이젠 별별 기사까지 다 나오는군요. 할 말을 잃게 만드는 기사입니다.

[단독] 내장 마이크 작동 → 실시간 녹음 저장 → 전송후 파일 삭제

며칠 전에 해킹과 관련해 요청한 질문에 대한 답변을 e메일에 첨부 문서를 붙여 보냈다고 했다. 기자는 별 생각 없이 노트북 컴퓨터를 켜고 무선인터넷에 접속해 문서를 열어 읽어본 뒤 그를 상대로 취재를 시작했다. 

Victim에게 Attacker가 원하는 프로세스를 실행시키는 방법이 메일을 통한 것이라고 했는데 구체적인 방법은 거론되지 않고 있습니다. Outlook, 혹은 웹메일상의 취약점을 이용한 것이라면 대단한 것이겠지만, 그렇지는 않은 것 같습니다.

어떻게 음성이 녹음돼 유출되나 확인하기 위해 이 씨와 함께 기자의 노트북 컴퓨터의 폴더를 들여다봤다. 감염된 노트북 컴퓨터의 C드라이브 루트 폴더에 ‘20101510493.wav’ 등 10개 파일이 보였다. 2010년 1월 5일 10시 49분 3초에 생성됐다는 뜻이다. 음성파일이 1분 단위로 쌓였다. 용량은 1MB(메가바이트)도 되지 않았다. 감염된 노트북 컴퓨터에서는 해커 PC로 전송된 파일이 하나씩 지워져 흔적을 남기지 않았다.

8000Hz, 16bit, mono, PCM 방식으로 1분을 녹음하면 순수 chunk data 크기가 960K가 나오니까, 앞에 헤더를 붙여서 wave file로 저장을 하였군요. 헐, 압축 좀 하지 그랬어요, 널린게 음성 코덱인데...

 “노트북 있으면 누구나 도청 표적”  노트북 컴퓨터를 가진 사람이라면 누구라도 쉽게 도청당할 수 있다는 사실이 처음으로 확인됐다. 동아사이언스팀 기자들이 6일 서울 서대문구 충정로 사옥에서 노트북을 이용한 도청을 직접 시연해 보고 있다.

"처음으로 확인됐다" ㅎㅎ

GUI 없는 음성 녹음 프로그램이 도청 프로그램으로 둔갑할 수도 있는 얘기이네요.

그럼 나도 범죄자? http://www.vdream.co.kr/bbs/view.php?id=tutorial&no=30

이 회장은 “지금 삭제된 파일은 내 노트북 컴퓨터로 이동했다”며 자신의 노트북 컴퓨터를 열어 보였다. 그 노트북 컴퓨터의 ‘wintftp 폴더’ 내에는 방금 기자의 노트북 컴퓨터에서 삭제된 파일이 그대로 옮겨가 있었다.

wave 파일을 주기적으로(파일 저장이 완료될 때마다) FTP 서버로 올리고 난 뒤 Victim 컴퓨터에서는 DeleteFile 같은 API를 호출해서 지우는 프로그램이군요.

일반적으로 기업에서 노트북 컴퓨터를 켜놓고 회의를 하면 그 주변 3m 반경에 사람들이 많이 모이게 마련이다. 첨단기술 제조업체, 국가기관의 노트북 컴퓨터가 감염될 경우 회의내용도 외부로 그대로 흘러나갈 수 있다는 이야기다. 마치 영화에서 스파이들이 벌이는 첩보전을 보는 듯했다.

소설 가미 좀 해 주시고...

기자는 도청의 성능을 시험해 보기 위해 감염된 노트북 컴퓨터에서 5m가량 떨어진 자리로 이동했다. 그 자리에서 몇 분간 대화를 나누었고 다시 해커 PC에서 확인을 했다. 감염된 노트북 컴퓨터에서 5m 이상 떨어진 곳에서 기자가 1분 전에 말한 내용이 ‘지지지’ 하는 잡음과 함께 나왔다. 그러나 음량을 높이고 이어폰으로 들으니 대화내용은 충분히 이해할 정도였다.

성능 좋은 마이크를 제조하는 업체들도 이제 긴장을 해야 겠군요. 도청 장비 만든다고 잡아 갈 듯...

이 프로그램을 일반인도 쉽게 쓸 수 있을까 궁금했다. 6일 오전 동아일보 충정로사옥 사무실. 기자의 노트북 컴퓨터에 해킹된 음성파일을 받을 수 있는 프로그램을 설치하고 해킹된 노트북 컴퓨터에서 전송되는 파일을 받을 인터넷주소(IP)도 입력했다. 그리고 해킹프로그램을 다른 동료에게 e메일로 보냈다. 그의 노트북 컴퓨터로 e메일을 열고 파일을 실행한 뒤 옆에다 놓아두고 회사 동료들과 기획아이디어 회의를 시작했다.

FTP 서버 IP를 명시했다는 얘기같군요.

최근 내린 폭설의 과학적인 원인과 지구온난화의 영향 등에 대해 이야기가 이어졌다. 20여 분간의 회의를 마친 뒤 30m 이상 떨어져 있는 기자의 해커 PC로 왔다. 역시 회의 때 주고받은 이야기들이 1분 단위로 들어와 있었다. 누군가가 도청을 시도했다면 회의내용이 거의 실시간으로 누출된 셈이다.

만약 진짜 도청 프로그램을 만든다고 한다면, 대화 내용을 실시간으로 들을 수 있는 VoIP Streaming 기능을 사용하지, 누가 어리버리하게 wave 파일로 떨구어서 FTP로 보내고를 하나요? 초보나 이런 짓을 하죠. 

감염된 PC를 시중에서 많이 쓰는 여러 보안프로그램으로 검사해 봤다. 그러나 도청 해킹프로그램은 전혀 잡히지 않았다. 한 보안프로그램업체 관계자는 “이런 사례는 처음 들어봤다”며 “지금부터 막을 방법을 연구해봐야겠다”고 털어놨다. 이런 해킹 사례가 알려지면 거기에 맞게 보안프로그램도 만들 수 있겠지만 아직까지는 막을 방법이 없다는 뜻이다. 또 보안프로그램에 맞춰 해킹프로그램도 계속 진화할 수 있어 여전히 피해가 발생할 개연성이 높은 상황이다.

당연히 잡힐 리가 없죠. 음성 녹음 프로그램이 무슨 바이러스도 악성 프로그램도 아니고... VoIP 기술도, 음성 처리 기술도 이제는 불법 도청 기술이므로 자세한 거론을 하면 잡아갈 수도 있는 세상이 올 수도 있겠군요.

만약에 여러분이 Attacker라고 하고 그리고 Victim의 컴퓨터에 원하는 프로그램을 설치할 수 있다고 가정을 합시다. 어떤 프로그램을 만들까요? 음성 녹음 프로그램을 Victim 컴퓨터에 심으려 할까요? 대답은 No. 차라리 그것보다는 더 민감한 내용을 알아 낼 수 있는 다른 프로그램을 만들 것입니다. 예를 들면 로컬 컴퓨터에 저장된 문서를 알아낸다던지, 웹 사이트 혹은 메신저 자동 로그인을 할 수 있는 Cookie, Registry나 파일을 빼 온다던지, 원격 제어 모듈을 몰래 설치한다던지, DoS Network Attack을 한다던지,  아니면 ARP spoofing을 이용한다면 같은 네트워크 대역의 모든 컴퓨터들에게 Attacker가 의도하는 행위까지 영향을 미치던지 하는... 할 수 있는 분야는 무궁무진하겠죠.

이번 기사는 Attacker가 원하는 프로세스를 Victim에게 어떻게 심을 수 있느냐를 중점적으로 얘기한 얘기가 아니고, 그렇게 프로세스가 심어 졌을 때 어떤 일이 가능할 것인가를 음성 녹음(도청)을 예제로 든 것 뿐입니다. 어떻게 해서 Victim 컴퓨터에 프로세스가 심어 졌느냐, 그리고 그렇게 해당 프로세스를 심어 지지 않기 위해서는 어떻게 해야 하느냐를 논하는 것이 더 중요합니다. 그냥 단순히 "도청"이라는 민감한 주제를 가지고 뻥튀기를 한 기사일뿐, 그 이상도 그 이하도 아닙니다.

VoIP 기술로 먹고 사는 개발자중의 한명으로서, VoIP 및 음성 처리 기술을 "불법"의 범주로 운운하는 것은 아무리 봐도 용납할 수가 없습니다.