오픈백신...RCS 어떻게 잡나 봤더니

글자 작게 글자 크게 인쇄하기

해킹팀 원격조정시스템(RCS) 감염 여부를 탐지하는 오픈백신이 치료 기능이 없는 것은 물론이고 진단도 제대로 되지 않아 논란이다.

오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는 최근 구글플레이에 ‘오픈백신’ 앱을 공개했다. 오픈백신은 최근 논란이 된 국가정보원 RCS에 안드로이드 운용체계(OS) 개인 스마트폰이 감염됐는지를 탐지하는 기능을 제공하는 것으로 소개돼 있다.

하지만 기대와는 달리 보안전문가 분석결과 오픈백신이 제공하는 진단 기능은 매우 제한적인 것으로 나타났다. 시험결과 오픈백신은 타 상용백신으로 진단·치료할 수 있는 해킹팀 관련 RCS 파일도 잡지 못했다.

홍동철 엠시큐어 대표는 “공개된 오픈백신 소스코드를 분석해보니 시스템에 설치된 앱 밖에 검사할 수 없는 구조”라며 “안드로이드폰 사용자가 설치한 앱은 탐지할 수 없다”고 설명했다.

안드로이드폰에서 RCS감염 여부를 진단하는 `오픈백신`
<안드로이드폰에서 RCS감염 여부를 진단하는 `오픈백신`>

스마트폰 출시 당시 제조사가 설치한 앱만 검사할 수 있다는 의미다. 이용자가 스마트폰을 사용하는 과정에서 내려받은 앱은 검사대상에 포함되지 않는다. 스마트폰 제조사가 국정원에 협조했다면 시스템에 스파이웨어가 설치될 수 있다.

유출된 이탈리아 해킹팀 이메일에 따르면 RCS를 목표물에 설치하려면 이메일이나 문자메시지 등을 이용한다. 스마트폰 제조 때보다 목표 대상이 사용 중일 때 RCS 설치가 유도된다.

홍 대표는 “설치한 앱을 탐지하려면 안드로이드에서 제공하는 응용프로그래밍인터페이스(API)를 이용해야 하는데 오픈백신은 파일만 검색하는 구조”라며 “RCS와 같은 악성행위를 하는 프로그램을 찾기 어렵다”고 말했다.

오픈백신은 11일 해킹팀 파일 지문데이터를 수정했지만 기능은 초기와 별반 다르지 않다. 이들 시민단체는 지난 7월 30일 국회에서 PC용도 공개하겠다고 발표했지만 자체 개발 대신 국제인권단체 ‘디텍트’를 사용하라고 권고했다. 디텍트는 지난해 11월에 공개됐으며 지난달 30일 디텍트2.0으로 업그레이드됐다.

시민단체는 디텍트를 한글화해 배포할 예정이다. 디텍트 역시 오픈백신과 마찬가지로 스파이웨어 감염요소를 제거하거나 의심스러운 파일을 삭제하는 기능을 제공하지 않는다. 감시 기능을 하는 스파이웨어 흔적만 탐지한다.

김인순기자 insoon@etnews.com