mir.pe (일반/밝은 화면)
최근 수정 시각 : 2023-11-14 04:20:52

원격 조작 바이러스 사건

주의. 사건·사고 관련 내용을 설명합니다.

사건 사고 관련 서술 규정을 유의하시기 바랍니다.

1. 개요2. 상세3. 수법4. iesys.exe

1. 개요

2012년 일본에서 발생하여 2014년 5월까지 진행되었던 사건

2. 상세

2012년 중순 일본에서 일련의 범행 예고 사건이 발생했다. 총 5명이 2ch 등의 인터넷 게시판에 총 13건(그 중 7건만 언론 보도됨)의 범행 예고를 올린 혐의를 받았고 그 중 4명이 체포되었다. 경찰 조사 초기에는 모두 범행을 부인했지만 조사가 진행됨에 따라 3명이 자신의 범행을 인정했으나 조사 중 용의자들의 PC에서 사건에 관여한 것으로 생각되는 트로이 목마가 발견되었고 결국 용의자들은 무혐의로 풀려났다.[1] 자백했다던 건?

10월 9일과 10월 10일에 변호사와 방송국에 자신이 진범이라고 주장하는 메일이 도착했다. 메일에는 언론에 보도되지 않았던 6건의 사건에 대해서 적혀 있었으며 기존 사건에 사용된 범행 예고문과 정확히 일치하는 내용이 들어 있었다. 이와 함께 다른 수많은 이유로 메일이 진범으로부터 보내진 것으로 확인되었다.

11월 13일 변호사와 언론사에 "실수했다. 잡히기 싫어서 자살한다"라는 내용의 메일이 발송되었다. 메일에는 당일자 카나가와 신문과 함께 카나메 마도카의 피규어가 LAN선으로 된 올가미 안에 놓여 있는 사진이 첨부되어 있었다. 사진의 EXIF 정보에는 위치 정보가 기록되어 있었지만 일부 자료가 누락되는 등 데이터 변조의 흔적이 남아 있었다.

2013년 1월 1일 여러 언론사에 "근하신년"이라는 제목의 메일이 도착했다. 메일의 첨부 파일에는 5개의 퀴즈가 포함되어 있었는데 퀴즈의 답에는 도쿄도 사이타마현에 걸친 쿠모토리 산의 특정 위치에 범행에 사용된 트로이 바이러스 관련 자료가 저장된 저장 매체가 묻혀 있다는 내용이 적혀 있었다. 1월 2일에 경찰이 해당 지점을 수색했지만 저장 매체는 발견되지 않았다.

1월 5일 진범에게서 "신춘 퍼즐 ~연장전~"이라는 제목으로 메일이 도착했다. 이 메일의 첨부 파일에는 3개의 퀴즈가 포함되어 있었는데 그 중 3번째 퀴즈는 4장의 사진을 통해서 에노시마 지역에서 SD카드가 달린 분홍색의 목걸이를 한 고양이를 찾아내라는 내용이었다. 당일 9시경 경찰이 해당 고양이를 발견했고 SD카드를 회수했다. 목격자들은 1월 3일에서 1월 4일 사이에 고양이의 목걸이가 부착된 것으로 진술했다.

2월 10일 아침 속보로 이 사건의 범인이 체포되었다고 한다! 범인은 도쿄도 고토구의 카타야마 유스케라는 30대 남성이라고 한다. TV에서 속보로 뜰 정도로 큰 사건임을 보여준 듯하다. 거의 1년 내내 자신의 결백을 주장하다가 2014년 5월 알리바이를 조작하는 것이 미행 중이던 경찰에게 들통나 진범임을 자백했다. 알리바이 조작이라는 것은 대단한 것은 아니고 대포폰을 구해서 대포폰으로 "내가 진범이다"라는 이메일을 예약 발송해 놓고 땅에 묻는 것이었다.

3. 수법

진범은 Tor를 사용해 자신의 IP 주소를 은폐했다.

범행 예고 사건의 용의자 중 한 명은 CSRF를 통해 사건에 연루되었으며 다른 4명은 무료 소프트웨어 서버에 진범이 올린 'iesys.exe'를 내려받으면서 범행에 연루되었다. 'iesys.exe'는 말웨어가 포함된 트로이 목마 프로그램으로 진범은 이 프로그램을 사용해 인터넷 게시판에 범행 예고 글을 작성했다.

4. iesys.exe

트로이 목마 프로그램인 'iesys.exe'는 키로거, 스크린샷 찍기, 파일 업로드 / 다운로드, 업데이트, 특정 페이지에 게시글 작성 등의 기능이 있다.

iesys.exe는 기존의 바이러스의 변종이 아닌 완전히 새로 작성된 바이러스이며 기존의 바이러스가 IRC 등을 통해 명령을 받은 것과 달리 특정 게시판에 기록된 명령을 받아서 해석해 실행하는 특징을 가졌다. 이 프로그램은 Visual Studio 2010에서 C#으로 작성되었다.


[1] 그 중에는 건담 더블오 등을 연출한 애니메이터 키타무라 마사키도 있었다고 한다.