국정원 ‘감청욕망’ 영수증 나왔다

국정원 ‘가명’ 5163부대 이름으로 이탈리아 ‘해킹팀’에서 8억8천만원에 스파이웨어 사들이고 유지·보수… PC에서 하는 일 감시하고, 원격으로 음성 듣고, 컴퓨터 카메라로 사진 찍는 강력한 프로그램

국가정보원은 스스로 ‘스파이웨어’가 되려고 하는가.

스파이웨어는 타인의 컴퓨터나 스마트폰에 몰래 설치돼 정보를 빼내는 악성코드의 하나다. 상상해보자. 내가 사용하는 컴퓨터의 모든 기록은 물론 스마트폰의 통화 내역, 주소록, 걸려온 전화번호까지 누군가 가로챌 수 있고 다 들여다본다면? 심지어 컴퓨터에 장착된 화상카메라로 나의 움직임을 촬영할 수 있고, 스마트폰에 있는 위성항법장치(GPS) 기능을 활용해 내가 어디에 있고 어디를 다녔는지 지도상의 점과 선으로 고스란히 보인다면? 주고받은 전자우편 전체가 통째로 누군가의 손에 들어간다면? 더구나 이런 것들을 국가 정보기관에서 불특정 다수를 상대로 얼마든지 할 수 있게 된다면? 스파이웨어 하나가 설치되는 순간 이 모든 것이 가능해진다면?

단정할 수는 없다. 문서들의 진위를 100% 가늠할 수 없다. 그러나 사실이라면 이는 ‘21세기 팬옵티콘’이 아닐 수 없다. 불법 스파이웨어를 이용해 불특정 다수의 컴퓨터·스마트폰·전자우편 등을 실시간으로 감시하는 것. 원형감옥의 ‘최악 버전’이 아닐 수 없다. 한 이탈리아 스파이웨어 업체의 자료가 해킹되면서 전세계에 충격파가 퍼져나가고 있다.

1. 수상한 송장, 더 수상한 5163부대

‘서울시 서초우체국 사서함 200호’. 올해 1월28일자로 이탈리아 밀라노에서 이 주소로 송장(invoice) 하나가 날아왔다. 송장은 판매 쪽에서 구매 쪽에 보내는 화물의 내용 명세서다. 거래계산서 또는 대금청구서 구실도 한다. 송장을 보낸 업체는 ‘해킹팀’(www.hackingteam.it)이라는 곳이다. 스파이웨어로 불리는 해킹 장비를 판매·운용하는 업체로 알려졌다. 받는 곳은 ‘대한민국 육군 5163부대’(The 5163 Army Division The Gov. of the R.O.K.)다.

송장에 적힌 구매 물품은 ‘원격 제어 시스템(RCS·Remote Control System) 유지·보수’로 돼 있고, 유효 기간은 2015년 2월1일부터 12월31일까지다. 대금은 3만3850유로(약 4200만원)이며 납부 기한은 2월28일까지다. 서초우체국 사서함 200호는 국가정보원의 주소다. 국정원 누리집의 ‘정보공개 처리 절차’ 화면(http://www.nis.go.kr/svc/community.do?method=content&cmid=11477)에서 금방 확인할 수 있다. 5163부대는 국정원이 사용하는 ‘가명’인 셈이다. 국정원과 해킹팀을 중개한 업체는 ‘나나테크’(서울 마포구)란 기업인 것으로 유출 자료에 기록돼 있다. 국정원이 이탈리아의 해킹팀이란 업체와 이런 계약을 한 이유는 무엇일까?

지난 7월6일(현지시각) 과 등 해외 언론은 이탈리아 업체 해킹팀의 트위터 공식 피드가 해킹됐다고 보도했다. 그 정체가 아직 밝혀지지 않은 해커는 이탈리아 업체의 트위터 아이디를 ‘Hacked Team’으로 변경했다. 해킹팀이라는 회사가 해킹됐다는 것을 선언한 셈이다. 이들은 여기에 이 회사의 각종 자료들(내부 문서, 소스코드, 전자우편 기록 등)을 공개하기 시작했다. 이 가운데는 해킹팀 직원의 컴퓨터 화면 스크린샷도 포함돼 있었다.

해킹팀 직원 크리스티안 포지는 자사의 트위터가 해킹된 직후 자신의 개인 트위터를 통해 “자료를 더 퍼뜨리지 마라. 공격자들이 우리 회사에 관해 주장하는 대부분은 사실이 아니다.” “우리는 경찰과 함께 작업하고 있다”고 적었다. 하지만 이미 사태는 터진 봇물이었다.

유출된 내부 자료의 양은 400기가바이트(GB)에 이르는 것으로 전해졌다. 직원 개인정보뿐 아니라 이 회사한테서 해킹 장비를 구매한 세계 여러 나라 정부의 목록과 구입 대금 등이 담겨 있다. 엑셀 자료로 정리된 나라별 구매 현황을 보면, 한국의 경우 국정원으로 추정되는 5163부대라는 곳에서 2012년부터 2015년까지 소프트웨어 구입과 유지·보수 등에 모두 6차례에 걸쳐 70만1400유로(약 8억8천만원)를 지급한 것으로 기록돼 있다. 이 밖에 미국·스페인·헝가리 등지에서 모두 61곳이 이 업체와 거래한 것으로 파악된다.

국정원은 언론의 확인 요청에 대해 “확인해줄 수 없다. 5163부대 명칭은 사용하고 있지 않다”며 전면 부인했다. 반면 이번 유출 자료에 이름을 올린 룩셈부르크는 그자비에 베텔 총리가 7월7일 의회에서 해당 업체와의 계약 사실 등 일부를 인정했다.

당사자 격인 해킹팀은 7월8일 공식 입장을 내놨다. 업체 대변인 에릭 라베는 7월6일 발생한 해킹을 당했다는 사실을 인정했다. 그러면서 그는 “우리의 고객인 정부와 정부기관에 판매한 기술에 접근할 통제력을 잃었다. ‘극도로 위험한 상황’”이라고 밝혔다.

2. RCS의 정체는 무엇?

이탈리아 업체 ‘해킹팀’에서 유출된 국가정보원의 거래 영수증(위). 이 업체는 기존 패킷 감청이 불완전하다며 자사의 스파이웨어 직접 설치를 적극 홍보해온 것으로 드러났다.

해당 소프트웨어를 설치하는 방식도 원격과 직접 2가지 모두 가능하다. 나아가 이 업체는 네트워크 회선을 이용한 방식(패킷 감청)에는 한계가 있다며 직접 소프트웨어(원격제어 시스템)를 해당 컴퓨터에 설치하도록 제안하고 있다

.

해킹팀이라는 업체에서 사용하는 원격제어시스템(RCS)은 무엇일까. 2003년 2명의 이탈리아인이 창업한 것으로 알려진 이 회사 자료들에 자세히 설명돼 있다. 모두 이번에 유출된 문서들이다.

RCS에 대해 업체에서는 해당 시스템을 외부에 노출되지 않는 ‘스텔스’라고 한 뒤, 스파이웨어 기반으로 컴퓨터·스마트폰을 감염시키고 감시할 수 있는 시스템이라고 설명하고 있다. 특히 특정 사용자들의 암호화된 통신까지 모두 감시할 수 있다고 광고한다. 스카이프와 같은 인터넷전화는 물론 PGP(Pretty Good Privacy) 같은 전자우편 암호 시스템, 암호화된 웹메일 등이 여기에 포함된다. 사실상 개인이 사용하는 컴퓨터 통신 수단 전체를 해킹할 수 있다는 설명이다.

이 회사는 각국 정부에서 이른바 테러리스트나 범죄집단 등으로 의심되는 이들을 감시하는 두 가지 방식을 들고 있다. 먼저 잠재적 범죄자들끼리 스카이프 같은 인터넷전화로 통신할 때 중간에서 내용을 가로채는 ‘수동적 방식’이 있다. 2011년 국가보안법 위반으로 구속된 김형근 교사의 재판 과정에서 논란이 됐던 패킷 감청이 여기에 해당한다. 두 번째는 잠재적 범죄자가 사용하는 컴퓨터에 ‘은밀하게’ 소프트웨어를 설치해 직접 감시하는 방식이다. 이 업체는 이런 ‘공격적 방식’이 훨씬 효율적이라고 강조하면서 자사의 소프트웨어 구입을 홍보해왔던 것으로 알려졌다.

이 회사가 설명하는 RCS의 기능을 보면 더욱 충격적이다. 개인용 컴퓨터(PC)에서 인터넷 검색 등을 한 기록과 각종 파일, 인쇄된 문서, 채팅과 전자우편, 메시지는 물론 컴퓨터 자판으로 무엇을 입력하는지도 감시할 수 있고, 심지어 원격으로 사용자의 음성을 감시하고 컴퓨터에 장착된 화상카메라로 사용자의 사진을 찍을 수 있으며 인터넷전화 대화도 감시할 수 있다는 것이다. 이런 설명이 사실이라면, 개인이 자신의 컴퓨터로 하는 거의 모든 움직임을 감시하는 셈이다.

스마트폰의 경우도 다르지 않다. 통화 기록과 주소록, 달력, 전자우편·채팅 메시지, 문자메시지가 감시된다. 스마트폰에 내장된 GPS 기능을 이용한 위치 추적은 물론 통화 음성을 듣거나 카메라 촬영도 가능하며, 심지어 걸려온 전화를 중간에서 가로챌 수도 있다고 돼 있다.

과 인터뷰한 보안전문가는 RCS에 대해 “원격조종 시스템으로, 통제될 수 있도록 하는 일종의 악성코드다. 감염이 되면 마음대로 조종이 가능하다. 플래시나 윈도의 취약점을 이용하는 방식이다. 영수증 날짜를 보면 2012년 6월2일, 7월10일이다. 정치적 일정(18대 대선)을 앞두고 샀을 가능성이 있다. 그 기간에 타깃을 설정하고 공격도 해보고 테스트를 해봤을 것이다”라고 분석했다.

이처럼 PC와 스마트폰을 통해 한 개인의 거의 모든 것을 감시하지만 정작 이런 정보를 가로채는 RCS는 어떤 컴퓨터의 오류·결함에도 영향을 받지 않는다고 이 회사는 주장하고 있다. 해당 소프트웨어를 설치하는 방식도 원격과 직접 2가지 모두 가능하다고 추천한다. 이 회사가 시스템의 별칭을 ‘다빈치’ 또는 ‘갈릴레오’로 한 이유가 짐작되는 대목이다. 레오나르도 다빈치(1452~1519)는 예술과 과학에 두루 능통했던 대표적인 ‘르네상스형 지식인’으로서 인간이 닿을 수 있는 ‘전지전능함’의 한 경지를 보여줬다. 갈릴레이 갈릴레오 또한 대표적인 르네상스형 지식인이다.

나아가 이 업체는 네트워크 회선을 이용한 방식(패킷 감청)에는 한계가 있다며, 소프트웨어(원격제어 시스템)를 직접 해당 컴퓨터에 설치하도록 제안하고 있다. 그 방식도 매우 구체적이다. USB 메모리를 이용해 컴퓨터를 몰래 부팅시켜 소프트웨어를 설치하는 식이다.

여기에서 한 걸음 더 나아가, 해당 컴퓨터에 직접 접근하지 못할 경우에도, 인터넷망 자체를 조작할 수 있다는 제안도 내놨다. 국내 인터넷의 경우 SK브로드밴드나 KT, LG유플러스 같은 인터넷 서비스 사업자(ISP) 또는 모바일 서비스 사업자를 통해 문제의 RCS 소프트웨어를 불특정 다수의 컴퓨터나 스마트폰에 설치하라는 것이다. 각종 프로그램이나 애플리케이션의 업그레이드를 실행할 때 RCS를 숨겨넣는 방식이다.

과 인터뷰한 보안전문가는 “해킹팀에서 고객(정보기관)들이 뭘 하고 있는지 다 봤다면, 그 정보 역시 (이탈리아 업체인 해킹팀 본사) 어딘가 저장돼 있을 것이다. 그러면 정보기관들이 무슨 짓을 하는지, 할 수 있는지 알 수 있다. 그게 공개되면 난리가 날 것”이라고 했다. 해킹팀 쪽은 7월8일 낸 공식 보도자료에서, 고객들이 자신들의 컴퓨터 시스템에서만 RCS를 이용할 수 있을 뿐이고 자신들은 원격으로 접근하는 일은 없었다고 의혹을 부인했다.

3. 국가 정보기관이 악성코드를 대량 유포?

2009년 서울 영등포구 민주노총에서 열린 ‘국가정보원의 감청 실태에 대한 긴급 기자회견’. 국정원의 ‘불법 감청’은 여전히 혁파되지 않고 있다. 한겨레 김정효 기자

“이번에 유출된 해킹팀의 소프트웨어는 아주 강력한 스파이웨어인데 소스코드가 모두 유출돼 인터넷에 공개돼버렸다. 해커들이 그 소스코드를 가지고 새로운 해킹 프로그램을 만들어 공격하기 시작하면 큰 혼란이 올 수 있다.” -프로그래머

컴퓨터 프로그래머들은 문제의 RCS가 본질적으로 악성코드와 동일하다고 설명한다. 사용자 모르게 특정 프로그램이 작동하도록 하는 소프트웨어를 몰래 심는 방식이다. 이 때문에 이런 악성코드를 국가 정보기관이 은밀히 유포하고 이를 통해 시민을 통제하려 한 게 아니냐는 의혹이 제기되고 있다. 특히 개별 컴퓨터나 스마트폰에 직접 소프트웨어를 은밀히 설치하는 방식이 아니라 인터넷망을 활용하려는 의도까지 있었다면 논란은 더욱 커질 수밖에 없다.

컴퓨터 프로그래머 이준행씨는 과의 통화에서 “RCS의 기술 자체는 새로운 게 아니다. 기존 악성코드와 동일한 방식이다. 문제가 되는 건 국가가 유포할 수 있는 시스템이라는 것이고 인터넷망을 이용해 설치하려 했다면 훨씬 심각한 문제”라고 말했다.

또 그는 “기존 패킷 감청은 암호화된 데이터를 뽑는 게 불가능하다. 하지만 RCS 방식으로는 충분히 가능하다. 앞으로 얼마나 파장이 커질지 알 수 없다. 인터넷에 공개된 자료를 북한이 가져다쓰면 한국을 공격하는 것도 가능하다. 국정원은 해킹팀과의 거래 사실을 부인할 테지만, 유출된 자료의 양이 워낙 많다. 전자우편 내용을 보면 영장 없이 특정인들을 감청한 내용도 나올 수 있다”고 전망했다.

이씨는 이번 해킹팀 해킹 사실을 국내에 가장 먼저 알린 사람 가운데 한 명이다. 특히 그는 “이전에 외교문서를 폭로한 ‘스노든 사건’의 경우처럼 파장을 예측할 수 없다”고 말했다.

익명을 요청한 또 다른 프로그래머는 광범위한 해킹 사태가 벌어질 수도 있다고 경고했다. 그는 “해킹이 가능하려면 프로그램에 빈틈이 있어야 한다. 마이크로소프트에서 수시로 윈도 업데이트를 하는 이유는 프로그램의 빈틈이 발견돼 보완하는 것이다. 그런데 이번에 유출된 해킹팀의 소프트웨어는 아주 강력한 스파이웨어인데 소스코드가 모두 유출돼 인터넷에 공개돼버렸다. 해커들이 그 소스코드를 가지고 새로운 해킹 프로그램을 만들어 공격하기 시작하면 큰 혼란이 올 수 있다. 국정원이 이 업체의 스파이웨어를 구입했느냐 안 했느냐도 중요하지만, 우리 정부가 해킹 공격에 대응할 능력이 있느냐가 매우 중요한 상황이라고 본다”고 했다.

4. 끊이지 않는 국정원의 ‘감청 욕망’

공교롭게도 새누리당 박민식 의원을 비롯한 12명은 통신비밀보호법 개정안을 지난 6월1일 발의했다. 개정안의 독소 조항으로 지적되는 것은 통신사나 포털 사이트 사업자 등 전기통신사업자에게 감청 협조 설비를 ‘의무적으로’ 설치하도록 하는 내용이다. 법원의 영장에 의해서만 엄격히 이뤄져야 할 감청이 무방비로 이뤄질 수 있는 위험을 내포한 조항이 아니냐는 지적이 나온다.

새정치민주연합 송호창 의원실이 공개한 미래창조과학부의 감청 장비 인가 현황과 보유 현황 자료를 보면, 인가된 감청장비와 기관별 보유 감청장비 사이에 70여 대의 차이가 난다. 현행법에 따르면, 국정원은 자신들이 보유한 감청장비를 신고할 의무가 없다. 70여 대의 감청장비 대부분을 국정원이 보유·운용하고 있는 것 아니냐는 의혹이 제기될 수밖에 없다. 게다가 국정원은 그동안 법원의 영장 없이 ‘불법 감청’을 했다는 지적을 끊임없이 받아왔다.

송호창 의원실 쪽은 “현행 정보통신망법 제48조와 제49조를 보면, 스마트폰이나 컴퓨터에 감청 소프트웨어를 심고 활용하는 것은 불법이다. 그러나 그동안 소프트웨어 통제에 대한 내용이 법에 없었다. 사용할 수 있는 소프트웨어가 무엇인지 성능이나 가격 등을 신고하고 관리할 수 있게 미래부가 봐야 하고 국회나 법원이 이를 통제할 수 있도록 하는 법안을 준비하고 있다”고 밝혔다.

취재 전진식 기자 seek16@hani.co.kr · 이완 기자 wani@hani.co.kr · 김효실 기자 trans@hani.co.kr · 송호진 기자 dmzsong@hani.co.kr, 디자인 장광석