국정원 해킹 SW 소스코드 열어보니…”텔레그램도 뚫는다”

국정원이 이탈리아 업체 해킹팀으로부터 스파이웨어 ‘리모트 컨트롤 시스템(RCS)’을 구입한 사실이 드러났다. 국정원은 스파이웨어를 구입해 어디에 어떻게 활용했을까. 의문이 드는 것은 당연하다. 이병호 국정원장과 국정원 관계자들은 지난 14일 국회에서 열린 정보위원회 전체회의에 출석해 “북한 공작원을 대상으로만 활용했으며, 기술 연구용으로 구입한 것”이라고 해명했다. 이 말을 곧이곧대로 믿는 이들은 그리 많지 않다. 국회 정보위원회에서는 국정원 실사를 계획 중이다.

RCS는 사용자의 스마트폰에 사용자 몰래 설치된다. 스마트폰으로 할 수 있는 거의 모든 일을 감시하도록 설계돼 있다. 심각한 인권침해로 이어질 수 있는 일이다. 수사를 목적으로 했다 해도 과도한 기능이라는 견해가 지적도 나온다. 혹여 내 스마트폰에도 RCS가 설치돼 있는 것은 아닐까. 국내 보안 업체 엠시큐어가 개발한 안드로이드 스마트폰용 보안 응용프로그램(앱) ‘스파이 스캐너’가 15일부터 서버 판올림을 통해 RCS를 검출할 수 있는 기능을 제공하기 시작했다. 엠시큐어의 도움을 받아 RCS의 소스코드를 살펴봤다. RCS에 사각지대는 없었다.

 - 중략

‘알 수 없는 출처’ 막는 것이 최선

어떻게 이런 일이 가능한 것일까. RCS안드로이드는 안드로이드 OS의 취약점을 이용해 ‘루트권한’을 탈취한다. OS의 가장 최상위에 있는 권한이라고 생각하면 된다. RCS안드로이드가 스마트폰에 설치된 메시지 앱 등 다양한 서비스에 접근할 수 있는 것은 이 같은 이유에서다. RCS가 사용자 몰래 루트권한을 얻도록 설계된 탓에 이른바 ‘루팅’ 된 스마트폰이 아니어도 안심할 수 없다.

가장 확실한 대안은 안드로이드 스마트폰에서 ‘알 수 없는 출처’ 앱 설치를 허용하지 않는 일이다. RCS안드로이드 뿐만 아니라 다양한 스파이웨어가 기승을 부리는 오늘날에는 ‘알 수 없는 출처’에서 나온 앱은 설치하지 않는 것이 안전하다. 설정 방법은 다음과 같다. 안드로이드 스마트폰의 ‘설정’ 앱을 들어가 ‘보안’ 메뉴를 선택한다. ‘알 수 없는 출처’ 항목의 체크박스에 ‘v’ 체크가 돼 있다면, 이를 해제하면 된다. 가장 기초적인 보안 설정이 가장 견고한 보안을 보장하는 셈이다.

‘알 수 없는 출처’ 항목에서 ‘v’ 체크를 지우면, RCS안드로이드도 사용자의 스마트폰에 설치되지 않는다. 물론, 다양한 피싱 수법을 이용해 사용자 스스로 ‘v’ 체크를 하도록 유도할 수는 있다. 혹여, 앱 설치 전에 사용자에게 ‘v’ 체크를 하도록 유도하는 앱이나 서비스가 있다면 일단 의심부터 하는 것이 좋다고 홍동철 연구소장은 조언했다.

- 후략

네, 게시판 번지수 잘못 찾아온 거 압니다.

하지만 안드로이드 사용자 여러분은 해당 기사를 보면서 자신의 폰 상태를 확실히 체크하시고, 알 수 없는 소스를 반드시 허용하지 않도록

경각심을 위해 안드 게시판에 올렸습니다.

혹시 아이폰 사용자분이 보신다면 "안심하세요."

iOS 4.3.3 아니면 안심하셔도 됩니다.