키프로스 정보기구장은 사임했는데

해킹팀 RCS 구매 송장 발견되자 사퇴… 해킹팀 사태로 디지털 시대 국가 폭력과 감시에 대한 ‘글로벌 협업’ 전세계적 논란

“그들은 이미 나에 관한 모든 걸 알고 있었어요. 내 컴퓨터가 나보다 먼저 체포됐더군요.”
2011년 12월26일 테이모어 카림(당시 31살)은 시리아 다마스쿠스 거리에 있는 자신의 집을 나서자마자 경찰에 체포됐다. 집을 나서기 전 그는 동료와 ‘스카이프’(인터넷 영상전화 서비스)로 대화를 나눴다. 경찰은 카림이 어디에 뭐하러 가는지 이미 알고 있었다.
‘아랍의 봄’으로 민주화운동 물결이 일기 전까지, 카림은 정치에 아무런 관심이 없었다. 직장과 집밖에 모르는 평범한 의사였다. 하지만 바샤르 독재정권이 민주화를 요구하는 시민을 무력 진압하는 광경을 직접 목격하고 달라졌다. 저항세력의 부상 치료를 적극적으로 돕기 시작했다. 체포 전날에는 동료들을 만나 저항세력을 위한 병원 운영 계획을 마지막으로 다듬었다.
경찰은 체포 뒤 그를 고문했다. 카림의 이빨 2개, 갈비뼈 3개가 부러졌다. 그래도 카림은 동료들의 이름을 얘기하지 않았다. 얘기할 필요도 없었다. 경찰은 카림의 스카이프 대화 내역을 내밀었다. 분량이 1천 쪽에 달했다. “(경찰은) 대화를 나눈 사람들, 계획 내용, 날짜 등 내가 스카이프로 지인들과 나눈 모든 순간과 모든 대화를 알고 있었어요. 내 스카이프 계정의 비밀번호까지도요.”

지난 7월7일 벨기에 브뤼셀에서 열린 유럽연합(EU) 정상회의에 참여한 키프로스의 니코스 아나스타시아디스 대통령. 아나스타시아디스 대통령은 7월11일 정보기구장이 낸 사표를 즉각 수리했으며, 의회와 해킹팀 사건에 대한 해결 방안을 논의하고 있다. EUTERS

“글로벌 감시 시장 규모 50억달러”

71일간 갇혀 있던 카림은 보석으로 가석방되자마자 시리아 밖으로 도피했다. 2012년 등 영미 언론은 카림이 겪은 일을 타전했다. 이런 사례는 디지털 시대의 시민 인권과 국가 감시 이슈를 다루는 프라이버시 연구자, 인권단체들을 자극했다.

카림이 스카이프를 사용한 이유는 “우리가 택할 수 있는 가장 안전한 커뮤니케이션 기술”이라고 믿었기 때문이다. 스카이프는 미국 기반의 글로벌 업체 마이크로소프트사에서 인수해 운영하는 서비스다. 개발도상국 정부가 스카이프를 ‘뚫었다’면 스카이프의 협조 또는 상당한 수준의 기술력을 갖춘 집단의 협업이 있었다는 점을 시사한다. 디지털 시대 국가 폭력과 감시의 글로벌 협업 메커니즘을 규명할 필요성이 대두했다. 같은 해 글로벌 정보공개 단체인 ‘위키리크스’는 글로벌 감시 시장이 50억달러 규모에 이른다고 발표했다.

2013년 3월 ‘국경없는기자회’는 아예 ‘전자 감시’만을 주제로 ‘인터넷의 적들’이란 제목의 특별보고서를 냈다. 보고서는 국가 부문에서 언론인, 인권활동가 등 민간인을 감시·탄압하는 시리아·중국·이란·바레인·베트남 등을 꼽았다. 민영 부문에선 무차별·타기팅(targeting) 감시를 가능하게 하는 소프트웨어나 하드웨어를 개발·판매하는 업체 5곳을 ‘디지털 시대 용병들’로 선정했다.

여기에는 최근 해킹을 당해 400GB 분량의 내부 정보가 드러난 이탈리아 업체 ‘해킹팀’을 비롯해, 독일·영국의 ‘감마’, 독일 ‘트로비코르’, 프랑스 ‘아메시스’, 미국 ‘블루코트’가 꼽혔다. 보고서는 감시 소프트웨어와 하드웨어의 수출이 각국 정부와 국제기구 차원에서 통제되어야 한다고 요청했다. 이미 유럽연합(EU)과 미국은 이란·시리아에 감시 테크놀로지 수출을 금지하고 있었으나, 국경없는기자회는 ‘예외적 국가’만 통제하는 건 불충분하다고 판단했다. 인류의 기본권을 보장하기 위해서라고 했다.

같은 해 여름, 미국 국가안보국(NSA) 전 직원인 에드워드 스노든의 내부고발은 엄청난 파장을 일으켰다. 2001년 9월11일 테러 이후 미 정보기관은 자국 안에서도 영장 없이 도·감청을 할 수 있게 됐다. 하지만 스노든이 폭로한 NSA의 정보 감시 프로그램 ‘프리즘’은 일반인이 상상할 수 있는 정보 수집 범위를 뛰어넘었다. 구글·페이스북·애플·마이크로소프트 등 민간 사업자들의 중앙 데이터 서버에 접근해 이용자들의 통신 정보를 광범위하게 수집했다. 스노든의 고발은 끝없이 진화하는 감시 기술에 대한 경각심을 일깨웠다.

EU, 스파이웨어 ‘무기’로 공식 인정

“많은 민주주의 국가들이 자국 내에서 스파이웨어 사용에 대한 공적 토론도 없는 상황에서 스파이웨어를 사용했다는 점이 놀랍다.” -전자프런티어재단(EFF)-

지난해에는 감마사가 외부 해킹을 당해, 대표 상품인 ‘핀피셔’ 소스코드 및 내부 문서가 유출됐다. 그 분량이 40GB에 이르렀다. 세계 35개국 정부기관이 감마의 고객 목록에 이름을 올렸다. 바레인 정부가 영국에 망명한 바레인 인권활동가의 스마트폰을 들여다볼 수 있었던 게, 모두 감마사의 상품 덕분이었다는 점이 확실시됐다.

결국 같은 해 10월 EU는 스파이웨어 같은 공격적인 감시 테크놀로지를 ‘군민 양용’(dual use) 항목으로 분류했다. 민간에서 활용되고 있지만 언제든지 군사 목적으로 전용될 위험성이 높다는 것이었다. 언제든 ‘무기화’할 수 있는 감시 테크놀로지의 위험성을 공식 인정하고, 국가 간 거래 규제를 강화했다. 군민 양용 항목에는 핵발전 원자로, 로켓 연료 등도 포함돼 있다. 감시 테크놀로지가 핵무기만큼 위험하다고 판단한 셈이다.

국경없는기자회, 영국의 정보인권단체 ‘프라이버시 인터내셔널’ 등은 한목소리로 규제 강화를 반겼다. “EU가 드디어 이(감시 테크놀로지) 영역에서 법적 조치를 취하기 시작한 것을 환영한다. 그러나 해로운 감시 기술들을 규제하기 위한 절차 마련은 이제 겨우 첫 단계를 시작했을 뿐이라고 본다.”(독일 시민단체 ‘디지털 사회’(Digitale Gesellschaft) 상무이사 알렉산더 잔더)

이번 해킹팀 해킹 사건은 지난해 일어난 감마사 해킹 건과 유사하다. 그래도 유출 자료 규모가 더 크고 거래 국가 목록을 늘렸다는 점에서 세계 언론과 인권단체 등의 이목을 끌고 있다. 특히 미국 정보인권단체인 전자프런티어재단(EFF)은 민주국가들이 다수 포함된 점에 주목했다. “많은 민주주의 국가들이 자국 내에서 스파이웨어 사용에 대한 공적 토론도 없는 상황에서 스파이웨어를 사용했다는 점이 놀랍다.” 스파이웨어가 범죄자 감시나 국가안보를 위한 첩보활동 등에 도움을 준다 해도, 양날의 검 같은 ‘무기’라는 점에서 자국민들과 의견을 나눠야 한다는 지적이다.

지중해 섬나라 키프로스공화국에서는 7월11일 정보기구(KYP)의 수장인 안드레아스 펜타라스가 이번 해킹팀 사건으로 사임했다. KYP가 해킹팀으로부터 2014년 3만5천유로를 주고 ‘원격 제어 시스템’(RCS·Remote Control System)을 구매한 송장이 발견됐기 때문이다.

키프로스는 5년 전 커뮤니케이션 감시를 불법으로 규정하고 정보기관의 감시 활동은 매우 특정한 경우에만 허용하도록 법을 만들었다. 그런데 이후 KYP가 활동을 승인받았다는 기록은 발견되지 않았다. 사임한 기관장은 구체적인 활동 내용에 대해서는 언급하지 않고, 자국의 헌법 틀 안에서 인권과 합법을 지키며 오직 국가안보만을 위해서 활동했다고 주장했다. 정부는 진상 조사를 벌이겠다고 의회에 얘기했다. 키프로스는 남부 공화국과 북쪽 터키 공화국이 대치하며 분쟁 중이다.

해킹팀·감마와 거래한 국가 현황. 자료: 전자프런티어재단(EFF)

캐나다·오스트레일리아·룩셈부르크·홍콩 등에서도 논란

캐나다·오스트레일리아·룩셈부르크·홍콩 등에서도 정부기관이 해킹팀 상품에 관심을 보이거나 실제 구매했다는 내용이 담긴 문서가 발견돼 언론과 시민사회가 해당 기관에 정보 공개를 요청하고 있다. 캐나다는 왕립경찰(RCMP), 안보정보청(CSIS), 밴쿠버 경찰청, 에드먼턴 경찰 등 다양한 기관에서 해킹팀과 상품 거래를 위한 만남을 의논하는 전자우편이 발견됐다. 왕립경찰 대변인은 캐나다 언론 에 “우리가 해킹팀 프로그램을 2011년에 테스트한 건 맞다. 하지만 실제 구매하거나 사용하진 않았다”고 답했다. 하지만 이 대변인은 의 후속 질문들에는 답하지 않았다. 는 관련 기관 관계자들이 모두 ‘부인도 사실 확인도 해주지 않고 모호한 말만 한다’고 보도했다.

캐나다 시민단체인 전국시민자유연맹(CCLA)은 지난해부터 시행된 경찰의 컴퓨터 프로그램 활용 수사를 허용한 법안에 문제가 있다고 지적했다. 수사 대상자의 방어권이 제대로 보장되지 않은 상황에서 법원이 관련 영장을 심사한다는 것이다. 는 최근 캐나다 법무부에 “경찰이 활용할 수 있는 컴퓨터 프로그램에 멀웨어(스파이웨어)도 포함되느냐”고 질의했는데, 법무부는 “어떤 종류의 소프트웨어를 사용할지에 대한 질문은 (사법 당국의) 운영상의 고려사항”이란 간단한 답변만 보내왔다.

연방경찰(AFP), 보안정보기관(ASIO), 북부준주(NT)·뉴사우스웨일스주(NSW) 경찰, 반부패독립위원회(IBAC) 등이 해킹팀 유출 문서에 이름을 올린 오스트레일리아에서도 해당 기관들은 언론의 질의에 답하기를 회피하고 있다.

룩셈부르크는 해킹팀의 문서 유출 사태 직후인 7월7일, 그자비에 베텔 총리가 의회에 출석해 3년 전 룩셈부르크 보안처(SREL)가 해킹팀과 30만유로짜리 계약을 한 바 있다고 인정했다. 베텔 총리는 “계약은 절차에 따라 이뤄졌고 의회도 알고 있었다”면서 “구매한 해킹팀의 툴은 SREL의 활동에 2번가량 쓰였다”고 밝혔다. 또 해킹팀의 대표 상품인 RCS를 산 게 아니라 SREL의 필요에 맞게 맞춤형으로 개발한 상품을 샀다고 주장했다. 그러나 베텔 총리는 이번에 유출된 문서에서 룩셈부르크 조세 당국이 SREL과 별도로 해킹팀과 거래했다는 내용이 드러난 데 대해서는 사실을 부인해 논란의 여지를 남겼다.

해킹팀에 툴 판매한 미국 기업에도 책임 공방

홍콩 반부패수사기구(ICAC·염정공서) 역시 가 유출 문서를 토대로 소프트웨어 구매 여부를 묻는 질문에 대해 즉답을 피했다. ICAC 대변인은 “뇌물 수수는 무척 비밀리에 이뤄지는 범죄다. 사법기구로서 법과 규제를 따르면서도 감시 능력을 향상시키기 위해 계속 노력할 것”이라고 말했다. 이와 관련해 홍콩 정보기술(IT) 부문 대표 입법의원인 찰스 목은 “(해킹팀의) 소프트웨어는 매우 논쟁적인 것”이라며 ICAC에 정보 공개를 요청하고 있다.

미국 정보 인권 활동가들은 해킹팀이 ‘반인권 정부’에도 상품을 판매한 사실이 드러남에 따라, 해킹팀에 익스플로잇 툴(취약점 공격 도구)을 판매한 미국 소프트웨어 민간 업체들의 윤리적 책임을 묻고 있다. 또 연방수사국(FBI)이 온라인 익명성을 위한 브라우저인 ‘토르’(Tor)까지 해킹하는 방법에 관심을 보인 것으로 나타나면서, 소셜네트워크서비스(SNS)를 중심으로 표현의 자유와 디지털 프라이버시가 다시 논의의 대상이 되고 있다.

EU도 해킹팀 사건을 논의하지 않을 수 없는 상황이다. 네덜란드 의원인 마리티어 샤케는 7월7일 해킹팀이 수단·러시아와 거래한 것과 관련해 이탈리아 정부가 조사를 벌여야 한다는 내용을 담은 서면질의서를 유럽위원회(EC)에 보냈다. EC는 6주 안으로 의원에게 회신을 보내야 한다.

김효실 기자 trans@hani.co.kr