울지않는벌새 : Security, Movie & Society

승진을 목적으로 한 경찰청장 PC 해킹 사건 발생 (2011.12.22)

벌새::Security
최근 모 지방 경찰청에서 경찰 간부(경정)가 직속 상관(경찰청장)의 PC에 도청 및 원격 제어를 통한 엿보기 등을 할 목적으로 무단으로 프로그램을 설치하였다가 발각되어 현재 사전 구속 영장이 신청된 상태라는 기사가 올라왔습니다.

기사에서는 해당 경찰관이 사용한 프로그램 이름이 공개가 되어 간단하게 프로그램을 중심으로 살펴보도록 하겠으며, 개인적인 생각에는 해킹이 일반적인 해킹 목적으로 제작된 악성 프로그램이 아니라 무료(상용)로 공개된 소프트웨어를 잘 활용한 사례가 아닌가 판단이 됩니다.

우선 상대방의 PC 화면을 엿보기 위하여 설치한 팀뷰어(TeamViewer) 소프트웨어는 독일에서 제작된 원격 제어 프로그램으로 한글화까지 완벽하게 지원하는 매우 유명하고 훌륭한 프로그램입니다.

제 기억에는 실제 악성코드 제작자들이 해당 프로그램의 관련 파일을 악용하거나 유사한 이름으로 등록하여 감염을 시키는 사례가 있었던 것으로 기억되고 있으며, 개인적으로도 원격 제어를 목적으로 사용하고 있는 완소()같은 프로그램입니다.

아마 해당 경찰관은 경찰청장 PC에 설치한 TeamViewer 프로그램을 통해 자신의 PC에서 엿볼 수 있도록 하기 위해 환경 설정(옵션)에서 [Windows와 함께 TeamViewer 시작] 항목에 체크를 하여 자동으로 실행되도록 하였을 것으로 보입니다.

해당 설정을 한 경우 "영구 접속 설정" 창을 통해 비밀번호를 입력하여 외부의 원격 PC에서 경찰청장 PC에 접속이 가능하며, 심지어 PC 로그아웃 또는 재부팅까지 가능한 수준까지 제어가 가능합니다.

결국 이런 설정을 통해 해당 경찰관은 자신의 PC에서 경찰청장 PC에 설치된 TeamViewer ID와 영구 접속을 위한 비밀번호를 이용하여 언제든지 상대방 화면을 실시간으로 엿볼 수 있었을 것으로 보입니다.

하지만 실제 해당 동작이 구현될 경우 최신 사양의 PC가 아닐 경우에는 체감상 원격 제어가 느껴졌을 것으로 보이며, 다른 기사의 내용에서도 PC가 느려져서 교체를 하였다는 내용이 있습니다.

두 번째로 PC 내부 또는 PC와 연결된 마이크 등을 통해 도청을 목적으로 설치한 Snooper 프로그램은 해외에서 제작되어 공개된 상용 소프트웨어이며, 최신 버전에 대하여 일부 보안 제품의 설정에 따라 유해 가능 프로그램으로 진단될 수 있습니다.

참고로 설치 파일(MD5 : 34cb4c3c61122160b06e07802611c58b)에 대하여 Kaspersky 보안 제품에서는 not-a-virus:Monitor.Win32.SoundSnooper.m 진단명으로 진단되고 있습니다.

해당 프로그램이 설치된 환경에서는 시스템 트레이 알림 아이콘에 그림과 같은 마이크 모양의 아이콘이 등록되며, 해당 프로그램은 30일 동안 사용이 가능한 Shareware 프로그램입니다.

메인 화면에서는 녹음 모드(Recording Mode)에서 "Sound activated"를 통해 PC에서 사운드가 감지될 경우 자동으로 녹음이 이루어질 수 있도록 되어 있습니다.

프로그램의 환경 설정을 통해 기능을 확인해보면, 우선 시스템 시작시 자동으로 실행할 수 있으며 시작과 동시에 사용자가 선택한 모드로 녹음이 자동으로 진행됩니다.

특히 스텔스 모드(Stealth Mode) 기능을 통해 프로그램 실행시 시스템 트레이 알림 아이콘으로만 표시될 수 있도록 되어 있습니다.

메일(Mail) 설정에서는 녹음된 사운드 파일을 특정 SMTP 서버로 전송을 할 수 있으며, 전송시 TLS 보안 연결을 지원하고 있습니다.

스케쥴(Schedule) 설정에서는 사용자가 등록한 날짜에 자동으로 녹음이 될 수 있도록 사전 예약이 가능합니다.

암호화(Encryption) 설정에서는 녹음된 파일을 자동으로 암호화하여 타인이 비밀번호를 모를 경우 녹음된 파일을 들을 수 없도록 보호해 주고 있습니다.

Snooper 프로그램은 [C:\Program Files\Snooper] 폴더에 기본적으로 설치가 되며, 프로그램 동작시 Windows 작업 관리자에서는 snpr.exe 프로세스가 생성됩니다.

위와 같은 프로그램을 통해 해당 경찰관은 PC에서 발생하는 각종 사운드를 녹음하여 자신의 이메일을 통해 전송을 받았을 것으로 보이며, 이 역시 기본적으로 사운드 파일의 용량이 커질 수 있다는 점에서 인터넷 속도 저하를 유발하였을 것으로 추정됩니다.

최근 중앙 선거 관리 위원회를 상대로 한 정치적 목적의 DDoS 사건 부실 수사와 이번 해킹 사고를 통해 본 경찰 내부 조직은 상당히 실망감을 줄 정도로 제 역할을 못하고 있는 것으로 국민들에게 비추어지고 있어 안타깝습니다.