸업사진’이라는 제목의 메시지를 열어 봤다가 곤욕을 치렀다. 메시지에 적힌 인터넷주소(URL)를 클릭했지만 아무것도 나오지 않았다. 하지만 며칠 뒤 A씨는 옷을 갈아입는 자신의 나체 사진을 받았다. URL에 숨어 있는 스파이웨어(디지털 기기에 침입해 이를 감시·통제하는 기능을 가진 소프트웨어)가 자신의 PC에 깔리면서 화상 카메라를 통해 사생활이 노출된 것이다.
부산 강서경찰서가 21일 소개한 스파이웨어 피해 사례다. 경찰이 붙잡은 협박범은 모 대학 정보보안학과에 재학 중인 10대였다. 경찰은 “A씨 외에 BJ 10명이 자신도 모르는 새 스파이웨어가 깔렸다”고 설명했다.
국가정보원이 이탈리아 보안업체 ‘해킹팀’으로부터 해킹 프로그램을 구입한 사실이 알려지면서 누구나 ‘유리상자 안의 곤충’ 신세가 될 수 있다는 우려가 커지고 있다. 보안업계에 따르면 국정원에서 구입한 ‘RCS(Remote Control System)’는 쉽게 말해 A씨가 감염된 ‘스파이웨어’의 일종이다. 정보가 경유되는 서버가 아닌, 정보가 생성되는 기기에 직접 접근하기 때문에 주요 문서·e메일 을 훔쳐보고 통화 내용을 녹음하는 것이 가능하다. 카메라·마이크 기능 등을 활성화하고 사용자의 위치를 파악할 수도 있다.
김승주 고려대 정보보호대학원 교수는 “일단 RCS가 깔리면 키보드를 입력하는 단계에서 정보를 가로챌 수 있기 때문에 비밀번호도 빼낼 수 있다”며 “백신의 탐지 기능을 우회해서 들어오기 때문에 일반인이 발견하는 것도 쉽지 않다”고 설명했다.
이론적으로는 스마트폰·PC에서 사용하는 모든 운영체제(OS)를 해킹할 수 있다. 이탈리아 해킹팀의 RCS는 구글 안드로이드의 경우 5.0 버전까지 해킹이 가능하다. 애플 iOS에서는 기능이 제한적이지만 해킹팀은 최신 버전의 iOS에서도 작동하는 RCS를 개발 중이다. 권석철 큐브피아 대표는 “안드로이드는 코드가 공개된 개방형 플랫폼이고 iOS는 폐쇄형 플랫폼이기 때문에 iOS 공격이 더 난이도가 높다”며 “하지만 iOS도 약점을 분석할 수 있기 때문에 더 안전하다고 단정하기는 힘들다”고 말했다.
물론 RCS에도 한계가 있다. 정보를 빼내기 위해서는 RCS를 기기에 설치해야 하는데 사용자 몰래 이를 설치하는 게 쉽지 않다. 이에 해킹팀은 일반 문서 파일로 위장하거나 RCS가 설치된 링크를 e메일 등으로 보내도록 권장했다. 그간 국내 해커들이 스파이웨어를 심기 위해 청첩장·주차 위반 등의 제목으로 e메일·링크를 뿌린 것과 비슷하다.
그렇다고 RCS가 새삼스러운 기술은 아니 다. 해킹팀이 만든 RCS는 다양한 기기에서 구동되는 점에서 수준이 높은 것으로 평가받지만 작동 원리는 중국 등에서 만들어지는 이른바 ‘흥신소 앱’과 같다는 것이다. 한 보안업체 관계자는 “국가기관에서 사용한다는 점에서 이슈가 된 것이지 국내 개발자들의 수준이라면 만드는 게 어렵지 않다”며 “이탈리아 해킹팀이 유명해진 것도 기술보다는 각 정부와 정보기관의 요구를 ‘맞춤형’으로 만들어 주는 비즈니스 방식 때문”이라고 말했다. 그는 이어 “국내 개발자와 접촉할 경우 소문이 날 것을 우려해 국정원에서 해외 업체를 찾은 게 아닌가 생각된다”고 덧붙였다.
전문가들은 스파이웨어가 설치되는 것을 원천 차단하는 게 피해를 막는 방법이라고 조언했다. 시만텍코리아 윤광택 이사는 “알 수 없는 출처의 링크·파일을 열지 말고 스마트폰의 루팅(제조사가 설정한 기능 제한을 푸는 것)을 삼가는 것이 좋다”고 설명했다.
손해용 기자 sohn.yong@joongang.co.kr
