223.62.188.88에 숨은 사용자를 찾아라

국정원 해킹 의혹, 국회 조사와 검찰 수사 시작… 해킹의 대상·범위 확인하고 무엇을 들여다봤는지 삭제된 데이터 추적해야

밝혀야 한다.
‘국가정보원 해킹 의혹’ 사건이 검찰에 고발됐다. 새정치민주연합은 7월23일 휴대전화 해킹 프로그램을 이용해 민간인을 사찰했다는 의혹을 받고 있는 전·현직 국정원장을 포함한 국정원 관계자들을 통신비밀보호법(불법 감청) 위반 등의 혐의로 서울중앙지검에 고발했다. 5163부대(국정원)에 해킹 프로그램을 판 이탈리아 업체 ‘해킹팀’의 내부 자료가 지난 7월5일 유출된 지 18일 만이다.
국회도 국정원 해킹 의혹 조사에 합의했다. 여당인 새누리당의 반대로 청문회는 무산됐다. 대신 여야는 “통상 정보위에 출입 또는 제출이 허용되지 않는 증인, 감정인, 참고인 및 증거 방법에 대해서는 보호 가치 있는 기밀이 누설되지 않는 방법을 양당 간사가 합의해 정한다”는 방식으로 정보위원회에서 증인을 불러 폭넓게 조사하기로 했다. 정보위는 그동안 국가 기밀을 이유로 제한된 인원으로 비공개로만 진행했다.
국정원은 이미 해킹 프로그램인 ‘원격제어시스템’(RCS·Remote Control System)을 2012년부터 구매해 사용했음을 시인한 바 있다. 다만 지난 7월14일 국회 정보위 전체회의에서 “2012년 1월과 7월 해킹팀으로부터 휴대전화 감청이 가능한 해킹 프로그램을 20회선 구입해, 18개 회선은 북한 공작원을 대상으로 해외에서, 2개 회선은 국내에서 연구용으로 운용 중”이라고 밝혔다. 한국인을 상대로 쓰지 않았다는 설명이다. 이병호 국정원장은 이날 “내국인을 대상으로 감청 프로그램을 활용한 적도, 활용할 이유도 없으며 과거와 같은 (불법 사찰) 활동이 있었다면 어떤 처벌도 받겠다”고 말한 것으로 알려졌다.
쟁점은 국정원이 한국인을 대상으로 해킹을 했는지, 또 무엇을 들여다봤는지다. 국정원은 법원의 허가 없이 내국인을 도청해서는 안 된다. 그러나 등 언론들은 해킹팀의 400GB에 달하는 자료 가운데 전자우편 등을 찾아내 국정원이 민간인을 불법 감시했을 가능성이 크다는 ‘국정원 해킹 의혹’을 보도해왔다.

이탈리아 업체 해킹팀의 내부 자료. 스파이웨어를 심은 공격코드가 사용된 로그기록이다. 공격코드의 목표물은 6월3일 IP 223.62.188.88 등에 접속한 스마트폰 사용자로 보인다.

1. 한국 내 사용자를 향한 해킹인가

해킹팀이 주고받은 전자우편 등을 분석해보면, 해킹팀은 SKA(South Korea Army·해킹팀이 국정원을 가리켜 부르는 말)의 요구로 해킹이 가능한 공격코드를 만든 것으로 나온다. 이 공격코드가 담긴 인터넷주소(URL)를 보내 공격 대상자가 클릭하면, 대상자의 컴퓨터 또는 스마트폰에 해킹 소프트웨어가 깔릴 수 있게 설계했다. 해킹 소프트웨어가 깔리면 RCS를 통해 대상자를 원격으로 감시할 수 있다.

현재까지 이 공격코드가 한국인을 향해 쓰였는지는 명확하지 않다. 하지만 이름을 밝히길 꺼린 한 보안 전문가와 이 함께 해킹팀 자료를 분석한 결과, 해킹팀에서 보낸 공격코드는 흔적을 남겼다. 이 공격코드는 안드로이드 운영체제를 갖는 스마트폰의 보안 취약점을 공격하는 서버(Exploit_Delivery_Network_android)를 거쳐 ‘223.62.188.88’ 등 세 곳의 IP에서 발견됐다. IP는 인터넷상의 각 컴퓨터가 다른 컴퓨터와 구별될 수 있도록 하는 고유한 주소를 말한다. 스마트폰 역시 인터넷에 접속하면 IP를 갖는다. 즉, 이 IP에 접속한 컴퓨터 또는 스마트폰을 찾아내 주인이 누군지 밝혀내면 해킹팀이 국정원의 요구로 만든 공격코드가 누구를 향해 쓰였는지 알 수 있다.

‘223.62.188.88’ 등 세 곳의 IP는 SK텔레콤에 할당된 주소로 확인됐다. IP는 통신사마다 다르게 할당된다. 이 IP를 쓴 것은 모두 안드로이드 스마트폰이었고, 한 사용자는 삼성전자 갤럭시 노트2를 쓰는 것으로 분석됐다. 특정한 시간에 공격코드가 활동한 것으로 나오기 때문에, SK텔레콤 서버에 남은 로그기록을 확인하면 이 시간에 이 IP에 접속한 사람을 찾아낼 수 있다.

공격코드는 2015년 로그기록만 남아 있는 상태다. SK텔레콤은 데이터 통화내역(로그기록)을 보통 6개월 정도 보관한다고 한다. 원래 요금을 부과하기 위해 저장하는 것이어서 요금과 상관없는 정보는 보관하지 않을 수 있다고 설명했다. 데이터 통화내역은 통신비밀보호법상 법원의 허가를 얻어야만 통신사가 정보를 제공한다. 검찰이 의지를 가지고 수사한다면 공격코드가 어디로 향했는지 밝혀내기는 어렵지 않다는 것이다.

국정원은 7월14일 열린 국회 정보위에서 RCS를 활용해 해킹한 스마트폰 IP 목록도 있다고 했다. 하지만 목록이 담긴 A4용지 한 장을 흔들었을 뿐 IP를 정보위원들에게 구체적으로 공개하진 않았다. 안철수 새정치민주연합 국민정보지키기위원장은 “국내 SK텔레콤 사용자의 악성코드 (감염 여부)에 대한 엄밀한 조사가 필요하다. 민간기업은 영장 없이 밝힐 수 없다고 하니 검찰 수사를 통해 밝혀야 한다”고 했다. 국민정보지키기위원회는 이 IP들이 포함된 고발장을 검찰에 제출했다.

2. 국정원은 무엇을 들여다봤을까국정원에서 20년간 일한 사이버 보안 전문가가 그냥 컴퓨터에서 딜리트 키를 눌러 삭제했다는 설명은 석연치 않다. 딜리트 키만 눌러 삭제하면 나중에 다시 복구해 들여다볼 수 있다는 것은 컴퓨터를 아는 일반인이라면 대부분 아는 사실이다.

이탈리아 업체 해킹팀의 자료를 보면, 해킹 프로그램 RCS는 스마트폰의 거의 모든 내용을 들여다볼 수 있는 것으로 설명하고 있다. 해킹팀의 설명대로라면, 국정원이 해킹 프로그램이 심어진 스마트폰을 원격 조종해 사진을 찍어 전송하거나, 사용자의 통화내역을 가져오거나, 사용자가 보고 있는 화면을 들여다볼 수 있다고 사이버 보안 전문가들은 지적한다.

해킹팀은 특히 사람들이 많이 쓰는 채팅앱에 대한 연구도 했다. 텔레그램·위챗·와츠앱·라인 등이 대상이었다. 2014년 3월 해킹팀 내부에서 주고받은 전자우편을 보면, 한국 고객이 “한국에서 가장 일반적으로 사용되는 카카오톡에 대한 (해킹 기능 개발) 진행 상황에 대해 물었다”는 내용이 발견된다.

채팅앱은 전화 통화 대신 이용하는 사람이 점점 많아지고 있는 스마트폰 서비스다. 기능도 늘고 있어 ‘개인정보의 창고’가 되고 있다. 국정원이 카카오톡에 관심을 가졌다는 것은 지난해 불거진 카카오톡 사찰 논란만큼 큰 폭발력을 가진다. 카카오톡 해킹이 성공했는지는 해킹팀 자료에서 아직 발견되지 않았다.

지난해 6월 경찰은 청와대 주변에서 세월호 관련 집회를 하다가 연행된 정진우씨에 대해 카카오톡 압수수색영장을 집행하면서 ‘사이버 사찰 논란’을 불러일으킨 바 있다. 당시 정씨의 범죄 혐의와 관련 없는 초등학교 동창과의 대화 내용, 개인 신용카드 번호 등 모든 카카오톡 내용을 수사기관이 들여다본 것으로 알려졌다. 채팅앱에 대한 압수수색과 도청이 심각한 사생활 침해를 일으킬 수 있다는 우려가 나왔다.

시민들이 카카오톡 대신 다른 채팅앱으로 옮겨가는 등 저항하자, 채팅앱 업체 다음카카오는 대표가 직접 나서서 사과하며 수사기관의 감청영장에 응하지 않겠다고 밝혔다. 또 카카오톡 대화 내용을 서버에 2~3일만 저장한 뒤 삭제해 수사기관이 나중에 들여다볼 수 없게 하겠다고 했다. 이런 상황에서 해킹팀이 개발한다고 한 카카오톡 해킹 기술을 국정원이 어느 정도까지 도입해 사용했는지 살펴볼 필요가 있다. 새정치민주연합 국민정보지키기위원회도 국정원에 ‘RCS 유사 프로그램 자체 연구·개발 내역’을 제출하라고 요구했다.

정의당 당원들이 7월16일 서울 광화문광장에서 ‘국정원의 전 국민 감청 규탄 및 성역 없는 수사 촉구 국민 캠페인’을 실시하며 기자회견을 하고 있다. 한겨레 신소영 기자

3. 복구한 RCS 데이터는 진짜일까

지난 7월18일에는 국정원 직원 임아무개(45)씨가 숨진 채 발견됐다. 임씨는 스스로 목숨을 끊기 전 유서를 남겼다. 유서에는 “외부에 대한 파장보다 국정원의 위상이 중요하다고 판단하여 혹시나 대테러, 대북 공작 활동에 오해를 일으킨, 지원했던 자료를 삭제하였습니다”라는 내용이 담겨 있다.

‘자료를 삭제했다’는 유서 내용은 국정원 해킹 의혹을 더 키웠다. 임씨는 국정원에서 RCS를 운용한 실무자로 알려져 있다. 임씨가 숨지기 전 국정원은 RCS에 관한 자료를 국회 정보위원들에게 공개하겠다고 밝혔다. 그러나 담당자가 돌연히 숨지며 자료를 삭제했다고 밝힌 것이다. 임씨가 지운 자료는 국정원이 누구를 추적하고 지켜봤는지를 드러내는 기록일 가능성이 커 국정원 해킹 의혹을 푸는 데 핵심 증거가 될 수 있다.

국정원은 의혹을 차단하고 나섰다. 국회 정보위 새누리당 간사인 이철우 의원은 7월23일 “숨진 국정원 직원이 (RCS 관련 자료를) 딜리트(Delete·삭제) 키를 눌러 삭제했다. 그냥 삭제해 복구가 쉽다”고 말했다. 의혹이 없도록 자료를 복구해 공개하겠다는 것이다.

국정원에서 20년간 일한 사이버 보안 전문가가 그냥 컴퓨터에서 딜리트 키를 눌러 삭제했다는 설명은 석연치 않다. 딜리트 키만 눌러 삭제하면 나중에 다시 복구해 들여다볼 수 있다는 것은 컴퓨터를 아는 일반인이라면 대부분 아는 사실이다. 이명박 정부 당시 국무총리실 공직기강복무관실은 민간인 불법사찰을 감추기 위해 관련 파일을 삭제하는 데 ‘디가우싱’을 사용했다. 강한 자력으로 데이터를 영구 손상시켜 복구가 불가능하게 만든 방식이다.

또 다른 사이버 보안 전문가는 “그냥 딜리트 키를 눌러 삭제한 뒤 다른 파일을 덮어쓰지 않았다면 80~90% 자료 복구가 가능할 것”이라면서도 “하드디스크를 복구해 제출한 자료가 (지워버린 자료의) 전체 분량인지 아닌지는 복구한 사람만이 알 수 있다. 하드디스크를 전부 제출하지 않으면 전체 복구인지 아닌지 알기 어렵다”고 했다.

안철수 위원장도 “정보기관에서 파일 삭제는 실무자 선에서 이뤄지지 않아야 한다. 실무자는 운용만 하고 삭제 권한은 그 부서 상급자가 가질 수밖에 없다. 파일 삭제에 대한 해명이 필요하다”고 말했다. 참여연대는 특검 실시를 주장했다. 참여연대는 죽음을 선택하게 된 고인의 역할과 자살 동기, (임씨에 대한) 감찰 내용 등 죽음을 둘러싼 의혹도 모두 규명되어야 한다고 했다. 밝힐 게 많아지고 있다.

이완 기자 wani@hani.co.kr