뉴스
2015년 07월 10일 18시 49분 KST

국정원 구매 의혹 해킹프로그램, "모든 걸 다 볼 수 있다"

Shutterstock / Brian A Jackson

국가정보원이 외국 도·감청 프로그램 판매 업체로부터 수억원을 들여 컴퓨터·스마트폰 해킹 프로그램을 사들였다는 의혹이 제기된 가운데 이런 정황이 포착된 과정과 이 업체가 판매한 해킹 도구가 어떤 기능을 가졌는지에 관심이 쏠리고 있다.

광범위한 온라인 사찰 길을 열어줄 강력한 기능의 해킹 프로그램을 국정원이 구매했다는 의혹은 지난 6일 이탈리아 소프트웨어 기업 ‘해킹팀’이 외부의 공격을 받은 뒤 흘러나온 것으로 보이는 방대한 자료가 인터넷에 유출되면서 제기됐다. 현재 무려 400기가바이트(GB)에 이르는 자료가 피투피(P2P) 방식 파일공유 프로그램인 ‘비트토렌트’(BitTorrent)에 올라와 있다. 여기에는 국정원의 위장 이름으로 알려진 ‘대한민국 육군 5163 부대’가 이탈리아 업체 ‘해킹팀’과 거래한 정황이 담긴 영수증들도 포함돼 있다. 이 영수증들엔 이 업체의 대표 상품인 해킹 프로그램 ‘아르시에스’(리모트컨트롤시스템·RCS) 관련 거래 명세가 담겨 있다.

‘해킹팀’에서 흘러나온 것으로 추정되는 자료에는 이 업체와 거래한 세계 각국 고객 명단과 함께 2011년부터 4년 동안의 영수증, 고객들과 주고받은 이메일 등이 포함되어 있는 것으로 알려졌다. 10일 <한겨레>가 보안전문가와 함께 살펴보니, 한국 말고도 미국, 멕시코, 터키, 폴란드 등 여러 국가는 물론 미국 연방수사국(FBI), 카자흐스탄 국가안보부(KNB) 등 정보기관이 ‘해킹팀’과 거래했을 가능성을 보여주는 영수증 자료가 확인됐다.

이와 관련해 ‘해킹팀’은 9일(현지시각) 공식 성명을 통해 지난 6일 해커들의 집중 공격을 받아 고객 명단 등의 자료가 노출된 것은 사실이며 자신들이 제작한 도·감청 스파이웨어 프로그램에 대한 통제권을 잃어 심각한 위협에 직면했음을 밝혔다고 이탈리아 언론들이 보도했다. 이 업체는 현재 자신들의 도·감청 도구를 테러리스트 등이 마음대로 사용할 수 있어 위험하다며 고객들에게도 이 시스템의 사용을 일시 중단하라고 권고했다.

실제 이번에 유출된 자료에는 고객 정보와 관련한 문건 외에 해킹팀이 제작해 판매하던 도·감청 프로그램의 일부 소스코드도 포함되어 있는 것으로 보인다. 국내 정보보호 회사인 엔시에이치시(NCHC) 시큐리티는 지난 8일 ‘긴급 이슈 공유’ 보고서를 내어 ‘이탈리아 업체인 해킹팀으로부터 이들이 판매하던 공격코드가 유출됐으며, 이는 플래시 취약점을 공격하기 때문에 사용자의 주의가 요구된다’는 취지로 경고하기도 했다.

세계 각국 정부에 도·감청 프로그램을 판매하던 이탈리아 업체 ‘해킹팀’에서 유출된 것으로 보이는 방대한 내부자료에는 국가정보원의 위장 이름으로 알려진 ‘대한민국 육군 5163 부대’가 이탈리아 업체 ‘해킹팀’과 거래한 영수증이 포함돼 있다. 사진은 문제의 영수증.

이에 따라 ‘해킹팀’의 대표 상품으로 우리 국정원이 구매했을 가능성이 있는 해킹 프로그램 ‘아르시에스’가 얼마나 강력한 기능을 가지고 있는지 눈길이 쏠린다. 이 프로그램은 ‘감시 대상’이 컴퓨터와 스마트폰을 통해 보고 듣고 교류하는 모든 내용을 눈으로 보듯 ‘감시자’에게 보여주는 강력한 해킹 도구로 알려져 있다. 제작사인 ‘해킹팀’은 누리집을 통해 이 프로그램이 “감시 대상이 인터넷을 이용할 때, 문서나 메시지를 주고받을 때, 국경을 넘을 때” 모든 것을 알려주겠다고 홍보하고 있다. 게다가 이 프로그램은 구글 지메일, 마이크로소프트의 메신저 스카이프, 각종 사회관계망서비스(SNS) 등 국내에서 압수수색 영장을 통해서도 감시가 쉽지 않던 인터넷 활동에 대해서도 손쉽게 감시할 수 있는 것으로 알려졌다. 제작사가 누리집에 밝힌 감시 가능 대상만 해도 스카이프를 비롯해 각종 보이스콜, 사회관계망서비스, 각종 오디오와 비디오 파일 등 광범위하다. 심지어 운영체제와 플랫폼도 가리지 않아서, 마이크로소프트의 윈도, 리눅스, 구글 안드로이드, 애플의 아이오에스(iOS), 블랙베리와 심비안 등 모든 체제에서 해킹할 수 있다.

이 강력한 해킹 도구 앞에선 암호화도 소용없다는 평가가 나온다. 익명을 요구한 한 보안전문가는 “해당 프로그램은 아직 알려지지 않은 취약점을 이용해 스파이웨어를 설치하고 시스템 관리자가 열어둔 문인 ‘백도어’를 통해 정보를 빼가는 방식이라 아무리 암호화를 해두었다 해도 키보드 입력 값을 대부분 그대로 볼 수 있다”고 설명했다.