CIA, 애플·삼성 제품 해킹해 마음대로 드나들었다

위키리크스, CIA의 해킹툴 '체리블라썸' 폭로
라우터 해킹…접속된 단말기 인터넷 감시 등
해킹 대상에 애플·삼성 제품 등 포함돼 있어

미국 중앙정보국(CIA)이 '라우터'를 해킹해 수많은 단말기에 몰래 접근하거나 원격조종할 수 있었던 것으로 밝혀졌다. 라우터는 네트워크망의 중심 역할을 한다. 다수의 네트워크가 라우터를 매개로 연결이 된다.

위키리크스는 15일(현지시간) "CIA가 라우터를 해킹하고 관련 네트워크의 트래픽을 감시하는 프로그램을 사용해왔다"고 폭로했다.

15일(현지시간) IT전문매체 더버지는 "CIA는 라우터를 해킹하고 온라인에서 벌어지는 모든 일에 대해 알 수 있는 해킹도구를 만들어 사용해왔다. 폭로전문사이트 위키리크스의 새로운 문서를 통해 이 사실이 밝혀졌다"고 전했다.

CIA가 운용한 해킹프로그램의 이름은 '체리블라썸(Cherry Blossom)'이다. 이는 라우터의 펌웨어를 수정하면서, 라우터를 감시도구로 변환시킨다. 더버지는 "체리블라썸으로 원격 단말기의 인터넷 트래픽을 모니터링하고, 암호와 같은 정보를 찾아낼 수도 있다"고 말했다.

체리블라썸의 공격대상에는 애플 제품과 삼성전자의 스마트TV도 포함돼 있어 논란이 더욱 커질 전망이다. 이번에 공개된 문서는 2012년에 작성됐는데, 그 이후 5년간 체리블라썸이 어떤 변화를 겪어왔는지는 명시돼 있지 않다

라우터의 제조사와 모델이 다양한 것처럼 체리블라썸도 다양한 버전이 존재한다. 문서에는 "2012년 8월 기준으로, 체리블라썸이 침투할 수 있는 라우터 브랜드에는 에이수스, 벨킨, 버팔로, 델, 디링크(DLink), 링크시스, 모토로라, 넷기어, 시나오(Senao), US로보틱스 등이 있다"고 적혀있다.

또 CIA요원이 라우터에 해킹툴을 어떻게 설치하는지에 대한 자세한 방법도 안내하고 있다. '일반적인 방법(In typical operation)'이라는 소제목의 문단에서 "관심있는 무선장치에 '클레이모어(Claymore)'를 활용해라. 또는 '공급망 작업'을 통해 체리블라썸의 펌웨어를 이식해라"고 적혀있다. 다만 '공급망 작업'과 '클레이모어'가 무엇인지에 대한 설명은 나와있지 않다.

더버지는 "이번에 공개된 해킹툴은 대량감시보다는 특정대상을 노리는 해킹툴로 보인다. 이것이 실제로 얼마나, 누구에게 사용됐는지는 명확하지 않다"고 말했다.

위키리크스가 공개한 CIA의 라우터 해킹툴 '체리블로썸'의 작동원리

한편 지난 3월에는 위키리크스가 'CIA의 내부문서'라 불리는 문서 수천건을 공개해 파장이 일었다. CIA가 컴퓨터, 스마트폰, 스마트TV를 악성코드에 감염시켜 감청 수단으로 활용했다는 내용이었다.

당시 뉴욕타임스는 "문서 진위가 확인된다면 이는 CIA와 연합국 첩보기관이 대중화한 휴대전화와 시그널, 왓츠앱, 텔레그램같은 메시징 서비스의 암호화를 우회하려 해왔다는 얘기"라며 "문건에는 정부 해커가 안드로이드 스마트폰에 침입해 암호화가 적용되기 전의 음성과 메시지 트래픽을 수집할 수 있다는 내용이 담겼다"고 전했다.

외신들은 특히 삼성의 스마트TV를 감청하는 '우는천사(Weeping Angel)'라는 악성소프트웨어를 비중있게 다뤘다.

우는천사는 정상적인 TV 앱으로 작동하면서 스마트TV를 주변 환경의 소리를 수집하는 스파이 장치로 만든다. 사용자가 리모컨으로 TV 전원을 끄면 실제로는 화면만 끈채 도청을 계속하는 '페이크오프' 기능을 갖췄다. 무선랜 비밀번호를 빼돌리고 중간자공격을 위한 루트인증서를 심기도 한다. 향후 내장카메라를 통해 이미지와 비디오를 기록하고 오디오를 실시간 스트리밍하는 방향으로 발전할 가능성도 보였다.

김동표 기자 letmein@asiae.co.kr