델리 레드 포트(Red Fort) 근처에서 발생한 치명적인 폭발 사건을 조사하는 수사관들은 인도에서 금지된 스위스 기반 암호화 메시징 서비스인 Threema 주변에 구축된 보안 통신 채널에서 음모의 핵심을 추적했습니다.
관계자에 따르면 파리다바드의 알 팔라 대학교에서 체포된 세 명의 의사인 Umar Un Nabi 박사, Muzammil Ganaie 박사, Shaheen Shahid 박사는 연락을 유지하고 지침을 공유하며 공격과 관련된 민감한 자료를 교환하기 위해 플랫폼에 크게 의존했습니다.
월요일 저녁 폭발로 인해 13명이 목숨을 잃었고, 목요일에는 또 다른 피해자가 부상을 입었습니다.
경찰은 현재 이 모듈이 델리 전역에서 일련의 공동 공격을 준비하고 있으며 이미 수도 주변에서 여러 차례 정찰 방문을 실시했다고 믿고 있습니다.
관계자들은 폭발 차량의 운전석에 있었던 것으로 추정되는 우마르를 다른 차량과 연결하는 주요 채널로 묘사합니다.
그들은 일부 모듈 구성원이 구금된 후 일반 통신 네트워크와 연결을 끊고 비밀 채널에만 의존하여 동료들과 연락을 유지했다고 믿습니다.
이 그룹은 델리의 여러 지역을 여러 차례 조사했으며 계획이 중단되기 전에 더 광범위한 일련의 협력 공격을 준비하고 있는 것으로 알려졌습니다.
피고인이 Threema를 사용하여 의사소통한 방법
수사관들은 피고인이 최소한의 데이터 노출로 작동하도록 설계된 Threema의 아키텍처를 사용하여 격리된 통신 시스템을 구축했다고 믿고 있습니다. 플랫폼의 등록 시스템은 처음에는 개인 식별자를 요구하지 않습니다.
전화번호나 이메일 대신 사용자는 모든 상호 작용의 기준이 되는 무작위로 생성된 ID를 받습니다. 사건을 처리하는 사람들에 따르면 이러한 익명성 요소는 주의를 끌지 않고 의사소통을 할 수 있는 그룹의 능력에 중요한 요소였습니다.
기존 메시징 플랫폼과 달리 Threema는 등록을 위해 전화번호나 이메일 ID를 요구하지 않으므로 사용자 추적이 매우 어렵습니다.
사건을 조사하는 관계자들은 피고인이 개인 Threema 서버를 설정하여 그룹 외부의 누구도 접근할 수 없는 네트워크를 통해 파일과 지침을 교환할 수 있다고 믿고 있습니다.
경찰 관계자는 “위치 공유, 업무 할당 등 세부 계획은 이 사설망을 통해 이뤄진 것으로 보인다”고 말했다.
경찰은 세 사람이 문자 메시지, 음성 상호 작용, 다이어그램 공유, 음모와 관련된 참고 자료 순환 등 다양한 통신 작업에 앱을 사용한 것으로 의심합니다.
플랫폼을 사용하면 양쪽 끝에서 메시지를 삭제할 수 있고 메타데이터가 유지되지 않기 때문에 조사팀은 통신 내용을 검색하는 것이 매우 어려웠다고 말합니다.
메시지 기록에 대한 액세스를 제한하고 기존 데이터 저장을 피하는 앱 디자인은 일련의 이벤트를 완전히 재구성하려는 노력을 더욱 복잡하게 만듭니다.
당국은 해당 서버가 국내에서 호스팅됐는지 해외에서 호스팅됐는지 아직 평가 중이다. 초기 평가에 따르면 플랫폼은 모듈 구성원 간에 코딩된 지침과 제어 문서를 전송하기 위한 매체 역할을 했습니다.
네트워크의 전체 범위와 추가 참가자가 관련되었는지 여부를 확인하기 위해 압수된 장치에 대한 포렌식 분석이 진행 중입니다.
탐사선이 Threema와의 연관성을 알아낸 방법
Threema 네트워크의 발견은 기관이 동일한 모듈에 연결된 두 개의 Telegram 그룹을 발견한 직후에 이루어졌습니다.
Umar, Shaheen, Muzammil 간의 Threema 채팅에서 추출된 메타데이터는 현재 검토 중이지만, 플랫폼 특성상 다른 통신 서비스에 비해 제공 가능한 정보가 제한적입니다.
Threema는 IT법 섹션 69A에 따라 2023년 5월 인도에서 차단된 여러 앱 목록에 포함되었습니다.
당국은 파키스탄에 기반을 둔 특정 세력이 인도 내에서 선전 활동을 펼치고 요원을 안내하기 위해 이 앱을 사용하고 있다는 사실을 확인한 후 이 앱에 대한 제한을 권고했습니다.
목록에는 Zangi, Briar, Nandbox, Safeswiss, BChat, Element, Second Line, MediaFire 및 IMO와 같은 이름이 포함되었습니다.
인도에서는 제한이 있음에도 불구하고 조사관은 피고인이 자신의 위치를 가린 VPN 서비스를 통해 이러한 제한을 우회했다고 믿습니다.
또한 보고서에 따르면 이 그룹은 터키와 UAE를 포함한 해외 여행 중에 이 앱을 사용하여 인도 관할권 밖에서 앱에 액세스할 수 있는 추가적인 자유를 제공했다고 합니다.
개인이 스위스 Churerstrasse에 있는 사무실로 현금을 우편으로 보내거나 비트코인을 사용하여 결제하여 앱을 구매할 수 있도록 하는 Threema의 결제 구조는 추적성을 감소시키는 또 다른 요소입니다.
사용자 ID 시스템 및 암호화된 저장 모델과 결합된 이 구조는 플랫폼에서 통신을 모니터링하거나 추적하려고 시도하는 보안 기관이 직면하는 어려움에 기여합니다.
Threema가 범죄 및 테러 네트워크에 호소하는 이유
Threema는 강력한 개인 정보 보호를 촉진하는 커뮤니케이션 도구 범주에 속하며, 이는 결국 불법적인 목적으로 비밀을 추구하는 개인을 끌어들였습니다.
인도에서 차단된 앱을 포함하여 이러한 앱 중 일부는 원래 활동가, 언론인 또는 반체제 인사, 특히 국가 당국의 감시를 받는 환경에서 일하는 사람들을 염두에 두고 설계되었습니다.
그러나 이러한 애플리케이션은 기존 식별자와 중앙 집중식 저장 시스템이 부족하기 때문에 범죄 기업 사이에서도 인기를 끌었습니다.
Zangi, Safeswiss, Element, Briar, Nandbox 등과 같은 앱은 사용자에게 이메일 주소나 확인된 전화번호를 제공하도록 요청하는 대신 가상 번호나 고유 URL을 생성하는 경우가 많습니다.
일부 도구는 시스템 내에서 사용자의 신원이 되는 무작위로 생성된 ID를 제공합니다. 예를 들어 Zangi는 실제 식별자와 연결하지 않고 각 새 계정에 10자리 숫자를 할당합니다.
이러한 애플리케이션 중 다수는 보낸 사람과 받는 사람만 메시지를 볼 수 있도록 설계된 높은 수준의 암호화 모델을 광고합니다. Threema 및 유사한 플랫폼은 사용자 장치에서 직접 암호화 및 암호 해독을 처리하여 중간 서버가 메시지 콘텐츠에 액세스하는 것을 방지합니다.
몇몇 플랫폼에서는 메시지를 수신한 후 즉시 삭제하며, 많은 플랫폼에서는 로그나 메타데이터를 보관하지 않습니다.
개발자는 이러한 구조적 결정을 개인정보 보호 수단으로 제시하지만 특히 조직화된 네트워크와 관련된 경우 법 집행 노력을 크게 방해합니다.
조사관들은 추적 가능한 데이터가 없기 때문에 그러한 도구를 모니터링하기 어렵게 만들고 법적으로 허용되는 증거를 수집하려는 노력을 복잡하게 만든다는 점에 주목했습니다.
회사의 서버는 스위스에 위치하고 있으며 해당 국가의 연방 데이터 보호법에 따라 운영됩니다.
경찰 조사 결과에 따르면 약 32대의 차량이 잠재적인 폭발물 운반 수단으로 준비되어 있었습니다.
이 중 차량 한 대는 붉은 요새 근처에서 폭발했고, 나머지 세 대는 공격 이후 당국에 압수됐습니다.
관계자들은 모듈의 중단으로 인해 훨씬 더 큰 비극을 피할 수 있었을 것이라고 강조합니다. 평가에 따르면 용의자들은 여러 현장에서 일련의 폭발을 일으키기 전에 처리자의 지시를 기다리고 있었습니다.
