수백만 대에 달하는 컴퓨터에 감시용 악성코드를 보내는 시스템이 비밀리에 가동 중인 것으로 알려졌다.

지난해 6월 에드워드 스노든이 미국 정부가 개인 정보 수집을 위한 극비 시스템 프리즘(PRISM)을 운영 중이라고 폭로한 바 있다. 프리즘을 개발, 운용하고 있는 미국국가안전보장국 NSA는 이어 올해 1월에는 PC 10만대를 온오프라인 불문하고 감시하는 퀀텀 계획을 진행했다는 사실이 밝혀졌다.

그런데 이들 계획 외에도 자동으로 100만대에 이르는 컴퓨터에 악성코드를 보내 감시망을 펼치는 시스템도 만들어져 있었던 게 발각된 것이다.

NSA가 구글과 마이크로소프트, 애플, 페이스북 등 인터넷 관련 기업이 소유한 서버에 자유롭게 접근해 정보를 수집하는 극비 시스템인 프리즘을 운용하고 있었다는 사실은 이미 밝혀진 바 있다.

하지만 에드워드 스노든이 공개한 기밀문서에 따르면 NSA는 정보 수집 능력을 끌어올리기 위해 수백만 대에 이르는 컴퓨터에 악성코드를 거는 기술을 개발했다고 한다. 지난 2004년 당시 NSA가 악성코드를 보내 감시대상으로 삼은 대수는 100∼150대 사이. 하지만 6∼8년에 걸쳐 TAO(Tailored Access Operations)라고 불리는 해커 정예 부대를 조직해 수만 대 수준까지 감시 대상을 늘렸다.

결국 사람이 처리할 수 있는 한계를 초과하게 되자 개발한 게 터빈(Turbine)이라는 시스템이다. 터빈은 지난 2010년 7월 가동을 시작했다. 이 시스템 덕분에 모니터링 대상은 8만 5,000대에서 10만대 사이까지 증가했다.



모티너링 대상 시스템에 보내는 악성코드는 코드명(UNITEDRAKE)으로 여러 플러그인을 탑재, 감염된 컴퓨터 컨트롤을 완전 장악할 수 있다. 플러그인에는 마이크로 주위 음성을 수집하거나 웹캠으로 사진을 촬영하고 암호를 포함한 로그인 정보를 기록하고 연결된 이동식 드라이브 데이터를 추출하는 것도 포함되어 있다.

NSA는 해외 첩보와 국내 스파이나 테러 활동 등을 방지하기 위해 정보를 수집하고 이용했을 뿐 다른 용도에는 이용하지 않았다고 주장하고 있다. 하지만 내부 문서에 따르면 터빈 시스템이 반드시 테러리스트나 극단주의자만을 대상으로 한 건 아니다. ISP 시스템 관리자도 대상이었다는 것.

또 정보 수집만 목적으로 한 게 아니라 일부 웹사이트에 접근해 상대방 통신을 차단하거나 파일 다운로드를 방해하는 악성코드를 보내는 것 같은 전략도 이용했다.

이런 방식은 악성코드가 활성화되면 7초 안에 백도어를 만들었지만 요즘에는 스팸을 경계하는 사용자가 늘어나 잘 되지 않는다고. 이에 따라 대신 가짜 페이스북 서버를 가장해서 사용자에게 페이스북을 로그인하게 하고 뒷단에서 악성코드를 보내 하드디스크 내부 정보를 빼내는 수법을 이용한다고 한다.

또 NSA 정예 해커 부대인 TAO는 인터넷 익스플로러나 파이어폭스 같은 웹브라우저나 네트워크 연결에 이용하는 라우터 플러그인으로 동작하는 플래시나 자바 취약점도 대상으로 삼아 안티 바이러스 프로그램을 흘리는 일도 하고 있다고 한다. NSA의 주요 관심사 가운데 하나는 해외 국가도 이와 비슷한 비밀 전술을 도입하고 있다는 것이라고 한다. 관련 내용 원문은 이곳에서 확인할 수 있다.

이석원 기자  lswcap@techholic.co.kr

<저작권자 © 테크홀릭, 무단 전재 및 재배포 금지>