스파이웨어 탐지 프로그램 디텍트(DETEKT) 사용법

[cyclem]

스파이웨어 탐지 프로그램 디텍트(DETEKT) 사용법

◆ 디텍트(DETEKT)란?

 당신의 윈도우 컴퓨터에서 핀피셔(FinFisher), 해킹팀의 RCS 등 인권 활동가와 언론인을 대상으로 감시하는 데 사용되어 온 상업용 감시 스파이웨어의 흔적을 찾아내는 자유소프트웨어이다.

◆ 주의 사항

1. 윈도우 PC용으로만 제공: 해킹팀이 개발한 RCS는 윈도우 PC뿐만 아니라, 안드로이드 스마트폰 등에도 설치되는데, 디텍트는 윈도우 PC용으로만 제공됨. (윈도우 8.1은 지원되지 않는다.)

2. 검출되지 않았다고 완전히 안전한 건 아니다: 디텍트를 통해 스파이웨어가 검출되지 않았다고 해서, 당신의 PC가 안전하다는 의미는 아니다. 디텍트 출시 이후, 여기에 걸리지 않도록 RCS가 수정되었을 수도 있고, 디텍트가 찾지 못하는 다른 스파이웨어가 있을 수도 있다.

3. 작동 오류 보고: 성공적으로 PC를 검사한 경우도 있지만, 디텍트가 잘 작동하지 않는다는 보고도 있었다.

4. 디텍트 실행 전: 모든 프로그램을 닫고 인터넷 연결을 끊는다. (와이파이나 랜선 제거)

5. 스파이웨어를 검출했을 때: 스파이웨어를 제거하기 이전에 인터넷에 다시 연결해서는 안 된다. 충돌을 방지하기 위해서 다른 스파이웨어 방지 프로그램이 있다면 삭제하거나 비활성화해두는 게 좋다.

◆ 디텍트 내려 받기

• 1단계 : 디텍트 홈페이지에 접속. https://resistsurveillance.org/-->업데이트 안 된 것 
                                                https://resistsurveillance.org/#waypoint3 (업데이트 된 것)
• 2단계: DOWNLOAD 메뉴를 클릭.
• 3단계 : 아래 화면에서 detekt.exe를 클릭하여 다운로드.
• 
• 
  
  
  

◆ 디텍트 실행하기

• 1단계: 현재 실행하고 있는 모든 프로그램을 닫고, 인터넷 연결을 끊어야 한다.

• 2단계: 다운받은 디텍트 아이콘 위에 마우스를 올려 놓고 오른버튼을 누르면 메뉴가 나타나는데, ‘관리자 권한으로 실행’을 클릭한다.
  

• 3단계: 다음과 같은 화면이 뜬다. 디텍트는 암하라어, 아라비아어, 영어, 독일어, 이탈리아어, 스페인어를 지원한다. 한국어는 지원하지 않는다. 드롭다운 메뉴에서 언어를 선택한다. 기본 설정은 영어이다.
  

• 4단계: “Scan now!”를 클릭하면, PC에서 스파이웨어 탐색을 시작한다. 탐색은 컴퓨터 성능에 따라 수분에서 30분까지 걸릴 수 있다. 탐색하는 동안 다음과 같은 화면이 나타난다.
  

  ◆ 스파이웨어 검출 유무 확인

컴퓨터에 별다른 이상이 없으면 다음 화면이 나타난다.       Nothing found

컴퓨터에 스파이웨어를 탐지하면 다음 화면이 나타난다.          DANGER!

  ◆ 남희섭 오픈넷 이사 일문일답

시민이 자발적으로 참여하는 ‘국민 백신 프로젝트’가 발족했다. 그리고 2015년 7월 30일 국회 의원회관에서 발표회를 개최했다. 국민 백신 프로젝트를 주도한 남희섭 오픈넷 이사에게 국민 백신 프로젝트의 이모저모와 향후 계획을 물었다.

– 이왕에 엠네스트 주도로 ‘디텍트’가 개발됐다. ‘국민 백신’과 디텍트의 차이점은?

디텍트는 PC용인데, 국민 백신은 안드로이드 모바일에 주안점을 두고 프로젝트를 진행하고 있다.

– 모바일 중심이라고 했는데, 특히 안드로이드가 주력인 이유는?

개발자의 증언에 의하면 안드로이드폰이 잘 감염된다고 한다. 아이폰은 애플이 직접 패치를 내놓으면 이용자가 바로 업데이트를 할 수 있으나 안드로이드폰은 구글이 패치를 내놓아도 제조사까지 전달되서 실제 이용자의 스마트폰에 적용되기까지 시간이 걸리기 때문에 보안에 취약성이 있다는 설명이었다. 더불어 우리나라 모바일 사용자의 압도적 다수가 안드로이드폰 이용자기이도 하다.

– 국민 백신은 의미 있는 프로젝트다. 하지만 지속 가능성을 담보할 수 있을지는 걱정이다. 해킹과 백신은 ‘창과 방패’, ‘톰과 제리’의 게임이라서 지속성을 담보하지 못하면 큰 의미가 없지 않나?

당연히 걱정하는 부분이다. 큰 백신 개발업체라면, 상시 인력이 그때그때 바로바로 업데이트할 수 있겠지만, 국민 백신 프로젝트는 참여 개발 인력이 충분하다고 볼 수는 없다.

◆ 스파이웨어 감염 확인 시 대응법 

디텍트 탐색 결과, 스파이웨어 감염이 의심된다는 결과가 나올 경우에는 다음과 같이 조치해야 한다.

디텍트가 스파이웨어로 의심되는 파일을 삭제하거나 치료할 수는 없다. 디텍트가 컴퓨터 감염을 의심한다면, 그 컴퓨터는 더는 안전하지 않다.

1. 우선, 즉시 감염된 컴퓨터의 사용을 중단하고 인터넷 및 다른 네트워크로부터 분리해야 한다. 당신이 입력하는 모든 키보드 입력이나 방문하는 웹사이트 등이 감시될 수 있다.

2. 둘째, 컴퓨터를 좀 더 면밀하게 검토하고, 안전하게 복구할 수 있는지를 판단하기 위해 컴퓨터 전문가에게 의뢰하는 것이 좋다. 어떤 경우에는 디텍트가 잘못 판단했을 수 있다. 따라서 전문가가 컴퓨터를 검토하는 것이 필요하다.

3. 디텍트는 기술 전문가의 검토를 위한 추가적인 세부사항을 로그 파일로 생성한다. 이를 저장하면 기술 전문가에게 지원받을 때 도움이 된다.

4. 온라인으로 전문가에게 의뢰할 때에는 다른 컴퓨터를 이용해야 하며, 가능한 인터넷 카페나 공공 와이파이는 이용하지 않도록 한다.

---------------------------------------------------------------------

★ 업데이트: 디텍트 2.0 오픈

---------------------------------------------------------------------

진보네트워크센터는 지난 2015년 7월 16일, 국가정보원이 사용한 해킹팀의 스파이웨어인 RCS를 탐지할 수 있는 디텍트(Detekt) 사용법을 소개한 바 있습니다. 이후, 해킹팀이 디텍트를 이미 우회했다라는 보도가 있었습니다.

이에 디텍트 제작자인 엠네스티 인터내셔널에서 현재까지의 모든 RCS를 탐지할 수 있는 디텍트 2.0 버전을 오픈했습니다. PC나 노트북에서 RCS 감염이 우려되시는 분들은 디텍트 최신 버전으로 다시 테스트해보시기 바랍니다. 새 버전은 아래에서 다운로드 받을 수 있습니다.

• 디텍트 2.0 다운로드: https://resistsurveillance.org/#waypoint3 

혹시 디텍트를 통해서 감염이 확인되신 분들은 antiropy@gmail.com 으로 로그기록(detekt.exe 와 같은 디렉토리에 detekt.txt 파일이 있습니다.)을 보내주시면 한국 내 전문가 및 엠네스티 인터내셔널에 보내서 검토할 수 있도록 하겠습니다.

또한, 진보넷, 오픈넷, P2P재단코리아준비위원회는 안드로이드폰에서 RCS를 탐지할 수 있는 백신 프로그램인 ‘오픈백신’을 개발 중에 있습니다. 이와 관련된 진행상황은 추후 공지해드리도록 하겠습니다.  (업데이트 시각: 2015년 7월 31일 12시 30분)

진보넷                         http://jinbo.net/

오픈넷                         http://opennet.or.kr/

슬로우 뉴스(2015. 7.17) http://slownews.kr/43743

----------------------------------------------------------

▶ 국가의 해킹에 맞선 국민의 백신

누구나 개발에 발 들일 수 있는 개방형 참여 모델 적용해 정부 대신 RCS 공격 경로 파악과 재발 방지 나서는 ‘국민백신 프로젝트’

한겨레21 (2015.8.3) http://h21.hani.co.kr/arti/special/special_general/40051.html

▶ 김어준의 파파이스 # 62 [해킹도 세일이 되나요?]

------------------------------------------------------

1.국정원 총선, 대선 전 'RCS' 구입 이유?

  "해킹팀의 '세일 기간'"  

2.세월호 "지금 충돌(Now Collision)!"

3.국민백신 프로젝트 '오픈 백신' (27분 29초~52분 10초) --> 내용은 아래 (↓) 참고 

4.이상한 나라 한국의 성별문화

------------------------------------------------------

RCS 해킹 프로그램으로 문제가 생겼는데, 평상시 같으면 백신업체들이 자발적으로 앞다투어 보도자료도 내고 하는데 이번에는 국내에서 나오지 않고 있다. 국가기관인 국정원을 두려워하기 때문에 내놓지 않는 것 아니냐는 의심을 갖게 되는데, 그것은 백신업체들이 국가기관에 보안 솔루션을 내놓을 때 인증을 받아야 하기 때문이다. 국정원이 백신업체로서는 슈퍼갑이다. 백신업체들에게 강압일 수도 있고 무서워서 그럴 수도 있고..우리가 보도자료를 내놓으니까 그때에서야 백신업체들 중에서 자기들도 한다고 하는 업체도 일부 있었다. 하지만 이런 태도는 분명히 평상시와는 다르다.

또한 이런 일이 일어나면 정부에서도 인터넷진흥원이나 정부에 보고하게 되어 있는데 국민을 위한 어떤 대책이나 안내도 안하고 있다.

그래서 민간에서 개발하고 있고자 하고 있다.

Q : 몇 명이나 개발하고 있는가?

A : 현재 4명이 개발하고 있고 백신엔진은 개발하고 있으나 계속해서 업데이트를 하거나 하는 일에 무보수로 계속하기는 힘들다. 새로운 패턴이 나오거나 할 때 업데이트 할 수 있도록 프로그램을 다 짰다. 서버도 구축해 놓았기 때문에 크라우드 펀딩으로 어느 정도 돈이 좀 모이면 지속적으로 서버를 유지할 수 있을 것이다.

국정원이 국가안보를 위해서만 제한적으로 사용하지 않고 일반시민들을 상대로 사용했다는 의혹이 강하게 제기되고 있다. 그것을 백신업체에만 맡길 것인가? 그래서 후원방식도 민간으로부터 후원을 받는 식으로 하고 있다.

Q : 언제부터 사용할 수 있는가?

A : 테스트를 거쳐서 다음 주에는 올리려고 한다.

Q : 무료인데 이것이 고맙거나 지속되어야 한다는 사람은 아래 사이트로 후원해 주시 바란다.

    *오픈백신 개발후원: http://www.socialfunch.org/openvaccine2015

     그런데 만약 RCS 기능 중에서 지워버리거나 언인스톨을 실행해 버리면?

A : 안드로이드폰 같은 경우는 동기화되었을 때 할 수 없지만, 동기화되지 않았다면 언인스톨되지 않았을 가능성이 있다. 컴퓨터는 아이피가 고정되어 있어 언인스톨하기가 쉽지만, 휴대폰은 아이피가 수시로 바뀌고 동기화되어 있지 않을 수 있어서 흔적이 남아있을 수 있다.

Q : RCS는 악성코드를 하나 설치하여 정보를 빼 내고 그 사람의 프로그램을 제거해야 심을 수 있다고 하니까 또 다시 설치하고 제거하는 그런 과정을 반복하는 것인가?

A : 그거보다는 처음에 백도어라고 하는 악성코드를 많이 뿌린다. 그 중에서 타켓이 되는 것을 선택하여 인프란트 한다. 그리고 사용한 후에 언인스톨시키고 하는 식이었을 것이다.

감염파일을 뿌리기 전에 스카우트(정찰 에이전트)를 먼저 보낸다. 기기에 대한 정보 등을 보고 들킬 것인지 아닌지 확인한 후에 확인한 후에 감염파일을 보낸다. 그들의 메일을 보면 정찰에이전트도 바이러스에 걸린 적이 있다. 그런 악성코드는 상당히 많이 뿌려졌을 가능성이 높다. 스카우트는 지워지지 않았을 가능성이 많다.

Q : 또 궁금한 사항은 해킹팀만 있었겠느냐? 돈은 있고 다른 팀도 많았을텐데..지금 개발 중인 것은 해킹팀 프로그램만을 대상으로 하는 것인가? 

A : 해외에서 해킹팀 이외에 다른 프로그램의 흔적(시그너춰- 그 프로그램만의 값인 흔적)을 발견한 적이 있다. 일반 백신은 업체에 맡기고 해킹팀 프로그램만 개발할 것이다.

Q : 안드로이드 휴대폰용인가?

A : 안드로이드용으로 일단 개발했고 나중에 PC용 등으로 계속해서 개발할 예정이다.

Q : 배포방식은?

A : 오픈넷에 하면 공격을 받을 위험이 있으니, 구글 프레이 스토어에서 배포할 것이다.

안드로이드용으로는 전 세계에서 처음으로 개발한 것이다. 내부에서 테스트를 2700개 정도 분석을 해서 디베이스화시켜서 테스트 예상하지 못한 버그가 있는지 점검을 해봐야 한다.

최대한 테스트를 마치고 ..내놓을 생각이다. 만약 출시 후에라도 버그가 발견되면 업데이트할 것이다.

Q : 언제까지 할 것인가?

A : 개발 방식은 오픈소스로 공개하고 개발 능력이 있는 개인들이 자발적으로 참여하기를 기대하고 있다. 얼마나 많이 후원해 주느냐에 달려있다. 일부 해외 인사들이 도와주겠다고 한다.

Q : 이름은 무엇으로?

A : ‘국민백신’으로 하려고 했는데, 같은 이름이 있어서.....‘오픈 백신’으로 한다.

      (관련기사 http://www.bloter.net/archives/235618)

Q : 만약 발견이 되면?

A : 이것을 보내시겠습니까 하면 이메일로 수집이 되는 방식이다.

Q : RCS는 어느 정도나 강력한 것인가?

A : 이 폰은 내 폰이 아니다 이 컴퓨터는 내 컴퓨터가 아니다라고 생각하면 된다.

하다못해 컴퓨터에 하드디스크를 바꾸든 포맷을 하던 상관이 없다. 한 번 장악이 되면 소각해 버리는 수 밖에 없다.

Q : 마지막 하고 싶은 말은?

A : 이 문제는 국정원이 국민의 통제가 안되기 때문이다. 심지어 국민의 대표기관인 국회에조차 아무런 정보를 제공하지 않고 있다. 국가안보라고 하는 것이 우리의 안보이다. 대통령은 우리가 위임한 권한이다. 결국 우리가 통제할 수 있도록 노력해 나가야 한다.

시장의 규모가 수 조원 규모라고 한다. 그래서 관심을 갖는 민간업체가 많아 감시를 철저하게 해야 한다. 감시받는 사회를 반대하기 때문에 코드가 없애는 것에 노력을 할 것이다.

한겨레 TV (2015. 8. 7)  http://www.hanitv.com/?mid=tv&category=52596 

오픈 백신 후원계좌      http://www.socialfunch.org/openvaccine2015

B브로터                       http://www.bloter.net/archives/235618

*오픈백신 다운받는 곳 (안드로이드 스마트폰 사용자라면 누구나)

--> 구글 플레이스토어play.google.com/store/apps)에서 ‘오픈 백신’으로 검색해 무료로 내려받을 수 있다.