국정원의 국민해킹 우려에 맞서는 “국민 백신 프로젝트” 발족
국민 누구나 참여·후원할 수 있는 오픈소스 및 소셜펀딩 방식으로 진행
베타 버전, 7월30일 목요일 오전10시 국회 토론회에서 발표 예정
(사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는, 국정원이 이용한 해킹팀(Hacking Team)의 스파이웨어(RCS)에 불특정 다수의 우리 국민들까지 감염되었을 우려에 대응하기 위해 RCS 감염 여부를 포착하고 RCS에 의한 감염을 치유 및 예방하는 프로그램을 개발하는 “국민 백신 프로젝트”를 발족한다. 베타버전은 오는 7월 30일 10시에 공개할 예정이다(국회토론회는 별도의 보도자료 배포).
RCS를 식별할 수 있는 프로그램은 이미 배포되어 있지만, 윈도우 PC용으로 제한되어 있고, 성능 보장도 확실하지 않다. 가령 국제인권단체들이 배포한 ‘디텍터(Detekt)’[1], 외국 보안업체가 만든 레드삭스(Redsocks)의 ‘MTD’ (Malware Threat Defender)[2], 루크 시큐리티(Rook Security)의 ‘밀라노’(Milano)[3] 등은 모두 윈도우 PC용이고, 우리 국민 대다수가 사용하는 모바일에는 적용할 수 없다. “국민 백신 프로젝트”로 개발될 프로그램 “오픈백신”(가칭)은 모바일을 포함한 모든 기기에 적용되도록 할 것이다.
오픈백신 프로그램 개발 방식
해킹팀의 스파이웨어를 국정원도 사용하고 있다는 의혹이 제기된지는 무려 1년 6개월이 지났다[4]. 특히 지난 7월 6일에는 해킹팀의 내부 자료가 유례없이 방대한 규모로 공개되어, 국정원이 해당 스파이웨어를 구입하여 내국인을 상대로 사용했다고 믿을만한 정황들이 드러난지도 벌써 한 달이 다 되어간다. 해킹팀의 스파이웨어는 소스코드가 기트허브(GitHub)에 이미 공개되어 있어서 백신 프로그램을 얼마든지 만들 수 있다(https://github.com/0xPoly/
오픈백신은 이처럼 공개된 소소코드드를 기초로, 우리 국민들이 가장 많이 사용하는 안드로이드 모바일, 윈도 PC용 백신 프로그램 개발을 목표로 한다. 초기 개발은 위 3개 단체가 지원하고(이미 RCS 소스 분석은 마쳤다), 이후에는 개방형 개발 방식으로 전환한다. 오픈백신 프로그램 역시 소스코드를 모두 공개하여 기술적 재능이 있는 사람이라면 누구나 익명으로 재능기부를 할 수 있고, 이를 통해 오픈백신을 모든 기기로 확대할 수 있을 것이다. 이러한 개방형 혁신이 백신업체 내부의 개발자들에 의한 폐쇄형 방식보다 성능이나 보안 면에서 더 우수하다는 점은 이미 밝혀졌다. 그리고 국민 감시에 악용되는 스파이웨어에 맞서는 데에는 국민참여형 대응이 가장 훌륭한 방식임을 보여줄 것이다. 그리고 개발된 프로그램은 누가 독점하지도 않고 모두에게 개방될 것이다(이탈리아 해킹팀은 자신의 기술을 이미 국내에 특허출원까지 해 두었다(특허출원번호 제1020137005146호 “네트워크 트래픽을 처리하는 방법 및 장치”).
오픈백신 프로그램 배포 일정 및 운영
- 안드로이드 모바일, 윈도우 PC용 백신 프로그램 개발 완료 후 베타버전 공개: 2015년 7월 30일 오전 10시, 국회 의원회관 제2소회의실
- 테스트 진행, 버그 및 수정 작업 후 정식버전 배포: 8월 6일 예정
- 오픈소스 방식으로 전환하여 다른 기기용 백신 프로그램 개발 및 배포
- 해킹팀의 스파이웨어 소스코드 분석 보고서 발표
- 감염된 기기에 대한 디지털 포렌식 분석
- 해킹팀 이외의 다른 스파이웨어에 대한 패턴 업데이트 진행
국민 누구나 참여하는 소셜펀딩
오픈백신 프로그램을 베타버전에서 완성단계로 발전시키고 다양한 기기나 국내 통신환경에 맞게 개선하고 유지보수하는 데에는 상당한 자원이 소요된다. 이에 따라 진보네트워크센터가 운영해온 소셜펀딩 플랫폼을 이용하여 국민들이 누구나 후원할 수 있도록 할 계획이다.
오픈백신 프로그램과 국정원의 합법적인 해외 정보 수집
스파이웨어를 찾아내는 백신 프로그램이 배포되면 국정원의 정상적인 해외 정보 수집이 방해받는다는 우려가 있을 수 있다. 하지만 이미 해킹팀의 스파이웨어는 소스코드가 공개되어 어떻게 작동하는지 누구나 알 수 있는 상태다. 따라서 오픈백신 프로그램 때문에 우리 정보기관의 합법적인 해외 정보 수집이 타격을 받을 가능성은 거의 없다. 가령 북한은 이미 RCS를 통한 감시를 우회하는 기술을 개발하였을지도 모른다. 국민들을 대상으로 한 스파이웨어의 감염 시도가 이루어졌을 것이라는 우려가 높은 상황에서 우리는 실제로 감염되었을지 모를 해킹팀의 악성코드뿐 아니라 누군지 모르는 제3자의 해킹위험에 처해있을 국민들의 정보인권에 우선을 둘 수밖에 없다.
————————————————-
[1] ‘디텍터’는 클라우디오 과르니에르(Claudio Guarnieri)가 시티즌랩(Citizen Lab)의 기술 지원으로 국제 정보인권 단체들, 프라이버시 인터내셔널(Privacy International), 디지탈레 게젤샤프트(Digitale Gesellschaft), 앰네스티 인터내셔널, 전자개척자재단(EFF)과 함께 해킹팀의 스파이웨어를 탐지하는 프로그램으로 2014년 11월 배포되었다. 사용법은 진보네트워크센터에서 우리말로 제공하고 있다. http://act.jinbo.net/drupal/
[2] http://redsocksmtd.blogspot.
[3] https://www.rooksecurity.com/
[4] 이탈리아 해킹팀이 RCS를 각국 정부에 팔았고, RCS가 모로코와 아랍에밀레이트 기자와 인권운동가를 감시하는 데에 사용되었다는 의혹이 제기된 것이 2012년이다. 그리고 시티즌랩(Citizen Lab)이 한국을 포함한 21개국 정부가 RCS를 사용하고 있다고 보인다는 공식 보고서를 발표한 것이 2014년 2월 17일이다. https://citizenlab.org/2014/
2015년 7월 27일
(사)오픈넷
진보네트워크센터
P2P재단코리아준비위원회
전세계 백신업체들이 이미 샘플을 진단중입니다.
아무런 백신을 내놓고 있지 않다는건 사실이 아닙니다.
전용백신 안내놨다고 이러시나본데, 그냥 avast든 알약이든 깔면 진단합니다.
심지어 안랩은 이 건이 터지기 전부터 진단하고 있었던게 국정원과 해킹팀 간 메일에 드러나 있잖아요.
만약 진단 안되는 샘플 있으면 그냥 백신업체 홈페이지 가서 ‘해킹팀샘플입니다’ 하고 제출하시면 됩니다.
저 세개의 단체가 공유중인 진단툴중 2개는 yara 룰 몇개와 문자열로 찾는거고 하나는 서버IP만 갖고 찾는건데, 이딴 방식은 소스만 살짝 고치거나 앱난독화 한번하면 진단못합니다. 서버IP도 바꾸면 끝이고요.
백신엔진이 훨씬 강력합니다.
백신업체에 샘플 진단 요청하고 만약 진단 추가를 안해주면 이유를 따져서 그걸 공론화하는게 차라리 나을겁니다.
끽해야 yara룰로 파일검색툴만드는데 돈낭비를 왜하시는지….
이런식으로 사람들 돈 모으는게 평화의 댐과 뭐가 다른가요?
해킹팀은 백신엔진도 우회하는 마당에 yara룰 게다가 오픈소스;;; 진단 우회하는거야 식은죽먹기죠.
기존 백신에서 검색이 되면 진단명을 제시하시고요, 업체의 보도자료 있으면 보도자료라도 내놓으세요. 진단이 된다고 말하면 뭐 어쩌란 말입니까.
진단 안되는 파일은 업체들이 스스로 찾아서 사전방어를 해야지. 왜 신고를 받습니까. 샘플이 부족하면 돈주고 사야되는 판에.
백신이 강력하다는 것을 나타내줄 기술문서라든지 보도자료라도 내놓으세요. 링크를 거세요. 마찬가지로 무작정 강력하다고 하면 뭐 어쩌란 말입니까. 백신이 강력한지아닌지 그걸 어떻게 압니까.
끽해야 백신엔진이 강력하다는 덧글낭비를 왜하시는지….
이런식으로 이야기하는 건 모자동차가 기술력이 뛰어나다는 것과 뭐가 다른가요?
진단명은 회사마다 다르고요. 오픈백신 소스코드랍시고 깃헙에 올려놓은거 보면 sha1 꼴랑 네개입니다. 게다가 파일전체 해쉬로 체크하기 때문에 1byte라도 바꾸면 진단 못합니다.
소스코드에 나와있는 네개의 해쉬값을 백신 회사들이 진단하고 있는 현황입니다.
https://www.virustotal.com/ko/file/5a78eb0a3a5ce38a2cc70fa376e47b0a55c227fba64876039b27b60234a05619/analysis/1439405497/
https://www.virustotal.com/ko/file/d0e9f87c03785586b0d50c8e17a4c2bb850cdaabca68fe6afc9d9b640f144099/analysis/1439405607/
https://www.virustotal.com/ko/file/4e6c4bbff0b4b92bfb21a033c9a1e875c38a747b6882873636e4109a3112576d/analysis/1439405613/
https://www.virustotal.com/ko/file/9b6b9162ec4e69e48e4c7dc070e73522c92184cc989a1332e653cca1c29a4fa2/analysis/1439405616/
진단안되는 회사는 안드로이드 백신을 안만드는 회사거나 관심없는걸 수도 있고 진단 못하는 걸 수도 있지만 국내백신중엔 안랩이 다 잡고 있네요.
보도자료는 있는지 없는지 알바 아니고요, 사실 백신업체입장에선 이따위 공격과 연관된 파일수집만 하루 수십만개입니다.
샘플파일 신고는 전세계 모든 백신회사들이 받고 있구요. 왜 신고받냐는건 컴맹아니냔 말밖에 할말이 없구요.
백신엔진이 강력하다아니다를 입증할 이유가 없습니다. 왜냐? 오픈백신은 꼴랑 해쉬값진단밖에 없기 때문입니다.
아저씨가 예로 제시한 “국내 모자동차가 독일차 못지않다”는 걸 입증하려면 그런 자료가 필요하겠죠.
하지만 그 자동차가 세발자전거보다 낫다는걸 입증하는데 기술문서따위 뭐가 필요한가요?
이런 노력 자체가 무의미하다는 말은 아닙니다. 적어도 백신업체에 진단보고가 가는것보다 오픈넷으로 진단보고가 오면 “몇명이 해킹당했구나”정도는 알 수 있겠죠. 의미 있는 일이라 봅니다.
근데 오픈넷은 오바하느라 ‘백신이 진단 일부러 안하니까 우리가 한다’고 김기창교수가 하던 멍청한 짓을 또 해버렸습니다. 오픈넷이 참고한 detekt 같은 프로젝트처럼 ‘우린 백신이 아니다. 이걸로 검사를 하더라도 치료는 꼭 백신으로 해라’는 등의 안내를 했으면 얼마나 좋았을까요?
그놈의 오바 에휴
모금은 왜하는건지 평화의댐도 아니고
깃허브 소스를 제대로 보고 답을 하시죠. 꼴랑 4개라니? 100개가 넘는구만. 이걸 국내 백신업체들이 다 진단하고 있었다는 건 무슨 근거로 하시는 말인지요?
깃허브 url좀 알려주세요. 이거 아무래도 사람들이 서로 다른 레파지토리를 보고 있어서 오해하는거 아닌가 싶네요
https://github.com/p2plab/OpenVaccine 인데 이거 아닌가요?
오픈백신에 대한 관심 감사드립니다.
우선 우려해주신 바와 달리 오픈백신은 백신업체의 백신을 대체하거나 모든 악성코드를 잡아내는 것을 목표로 하고 있지 않습니다.
또한 시그니처는 오픈백신의 목적에 맞게 계속 업데이트 될 예정이며 치료 및 다른 악성코드의 탐지를 위해 백신업체의 백신을 쓸 것을 함께권고하고 있습니다.
자세한 내용은 아래 보도자료를 확인해주시기 바랍니다.
http://opennet.or.kr/9737