정보통신사령부, 해커들의 공격행위를 감시하기 위한 해커감시기법 활용

KISTI 미리안 『글로벌동향브리핑』 2015-02-11

미국의 국가안전보장국과 캐나다의 협력기관과 공조체계를 구축하고 있는 영국의 정보통신사령부는 해커들을 활용해 실시간으로 이들을 모니터링하여 이메일 컨텐츠를 수집해온 것으로 나타났으며, 이러한 원인에는 이들 해커들이 공격하고 있는 이메일과 기타 계정들을 공격하기 위함인 것으로 알려져 관련 내용을 상세히 알아보기로 한다. 지난해 국가안전보장국의 정보감시 관련 수 천 건에 달하는 문건을 유출시킨 Snowden씨가 러시아로 정치적 망명을 떠나기 전 저널리스트인 Glenn Greenwald씨는 정보감시기관들의 이메일과 기타 계정들에 대한 해킹을 위해 실시간으로 안보기관들이 감시하고 있다는 내용을 밝힌 바 있다. Greenwald씨에 의하면, 감시기관들이 양방향 전송기능을 갖는 채널방식에서 고정된 송수신 호스트의 구분없이 양방향으로 동시에 정보 프레임과 응답 프레임을 교차하여 전송할 수 있는 피기배킹방식을 활용해 해커들을 감시하고 있으며 이러한 원인은 해커들이 공공연하게 해킹을 저지르고 있는지를 감시하기 위해서라고 한다. 이런 방식을 활용해 해커들이 일부 공격목표들의 이메일을 훔쳐내고 있는데, 정보통신사령부 또한 이러한 해커들의 정보를 취합하여 이들의 이메일 계정에 접근하는 방식을 사용하고 있다고 보면 된다.[출처: https://firstlook.org/theintercept/2015/02/04/demonize-prosecute-hackers-nsa-gchq-rely-intel-expertise/] 이에 대해 감시기관들의 입장은 해커들의 다양한 면모들을 섭렵하기 위해 이와 같은 방식을 활용하고 있으며 이들로부터 동일한 정보를 수집하면서도 직접적으로 자신들의 신분을 노출시키지 않는 방식을 선호하고 있기 때문인 것으로 나타났다고 한다. 감시기관들이 주요 감시대상으로 삼은 해커들의 종류에는 국가기관들의 스폰을 받고 있는 해킹방식을 활용하는 전문가적 해커그룹뿐 아니라 단독으로 활동하는 프리랜서급 해커들 모두를 그 대상으로 삼고 있는 것으로 나타났다. 정보통신사령부에 의해 감시대상으로 삼은 해커들의 목표는 정부기관의 외교관들, 운동가들, 그리고 저널리스트들 등이 포함되어 있으며 중국 및 중국계 해킹활동을 벌이고 있는 대상들을 그 주요 목표로 삼고 있는 것으로 나타났다. 이러한 감시활동에 활용되는 시스템의 일종인 Intolerant의 트래픽은 매우 조직적인 것으로 나타났으며, 각각의 이벤트들을 통해 해킹에 대한 피해자들의 신분을 확인하고 카테고리화시킬 수 있다고 한다. 사이버공격들이 종종 각각의 피해자들에 대한 설명론적 방식에 접목될 수 있다고 하는데, 각각의 사이버공격으로 해당 해킹공격의 성공과 실패, 그리고 피해자 및 가해자를 추적하는데 도움이 되고 있기 때문이라고 한다. Intolerant 시스템에서 피해자들을 카테고리화시킨 분류를 살펴보면 아래와 같다 하겠다, A = 인도계열 및 인도의 해군, B = 중앙아시아계, C = 중국계 인권수호자들, D = 티벳계열이 민주화 단체, E = 위구르지역 운동가들, F = 아프가니스탄 발 유럽계 특별 대표단 및 인도의 저널리즘, G = 티벳 망명정부 일부 경우에는 정보통신사령부와 국가안전보장국이 어떠한 해커들이 공격을 주도했는지 파악할 수 없는 것으로 나타났으며, 이러한 경우에는 이들이 기타 국가로부터의 지원을 받아 행해진 공격인 것으로 간주하고 있으며, 공격목표와 해킹에 활용된 기법과 자원 모두 동일한 방식으로 국가의 지원을 일부 받아 수행되었던 것으로 추측하고 있다고 보고 있는 것으로 나타났다. hacker-boy-370x229.png http://www.computing.co.uk/ctg/news/2394101/gchq-monitors-compromised-hackers-as-they-attack-email-and-other-accounts