우리 눈에 보이지 않는 무선 네트워크, 와이파이(WIFI)는 해커들에게 보기 좋은 먹잇감이다. 물론, 그걸 어떻게 먹는지는 개인 재량에 따라 다르지만, 찾았다하면 그 여파가 큰 것은 사실이다. 그래서인지 CIA도 그냥 지나치기에는 아쉬웠나 보다. WikiLeaks는 CIA가 무선 네트워크, 공용 라우터의 취약점을 이용하여 특정 대상의 인터넷 활동이나 사적인 활동을 어떻게 모니터링 했고 이에 사용된 프레임 워크가 무엇인지에 대해 공개했다.^[1]

지난 2017년 3월 7일, 정부 및 기업 비리, 불법 행위 고발 사이트 WikiLeaks는 CIA의 비밀작전에 관한 문서 Vault 7을 공개했다.^[2] 이 때문에 CIA는 수년 간 자신들이 직접 개발한 프로그램이나 그들의 해킹능력까지 고스란히 드러났다. CIA 역사상 가장 큰 규모의 정보유출이라 불리는 이 사건은 정부의 일을 했던 사람들끼리 비밀리에 공유되던 문서가 누군가로부터 WikiLeaks에 넘겼진 사건이었다. 노출된 문서는 정부가 고용한 해커들이나 잠시 동안 일한 계약직들 사이에서 비밀리에 공유되었기 때문에 누가 이 문서를 WikiLeaks에 넘겼는지는 아무도 모를 뿐더러 밝혀내기 조차 어려웠을 것이다.^[3]

당시 상황을 되짚어 보면 vault 7이 공개된 것도 큰 충격이었지만 국내에서는 삼성의 스마트 TV가 해킹 도구로 사용되었다는 점에서도 큰 파장을 가져왔다. CIA는 사용자를 모니터링하기 위해 삼성 스마트 TV의 전원이 켜져있는 상태에도 전원이 꺼져있는 것처럼 조작하여 TV가 있는 그 장소에서 오가는 대화나 영상을 쉽게 저장하고 도청했다.^[4] 그들의 해킹 도구는 삼성만이 아니라 애플, 구글, 모토로라 등 어디 한 곳에 국한되지 않고, 오로지 자신들의 목적을 위해 여러 기업의 제품에 광범위하게 적용했다는 점도 놀랍다.^[5] WikiLeaks는 3월 이래로 이런 CIA의 비밀들을 하나씩 밝혀오고 있다. 이미 그 수도 10개나 되니, 그만큼 우리가 몰랐던 취약점들이 얼마나 많았는지도 놀라울 따름이다.^[6] 그리고 WikiLeaks에는 최근 또 하나의 문서를 공개하였는데, 이번에는 CIA가 어떻게 무선 네트워크를 이용하여 사용자들을 도청해왔는지에 대한 글이었다.^[7]

올해 6월 15일, WikiLeaks는 미국 비영리 스탠포드 연구소 (SRI International)의 도움을 받아 CIA의 CherryBlossom 프로젝트에 관한 문서를 발표했다.^[8] CherryBlossom 프로젝트이라고 불리는 이 프레임 워크는 Cherry Bomb 프로젝트의 일환으로, CIA가 무선 장치, 라우터의 취약점을 이용하여 특정 대상의 인터넷 활동이나 사생활를 모니터링하는 것이 목표다.^[9] WikiLeaks가 공개한 문서에 따르면 CIA가 얼마나 절묘하게 공공 라우터들의 취약점을 이용해 왔는지 알 수있다. 이 기술은 라우터 장치의 펌웨어를 새로 재구성하여 대상 네트워크에 흐르는 트래픽을 원격으로 모니터링할 수 있다.^[10]

이 취약점의 피해 범위는 매우 광범위하다.^[11] 무선 네트워크는 개인주택, 공공장소, 기업 사무실 등 수 많은 곳에서 사용된다는 점에서 그 네트워크를 구성하는 장치의 수는 어마어마하게 많을 것이다. 특히, CherryBlossom 프로젝트에 영향을 받은 라우터 공급업체가 한 두 곳이 아니다. 대표적으로 D-Link 및 Linksys 등에서 판매하고 있는 라우터 외에도 수백 가지의 와이파이 장치 제조업체가 이 취약점에 고스란히 노출되었다.^[12] 노출된 제조업체에 관련한 세부적인 사항은 WikiLeaks에서 밝힌 CherryBlossom 프로젝트에 관한 문서에서 확인할 수 있다. 더불어, 이런 해킹 공격을 당하더라도 라우터는 공격을 당했다는 신호조차 없기 때문에 사용자는 평소처럼 인터넷 을 사용하면서 아무런 이상함조차 못 느꼈을 것이다.^[13]

CherryBlossom 프로젝트는 Flytrap, CherryTree, CherryWeb을 통해 진행된다. 하나씩 살펴보면, 먼저 사용자의 라우터에 Flytrap이라고하는 자체 펌웨어를 설치한다. Flytrap 펌웨어는 사용자의 인터넷 브라우저를 모니터링하고 클릭한 웹 링크에서 SSL 암호화를 제거한다. 또한, 악의적인 스크립트를 트래픽에 추가하여 대상 PC에 직접 접근 할 수 있도록 한다. CherryTree는 해킹된 라우터에 명령을 내려 제어할 수 있도록 하는 서버로 공격자는 CherryWeb이라는 브라우저 기반의 인터페이스를 통해 감염된 네트워크 장치를 모니터링하며 업데이트 할 수 있다.^[14]

CherryBlossom 프로젝트 과정은 라우터에 Flytrap 펌웨어를 설치하는 것부터 시작한다. Flytrap은 이메일, 채팅 사용자 이름, MAC 주소 및 VoIP 번호를 검색하여 네트워크 트래픽을 전달하고, 대상의 전체 네트워크 트래픽을 복사하여 대상의 브라우저를 리디렉션하거나 또는 대상의 네트워크 연결을 프록싱한다.^[15] 또한, Flytrap은 CherryBlossom이 소유한 VPN 서버에 VPN 터널을 만들어 Flytrap 네트워크에 있는 더 많은 사용자에게 적용될 수 있도록 한다. Flytrap이 대상을 탐지하면 CherryTree는 공격자에게 공격을 시작할 거라는 알람을 보내고 보내고 특정 대상자에 대한 공격을 시작한다. 이때 CherryTree는 정보를 데이터베이스에 저장하고 잠재적으로 사용자에 대한 정보를 공격자에게 전달하며^[16] 이같은 과정은 CherryWeb이라는 브라우저 기반의 인터페이스를 통해 쉽고 편리하게 공격자가 제어할 수 있다.

좀 더 풀어서 이야기해보면, 무선 네트워크를 이루는 무선 장치, 라우터는 CherryBlossom 펌웨어를 이식하여 감염된다. 이때, 몇몇 라우터는 원격으로 펌웨어를 업그레이드 할 수 있으므로 따로 라우터에 물리적인 접근을 할 필요성도 없다. 대신 장치의 새 펌웨어가 올라오면 라우터 또는 접근한 지점이 소위 Flytrap이 된다. Flytrap은 네트워크를 통해 CherryTree라고하는 명령 및 제어 서버에 신호를 보내는데 이를 통해 라우터 상태나 보안 정보를 포함한 여러 정보들이 CherryTree를 통해 데이터베이스에 기록된다. 이 정보에 대한 응답으로 CherryTree는 공격자의 명령어에 따라 제어되고 실행된다. 공격자는 웹 브라우저 기반의 인터페이스인 CherryWeb을 사용하여 Flytrap의 상태 및 보안 정보를 확인하고 데이터를 보며 시스템 관리 작업을 수행 할 수 있다.^[17][18] 이를 통해 공격자는 라우터에서 오가는 트래픽을 확인하여 특정 대상에 대한 정보를 가로채어 확인할 수 있는 것이다. 즉, 중간자 공격(man in the middle attack, MITM)이다.

중간자 공격은 제3자가 네트워크를 조작하여 네트워크 사이에서 오가는 내용을 도청하거나 조작하는 공격 기법이다. 즉, 중간자 공격은 통신을 연결하는 두 사람 사이에 중간자가 있는 모습으로, 두 사람은 서로에게 연결했다고 생각하지만 실제로는 두 사람 모두 중간자에게 연결되어 있는 형태다. 중간자는 한쪽에서 받은 정보를 도청 및 조작하여 다른 쪽으로 전달한다.^[19]

이를 해결하기 위해 라우터 제조업체들은 발 빠르게 움직여 취약점에 관련한 보안 패치를 사용자들에게 권고를 하고 사용자들은 보안패치가 나오는 즉시 바로 패치를 하는 것이 좋다. 누누이 얘기하지만 업데이트는 항상 옳다. 아무튼, 이처럼 우리 주변에서 그리고 생각지도 못한 방법으로 해킹을 당할 수 있다는 점은 무서운 사실이다. 보안 연구원이자 해커하우스의 창립자인 매튜 히키(Matthew Hickey)는 "우리가 알아야 할 것 중 하나로 인터넷을 통과하는 모든 것들이 CIA를 거쳐 우리에게 들어온다는 사실이다."라고 말했다.^[20] 이게 얼마나 무서운 이야기인가. WikiLeaks를 통해 계속해서 밝혀지고 있는 CIA의 프로젝트들은 우리가 얼마나 해킹에 노출되어 있는지 적나라하게 보여주고 있지 않은가.