지난 9일 위키리크스는 이탈리아 보안업체인 ‘해킹팀’이 해킹당해 유출된 내부 자료를 누리집에 공개했다. 이를 통해 국가정보원이 2012년 1월 해킹 프로그램인 ‘원격제어시스템’(RCS)을 구입해 사용하고 있다는 사실이 드러났다. 국정원 대변인은 21일 “이를 중개한 회사는 ‘나나테크’”라고 밝혔다. <한겨레>는 지난 12일부터 허손구(60) 나나테크 대표와 20여차례 전자우편을 주고받으며 국정원이 어떤 목적으로 해킹 프로그램을 구입했는지, 나나테크가 거래에 나서게 된 경위 등을 취재했다. 그는 딸의 출산 예정일에 맞춰 딸이 거주하는 캐나다에 머물고 있다고 밝혔다.
■ 나나테크-국정원의 관계 나나테크에 제기되는 의혹 중 하나는 국정원과의 관계다. 2003년 3월 설립됐고, 직원이 5~6명으로 규모가 작은 정보통신설비 서비스업체가 어떻게 국정원과의 거래를 중개할 수 있었느냐는 것이다. 허 대표는 “나나테크에는 국정원과 관련된 직원이 없고, 공동대표인 한아무개씨가 싱가포르의 전시회에 참석해 이탈리아 해킹팀이 판매하는 아르시에스 등이 담긴 홍보책자를 국정원에 우편으로 전달하는 과정에서 연락이 와 성사된 것”이라고 했다. 허 대표는 국정원과 일하며 이번에 숨진 국정원 직원 임아무개(45)씨와 직접 연락을 주고받았다고 밝혔다. 또 “이 일에 관련된 국정원 직원은 5명 안팎인 것으로 안다”고 말했다.
21일 오후 국가정보원과 이탈리아 보안업체 ‘해킹팀’과의 원격제어시스템(RCS) 구매를 중개한 나나테크의 서울 마포구 공덕동 사무실 우편함에 우편물이 꽂혀 있었지만 사무실 문은 잠긴 채 인적이 끊긴 상태다. 이정우 선임기자 woo@hani.co.kr
-어떻게 이 일을 하게 됐나?
“한 사장이 싱가포르에서 개최되는 전시회에 참석해 각종 브로슈어를 가져왔고, 필요한 곳이라고 생각되는 곳에 우편으로 전달하는 과정에서 국정원 공식 접수창구인 ‘사서함 200번’으로도 보내 연락이 된 것으로 안다.”
-나나테크는 초고속 인터넷 설치와 유지보수 등을 하는 곳인데, 해킹 프로그램 구입 대행은 본래 업무와 동떨어진 듯하다.
“나는 영어를 조금 한다는 이유로 나중에 이 사업에 참여하게 됐다. 내 생각엔 브로슈어를 본 (국정원) 임직원이 한 사장한테 연락을 먼저 해서 사업이 진행된 것 같다.”
-2013년 2월28일 해킹팀에 보낸 전자우편을 보면 “이런 종류의 프로그램은 한국에서는 불법이기 때문에 다른 고객을 찾기 어렵다”고 돼 있다. 불법인 줄 알았나?
“해킹팀이 사업 독점권을 1년 단위로 주고 또 다른 회사에 독점권을 줄 수도 있다는 암시를 했다. 회사로선 독점권을 지키기 위해 해킹팀에 영향력이 있는 회사임을 알릴 필요가 있었다. 또 해킹팀이 ‘아르시에스 솔루션’을 다른 국내 회사에도 설명할 수 있도록 미팅을 잡아달라고 했다. 접촉할 회사는 없고, 적당한 이유가 떠오르지 않아 (다른 회사와 거래할 수 없도록) 국내에서는 불법이라는 단어를 썼다. 적절하지 않은 표현이었다.”
-경찰청과 해킹 프로그램 구입을 논의했다는 내용도 있다.
“해킹팀에 잘 보이기 위해 또는 한국 내에 아는 사람이 많은 것처럼 보이기 위해, 때로는 커미션(수수료)을 많이 받기 위해 과장하고 꾸며 보낸 것이 많다. 그 과정에서 경찰청 얘기가 나왔으나 전혀 접촉한 사실이 없다. 독점권을 확보하기 위해 경찰청과 접촉하고 있는 것처럼 메일을 보냈다. 이런 일이 일어날 것이라고는 미처 생각도 못했다. 경찰청에 정말 죄송하다.”
-지난 18일 국정원 직원 임씨가 스스로 목숨을 끊었다.
“소식을 듣고 놀랐고 정신이 없었다. (국정원의) 다른 부서에서는 이번과 같은 일이 생길까봐 진행도 못하던 것을 애국심만으로 소신껏 추진한 분인데 사실도 제대로 밝히지 못한 채 떠나서 안타깝다.”
-임씨는 일부 파일은 삭제했다고 유서에 남겼다. 어떤 파일을 삭제한 것으로 보는가?
“그분이 중국과의 일로 고민을 많이 했던 것으로 들었고 해결 방법을 찾고자 백방으로 노력했다. (위키리크스가 공개한) 메일을 보면 중국 회사의 스마트폰 ‘공격 코드’에 대해 자주 확인하는 것을 볼 수 있다. 아마 중국과의 (외교)문제를 우려해 파일을 삭제한 것으로 추측하지만 구체적으로 뭘 삭제했는지는 모른다.”
■ 국정원은 누구를, 어떻게 감시했나? 아르시에스 프로그램 도입과 관련한 논란의 핵심은 국정원이 과연 누구를 감시하려 했느냐는 것이다. 국정원은 국내 민간인 사찰에 쓴 적이 없다며 2012년 구입한 20개 회선 중 18개는 대북용, 나머지는 연구용이라고 해명했다. 하지만 국내 스마트폰 모델 해킹 방법을 묻고, 불특정 다수가 볼 수 있는 사이트에 악성 코드를 심으면서 민간인 사찰 의혹이 증폭되고 있다. 허 대표는 “(아르시에스 프로그램의) 주 타깃은 중국에 있었다. 국정원의 주요 관심사는 휴대폰이었다”고 말했다.
-카카오톡 게임 앱 해킹을 시도하고, 떡볶이 맛집 블로그에 ‘공격 코드’를 심어달라고 한 것은 특정인을 목표로 한다기보다 무차별적인 감염을 노린 것 같다.
“이 프로그램은 1만명을 보고 싶으면 1만개를 사야 된다. 아르시에스가 감시할 수 있는 최대 감염도구(agent) 수가 기억하기로 1000개가 안 된다. 말한 것처럼 무차별적 감염은 가능하지만 감청은 제한적일 수밖에 없다. 개인적 생각으로는 그렇게 할 이유가 없으나 나도 모르는 무엇인가가 있는지는 모른다. 그건 운영자(국정원)만이 알 수 있다.”
-어떤 방식으로 ‘필요한 타깃’만 해킹 대상으로 삼을 수 있나. 예컨대 안드로이드 스마트폰용 앱 설치 파일(APK)의 경우 불특정 다수가 내려받는다.
“해킹하려면 해킹팀에서 만들어준 프로그램을 해킹 대상에 심어야 한다. 타깃이 관심 있어 하는 메시지를 보내 반드시 읽도록 해야 한다. 회선이 20개밖에 없는 제약으로 불특정한 사람을 모니터하고, 그들이 누구인지, 모니터 목적에 맞는지 등을 파악하려면 많은 시간이 걸린다. 무차별적인 감시는 비효율적이라는 얘기다. 따라서 타깃을 정하고, 타깃의 관심을 끌 수 있는 이메일 등을 보낸다.”
-국정원은 20명분만 구매했다지만 ‘공격 코드’는 셀 수 없이 요청했다. 실제 감시는 훨씬 더 많이 이뤄진 것 아닌가?
“해킹팀에 ‘공격 코드’를 만들어 달라는 것은 국정원이 자체적으로 이 주소를 못 만들어서 해킹팀이 줘야만 사용할 수 있다는 것이다. 이는 역설적으로 많이 사용하기에는 제약이 있다는 걸 의미하다. 만든다고 다 사용하는 것도 아니고, 타깃이 그 주소로 들어가서 감염된다는 보장도 없고, 타깃이 기기를 변경하거나 여러 대의 휴대폰을 가지고 있으면 모두 심어야 한다. 실제 4분의 1도 감염시키기 힘들다. 구매한 라이선스가 20개뿐이니 최대 많아야 20개의 휴대폰이라고 생각하면 맞을 것 같다.”
-20명분만 구매해도, 타깃을 자주 바꿔 더 많은 사람을 감시할 수 있지 않나?
“휴대폰에서 데이터를 가지고 오는 문제가 있다. 휴대폰을 사용하지 않으면 아예 가져오지 못하고 사용할 때만 조금씩 가져올 수 있으니 시간도 많이 걸리게 된다. 따라서 자주 타깃을 바꾸기는 기술적으로 어려웠을 것이다.”
-왜 국정원에서는 자체적으로 공격 코드를 만들지 못했나?
“공격 코드가 동작하려면 안드로이드 버전 등에 맞는 프로그램이어야 하는데 우리나라에서 구글 또는 애플의 프로그램 소스를 아는 것은 불가능해 해킹팀에 의존할 수밖에 없었을 것이다.”
-국내 보안전문가들은 국정원 직원 기술력 등으로 봐 아르시에스는 자체 제작이 가능하다고 얘기한다. 그런데 국정원은 왜 더 많은 돈을 들여 해외 프로구램을 구매했나?
“그런 프로그램이 있다면 내가 외국에 그 솔루션을 팔고 싶다. 내가 알기로 이런 솔루션 만드는 회사는 세계에서 한두 회사밖에 없다. 그 사람들에게 안드로이드 최신 버전에서 돌아가는 해킹 프로그램 만들 수 있느냐고 물어봐주면 좋겠다.”
허 대표의 얘기는 해킹 대상으로 삼는 주 타깃은 중국에 있으며, 감청할 타깃의 전화번호와 휴대폰 기종, 설치된 소프트웨어를 확인한 뒤 해킹팀에 타깃이 볼 수 있는 내용의 인터넷 공격용 주소를 요구한다는 것이다. 타깃이 공격용 주소를 누르면 프로그램이 실행돼 감시가 가능한 상태가 된다.
불특정 다수가 접속하는 사이트의 경우에도 악성파일이 감염된 프로그램을 불특정한 사람들이 내려받을 수 있지만, 누구의 전화번호인지 통신회사를 통해 일일이 확인해야 하기 때문에 실제 감시로 이어지기는 어렵다는 주장이다.
현재 캐나다에 머물고 있는 허 대표는 “기자들이 집 앞에 있고, 가족들의 불안 때문에 집에 있기가 어려웠고, 국내 다른 곳으로 가면 그 사람들에게 피해를 줄 수 있다고 생각했다”며 “딸의 출산으로 캐나다에 오게 됐는데 이것 또한 가족에게 가장으로서 정말 미안한 일”이라고 밝혔다.