이탈리아 ‘해킹팀’, ‘네이버 블로그’ 통해 해킹 시도

이탈리아 해킹업체, 국정원 관계자 추정 인물 ‘데빌엔젤’ 의뢰로
올해 3~4월 네이버 블로그 주소 2곳에 7차례 악성 코드 심고 안드로이드폰 공격
해킹 대상에 불특정 일반인 포함됐을 가능성 제기

국정원 관계자 추정 인물 ‘데빌엔젤’ 이 해킹팀에 의뢰해 악성 코드 감염을 추진한 블로그 갈무리

이탈리아 해킹업체 ‘해킹팀’이 국가정보원 관계자로 추정되는 인물의 의뢰로 올해 3~4월 두 건의 국내 포털 네이버 블로그 주소에 7차례 악성 코드를 감염시켜 안드로이드 운영체제를 쓰는 스마트폰을 공격한 것으로 나타났다. 공격 대상이 된 블로그는 한글로 된 맛집 정보와 지방자치단체의 행사 홍보 글이 실려 있어, 국정원의 해킹 공격 대상에 불특정 일반인이 포함됐을 가능성이 제기된다.

14일 유출된 해킹팀 내부자료를 분석한 결과, 국정원 관련 인물로 추정되는 아이디 ‘devilangel’(데빌엔젤)은 3월18일 한 네이버 블로그 게시물 주소를 해킹팀에 보내면서 “2주에서 한 달 가량 감염 상태를 유지할 수 있는지” 문의했다. 데빌엔젤은 같은 달 30일에는 다른 블로그 게시물 주소를 해킹팀에 보내면서 추가로 감염시킬 것을 의뢰했다.

해킹팀은 4월1일 “(RCS) 9.6 버전을 성공적으로 설치했다”고 답했다. 데빌엔젤과 해킹팀은 이 블로그 두 곳을 두고 4월8일까지 이메일을 주고받으며 모두 7차례에 걸쳐 악성 코드 감염을 테스트했다. 이 때문에 최소 4월1일부터 8일 동안 안드로이드 운영체제를 쓰는 스마트폰으로 이 블로그 게시물을 열람한, 특정할 수 없는 누리꾼들이 악성 코드 감염 위험에 노출됐다.

공격 대상이 된 블로그 가운데 하나는 맛집 정보 등을 비롯한 신변잡기가 주를 이루고 있는 개인 블로그다. 해킹팀이 감염시킨 대상은 지난해 7월 등록된 떡볶이집 추천 글이다. 추천 글에는 떡볶이 사진과 함께 “내가 추천하는 최고의 분식, 분식하면 역시 떡볶이가 국민의 사랑을 받고 있지 않나 싶습니다. 갑자기 휴대폰에 있는 떡볶이 사진들이 생각나서 블로그씨에 답변”이라는 글이 실려 있다. 검색 등을 통해 떡볶이 정보를 보기 위해 무심코 클릭한 사람들을 노린 걸로 보인다.

국정원 관계자 추정 인물 ‘데빌엔젤’ 이 해킹팀에 의뢰해 악성 코드 감염을 추진한 블로그 갈무리

또 다른 블로그에는 3월30일 게시된 서울시의 한 자치구가 주최하는 ’벚꽃축제’ 홍보 글이 실려 있다. 이 역시 벚꽃 시즌을 맞아 검색으로 블로그를 찾아오는 사람들을 대상으로 한 것으로 보인다. 특히 이 블로그에 실린 글은 이 홍보 글 하나인데다, 데빌엔젤이 해킹팀에 해당 주소의 악성 코드 감염을 의뢰한 날짜 역시 3월30일로 블로그 주인이 블로그에 홍보 글을 게시한 날과 같다. 이 홍보 글이 게시된 시간은 30일 오후 2시50분이고, 데빌엔젤이 해킹팀에 이 블로그의 악성 코드 감염을 의뢰한 건 그보다 9분 뒤인 오후 2시59분이다. 국정원 쪽에서 이 블로그를 운영하고 있는 것 아니냐는 의혹을 제기할 수 있는 대목이다.

네이버는 <한겨레>와의 통화에서 "해킹팀이 해당 블로그에 악성 코드를 직접 설치했을 가능성은 낮다"며 "해당 블로그 주소를 피싱 주소로 사용해 다른 곳으로 유도한 뒤 악성코드를 감염시켰을 가능성이 크다"고 밝혔다.

조승현 기자 shcho@hani.co.kr