허프포스트코리아

국정원 도입 해킹프로그램, ‘국내 사찰용'인 7가지 이유 — ⓒhacking team

국가정보원이 이탈리아 해킹업체 ‘해킹팀’에 돈을 주고 개인용 컴퓨터와 스마트폰을 사찰할 수 있는 해킹 프로그램을 구입했다는 의혹이 사실로 굳어지고 있습니다. 국정원은 지난 12일 “우리 원의 입장에서 구입한 것까지 부인할 수는 없다”며 구입을 시인했습니다. 하지만 국정원은 14일 국회 정보위위원회 전체회의에서 "2012년 1월과 7월 해킹팀으로부터 약 20명분의 'RCS'(해킹 악성 코드)를 구입했지만 대북 및 국외 정보, 기술 분석, 해외 전략 수립 및 연구 목적으로만 썼다"는 입장을 밝혔습니다. 국내에서 특정 정치인이나 민간인 등을 사찰하기 위한 목적이 아니라는 말인데요. 과연 그럴까요. 국내 사찰용으로 볼 수밖에 없는 이유 7가지를 정리해봤습니다.

1. 북한에서도 카카오톡을 쓰나?

국정원의 대외명칭인 ‘육군 5163부대’ 관계자는 지난해 3월 ‘해킹팀’을 직접 만나 ‘카카오톡’ 해킹 기술에 대한 진전 사항을 물었습니다. 지난해 3월 해킹팀 직원들 사이에서 오간 ‘출장 보고서’란 제목의 이메일을 보면, “한국이 이미 요청했던, 자국에서 가장 일반적으로 사용되는 카카오톡에 대한 (해킹 기능 개발) 진행 상황에 대해 물었다”고 적혀 있습니다. 또 다른 이메일에는 “이미 우리 (해킹팀의) 연구개발팀에 카카오톡에 대한 내용을 지시했다”며 “카카오톡 건에 대한 빠른 일처리를 재촉하고 있다”고 밝혔습니다. 국정원의 요청으로 카카오톡 애플리케이션 공격을 위한 연구가 진행된 것으로 보입니다. 국정원이 해킹 프로그램을 통해 카카오톡을 보려 했다면, 대북·국외 정보전보다는 국내 사찰용일 가능성에 무게가 더 실립니다.

2. ‘국내 보안업체’ 안랩 분석 의뢰한 국정원

국정원은 지난 2월3일 ‘해킹팀’에 직접 이메일을 보냅니다. “설치한 에이전트가 안랩의 V3 모바일 2.0에 의해 악성 프로그램으로 검출됐다”며 분석을 의뢰한 내용입니다. ‘V3 모바일 2.0’은 국내 보안업체인 안랩이 개발한 모바일 백신입니다. 국정원이 해킹팀으로부터 받은 악성 코드를 설치하는 과정에서 안랩의 백신에 의해 적발되는 문제가 발생하면서, 이 백신을 피할 수 있는 방법을 물어본 걸로 분석됩니다.

해킹팀은 “유럽에서는 당신이 말한 백신을 구할 수 없다. 백신을 보내달라”고 국정원 쪽에 요청합니다. 이 역시 해킹 프로그램 구입과 관련한 의뢰가 국내 사찰용임을 알 수 있게 하는 대목입니다.

이병호 국가정보원장이 14일 오후 국회 정보위원회에 출석해 굳은 표정으로 취재진이 퇴장하길 기다리고 있다. 이날 회의에서는 국가정보원의 ‘갤럭시 스마트폰 해킹 의뢰‘와 관련한 야당 의원들의 추궁이 이어졌다(왼쪽 사진). 참여연대 등 시민사회단체 관계자들이 14일 국회 앞에서 국정원 해킹 감청프로그램 사용 사이버사찰 진상조사 촉구 기자회견을 하고 있다.

3. 국내용 삼성 갤럭시 스마트폰 새 버전 출시 때마다 “뚫어달라” 요구

국정원은 2013년 1월 당시 출시한 지 7개월이 지난 삼성의 ‘갤럭시 S3’ 스마트폰 단말기를 해킹팀에 보내 분석을 의뢰했습니다. “‘갤럭시 S3’를 보낼 테니 음성 녹음 기능이 가능한지 확인해달라”는 의뢰였습니다. 지난달엔 최근 출시된 최신 스마트폰은 ‘갤럭시 S6’에 대한 해킹을 문의하기도 했습니다.

여기서 주목할 건, 이탈리아에서도 구할 수 있는 ‘갤럭시 S3’를 왜 굳이 한국에서 이탈리아로 직접 보냈냐는 겁니다. 보안 전문가들은 이에 대해 ‘국내에서 사용하는 삼성 갤럭시 제품은 기본적으로 깔려 있는 애플리케이션 등이 외국 판매분과 다를 수 있는 만큼 (국정원의) 감시 대상이 정확히 국내용 스마트폰 분석에 있는 것으로 보인다’고 분석합니다. 즉, 국정원은 한국에서 쓰는 갤럭시를 해킹할 수 있는 방법이 필요했던 겁니다.

4. 한국어 워드 파일에 ‘악성 코드’ 심어달라고 요구

국정원은 2013년 10월2일 ‘육군 5163부대’ 이메일을 통해 ‘서울대 공과대학 동창회 명부’라는 한글 제목의 워드 파일을 해킹팀에 보냈습니다. 국정원은 “MS 워드의 보안 취약점을 이용하기 위한 샘플 파일을 첨부했다. 오늘 바로 회신을 달라”고 썼습니다.

13시간 뒤 해킹팀은 악성 코드를 심은 동창회 명부 파일을 첨부한 이메일을 답신으로 보내면서 “본인(5163부대) 컴퓨터에서는 열지 말라”고 조언합니다. 국정원이 ‘서울대 공과대학 동창회 명부’를 열어볼 가능성이 큰 인물들을 대상으로 해킹을 추진했음을 알 수 있는 정황입니다.

같은 시기 국정원은 ‘Cheonan-ham (Cheonan Ship) inquiry’(천안함 문의)라는 영어 제목 워드 파일에도 악성 코드를 심어달라고 부탁합니다. 천안함 관련 기사를 다수 작성한 <미디어오늘> 조현호 기자의 이름을 사칭한 것으로 보이는 ‘미디어 오늘 조현우 기자’ 명의로 천안함 ‘1번 어뢰 부식 사진’ 관련 문의사항을 담은 한글 파일을 함께 해킹팀에 보냈습니다. 두 사건을 종합하면, 2013년 10월 초 국정원이 천안함 침몰 사건과 관련해 ‘서울대 공대 출신 전문가’들에게 해킹용 악성 코드를 심은 파일을 보낸 것으로 추정할 수 있습니다. 실제 파일을 보낸 일이 발생하지 않았다 해도, 국정원의 해킹 프로그램 사용 대상이 국내 민간인들이라는 점은 충분히 유추할 수 있는 팩트입니다.

5. 해킹팀, 네이버 블로그에 ‘악성 코드’ 심었다

해킹팀은 국정원의 의뢰로 지난 3~4월 모두 7차례에 걸쳐 국내 포털 네이버의 블로그 두 곳에 안드로이드를 사용하는 스마트폰을 감염시킬 수 있는 악성 코드를 심었습니다. 이 블로그들에는 한글로 떡볶이 관련 글 등 맛집 정보와 지방자치단체의 행사 홍보 글이 담겨 있습니다. 국정원이 어떤 특정한 개인을 노린 것이 아니라. 불특정 다수 일반인을 해킹 대상에 포함했을 가능성이 제기되는 대목입니다.

6. ‘5163부대’ 명칭은 대북·국외용으로 쓸 수 없다

국정원은 해킹팀과 거래하면서 국정원의 대외 명칭인 ‘5163부대’라는 이름을 썼습니다. 박정희 전 대통령이 5.16 군사 쿠데타 때 1961년 5월16일 새벽 3시에 한강을 넘었던 걸 ’기념‘해서 붙인 이름입니다. 50년 넘게 써왔습니다. 국정원 사정에 밝은 한 사정기관 관계자는 “한국 정보부가 ‘5163부대’라는 명칭을 쓴다는 걸 전 세계에서 모르는 곳이 없다”며 “국외 첩보, 대북 첩보 수집용 기구 도입을 위해서 외국에서 뻔히 아는 이름을 쓴다면 차라리 ‘대한민국 국정원’이라고 쓰는 게 낫다. 알려진 이름으로 국외첩보용 장비를 사들이면 한국 공작원들은 다 죽는다”고 말했습니다.

7. 한국 정보통신망을 사용해야 악성 코드 감염이 가능하다

국정원이 해킹팀에 의뢰한 악성 코드와 해킹 프로그램은 개인용 컴퓨터나 스마트폰에 어떤 방법으로든 악성 코드를 심어야 해킹이 가능합니다. 악성 코드를 심는 방법은 USB를 직접 꽂아서 하는 방법도 있지만, 대개는 통신망을 이용합니다.

그런데 대북·국외용으로 해킹 프로그램을 쓰려면, 국정원이 외국의 통신망을 이용하기가 쉽지 않습니다. 국정원 사정에 밝은 한 사정기관 관계자는 “서버를 통제하는 이들의 도움 없이 코드를 심는 건 너무 위험해보인다”고 말합니다. 이 관계자는 “(서초동 주소를 그대로 쓰는 등) 국정원의 대응이 어설프게 보이지 않느냐. 국내용이라는 얘기”라며 “국외 첩보는 프로들의 세계”라고 덧붙였습니다.

이병호 국가정보원장이 14일 오후 국회 정보위원회에 출석하는 동안 경호팀 등 국가정보원 직원들이 ‘갤럭시 스마트폰 해킹 의뢰‘와 관련해 질문을 하려는 기자들을 밀어내고 있다.

7가지 이유를 봐도 마지막 하나의 의문이 남는다는 분들이 있습니다. 국정원이 국내에 거주하는 간첩 등을 대상으로 해킹 프로그램을 사용했다면, 국내용으로 썼어도 별다른 문제가 없는 것 아니냐는 지적입니다. 하지만 이 역시 불법입니다. 대공 수사라고 하더라고 영장 발부를 받아야 하고, 그런 절차를 거치지 않으면 통신비밀보호법 위반입니다. 또 악성 코드를 써서 해킹 프로그램을 심는 건 정보통신망 이용촉진 및 정보보호 등에 관한 법률 48조와 49조 위반입니다. 그러니 혹시라도 국정원이 국내 거주 간첩 수사를 위해 해킹 프로그램을 썼더라도, 비판을 가할 수 있다는 얘기가 되겠습니다.