마나모아 웹사이트는 그래도 숨어는본다고 Cloudflare 꾸준히 써왔던 것 같더라.

서브도메인이나 도메인 레코드에 노출된 정보 없을지 찾아보다가 없는 것 같아서 걔네가 올린 앱으로 눈을 돌렸음

일단 첫 번째 이유

바보같이 구글 FCM(푸시 알림 기능)하고 애널리틱스를 이용했다

방금 말한 구글의 기능을 사용하게 되면 위 사진처럼 안드로이드 앱에 해당 앱을 개발한 사람의 구글 계정을 특정할 수 있는 정보가 담기게 됨

앱 ID, API 키, 프로젝트 ID 등 누군가를 특정하고도 충분히 남을 정보들이 넘쳐나는 상태가 되는거야

구글은 미국 기업인데 우리나라 사람 추적하는걸 도와주겠어? 싶은 놈들이 많을거다

위는 구글의 사용자 정보 청구 관련 FAQ의 일부 내용이야. 실제로 구글은 다양한 국가의 수사기관으로부터 협조 요청을 받고 있고, 가능한 선에서 최대한 이를 수용하는 입장을 취하고 있음.

아래는 작년 마루마루2 운영진이 검거되었을 때 나온 기사인데, 경찰이 구글과 협력을 강화한다고 계획을 한 적이 있어. 이게 실제로 이루어졌을지는 모르겠지만, 구글 계정이 특정될 수 있는 흔적들을 남기는건 안전하지가 않다는거지

그 다음으로 두 번째 이유

마나모아 앱의 기능 중 하나가 사이트 도메인 변경 시 자동으로 새로운 도메인으로 접속하는 기능이었지

앱을 뜯어서 본 결과 해당 기능은 WebView로 https://mnmnmnmnm.xyz를 접속할 시 자바스크립트를 통해 운영자가 미리 입력해둔 도메인으로 사용자를 이동(redirect) 시켜주는 방식이였어

위 사진은 마나모아 앱의 소스코드의 일부분이고, mnmnmnmnm.xyz로 접속하고 자바스크립트를 활성화하는 과정을 볼 수 있음.

아쉽게도 이렇게 갑자기 터질줄은 몰라서 웹의 javascript 부분 소스코드는 따로 캡쳐를 못해놨는데, 핵심은 여기에 있어

그 소스코드를 보니까 멍청하게 자기네들 서버로 바로 연결되는 IP를 주석(메모 같은 거)으로 작성해놨음

실제로 그 IP 주소로 접속하면 바로 마나모아 사이트가 떴었고, 지금은 당연히 접속이 안된다

아쉬운 마음에 접속 기록에서 나오는 사이트 아이콘이라도 인증함

위 IP는 정보를 조회해보면 아마존이 운영하는 클라우드 서비스인 AWS의 싱가포르 지역에 할당된 것으로 나온다

불가리아 응디니 남아공 응디니 얘기 나오던것도 다 구라라고 보면 됨

아쉽게도 해당 서버가 한국에 위치하지는 않아서 압수수색같은 조치는 불가능했겠지만,

불법적인 사이트를 운영할거면서 AWS를 이용한 것 부터가 '나 잡아가세요' 하고 광고하는 아주 큰 실수라고 볼 수 있는 짓이야

이 정도로 생각이 없는 행동을 하는데 잡히는건 시간문제지

마지막으로는 마나모아 말고도 대부분의 불법 사이트에 해당될 수 있는 내용인데

이러한 대부분의 사이트들은 그누보드나 XE라고 불리는 게시판 구축 도구 같은걸 사용한단 말이지

여기서 생각해야 할 것은, 그누보드나 XE 둘다 무료이기에 사용하는 사람들도 많지만, 그만큼 두 도구의 취약점을 찾아내려고 하는 사람들도 많아

실제로 예전에 우리나라에서 개인이 그누보드 기반의 토토사이트를 해킹해서 운영자한테 돈 내놓으라고 협박하다가 같이 잡혀간 사례도 있고

보안 전문가들 또한 이러한 도구들에서 취약점을 찾기 위해 노력하는데, 취약점으로 발생하는 피해를 막기 위한 목적도 있지만 역으로 이걸 활용하려는 목적도 있음

전문가들이 취약점을 발견해서 KISA(인터넷 진흥원)에 신고를 하게 되면, 우선적으로 위 도구들의 개발자에게 연락을 해

이 과정에서 취약점이 수정되고 바로 발표되는 것이 아니라, 일정한 텀을 두고 방치했다가 업데이트를 진행하게 됨

그러면 그 텀 사이에 해당 취약점 적용이 가능한 수사 대상 사이트가 있는지 검토를 하고, 만약 있다면 이를 사용하게 된다

아무리 최신버전의 도구를 쓰고있다고 해도 이런 방식으로 수사가 들어오면 답이 없는거지

3줄 요약:

1. 자기가 특정될 수 있는 정보를 흘리고 있음

2. 서버에 대한 직접적인 정보도 흘리고 있었음

3. 사이트 구축 도구 특성 상 취약점 수사로 잡힐 수 있음