[일요시사 사회팀] 강현석 기자 = 국가정보원(이하 국정원)이 지난 2012년 대선을 앞두고 실시간 감청프로그램을 구입한 것으로 확인돼 파문이 확산되고 있다. 지난 14일 국정원은 "프로그램을 국민에게 사용하지 않았다"라고 밝혔지만 해명을 뒤집는 정황이 속속 드러나 사찰 의혹은 더해지고 있다. 특히 '5163부대'란 이름으로 가장한 국정원은 대다수 국민이 즐겨 쓰는 스마트폰인 삼성 갤럭시, 채팅 어플리케이션인 카카오톡, 모바일 게임인 애니팡 등을 겨냥해 전방위 해킹을 시도한 것으로 밝혀졌다. 더불어 해킹의 숨은 대상으로 정치권이 지목되는 등 파장은 점차 확대될 조짐이다.
사건은 이탈리아에서 시작됐다. 현지시간 5일 밤 밀라노에 본사를 둔 IT기업 '해킹팀'은 메인컴퓨터를 탈취당해 400기가바이트(GB)에 이르는 내부 자료를 유출시켰다. 관련 자료는 국가 비밀문서 폭로사이트인 위키리크스 등에 공유됐다. 해킹팀이 각국 정보기관과 주고받은 이메일, 음성파일, 해킹프로그램 소스코드(프로그램 설계도)는 온라인을 통해 그대로 노출됐다.
400GB 자료유출
국정원 거래확인
해킹팀의 주요 고객 가운데는 한국에 주소지를 둔 '5163부대'가 있었다. 공개된 이메일에서 5163부대의 주소지는 국정원이 사용해 온 우편함 번호와 일치했다. 국내에서 국가 정보기관의 해킹 의혹이 처음 불거진 날은 지난 7∼8일이다. <보안뉴스>, <전자신문> 등 IT전문지가 중심이 돼 보도했다.
각 일간지도 취재에 나섰다. 10일을 전후해 이들 언론은 '국정원 해킹 파문'을 주요 의제로 다뤘다. 10∼14일 쏟아진 기사의 내용은 국정원이 일반 국민을 상대로 불법 감청을 했다는 의혹과 연결됐다. 논란이 커지자 국정원은 닫혀있던 입을 열었다.
14일 국회 정보위원회(이하 정보위)에 출석한 이병호 국정원장은 "프로그램을 구입한 사실은 있으나 북한이 대상"이라고 사찰 의혹을 부인했다. 현재까지 국정원이 인정한 부분은 '5163부대란 이름으로 이탈리아 해킹팀으로부터 20개의 해킹 프로그램을 구입했다는 것'이다. 그렇지만 국정원이 어떤 이유로 실시간 감청이 가능한 프로그램을 구입했는지는 여전히 의문으로 남아 있다.
국정원 위장조직 해킹프로그램 구매 확인
국내 정치권 겨냥…무차별 정보수집 했나
국정원이 관련 거래에서 신분을 감추기 위해 사용한 이름은 5163부대다. 5163부대의 어원은 박정희 전 대통령의 군사쿠데타로 알려져 있다. 박정희 당시 소장이 쿠데타를 위해 한강철교를 넘은 시각인 5월16일 새벽 3시를 기릴 목적으로 작명됐다는 설이 유력하다.
위장이름 쓴
5163부대 들통
<한겨레>에 따르면 5163부대는 해킹팀과 모두 6번 거래했다. 총 거래대금은 10억2172만원이다. 이 원장은 정보위에서 "2012년 1월과 7월 각각 10명씩 20명분의 원격제어시스템(RCS)을 구입했다"라고 해명했다. 그렇지만 위키리크스 등에 공개된 자료를 살피면 5163부대(SKA란 이름도 혼용)는 2014년에도 해킹팀과 거래했다.
RCS는 해킹을 하고자 하는 상대방의 이메일이나 스마트폰에 링크(혹은 파일)를 보낸 뒤 상대가 이를 클릭하면 '스파이웨어'에 감염되는 방식을 가리킨다. 원리는 보이스피싱 업체가 즐겨 사용하는 '스미싱'과 유사하다. RCS에 공격당하면 해킹을 한 당사자는 상대의 통화내역, 메시지, 사진, 위치정보, 은행거래내역 등 거의 모든 정보에 접근할 수 있다. 휴대폰 전원을 끄지 않는 한 일거수일투족이 감시된다.
그런데 5163부대는 이 원장이 밝힌 2012년 1월과 7월은 물론 같은해 3월과 12월에도 이메일을 통해 수십개의 '해킹 회선 사용권' 구입을 시도했다. 3월은 총선을 앞둔 시기이며, 12월은 대선을 목전에 둔 때이다. 이 가운데 12월6일 보낸 메일 제목에는 '긴급'이란 문구가 선명하다. 메일 발신자이자 국정원의 해킹 프로그램을 구매 대행한 무역업체 나나테크는 "30개의 회선 사용권을 한 달간 임시로 사용하게 해 달라"라고 해킹팀에 주문했다.
또 나나테크는 2012년 9월 국정원을 대신해 '어노니마이저(ANM)'라는 프로그램을 구매한 것으로 드러났다. 해킹팀은 자신의 고객들에게 ANM을 RCS에 딸린 보조 프로그램이라고 설명했다. 국정원 관계자로 알려진 아이디 'devilangel1004@gmail.com'(이하 데빌엔젤)은 이외에도 2014년부터 해킹팀과 수시로 이메일을 주고받았다.
데빌엔젤이 지난해 11월 구입한 해킹 프로그램은 'RAS'로 기존 RCS와는 다른 형태의 스파이웨어다. 당시 이메일에서 데빌엔젤은 RAS가 안드로이드 폰(삼성 갤럭시 등)을 해킹할 수 있는지를 물었다. 또 "상대가 해킹을 눈치채선 안 된다"라고 당부했다.
데빌엔젤은 지난해 3월 일부 외신을 통해 '해킹팀의 고객 중 한국이 있다'는 사실이 알려지자 "보안이 생명"이라며 "(추적이 불가능한) 가상사설서버(VPS)로 프로그램을 옮겨야 한다"라고 주장했다. 해킹팀은 내부 이메일에서 "SKA(한국)가 우리에게 중요한 고객"이라고 언급했다.
며칠 뒤 해킹팀은 나나테크로 이메일을 보냈다. 자체 개발한 해킹프로그램인 TNI를 무료로 테스트해보라는 내용이었다. TNI는 해킹 상대방이 와이파이에 접속하면 악성코드가 설치되는 프로그램으로 알려졌다. 국정원은 해당 프로그램을 2014년 5월부터 사용하다가 같은해 7월께 반납했다. 공교롭게도 5월과 7월 사이엔 6·4지방선거가 있었다.
현재까지 알려진 내용을 종합하면 국정원은 중요한 선거가 있을 때마다 감청 프로그램을 돌렸다. 감청 대상은 내국인으로 의심됐다. 위키리크스는 지난 15일 트위터를 통해 "해킹팀이 한국 정보기관(국정원)을 도와 변호사를 타깃으로 감청 프로그램을 사용했다"라고 폭로했다.
카톡도 감시
국정원 타깃은?
그러나 국정원은 일부 언론과의 접촉에서 "감청 대상은 대공 혐의가 있는 외국인이며, 위키리크스의 주장은 사실과 다르다"라고 말했다. 또 국정원은 "감청당한 변호사의 국적이 몽골"이라고 주장했다. 지난 주말을 기점으로 국정원의 해명은 일관되게 북한을 지목하고 있다. 하지만 오고간 이메일 내용을 살피면 국내 감시용 쪽으로 무게추가 기운다.
먼저 국정원은 삼성 갤럭시 모델 해킹에 수차례 관심을 보였다. 새 모델이 출시될 때마다 감청이 가능한지를 해킹팀에 구체적으로 질의했다. 물론 북한 간첩이 갤럭시를 쓰고 있을 확률을 배제할 수 없다. 문제는 국정원이 갤럭시와 함께 카카오톡 서버 해킹(검열)에 대해서도 문의했다는 것이다.
데빌엔젤은 개별 감시 대상자에 대한 해킹뿐 아니라 카카오톡 자체에 대한 해킹 연구 진행상황을 물었다. 사실상 1대1 감시가 아닌 불특정 다수에 대한 검열이 가능한지 물은 것이다. 뿐만 아니라 6·4지방선거를 3개월 앞둔 시점에는 '안드로이드 폰'에 대한 공격을 요청했다.
이와 관련 한 가지 의미 있는 사실은 '나나테크 외에도 국정원의 구매 대행사가 3곳 더 있었다'는 해킹팀의 언급이다. 국정원이 '특정시기' 각 업체를 동원해 동시다발적인 공격을 시도했다면 증거가 남아있을 확률이 높다는 분석이다.
이 원장은 이번 해킹 프로그램의 구입 배경과 관련해 "원장이 아니면 이런 일을 하기 어렵다"라고 말한 것으로 전해졌다. 구매시점(2012년 1월~12월) 당시 책임자인 원세훈 전 국정원장에게 책임을 돌린 셈이다. 반면 원 전 원장은 자신의 측근을 통해 "나는 모르는 일"이라고 밝힌 것으로 전해졌다. 이 원장과 원 전 원장, 둘 중 한 명은 거짓말을 하고 있는 상황이다.
이번 정부 들어 국정원은 해킹팀 쪽에 '악성코드를 심어 달라'라며 링크(URL)를 건넸다. 데빌엔젤은 '떡볶이 맛집 소개' '금천구 벚꽃축제' '메르스 Q&A' 등 자국민들이 관심을 가질 법한 주제를 사용해 스파이웨어 링크를 만들어달라고 요구했다. 뿐만 아니라 국정원은 '포르노 사이트'를 링크로 걸어 스마트폰 해킹을 시도했다. <오마이뉴스>는 지난해 12월부터 약 7개월간 블랙엔젤이 주문한 가짜 URL이 195개에 달했다고 전했다.
박정희 5·16 쿠데타서 유래
총·대선 때 감청·사찰 의혹
이와 별도로 국정원은 국내 이동통신가입자들의 스마트폰 해킹을 시도했다. 국정원은 지난 2012년 8월 SK텔레콤에 가입된 갤럭시 한 모델을 특정해 해킹을 해 달라고 업체 측에 의뢰했다. 또 기자로 사칭한 5163부대 관계자는 천안함 사건 의혹을 제기한 재미 연구자의 컴퓨터에 접근, 해킹을 시도한 것으로 알려졌다. 같은 시기 국정원은 해킹팀과 접촉해 '서울대 공대 동창회 명부'라는 워드 파일에 악성코드를 심어달라고 요구했다. 앞서 언급한 재미 연구자는 서울대 공대 출신이다.
아울러 국정원은 미국 스마트폰 메신저인 바이버에 대한 해킹도 해킹팀에 의뢰했다. 바이버는 '사이버 검열'을 피해 주로 야당 정치인들이 쓰고 있는 메신저로 알려졌다. 국내 유력 인사를 겨냥한 불법 감청 의혹이 제기되는 대목이다.
대북용이라는 국정원의 해명이 궁색해지는 증거는 모바일 게임을 대상으로 한 해킹 실험이다. 해킹팀은 SKA의 의뢰로 국내 인기 게임인 '애니팡2' '모두의 마블' '드래곤 플라이트' 등에 대한 악성코드 생성에 성공했다고 밝혔다. 국정원의 해명대로라면 북한 간첩은 애니팡 서버에 접속해 국내 유저들에게 하트(게임 내 아이템)를 날리고 있는 것이다.
국정원의 해킹 대상으로 거론되는 유력 후보군 가운데는 야당 정치인, 학자, 언론인 등이 있다. 실제 정치인 A씨는 지난 대선을 앞두고 사정기관으로부터 사찰을 받았다는 풍문에 휩싸였다. A씨를 뒷조사한 여러 문건이 존재했고, 선거가 끝난 후 해당 문건이 소각됐다는 내용이다. 국정원이 직접 연관됐다는 증거는 없지만 이들이 대선개입을 시도한 만큼 '비밀지령(원장님 말씀)'의 이행 가능성도 있다는 주장이다.
국내 정치권
전방위 사찰?
지난 17일 새정치민주연합 국민정보지키기위원회 안철수 위원장은 국정원에게 RCS 사용내역 제출을 요청했다. 안 위원장은 이날 국회 최고위원회의에서 "악성코드를 보낸 아이피(IP) 주소나 휴대전화 번호 등 타깃의 식별정보가 남아있을 것"이라며 "국정원이 떳떳하다면 공개하지 못할 이유가 없다"라고 말했다.
그러나 국정원이 보안상의 이유로 해당 정보를 공개하지 않거나 사전 삭제했을 가능성 또한 제기된다. 공개된 문건에 따르면 해킹팀은 국방부 국방사이버TF팀 소속 중령의 연락처를 가져갔고, 경찰청으로 추정되는 국내 정보기관과도 접촉한 것으로 드러났다.
