본문바로가기

한겨레21

기사 공유 및 설정

“간첩들은 바보라서 카톡을 쓴다”?

국정원의 감시 대상은, 카톡 공격을 문의한 이유는… 보도된 핵심만 추려서 정리한 A부터 Z까지 사건의 전말
등록 2015-07-21 20:12 수정 2020-05-03 04:28
미국 국가안보국(NSA)의 무차별적인 개인정보 수집 실태를 폭로한 에드워드 스노든 이래 역대 최대 규모 대정부 ‘스캔들’이 세계 각지에서 벌어지고 있다. 그중 한 곳이 바로 한국이다. 국가정보원이 스마트폰을 속속들이 들여다봤다는 의혹을 받고 있는 건 알겠는데, 구체적으로 뭐가 어떻게 된 건지 정보기술(IT) 용어는 복잡하기만 하다. 이러다 전 국민이 IT 전문가가 될 기세다. 지금까지 보도된 핵심만 쉽게 쏙쏙 추려서 정리했다. 이를테면 ‘국정원 스마트폰 감시 사건’ A부터 Z까지다. _편집자
해킹팀의 광고 화면.

해킹팀의 광고 화면.

1. 악명 높은 해킹업체, 도리어 해킹당하다

지난 7월5일 늦은 밤(현지시각), 이탈리아 밀라노에 본사를 둔 정보기술(IT) 기업 ‘해킹팀’이 발칵 뒤집혔다. 누군가 메인 컴퓨터에 접근해 통째로 빼낸 내부 정보를 인터넷에 올렸기 때문이다. 트위터 계정까지 탈취돼 ‘해킹당한 팀’이라고 조롱당했다.

이탈리아 해킹팀은 컴퓨터와 스마트폰을 몰래 들여다볼 수 있는 해킹 프로그램을 개발도상국에 판매하는 것으로 악명이 높았다. 에티오피아 정부기관이 이 프로그램을 구입해 정부에 비판적인 언론인과 활동가들을 사찰한 것이 대표적이다.

공개된 정보에는 문제의 해킹 프로그램 소스코드가 그대로 담겨 있다. 소스코드는 프로그램의 설계도 같은 것이다. 해킹팀이 각국 고객과 주고받은 전자우편, 음성파일, 직원들이 쓰는 암호 등도 송두리째 노출됐다. 유출된 자료 분량만 400GB에 이른다.

덕분에 “감시 프로그램은 정부와 정부기관에만 판매하고, 국제기구에 반인권 정부로 지목된 정부들과는 거래하지 않는다”던 해킹팀의 해명은 거짓임이 드러났다. 유엔 무기 금수 조처를 받은 수단은 이 프로그램으로 유엔 평화유지군을 해킹하려 했던 정황이 드러났다. 정부에 비판적인 인사를 도청하고 감시한다는 의혹을 받아온 사우디아라비아, 러시아, 아랍에미리트, 레바논 등이 고객 명단에 올라 있었다.

7월5일 정보기술(IT) 기업 ‘해킹팀’의 메인 컴퓨터에 누군가 접근해 내부 정보를 통째로 빼내 인터넷에 올렸다. 해킹팀은 ‘해킹당한 팀’이라고 조롱당했다. 해킹당한 자료들.

7월5일 정보기술(IT) 기업 ‘해킹팀’의 메인 컴퓨터에 누군가 접근해 내부 정보를 통째로 빼내 인터넷에 올렸다. 해킹팀은 ‘해킹당한 팀’이라고 조롱당했다. 해킹당한 자료들.

2. 해킹팀 고객 ‘육군 5163대 부대’=국정원 “감시 프로그램은 정부와 정부기관에만 판매하고, 국제기구에 반인권 정부로 지목된 정부들과는 거래하지 않는다”던 해킹팀의 해명은 거짓임이 드러났다. 수단은 이 프로그램으로 유엔 평화유지군을 해킹하려 했던 정황이 드러났다.

한국 국가정보원도 고객이었다. ‘육군 5163부대’라는 고객명을 썼는데, 이는 국정원의 위장용 이름이다. 국내에선 7월7~8일께 IT 전문지 등이 외신 보도를 근거로 정보 유출 소식을 전했다. 곧이어 한 온라인 매체를 통해 개발자 이준행씨가 상세한 의혹을 풀어내 소셜네트워크서비스(SNS)에서 화제로 떠올랐고, 일간신문도 7월9일치부터 ‘국정원이 구입처로 보인다’는 의혹을 보도했다. 국정원은 7월10일 무렵부터 비공식적 루트를 통해 ‘국외용·대북용’이라는 해명을 언론에 내놨다.

그 뒤에도 과 등은 자국민을 대상으로 한 광범위한 불법 도·감청 정황을 잇따라 보도했다. 국정원이 ‘카톡 검열’ 기능을 해킹팀에 요청했다거나, 삼성 스마트폰 갤럭시 국내 모델을 이탈리아로 보내 ‘맞춤 해킹’을 의뢰했다는 전자우편 분석 내용이 공개됐다. 국정원이 바이버(미국 스마트폰 메신저)를 해킹해달라고 요청했다는 보도도 나왔다. 바이버는 국내 야당 정치인들이 카카오톡 대신에 주로 쓰는 메신저다.

논란을 외면할 수 없게 된 이병호 국정원장은 7월14일 국회 정보위원회에서 “해킹 프로그램을 구입한 사실은 맞지만, 국민에게 사용하지는 않았다”고 해명했다.

3. RCS? 대체 무슨 해킹 프로그램이길래?

‘원격 제어 시스템’(RCS·Remote Control System)이라고 불리는 해킹 프로그램은 감시 대상이 컴퓨터와 스마트폰을 통해 보고 듣고 교류하는 모든 내용을 그대로 감시자에게 보여준다. 쉽게 말하자면, 내 컴퓨터의 모든 정보를 가로채 뿌려준다고 생각하면 된다. 컴퓨터에 웹캠이 달려 있다면 사용자 몰래 사진을 찍어 보낸다. 스마트폰이라면 몰래 통화 내용을 녹음해 전송하는 일도 가능하다. 이 모든 일은 사용자가 알 수 없는 상태에서 이뤄진다. 운영체제의 알려지지 않은 허점(뒷문)을 이용하기 때문에 백신으로도 드러나지 않는다고 해킹팀은 광고한다. 심지어 운영체제와 플랫폼도 가리지 않는다. 마이크로소프트의 윈도, 리눅스, 구글 안드로이드, 애플의 iOS, 블랙베리, 심비안 등 모든 운영체제를 해킹할 수 있다고 한다. 해킹팀은 이 프로그램의 최신 버전에 ‘갈릴레오’라는 이름을 붙여 판매해왔다.

그런 방식이라면, 암호화된 메신저를 사용한다고 해도 아무 소용이 없다. 키보드 입력 단계에서 정보를 가로챌 수 있기 때문이다. 보안에 강하다는 텔레그램 메신저에서 시간이 흐르면 자동 폭파되는 ‘비밀대화’ 기능을 썼더라도, 무슨 말을 치는지 다 볼 수 있다면 더 이상 ‘비밀대화’라고 말할 수 없는 셈이다. 자주 사용하는 아이디, 비밀번호 역시 입력하는 순간 노출된다.

다만 이 프로그램에도 한계가 있다. 감시 대상자의 컴퓨터나 스마트폰에 이 해킹 프로그램이 설치돼 있어야만 한다. 해킹팀 쪽은 감시 대상자의 무선공유기를 조작해 RCS를 설치하거나, 문서파일, 파워포인트 파일 등으로 위장해 악성코드 설치 파일을 보내거나, 일반 웹사이트로 보이는 변조된 설치 링크를 보내는 식으로 해킹 프로그램을 설치할 수 있다고 설명한다.

국가정보원은 2012년 ‘나나테크’(위)라는 대행업체를 통해 프로그램을 구입했다. 한겨레 허승 기자

국가정보원은 2012년 ‘나나테크’(위)라는 대행업체를 통해 프로그램을 구입했다. 한겨레 허승 기자

4. 국정원의 감시 대상은 누구였나

이 프로그램으로 국정원은 뭘 하려고 했던 걸까? 국정원은 동시에 최대 20명을 도·감청할 수 있는 20개의 회선을 구입했고, 그중 18개 회선은 해외에 있는 북한 공작원을 상대로 활용했으며, 2개 회선은 국내에서 연구용으로 운용했다고 밝혔다. “시민들을 대상으로 한 적은 결코 없다”는 것이다. 정말 “해외에 있는 북한 공작원 감시용” “연구용”이었을까? 지금까지의 보도를 종합하면, 국정원의 해명에서 의심스러운 대목이 적지 않다.

국정원이 ‘나나테크’라는 대행업체를 통해 해킹 프로그램 구입을 시도한 것은 2010년이다. 나나테크는 “한국 실정상 불법이기 때문에 대신해서” 구입한다고 이탈리아 쪽에 설명했다. 이후 5년간 국정원(나나테크)-이탈리아 해킹팀 사이에 오간 전자우편에는 한국 쪽의 요구가 좀더 명확히 드러난다.

첫째, 국정원은 스마트폰 국내용 모델 해킹에 초점을 맞췄다. 2013년 2월에는 당시 출시된 지 7개월여가 지난 갤럭시S3 국내 모델을 이탈리아에 보내, 사용자 몰래 음성녹음이 가능한지 살펴달라고 주문했다. 이후로도 갤럭시 최신형 등이 나올 때마다 기술 지원을 요청했다. 안랩의 ‘V3 모바일 2.0’과 같은 국내용 백신을 회피하기 위한 방법을 문의하기도 했다.

둘째, 국정원은 이와 별도로 카카오톡을 해킹하길 원했다. 2014년 3월, 해킹팀 내부 전자우편에는 “한국에서 가장 일반적으로 사용되는 카카오톡에 대한 (해킹 기능 개발) 진행 상황에 대해 물었다”는 대목이 나온다.

셋째, 2014년 지방선거를 3개월 앞두고 국내 안드로이드 스마트폰 공격 방법을 요청했다. 2014년 3월께 오간 해킹팀의 ‘출장보고서’를 보면 “그들(국정원)의 주된 관심사는 원격의 안드로이드, 아이폰에 대한 공격”이며 “특히 6월에 안드로이드 공격을 이용하길 원한다”고 적고 있다.

이 밖에도 ‘서울대 공대 동창회 명부’라는 제목의 한글로 된 MS 워드 파일에 악성코드를 심어달라고 요청하거나, 기자를 사칭한 천안함 보도 관련 문의 워드 파일에 악성코드를 심어달라고 요청한 기록도 나온다. 서울대 출신의 천안함 관련 연구진 등이 감시 대상자였을 가능성이 제기되는 대목이다.

일반 국민을 대상으로 한 사찰 가능성도 엿보인다. 국정원이 해킹팀 쪽에 ‘(컴퓨터와 스마트폰을 해킹할 수 있는) 악성코드를 심어달라’며 보낸 설치 파일 링크에는 네이버 맛집 소개 블로그, 벚꽃축제를 다룬 블로그 등이 나온다. 중동호흡기증후군(메르스)이 극성을 부리던 지난 6월에는 메르스 정보 링크를 위장한 악성코드를 요청하기도 했다.

5. 남파 간첩이 카카오톡 쓰고 있어서 ‘대북용’?

국정원의 해명처럼 해외에 있는 북한 공작원을 상대로 한 해킹이었다면, 북한산 소프트웨어나 북한 공작원이 체류하는 해외 국가의 소프트웨어의 취약점을 공격하는 방법을 이탈리아 해킹팀에 묻거나 이에 대한 연구에 집중했어야 한다. 북한은 미국 마이크로소프트사의 윈도나 구글의 안드로이드가 아니라, ‘붉은별’이라는 컴퓨터 운영체계와 ‘아리랑’ 휴대전화 운영체계를 독자적으로 개발해 쓰고 있다. 카카오톡 ‘공격 기술’을 해킹팀에 문의해 익혀봤자 정보 취득 효과가 크지 않을 수 있다.

그러자 국정원은 카카오톡 공격 방법을 문의한 데 대해 “남파 간첩이 카카오톡을 쓰고 있기 때문”이라고 해명했다. 국내에 있는 남파 간첩이 쓰는 카카오톡에 대한 공격을 연구하기 위해 이탈리아 해킹팀에 그 방법을 문의했다는 취지다.

하지만 이미 이슬람국가(IS)와 같은 반국가단체 등도 각국 정부의 추적을 피하기 위해 ‘슈어스팟’ 등의 암호화된 메신저를 쓰고 있는 점을 볼 때 설득력이 떨어진다. 누리꾼들은 “간첩들은 바보라서 카톡을 쓴다”며 국정원의 해명을 비꼬고 있다. 과연 남파 간첩들이 보안에 취약한 안드로이드 스마트폰에서 카톡을 통해 접선하겠느냐는 것이다.

그런데 남파 간첩들이 정말로 국내에서 카톡을 사용할 가능성이 있지는 않을까? 그렇다면 국정원은 법원에 압수수색영장을 신청해서 카카오톡 통신 내용을 열람할 수 있었다. 굳이 카카오톡 ‘해킹 기술’까지 요구할 이유가 없었다. ‘영장을 받을 수 없는 상대’를 도청하려 한 것 아니냐는 의문이 제기되는 대목이다.

해킹당한 전자우편에 나나테크의 이름이 보인다.

해킹당한 전자우편에 나나테크의 이름이 보인다.

6. 왜 영장 받지 않고 ‘스파이웨어’ 구입 택했나

2013년 2월에는 당시 출시된 지 7개월여가 지난 갤럭시S3 국내 모델을 이탈리아에 보내, 사용자 몰래 음성녹음이 가능한지 살펴달라고 주문했다. 이후로도 갤럭시 최신형 등이 나올 때마다 기술 지원을 요청했다.

그렇다면 국정원은 왜 몰래 원격 감시 프로그램을 구매해야 했을까? 몇 가지 가능성을 짐작해볼 수 있다.

첫째, 감시 대상이 적법한 영장 절차를 밟기 어렵다고 판단한 경우다. 간첩, 테러 용의자 등이 아니라 국내 인사들을 상대로 도·감청을 할 경우 이 해킹 프로그램을 활용했을 수 있다. 둘째, 장비와 편의성의 문제다. 현행법은 영장을 받으면 모든 전자통신 기기의 감청을 허용하지만, 국정원은 “휴대전화 감청에 필요한 설비 등이 없어 영장을 (효과적으로) 집행할 수 없다”고 주장해왔다. 이런 상황에서 국정원이 아예 해킹 프로그램을 통해 감시 대상자의 정보를 손에 쥐는 길을 택했을 가능성이 있다. 이번 사태를 통해 국정원의 ‘정보기술력’에 대한 의문도 동시에 제기된다. 세계적으로 해커들이 컴퓨터와 스마트폰 운용체계에 침투해 정보를 빼내는 수법을 쓰고 있는데, 국정원이 기본적인 스파이웨어 도구조차 갖추지 못하고 ‘아웃소싱’을 맡긴 뒤 해외 해킹팀에 계속 의존했다는 얘기이기 때문이다.

국정원이 국내에서 수집한 정보가 국외로 유출되고 있을 위험성도 제기된다. 이탈리아의 해킹팀 본사가 한국에서 쓰는 원격 제어 프로그램에서 어떤 정보를 모으고 있는지 들여다봤을 가능성이 있다. 국정원의 활동이 해킹팀에 고스란히 노출됐을 수 있다는 얘기다. 민감한 정보를 모아야 하는 ‘대외 첩보용’으로는 적합하지 않다.

7. 국정원의 ‘거짓 해명’

국정원은 “해킹 소프트웨어를 구입한 것은 두 차례 10개 회선씩, 총 20명분에 불과(해 대국민 감시용이기 어렵다)하다”고 주장했다. 그러나 감시 프로그램 판매 기록이 20회선이라고 해서 감시 대상자가 20명에 그친다는 뜻은 아니다. 어떤 감시 대상의 도·감청 공격이 끝나면 해킹 공격의 대상을 바꿔가며 계속 사용할 수 있다. 이탈리아 해킹팀의 기술적 지원을 받아 공격 대상을 늘려갈 수 있다는 뜻이다.

이뿐만 아니라 국정원은 2012년 12월6일 대통령 선거를 2주가량 앞둔 시점에 해킹 프로그램 라이선스를 30개 추가 주문하고, 19대 총선을 한 달 앞둔 그해 3월에도 35개 라이선스를 추가로 주문했다는 보도가 나왔다. 동시에 도·감청을 할 수 있는 회선을 최대 20개까지 보유해왔다는 국정원의 해명과 배치되는 부분이다.

해킹팀이 한국에서 제2, 제3의 고객을 확보하려 한 정황도 속속 드러나고 있다. 국방부 국방사이버TF팀 소속 중령의 연락처와, 경찰청으로 추정되는 또 다른 정부기관과의 접촉 흔적도 발견됐다.

하지만 국정원과 여당이 이런 상황을 ‘기회’로 돌파하려는 분위기도 감지된다. 이번 기회에 북한의 사이버 테러 위협을 강조하면서 안보 차원에서라도 이동통신 감청 장비 설치를 의무화해야 한다고 나선 것이다. 새누리당은 이미 이동통신 사업자들이 휴대전화를 감청할 수 있는 장비를 의무적으로 설치하는 통신비밀보호법 개정안을 발의해놓은 상태다.

정유경 디지털콘텐츠팀 기자 edge@hani.co.kr
한겨레는 타협하지 않겠습니다
진실을 응원해 주세요
맨위로