• 7 Stories

국정원, 해킹 프로그램 도입 논란

영화 속 해커는 '전지전능'합니다. 코드 몇 줄이면 특정 컴퓨터에 침투해 기밀들을 빼돌리죠. 이런 장면은 영화에서나 볼 줄 알았는데, 현실에서도 이런 일이 벌어지고 있다는 사실이 2015년 7월 만천하에 공개되었습니다. 게다가 이 일에는 한국 정부도 연관되어 있습니다. 흥미진진하지만, 두렵기도 합니다.

국정원 해킹 기술간담회 무산, 아득해지는 진상 규명

여야가 6일 국정원에서 열기로 합의한 ‘기술 간담회’가 무산됐습니다. 지난 28일, 여야는 국회 정보위원회 여야 간사, 여당, 야당이 각각 추천한 전문가 2명씩, 총 6명이 진행하는 전문가 간담회를 열기로 합의했습니다. 국정원에서 직접 국정원의 자료를 열람하며 의혹을 해소하자는 방침이었죠.

여야는 현재 간담회 무산 탓을 서로에게 돌리고 있습니다. 새정치연합은 기술 간담회 전 사전 검증을 위해 국정원 측에 삭제한 하드디스크 원본, 각종 로그 기록 등 6개 자료를 제출해달라고 요구했습니다. 하지만 국정원이 이에 응하지 않자 사전 자료 제출 없이는 간담회를 할 수 없다고 주장했습니다. 반면, 새누리당은 자료를 달라고 요구할 것이 아니라 이번 사건 검증에 참여하는 새정치민주연합 의원이 정보위원회에 참여해 자료를 확인하라고 주장하고 있습니다.

새누리당은 날을 다시 잡아 간담회를 진행하자고 제안했지만, 새정치민주연합 측은 요구한 자료를 받지 못한다면 간담회도 ‘없다’는 입장입니다.

보다 근본적인 간담회 무산 원인은 기술 간담회를 통해 진상 규명이 제대로 이뤄질 수 있을지에 대한 여야의 견해 차이 때문입니다. 여당은 앞서 추진한 기술 간담회를 통해 충분히 진상 규명이 가능하다는 입장입니다. 하지만 야당은 국정원 직원들이 실제 작업을 수행하는 현장에서 진상 규명이 이뤄져야만 제대로 된 진상 규명이 가능한데, 국정원 내의 특정 사무실에 앉아 보고서 몇 장 확인하는 것으로는 진상규명이 불가능하다고 주장합니다.

누가 그 해킹 프로그램을 사용했을까?

지난 7월 6일, 이탈리아 스파이웨어 개발업체 ‘Hacking Team(이하 HT)’의 내부 시스템이 해킹되는 사건이 발생했습니다. 이에 따라 HT 내부 자료 400GB가 토렌트로 유출되었는데요. 이 자료 안에는 HT의 내부 인사 자료, 거래처 자료 등 민감한 정보들이 포함되어 있었으며, 이 회사로부터 감청 시스템을 구매한 다양한 정부 기관들과 관련한 정보 또한 들어 있었습니다.

미스핏츠를 통해 관련 글을 기고한 개발자 이준행 씨에 따르면, 이 감청 시스템 구매 고객 리스트에 한국 또한 포함되어 있다고 합니다. 이 기관은 'The 5163 Army Division’이라고 유출 문서 상에 기록되어 있으며, 이 명칭은 ‘5163부대’로 해석 가능합니다.

놀라운 점은 이 5163부대가 단순한 군부대가 아니라는 것입니다. 지난 2013년 11월, 시사주간지 〈시사인〉이 ‘5163부대’ 명칭은 국정원이 대외적인 활동을 해야 할 때 사용하는 대외용 이름이라고 보도한 바 있는데요. 이 보도가 사실이라면 국정원이 해외 스파이웨어 개발업체로부터 감청 시스템을 구매한 셈입니다.

유출된 문서를 살펴보면 5163부대는 지난 2012년부터 지금까지 총 686,400유로를 HT 측에 지급했습니다. 이는 한화로 약 8억 원 수준입니다.

그럼 이제 이 감청 시스템이 무엇인지 알아봐야겠죠? 이 또한 유출된 자료와 위키리크스가 공개한 자료에 상세히 서술되어 있습니다. 감청 시스템의 공식 명칭은 RCS(Remote Control System)'입니다. RCS는 스파이웨어이며, 타겟의 컴퓨터나 스마트폰으로 잠입해 시스템을 공격・감염시키거나 감시할 수 있습니다.

이 스파이웨어가 강력한 점은 암호화된 통신마저 모두 감시할 수 있다는 데 있습니다. 회사의 서비스 소개서에는 RCS를 통해 지메일, 페이스북, 트위터, 스카이프 등에서 이뤄지는 채팅까지도 감시할 수 있다고 적혀 있습니다. 또한, RCS가 심어진 데스크톱에서는 내장 카메라를 통한 도촬, 내장 마이크를 통한 도청, 키보드 입력, 파일 및 패스워드 탈취, 스크린샷 촬영, 프로그램 원격 실행 등 사용자가 할 수 있는 일반적인 활동 대부분을 감청할 수 있다고 합니다. 특정 프로그램의 실행, 기록, 설치, 삭제 등은 RCS가 심어진 스마트폰에서도 가능합니다.

타겟 시스템 안에 RCS가 설치되면 네트워크가 연결된 동안에는 지속하여 감청 정보가 전송됩니다. 만약 타겟 시스템이 네트워크에 접속되어 있지 않다면 타겟 시스템 내부에 감청 정보를 축적한 뒤, 네트워크 연결이 재개되는 시점에 정보를 한번에 전송합니다.

이런 영화 같은 일이 실제로 일어나고 있었다니 놀랍습니다.

"민간인 사찰 or 대북 방첩?" 국정원발 진실게임

현재 국정원이 해킹 프로그램을 어떤 목적으로 구매해, 실제 어떻게 사용했는지에 대한 각종 의혹이 불거져 나오고 있습니다. "그 전에 진짜 국정원이 프로그램을 구매한 거야?”라고 의심을 하고 있는 분이 있을 수도 있는데요. 일단 구매를 한 것까지는 의심이 여지가 없어 보입니다. 지난 14일, 국회 정보위원회에 출석한 이병호 국정원장이 2012년 RCS를 구매했다고 시인했기 때문입니다.

​해킹팀과 국정원의 거래는 ‘나나테크’라는 국내 업체가 중간에 다리를 놓으면 성사된 것으로 보이며, 국정원 직원으로 추정되는 ‘devilangel’이라는 메일 계정명을 가진 인물이 해킹 프로그램 구매 및 사용과 관련하여 해킹팀과 직접 연락을 취한 정황 또한 포착되었습니다.

​유출된 해킹팀 자료 등을 통해 밝혀진 스파이웨어 설치 방법은 매우 다양합니다.

​일반 문서 파일(워드 문서, PPT 문서 등)에 스파이웨어를 숨겨 놓은 후, 해당 파일을 이메일 첨부 파일에 담아 전송하여 사용자가 첨부 파일을 열어볼 시 스파이웨어에 감염되게 하는 방법

유용한 정보가 담겨 있는 URL을 타겟의 스마트폰 문자메시지 등으로 전달해 사용자가 URL을 누르면 그때 스파이웨어가 사용자의 스마트폰에 설치되는 방법

네이버 블로그 등에 유용한 정보를 올려놓고 특정 타겟에게 해당 URL로 접속하게 하여 스파이웨어를 심는 방법

​이러한 방법을 활용해 국정원이 실제 감청을 시도한 정황이 언론 보도를 통해 밝혀졌는데요. 오마이뉴스의 기사에 따르면, 국정원이 ‘미디어오늘’ 기자로 사칭해 천안함 사건 관련 전문가에게 스파이웨어가 심어진 질의응답 문서 파일을 전달했을 가능성이 있다고 합니다. 지난 16일 한겨레와 경향신문의 보도로는 국정원이 ‘서울대 공대 동창회 명부’라는 워드 파일을 만들어 그 안에 스파이웨어를 심어놓고 해당 명부를 서울대 공대 출신 학자들에게 보내고자 한 정황도 포착되었습니다.

​또한, 뉴스타파의 보도로 국정원이 지난 2012년 특정 국내 스마트폰 모델과 다음카카오의 메신저 서비스인 ‘카카오톡’과 안랩의 ‘V3 모바일’ 등의 해킹을 해킹팀 측에 의뢰한 사실이 밝혀졌습니다.

​앞서, 국정원은 북한, 간첩 등을 대상으로 감청을 시도하고자 RCS를 구매했다고 밝혔는데요. 위와 같은 정황이 드러나면서 국정원이 국내 인사를 대상으로 감청을 시도한 것 아니냐는 의혹이 커지고 있습니다.

​하지만 국정원 측은 이례적으로 직접 보도자료를 내 민간인 사찰 시도가 없었음을 강조했습니다. 결백을 증명하기 위해 모든 국정원의 RCS 사용 기록을 국회 정보위원회 위원에게 공개할 것을 약속했는데요. 모든 RCS 사용 내용이 해킹팀 측에 저장되기 때문에 사용 기록에 대한 은폐가 절대 불가능하다는 것이 국정원 측 설명입니다.

국정원 직원 자살 그 후, 삭제한 자료 복원이 관건

지난 18일, 국가정보원 직원 임 씨(45)가 용인의 한 야산에서 숨진 채 발견되었습니다. 경찰은 임 씨의 사망을 자살로 결론 내렸으며, 그가 목숨을 끊기 전 남긴 유서를 19일 공개하였습니다.

유서 안에는 최근 발생한 국정원 해킹 프로그램 구입 사건과 관련한 내용이 적혀 있는데요. 주요 내용은 다음과 같습니다.

"지나친 업무에 대한 욕심이 오늘의 사태를 일으킨 듯합니다. 정말 내국인에 대한, 선거에 대한 사찰은 전혀 없었습니다.”

"외부에 대한 파장보다 국정원의 위상이 중요하다고 판단하여 혹시나 대테러, 대북 공작활동에 오해를 일으킨 지원했던 자료를 삭제하였습니다."

임 씨는 자신이 맡은 업무인 해킹 프로그램과 관련한 사실이 대외적으로 밝혀지고, 이것이 민간인 사찰 의혹으로까지 퍼지자 심리적인 압박을 받은 것으로 보이는데요.

이와 더불어 사찰 의혹이 제기된 뒤 4일간 국정원 자신의 컴퓨터에 저장된 관련 자료들을 삭제하였다고 합니다. 하지만 이후 국정원이 국회 정보위원회 소속 의원들에게 현장검증 하겠다는 방침을 밝히자 임 씨가 국정원으로부터 자료 삭제에 대한 추궁을 당했을 것이라는 분석이 있습니다.

이후 일부 언론과 야당 측은 임 씨가 지난 14일부터 숨지기 바로 전날인 17일까지 국정원 특별감찰을 받았다고 보도했는데요. 보도에 따르면 임 씨가 숨진 당일에도 국정원 후속 조사가 예정되어 있었다고 합니다.

하지만 국회 정보위원회 여당 간사를 맡고 있는 새누리당 이철우 의원은 국정원 내부의 특별감찰은 전혀 없었다고 반박했습니다. 다만 임 씨의 잘못이 있는지 없는지를 판단하기 위해 내부 정보 수집 차원에서 전화로 대화를 나눴다고만 밝혔습니다.

이 의원에 따르면 임 씨가 삭제한 자료는 현재 국정원 측이 복원 중이며, 서버에서 삭제된 자료의 경우 100% 복원할 수 있다고 합니다.

하지만 이에 반박이 제기되고 있습니다. "국정원에서 25년을 근무한 컴퓨터 보안 전문가인 임 씨가 과연 복원 가능한 방법으로 자료를 삭제했겠느냐?"는 것입니다. 만약 임 씨가 강한 자석을 이용해 하드디스크 속 정보를 파괴하는 ‘디가우징(Degaussing)’ 기법을 활용해 자료를 삭제했다면 어떤 방법으로도 자료 복원은 불가능합니다.

자료 내놓으라는 野, 들어와서 보라는 與

지난 20일, 국가정보원 직원들이 ‘동료 직원을 보내며’란 제목의 이례적인 집단 성명을 발표했습니다. 성명 안에는 “국정원이 국회 정보위원회 의원들의 현장 방문을 수용하고 투명하게 관련 정보를 공개하겠다고 밝혔음에도 불구하고, 야당을 비롯한 일부 정치인의 ‘모든 정보를 공개’하라는 요구는 국가 안보에 해악이 될 수 있다”는 내용이 담겨 있습니다.

​이에 새정치민주연합은 국정원 해킹 프로그램 구매와 관련한 진상 규명을 위해 ‘국민정보지키기위원회’를 꾸렸으며, 국정원 측에 관련 자료를 요구하고 있습니다.

"세계 어느 정보기관에서도 유례를 찾을 수 없는 공동성명을 내놓고, (야당 요구를) ‘정치공세’라며 공작정치에 버금가는 말로 일관하고 있다.”

안철수, 국민정보지키기위원회 위원장


​안 위원장은 지난 21일 기자간담회를 열어 국정원에 RCS 구매, RCS 운용, 나나테크, 사망한 직원 관련 등 7개 분야, 30가지의 자료 제출을 요구했습니다. 이 요구 목록 안에는 RCS 로그 파일 원본과 사망한 국정원 직원이 훼손한 디스크 원본 또한 포함되어 있습니다.

​이에 대해 새누리당 측은 국정원 내부 자료의 외부 유출은 있을 수 없다는 기존 입장을 반복하고 있습니다. 대신 안 위원장이 정보위원회에 참여하면 모든 자료의 검증과 현장 조사가 가능하다며, 안 위원장의 정보위 참여를 촉구했습니다.

"국정원법에 따라 국가 비밀 정보를 외부로 반출하는 것 자체가 불법이다. 야당이 만든 사설(私設) 기구에 어떻게 국가 정보를 반출할 수 있겠나”

박민식, 새누리당 의원

경찰, 국정원 직원 차량 의혹 '재연실험' 통해 반박

지난 22일, 새정치민주연합 전병헌 최고위원은 보도자료를 내 '국정원 직원 임 씨가 숨지기 직전 용인 인근 야산으로 이동하기 위해 이용한 실제 차량과 YTN이 보도한 CCTV 차량 영상이 서로 다르다'는 의혹을 제기했습니다.

​주요 의혹은 ‘실제 발견된 차량과 CCTV 영상에 찍힌 차량의 번호판 색이 다르다’는 것입니다. 임 씨가 숨진 현장에서 발견된 차량의 번호판은 가로가 좁고, 세로가 긴 구형 녹색 번호판인데요. CCTV 영상의 차량 번호판 색은 흰색입니다. 이와 더불어 전 위원은 번호판의 글씨 색깔, 차량 범퍼 보호가드 및 안테나 유무에 차이가 있다며 국정원 측의 의도적으로 차량 바꿔치기를 한 것 아니냐는 의혹을 제기했습니다.

의혹이 커지자, 경기지방경찰청 과학수사계는 ‘국정원 변사자 차량 분석결과 브리핑’을 갖고 차량 바꿔치기 가능성은 없다고 일축했습니다.

​경찰은 지난 23일, 임 씨의 차량이 CCTV에 찍힌 지점(자살장소와 2.4km 떨어진 버스정류장 앞)에서 임 씨의 마티즈와 비슷한 차량을 확보해 10여 차례의 재연 실험을 진행했다고 합니다.

​경찰이 공개한 재연 실험 자료에 따르면 실제 차량 번호판이 녹색이었음에도, 촬영된 CCTV 영상에서는 번호판이 흰색으로 보였습니다. 경찰 관계자는 CCTV가 저화소이기 때문에 빛의 간섭, 화면 확대에 따른 깨짐 현상 등으로 번호판 색깔에 왜곡이 올 수 있다고 밝혔습니다.

​경찰은 실제 차량에 부착되어 있었던 부착물(보호가드와 안테나 등)이 CCTV 영상에서는 보이지 않는다는 의혹에 대해서는 “영상자료 화질개선 및 보정작업을 통해 (CCTV에 찍힌 마티즈에) 루프 전면 중앙 검은색 계열 안테나, 루프바 및 선바이저, 범퍼 보호가드, 번호판 위 엠블럼 등이 (부착된 것이) 유사점으로 확인됐다”며 반박했습니다.

​경찰은 재연 실험을 진행한 것과 더불어 국립과학수사연구원에 영상 분석을 의뢰해 최종 확인을 진행할 예정이라고 합니다.

국정원 해킹 프로그램 놓고 치열한 여야 공방

지난 27일, 국회 정보위원회 및 미래창조과학방송통신위원회 현안보고가 열렸습니다. 이 자리에서 ‘국정원 해킹 프로그램 구매’ 의혹에 대한 여야의 치열한 공방이 있었는데요. 이날 현안보고에는 각 위원회 소속 의원, 이병호 국가정보원장, 최양희 미래창조과학부 장관 등이 참석했습니다.

​이병호 국정원장은 국정원 직원 임 씨가 스스로 목숨을 끊기 전 삭제한 파일 51개에 대한 복원 결과를 밝혔는데요. 이 원장의 보고에 따르면 삭제된 51건의 자료에는 해킹 시도 기록이 담겨 있으며, 이 중 10건은 대북·대테러 감시 관련, 31건은 국내 시험용, 나머지 10건은 해킹하려다 실패한 기록이라고 합니다. 이 원장은 현안보고 중 “민간인 사찰은 전혀 없었다”고 못 박아 이야기했습니다.

​이와 더불어 야당이 민간인 사찰의 근거로 제시한 SK텔레콤의 3개 IP 주소에 대해 국정원 측은 ‘해당 IP 주소는 국정원이 실험용으로 소유하고 있는 회선’이라고 반박했습니다.

​야당 측은 현재 민간인 사찰로 의심되는 국내 IP가 계속 발견되고 있고, 안철수 국민정보지키기위원장이 요구한 30개 자료도 국정원이 거의 내놓고 있지 않은 상황이기 때문에 진실규명을 위해 꾸준히 노력할 예정이라고 합니다. 여당인 새누리당은 국민정보지키기위원회 측이 요구한 로그파일 원본은 국정원의 보안 정보가 노출될 가능성이 있는 중요 자료이기 때문에 정보위 위원에게만 공개해야 한다는 방침을 고수하고 있습니다.

​미래창조과학방송통신위원회 현안보고의 주요 이슈는 'RCS 프로그램 구매를 실정법 위반으로 볼 수 있느냐’는 것이었습니다. 야당 측은 국정원이 감청 설비를 구매했음에도 불구하고 통신비밀보호법 상 지켜야 하는 절차인 ‘국회 보고’를 하지 않은 것은 명백한 실정법 위반이라고 주장합니다. 하지만 야당 측은 통신비밀보호법에 감청 장비가 명확하게 규정되어 있으며, 소프트웨어는 감청 장비에 해당할 수 없다고 반박하고 있습니다.

"국정원은 정보위원회에 보고하게 돼 있는데 정보위원들은 보고를 못 받았고, 나나테크도 해킹프로그램을 도입하면서 신고하지 않았다. 모두 현행법 위반이다.”

새정치민주연합 우상호 의원

"통신비밀보호법에 보면 감청장비는 '어떻다'라고 규정이 돼 있다. 하드웨어 중심이고 시행령에도 PC와 스마트폰은 감청장비에 해당되지 않는다. 이것이 감청 장비냐 아니냐도 중요하지만 이렇게 많은 내부 비밀자료가 해킹을 당해서 공개됐다는 것이 더 중요하다."

새누리당 권은희 의원

최양희 미래창조과학부 장관은 이러한 여야의 공방에 대해 "통신비밀보호법 상 감청설비는 전기장치나 기계장치 같은 유형의 설비를 의미한다. 소프트웨어는 무형물이라 감청설비라고 보기는 어렵다”고 밝히며 사실상 여당 측 주장에 힘을 실어 줬습니다.

국정원 해킹 기술간담회 무산, 아득해지는 진상 규명

여야가 6일 국정원에서 열기로 합의한 ‘기술 간담회’가 무산됐습니다. 지난 28일, 여야는 국회 정보위원회 여야 간사, 여당, 야당이 각각 추천한 전문가 2명씩, 총 6명이 진행하는 전문가 간담회를 열기로 합의했습니다. 국정원에서 직접 국정원의 자료를 열람하며 의혹을 해소하자는 방침이었죠.

여야는 현재 간담회 무산 탓을 서로에게 돌리고 있습니다. 새정치연합은 기술 간담회 전 사전 검증을 위해 국정원 측에 삭제한 하드디스크 원본, 각종 로그 기록 등 6개 자료를 제출해달라고 요구했습니다. 하지만 국정원이 이에 응하지 않자 사전 자료 제출 없이는 간담회를 할 수 없다고 주장했습니다. 반면, 새누리당은 자료를 달라고 요구할 것이 아니라 이번 사건 검증에 참여하는 새정치민주연합 의원이 정보위원회에 참여해 자료를 확인하라고 주장하고 있습니다.

새누리당은 날을 다시 잡아 간담회를 진행하자고 제안했지만, 새정치민주연합 측은 요구한 자료를 받지 못한다면 간담회도 ‘없다’는 입장입니다.

보다 근본적인 간담회 무산 원인은 기술 간담회를 통해 진상 규명이 제대로 이뤄질 수 있을지에 대한 여야의 견해 차이 때문입니다. 여당은 앞서 추진한 기술 간담회를 통해 충분히 진상 규명이 가능하다는 입장입니다. 하지만 야당은 국정원 직원들이 실제 작업을 수행하는 현장에서 진상 규명이 이뤄져야만 제대로 된 진상 규명이 가능한데, 국정원 내의 특정 사무실에 앉아 보고서 몇 장 확인하는 것으로는 진상규명이 불가능하다고 주장합니다.