출처 : http://www.ohmynews.com/NWS_Web/View/at_pg.aspx?CNTN_CD=A0002352249
국정원은 진짜 '누구'를 해킹했나?
[집중분석-국정원 9대 적폐사건⑧] 해킹프로그램 구입 사건
17.08.25 20:56 l 최종 업데이트 17.08.25 20:56 l 글: 구영식(ysku) 편집: 최유진(youjin0213)
문재인 정부의 출범으로 국정원은 중대한 기로에 섰다. 이명박·박근혜 정부에서 국정원은 '정보기관의 가장 나쁜 선례'였다. '국가안보'가 아닌 '정권안보'만을 수호했기 때문이다. 그 9년의 시간 동안 일어난 '적폐'들을 제대로 조사하지 않고 국정원 개혁을 얘기할 수는 없다. <오마이뉴스>는 국정원개혁발전위(13개)과 국정원감시네트워크(15개)가 선정한 국정원 적폐사건 목록 가운데 총 9개를 추려서 '어떤 사건'인지, '무엇'을 재조사해야 하는지를 집중 분석한다. [편집자말]
지난 2014년 2월, 캐나다 토론토대학의 비영리연구팀인 시티즌랩(Citizen Lab)이 중요한 조사결과를 내놓았다. 전세계 40억 개의 IP를 역추적해 이탈리아 해킹프로그램 개발업체 '해킹팀'의 스파이웨어(다른 사람의 컴퓨터에 들어가 중요한 개인정보를 빼가는 소프트웨어)를 구입한 국가들을 찾아낸 것이다.
해킹팀의 스파이웨어를 구입해 국가는 멕시코, 콜롬비아, 파나마, 헝가리, 터키, 이탈리아, 폴란드, 오만, 사우디아라비아, 아랍에미레이트연합, 이집트, 에티오피아, 모로코, 나이지리아, 수단, 아제르바이잔, 카자흐스탄, 말레이시아, 태국, 우즈베키스탄 등 총 21개국이었다. 여기에 한국도 포함돼 있었다. 일부 국가에서는 해킹팀의 스파이웨어를 구입해 인권운동가, 야당 정치인, 언론인에게 사이버 공격을 가한 것으로 알려졌다.
시티즌랩은 같은 해 6월, 러시아 보안업체 카스퍼스키와 공동으로 해킹팀의 원격제어시스템(RCS) 프로그램인 '갈릴레오'의 실체를 폭로하기도 했다. 국경없는 기자회는 또다른 해킹전문업체인 감마 인터내셔널(Gamma International), 블루코트(Blue Coat), 아메시스(Amesys), 트로비코(Trovicor)와 함께 해킹팀을 '인터넷 5적'으로 규정했다.
이후 해킹팀은 '공공의 해킹 표적'이 됐고, 1년여 뒤인 지난 2015년 6월 실제로 해킹팀의 서버가 통째로 해킹당했다. 이어 7월에는 '정부나 기업 등의 비윤리적 행위와 관련된 비밀문서를 폭로하는 웹사이트' <위키리크스>가 400GB에 이르는 방대한 해킹팀 내부자료를 공개했다. 이렇게 공개된 해킹팀 내부자료에 국가정보원을 가리키는 '육군 5163부대'가 등장했다. 국정원이 해킹프로그램을 구입한 흔적이 드러난 것이다.
이탈리아 '해킹팀'과 RCS 프로그램
▲ 이탈리아 '해킹팀'의 RCS 해킹프로그램을 구입한 21개 국가들. 이는 캐나다 토론토대학의 비영리연구팀 '시티즌랩'이 지난 2014년 발표한 것이다. ⓒ 구영식
해킹팀은 지난 2003년 이탈리아 밀라노에서 설립된 해킹 전문 보안업체다. PC나 스마트폰에 몰래 설치해 도·감청을 하거나 감시할 수 있는 해킹프로그램을 개발해 팔아온 업체다. 특히 해킹팀은 사이버 공격기법을 전문적으로 연구하는 '공격연구 보안기업'(offensive security)와 밀접한 관계를 맺어왔다. '공격연구 보안기업'로부터 '제로데이 취약점'(취약점이 발견된 뒤 패치되기 전까지의 취약점)을 사들여 해킹프로그램을 개발해왔다는 것이다.
해킹팀이 개발해서 판매해온 대표적인 해킹프로그램으로는 '다빈치'와 '갈릴레오'가 있다. 둘 다 원격제어시스템(RCS) 프로그램이다. '갈릴레오'는 RCS 프로그램의 최신 버전으로 알려졌다. 해킹팀은 RCS 프로그램의 버전에 따라 '갈릴레오' 등의 별칭을 붙여왔다.
RCS 프로그램이 PC나 스마트폰에 깔리면 인터넷·이메일·파일(PC), 문자메시지·주소록·일정(스마트폰) 등을 훔쳐볼 수 있고 위치도 추적할 수 있다. 심지어 PC의 웹캠, 스마트폰의 카메라와 마이크 등까지도 원격 제어할 수 있다. 특히 RCS 프로그램은 운영시스템(OS)을 가리지 않고 해킹하는 기능을 보유한 것으로 알려졌다. 오병일 진보네트워크센터 활동가(정보인권연구소 이사)의 얘기다.
"RCS 프로그램은 좀더 공격적인 감시방법을 구사한다. 기존의 감시방법이 누군가 밖으로 표현하거나 움직이는 것만 감시했다면 RCS 프로그램은 타깃(감시대상)의 노트북이나 핸드폰 등에 침입한다. 상시적 감시가 가능하고, 주변 환경까지도 감시한다. 타깃(감시대상)의 더 내면적인 것까지 감시한다는 점에서 감시의 강도가 높다."
이러한 특성 때문에 세계 각 정부가 자국의 언론인이나 인권운동가, 야당 정치인 등을 감시하는 용도로 해킹팀의 해킹프로그램을 구입해왔다는 의혹이 많이 제기됐다. 이에 해킹팀은 "반인권 정부로 지목된 나라와는 거래하지 않는다"라고 의혹을 부인해왔다. 하지만 위키리크스의 폭로로 인해 해킹팀이 이집트, 레바논, 에티오피아, 수단 등과 거래해온 사실이 드러났다.
그동안 언론에서 확인한 해킹팀의 고객은 멕시코(11개 기관), 이탈리아(7개 기관), 모로코(2개 기관), 사우디아라비아(3개 기관), 미국(3개 기관), 싱가포르(1개 기관) 등 총 37개 67개 기관이다(그런데 국정원은 지난 2015년 7월 해킹프로그램 구입 논란이 벌어진 직후 "35개국 97개 기관이 이 프로그램을 구입했다"라고 주장한 바 있다).
'5163부대=국정원', 해킹프로그램 라이선스 20개 구입
그런데 해킹팀의 해킹프로그램을 구입한 고객 명단 가운데 'The 5163 Army Division, S.Korea'가 있었다. '남한의 5163부대'가 해킹프로그램을 구입했다는 것인데, '5163부대'는 국정원을 가리킨다. 5163부대는 '7452부대'와 함께 국정원의 대외용 혹은 위장용 명칭이다. 결국 국정원이 해킹팀의 해킹프로그램(RCS)을 구입했다는 얘기다.
국정원은 대선이 치러진 지난 2012년 1월과 7월 두 차례에 걸쳐 총 20개의 RCS 프로그램 라이선스('감시할 수 있는 권한'에 해당하는 용어 - 기자 말)를 구입했다. 국정원도 지난 2015년 7월 14일 국회 정보위 전체회의에서 "2012년 1월과 7월 이태리 해킹팀으로부터 총 20명 분의 RCS 소프트웨어를 구입했다"라고 인정했다(관련기사 : 국정원 "해킹 프로 구입 인정"... 민간인 사찰은 부인).
▲ 이병호 국정원장 국회 정보위 출석 '해킹 의혹' 보고 국가정보원의 민간인 대상 해킹 의혹과 관련해 국회 차원의 진상조사가 시작된 27일 오후 서울 여의도 국회에서 열린 정보위원회 전체회의에 이병호 국가정보원장이 출석하고 있다. ⓒ 유성호
같은 날 국회 정보위 전체회의에 참석한 이병호 국정원장은 "2012년 해킹팀한테서 두 차례(1월과 7월)에 걸쳐 휴대전화 감청이 가능한 해킹 프로그램을 각 10개 회선씩 (모두 20개 회선을) 구입했다"라고 국회 정보위원들에게 설명했다.
"총 20명 분의 RCS 소프트웨어를 구입했다"라는 것의 의미와 관련, 오병일 활동가는 "20명을 동시에 감시할 수 있는 프로그램 라이선스를 구입했다는 뜻이다"라며 "프로그램 라이선스가 많으면 많을수록 더 많은 사람을 감시할 수 있다"라고 말했다. '총 20명 분의 RCS 소프트웨어'는 '20개의 해킹 회선 라이선스'를 가리킨다.
<위키리크스>에 의해 공개된 해킹팀의 매출전표에 따르면, 국정원은 지난 2012년부터 2015년까지 6차례에 걸쳐 총 70만1400유로(약 8억8000만 원)를 해킹팀에 지급했다. 이는 RCS 프로그램 라이선스 구입과 관리·보수, 업그레이드 등에 들어가는 비용까지 포함된 금액이다. 10개 해킹 회선 라이선스의 가격은 4만유로(약 5000만 원)이고, 관리·보수를 의뢰할 경우 구입비의 15%에 해당하는 금액을 추가로 내야 한다.
실제로 국정원은 지난 2012년 2월 39만 유로(4억9000만 원)를 주고 RCS 프로그램을 구입한 뒤 2015년까지 5차례에 걸쳐 관리·보수, 업그레이드 등의 비용으로 31만1400유로(3억9000만 원)를 추가로 지급했다. 이와 별도로 국정원은 나나테크를 통해 지난 2012년 3월과 12월 각각 35개와 30개의 RCS 프로그램 라이선스를 추가 주문했다. 국정원과 해킹팀의 거래를 대행한 나나테크는 유·무선 통신설비를 통신사 등에 공급해온 업체다.
의문스러운 해킹프로그램 구입 실무자의 죽음
그런데 국정원에서 RCS 프로그램 구입 과정에 관여했던 임아무개 과장이 지난 2015년 7월 18일 자신의 빨간 마티즈 차량에서 숨진 채 발견됐다. 임 과장은 '해킹팀'과 수시로 이메일을 주고받으며 해킹프로그램 구입, 피싱, 인터넷주소 제작 등을 문의해온 인물이다.
임 과장은 국정원 제3차장 산하 과학정보국 연구개발단에서 해킹업무를 총괄해온 팀장급 간부였다. 국정원도 언론에 "2012년도 문제의 해킹 프로그램 구입을 실무판단하고 주도한 사이버 전문 기술직원"이라고 소개했다. 그는 국정원이 구입한 해킹프로그램을 해킹 대상 스마트폰에 심는 기술적 업무를 맡아온 것으로 알려졌다.
임 과장의 역할(임무)을 엿볼 수 있는 주장도 있다. 지난 2015년 7월 13일 김광진 당시 새정치민주연합 의원은 "인터넷에 공개된 해킹팀의 해킹 자료를 분석한 결과, 국정원은 구입한 해킹 프로그램인 RCS를 감시 대상자의 스마트폰 등에 침투시키기 위한 '피싱URL' 제작을 최소 87회 이상 해킹팀에 의뢰한 것으로 나타났다"라고 주장했다.
임 과장은 지난 2015년 7월 18일 오전 4시 50분께 부인에게 "출근한다"라고 말한 뒤 집을 나섰다. "출근한다"라고 했지만 국정원에도 그는 없었고, 오전 8시부터는 통화조차 이루어지지 않았다. 결국 이날 오전 11시 55분께 자신의 집에서 13km 떨어진 경기도 용인구의 한 야산 중턱에서 숨진 채 발견됐다.
▲ 2015년 7월 18일 최근 현안이 되고 있는 국정원의 해킹 프로그램 구입 관련 내용이 포함된 유서를 남기고 숨진 국정원 직원 임모(45)씨가 발견된 승용차. ⓒ 연합뉴스
임 과장이 숨진 빨간 마티즈 안에서는 두 개의 번개탄과 세 장의 유서가 발견됐다. 세 장의 유서는 가족(2장)과 국정원장·차장·국장(1장) 앞으로 쓴 것이었다. 그는 "지나친 업무에 대한 욕심이 오늘의 사태를 일으킨 듯하다"라고 자책하면서 "정말 내국인에 대한, 선거에 대한 사찰은 전혀 없었다"라고 민간인 사찰 의혹 등을 전면 부인했다.
국정원 직원들은 이례적으로 다음날(7월 19일) '동료를 보내며'라는 3쪽짜리 성명서를 발표했다. 이들은 임 과장을 "국정원을 보호하기 위해 '무명으로 헌신'한 직원"이라고 추켜세우면서 "그가 자신을 희생함으로써 지키고자 했던 가치를, 국가안보의 가치를 더 이상 욕되게 해서는 안될 것이다"라고 촉구했다(관련기사 : "자살할 이유 없는 유서... 국정원 정상 아니다").
하지만 의문스러운 임 과장의 죽음과 이례적인 국정원 직원들의 집단행동은 오히려 의혹을 키웠다. 국정원이 해킹프로그램 구입 논란과 그에 따른 민간인 사찰 의혹 등을 물타기하기 위해 임 과장을 희생양으로 삼았다는 지적이 나왔다.
왜 메신저 '카카오톡·바이버' 해킹 문의했나?
국정원의 해킹프로그램 구입 사건에서 가장 먼저 규명되어야 할 부분은 '구입 목적'이다. 이는 민간인 사찰, 선거개입 등의 의혹과 직결된 사안이어서 중요하다. 특히 국정원과 해킹팀의 거래가 이명박·박근혜 정부 시기에 걸쳐 있었고, 같은 시기에 RCS 프로그램을 사용했다는 점을 눈여겨봐야 한다.
국정원은 구입 목적을 "대북 해외정보전 기술분석을 위한 연구개발용"이라고 주장했다. 구입한 RCS 프로그램 라이선스 20개 가운데 18개는 대북정보수집용으로, 나머지 2개는 연구용으로 사용했다는 것이다. 하지만 민간인을 대상으로 RCS 프로그램을 사용한 것으로 볼 수 있는 흔적은 상당하다.
먼저 해킹팀의 로그파일에서 국내 인터넷 IP가 무더기로 발견됐다. 당시 야당(새정치민주연합)이 해킹팀의 자료를 분석해 총 138개의 한국 인터넷 IP를 찾아낸 것이다. 이들이 찾아낸 한국 인터넷 IP에는 KT와 LG유플러스, 다음카카오, 한국방송공사(KBS), 서울대 등이 포함돼 있었다(관련기사 : 새정치연합 "해킹팀 유출자료에 국내 IP 138개 발견").
당시 신경민 의원은 "유출된 자료에서 한국에 할당된 IP가 대량으로 발견됨에 따라 해외·북한 정보 수집용이나 연구용이라는 국정원의 주장은 거짓말일 가능성이 높다"라고 지적했다. 하지만 국정원측은 "야당이 제기한 국내 IP는 국정원과 무관하다"라고 의혹을 부인했다.
신 의원은 최근 기자와 만나 "대테러용 등으로 해킹프로그램을 구입할 수는 있지만 어디에다 쓰느냐가 문제다"라며 "당시 우리가 몇날 밤을 새워 해킹자료를 뒤져서 국내에서 사용한 흔적을 찾아냈는데 언론이 이것을 무시했다, 결국 우리가 동력을 잃었다"라고 아쉬움을 나타냈다.
신 의원은 "당시 내가 국정원에다 '해외에 있는 북한 사람들이 삼성폰을 쓰냐, 아이폰을 쓰냐?'고 물었더니 '모른다'고 했다"라며 "그래서 '그런데 왜 해외에 있는 북한 사람들을 해킹했다고 하느냐? 한번 (해킹한 자료를) 가져와 봐라'고 했더니 그것은 기밀이라서 안된다고 했다"라고 전했다.
국정원은 국내에서 가장 많이 사용하고 있는 메신저 카카오톡(카톡)의 해킹과 관련한 내용도 문의했다. 해킹팀 직원들이 지난 2014년 3월 27일 이메일을 통해 공유한 '출장보고서'(Trip Report)에는 "한국이 이미 요청했던, 자국에서 가장 일반적으로 사용되는 카카오톡에 대한 (해킹 기능 개발) 진행 상황에 대해 물었다"라고 기술돼 있다. 국정원이 카톡을 해킹할 수 있는 기술 개발의 진행 정도를 해킹팀에 문의한 것으로 해석될 수 있는 대목이다.
해킹팀의 한 직원은 비슷한 시기 이메일에서 "이미 우리 (해킹팀의) 연구개발팀에 카카오톡에 대한 내용을 지시했다"라며 "(국정원이) 카카오톡 건을 빠르게 처리해줄 것을 재촉하고 있다"라고 밝혔다. 하지만 국정원은 "북한 공작원들이 카톡도 쓰고 있기 때문에 해킹팀에 카톡과 관련해 문의했고, 기술을 개발하기 위해 이메일을 주고받았다"라고 해명했다.
특히 국정원이 바이버를 해킹해 달라고 요청한 것은 '정치인 사찰' 의혹으로 연결된다. 해킹팀과 국정원의 거래를 대행해온 나나테크의 한 관계자는 지난 2013년 5월 13일자 이메일에서 "우리는 지금 바이버 모니터링 시스템을 찾고 있다"라며 바이버를 해킹해 내용을 엿볼 수 있는지를 해킹팀에 문의했다.
미국 스마트폰 메신저인 바이버는 당시 안철수 의원 등 야당 국회의원들이 도·감청 등 사찰을 피할 목적으로 국내 메신저인 카톡 대신에 많이 쓰던 메신저다. 그런 점에서 야당 국회의원들을 해킹하기 위해 바이버 해킹 가능성을 타진해본 것이라는 주장도 나왔다. 해킹팀의 홍보자료에도 바이버를 해킹할 수 있다고 기술돼 있다.
왜 삼성 갤럭시 국내 모델까지 직접 보냈나?
국정원이 삼성 스마트폰인 갤럭시 국내 모델을 해킹팀에 직접 보낸 점도 민간인 사찰 의혹을 키웠다. 해킹팀과 나나테크가 주고받은 이메일에 따르면, 국정원은 지난 2013년 1월 삼성 갤럭시 S3를 해킹팀에 보내 '음성녹음 기능이 가능한지'를 분석해 달라고 의뢰했다. 갤럭시 S3를 직접 보낸 것은 국정원의 감시대상이 국내용 스마트폰에 있음을 뜻한다.
지난 2015년 6월에는 '갤럭시 S6'의 해킹을 문의하기도 했다. 특히 해킹팀 직원의 이메일에서는 "삼성 갤럭시 탭2, 삼성 GT-I9500, 삼성 SHV-E250S 등에 대한 해킹이 필요하다"라고 기술된 대목이 발견됐다. 국정원이 여러 가지 삼성 스마트폰 모델들의 해킹 가능성을 타진한 것이다.
또한 국정원 감시네트워크는 "국정원은 대북용이나 연구용으로 보기에 너무 광범위하게 RCS를 사용했다"라며 ▲ 해킹을 위한 '미끼' 메시지에 메르스 정보, 빌보드 차트, 학교 동문회, 포르노사이트 등 80여 개가 링크돼 있는 점 ▲ 애니팡2, 모두의 마블, 드래곤 플라이트 등 인기 게임 애플리케이션에 악성코드를 심는 실험을 실시한 점 등을 근거로 들었다. 오병일 활동가도 "이것은 내국인을 감시할 목적으로 RCS 프로그램을 구입했다는 정황적 증거들이다"라고 말했다.
국정원이 지난 2013년 10월 해킹팀에 의뢰해 '서울대 공과대학 동창회 명부'라는 한글 제목 파일에 해킹용 악성코드를 심은 것이나 비슷한 시기 조현호 <미디어오늘> 기자를 사칭한 것으로 추정되는 '천안함 1번 어뢰 부식 사진 의문사항 문의(미디어오늘 조현우 기자)'라는 제목의 파일에도 악성코드를 심어 달라고 요청한 점도 민간인 사찰을 의심케 한다. 만약 서울대 공대 출신 인사나 <미디어오늘> 기자로부터 이메일을 받은 "박사님"이 악성코드가 심어진 파일을 열었다면 그들의 컴퓨터나 스마트폰은 해킹됐을 것이다.
다만 아직까지는 RCS 프로그램으로 민간인을 사찰했다는 '스모킹 건'(smoking gun, 결정적 증거)은 나오지 않았다. 진보네트워크센터가 지난 2015년 7월부터 RCS 프로그램을 탐지할 수 있는 오픈 백신 '디텍트'(Detekt)를 배포했지만(관련자료) 아직까지 RCS 프로그램에 감염됐다는 신고는 없었다. 오병일 활동가는 "5만 명 정도가 오픈 백신을 다운받았는데 RCS 프로그램에 감염됐다는 신고는 아직까지 없다"라고 전했다.
라이선스 10개 구입했다는 것의 의미
▲ 2015년 7월 30일 오전 서초동 서울중앙지검앞에서 민변, 참여연대, 진보네트워크센터 등 국정원 국민해킹사찰에 대응하는 시민사회단체 회원들이 국민고발장 제출을 앞두고 기자회견을 열었다. ⓒ 권우성
국정원은 RCS 프로그램을 통한 민간인 사찰이나 대선 개입 의혹 등을 전면 부인하고 있다. 심지어 국정원은 "구입한 소프트웨어가 20명 분이기 때문에 (민간인 사찰이) 불가능함이 입증됐다"라고 주장했다. 하지만 이러한 주장을 두고 '눈가리고 아웅하기'라는 지적이 나온다.
오병일 활동가는 "20명 분의 라이선스라고 해도 20명만 감시했다고 볼 수 없다"라고 말했다. 20명 분의 해킹 회선 라이선스를 구입했다는 것이 '동시에 20명'을 감시할 수 있다는 뜻이지 '20명만' 감시할 수 있다는 뜻은 아니라는 것이 그의 주장이다.
"동시에 감시할 수 있는 사람 수에 따라 라이선스 개수가 다르다. 20명 분의 라이선스라면 RCS 프로그램에 20명의 정보가 동시에 뜬다. 하지만 한 개의 라이선스로 A를 감시하다가 B로 넘어갈 수 있다. 한 개의 라이선스지만 2명을 감시할 수 있는 것이다."
실제로 해킹팀과 나나테크가 거래과정에서 주고받은 문서를 보면 "한 사람의 감시가 끝나면 타깃의 백도어를 제거하고 또다른 타깃으로 옮겨 감시할 수 있다"라는 내용이 포함돼 있다. 이는 오병일 활동가의 지적처럼 1개의 라이선스로도 감시대상을 바꿔가며 감시할 수 있기 때문에 어떻게 운영하느냐에 따라 실제로 감시할 수 있는 대상은 1명보다 훨씬 많을 수 있다는 것이다.
오병일 활동가는 "국정원 서버의 로그기록을 확인하면 국정원이 누구를 타깃(감시대상)으로 했는지, 얼마나 빈번하게 감시했는지, 언제까지 감시했는지 등을 확인할 수 있다"라며 "특히 이것도 하나의 작전이었기 때문에 작전의 목적이 무엇이고, 프로그램을 누가 구매했고, 누가 언제 작업했는지 등을 적어놓은 내부문건이 있을 것이다"라고 말했다.
왜 총선과 대선 전에 총 65개 라이선스 추가 주문했나?
국정원이 해킹팀으로부터 RCS 프로그램 라이선스를 구입하거나 주문한 시기가 총선, 대선과 맞물려 있어 '선거개입 의혹'까지 나온다. 총 20개의 RCS 프로그램 라이선스를 구입한 때는 지난 2012년 1월(10개)과 7월(10개)이었고, 총 65개의 라이선스를 추가로 주문한 때는 지난 2012년 3월(35개)과 12월(30개)이었다. 신경민 의원은 "RCS 프로그램 구입은 시기적으로 선거와 관련이 있다"라고 말했다.
게다가 지난 2014년 6·4 지방선거를 앞두고 안드로이드폰 해킹 공격을 요청한 사실도 드러났다. 지난 2014년 3월 해킹팀에서 작성한 '출장보고서'에 "한국 고객은 6월에 안드로이드폰 공격에 RCS를 사용하는 게 필요하다며 진전 상황을 물었다"라고 기술돼 있었던 것이다. 이러한 정황증거는 국정원이 6·4지방선거를 겨냥해 안드로이드폰 해킹 공격을 해킹팀에 요청했을 가능성을 보여준다.
국정원이 해킹팀으로부터 RCS 프로그램을 구입했다는 것은 '명백한 사실'로 확인됐다. 하지만 또다른 해킹프로그램을 구입했거나 사용했는지는 아직 드러나지 않았다. 오병일 활동가는 "핀피셔(Fin Fisher-시민 감시 스파이웨어) 등 다른 해킹프로그램을 구입했는지, RCS 프로그램과 관련해 자체 개발한 프로그램이 있는지 등도 조사해야 한다"라고 말했다. 국정원이 구입한 RCS 프로그램 라이선스 20개 가운데 2개를 연구용으로 사용했다고 밝혔다는 점에서 국정원이 해킹프로그램을 자체 개발했을 가능성도 배제할 수 없다.
국정원이 구입한 프로그램을 '어떻게' 운영했는지도 조사되어야 한다. 오병일 활동가는 "해킹팀이 해킹당하기 전까지만 해도 유일한 감독기관인 국회 정보위조차 국정원이 RCS 프로그램을 사용하는지 몰랐다"라며 "해킹된 자료 때문에 국정원이 RCS 프로그램 사용을 인정했지만 이것을 어떻게 사용했는지는 밝혀내지 못했다, 이것이 지금까지의 팩트다"라고 강조했다.
"임 과장 자살, 권 과장 자살기도 모방하다 생긴 사고사"
국정원의 해킹프로그램 구입과 실행 과정에 관여한 임 과장의 갑작스런 죽음도 의문투성이다. 임 과장이 죽음으로써 국정원의 해킹프로그램 구입 사건은 미궁으로 빠졌다.
하지만 국정원개혁발전위는 적폐청산T/F팀을 통해 임 과장의 부인이 112에 실종 신고했다가 취소하고 119에 신고한 점, 소방대원들이 수색 당시 국정원 직원의 지휘를 받은 점, 소방대원들이 무전기 대신 휴대전화를 사용한 점, 국정원 직원이 경찰보다 50분 먼저 사망 현장에 도착한 점, 경찰과 검찰이 서둘러 수사를 종결하고 마티즈 차량을 폐차한 점 등을 꼼꼼하게 다시 조사해야 한다.
최근에는 임 과장의 유가족이 "자살이 아니다"라고 주장하면서 수사기관이 '단순자살'이라고 성급하게 결론내린 것도 의혹으로 남아 있다. 국정원 댓글공작 최초 제보자 김상욱씨는 "임 과장 자살 사건은 권 과장 자살기도 사건을 벤치마킹하다가 일어난 사건이다"라고 주장했다. '권 과장 자살기도 사건'이란 '서울시 공무원 간첩 사건' 증거 조작에 관여한 혐의로 수사를 받던 권아무개 국정원 과장이 자살을 시도했던 사건을 가리킨다.
김상욱씨는 "권 과장은 자살을 기도한 이후 단기기억상실증에 걸렸다고 해서 처벌받지 않았다"라며 "임 과장의 경우도 조사를 회피하기 위해 자살극을 벌이다가 일어난 사고사일 가능성이 있다"라고 주장했다.
"임 과장이 진짜 자살하려고 했다면 왜 마누라와 싸우고, 유서에 하트까지 그렸겠나? 상식을 벗어난 것은 의심의 대상이다. 임 과장이 혼자서 자살극을 벌였을 리 없다. 사전에 누군가와 자살극을 논의했다면 그것을 밝혀야 한다."
국회 정보위에서 활동했던 신경민 더불이민주당 의원도 "스스로(자기 의지로) 자살한 것 같지는 않다"라며 "'너 혼자 책임지고 가라'는 조직의 압박이 있었다고 볼 수도 있다, 다만 타살이라고 주장하는 것은 과학적이지 않다"라고 말했다. 신 의원은 "임 과장이 당시 육사 1학년이던 딸 때문에 광장히 많이 고민했다고 들었다"라고 전했다.
같은 당 김현 전 의원도 "임 과장이 죽음으로써 증거는 인멸됐고, 사건(국정원 해킹프로그램 구입)은 종결돼 더 이상 조사할 수 없었다"라며 "원래는 국정원이 임 과장을 보호해줘야 하는데 그가 살아 있는 것이 부담스러웠을 수 있다, 결국 국정원이 죽게 만들었다"라고 주장했다.
"댓글-간첩조작-해킹사건이 시작과 끝"
특히 김상욱씨는 ▲ 국정원 댓글공작 사건 ▲ 서울시 공무원 간첩사건 ▲ 해킹프로그램 구입 사건을 차례로 언급하며 "내가 이 세 가지는 꼭 조사해야 한다고 주장하는 이유는 이 세 가지 사건의 맥락이 같다는 데 있다"라고 주장해 눈길을 끈다.
"국정원 댓글사건은 박근혜 정부의 정통성을 흔들었다. 그래서 국면 전환이 필요했다. 박원순 서울시장을 견제하기 위한 것이라는 의견도 있지만 서울시 공무원 간첩사건은 (국면전환과 박원순 시장 견제라는) 양수겸장의 측면이 있었다. 서울시 공무원이 간첩이라면 정말 쇼킹한 일이다. 이렇게 쇼킹한 사건으로 국면을 전환하려고 했는데 (여동생은) '간첩이 아니다'고 부인하고, 시민단체에서는 탈북자들 조사나 관리에 문제가 있다고 비판했다.
국정원은 대공수사권을 근거로 국내정보 수집활동을 해왔다. 그런데 그 대공수사권을 오남용해서 간첩을 조작했다는 비판에 직면했다. 국정원이 (국내정치 측면에서) 합법적으로 존립할 근거가 대공수사권이다. 그런데 대공수사권을 오남용함으로써 국정원 존폐가 걸리게 됐다. 결국 국정원 댓글사건과 서울시 공무원 간첩조작 사건을 무마하기 위해 (광범위한) 해킹의 필요성을 느꼈을 것이다. 해킹프로그램은 대테러용이나 대북정보수집용이 아니라 민간인 사찰용이었다고 본다."
김상욱씨는 "권 과장의 자살 기도로 서울시 공무원 간첩조작 사건은 끝났고, 임 과장의 자살로 해킹프로그램 사건도 종결됐다"라며 "이 세 사건이 시작과 끝이고, 그 최후가 박근혜 대통령의 탄핵이었다"라고 주장했다.
☞ 집중분석- 국정원 9대 적폐사건 특별면 바로가기
국정원은 진짜 '누구'를 해킹했나?
[집중분석-국정원 9대 적폐사건⑧] 해킹프로그램 구입 사건
17.08.25 20:56 l 최종 업데이트 17.08.25 20:56 l 글: 구영식(ysku) 편집: 최유진(youjin0213)
문재인 정부의 출범으로 국정원은 중대한 기로에 섰다. 이명박·박근혜 정부에서 국정원은 '정보기관의 가장 나쁜 선례'였다. '국가안보'가 아닌 '정권안보'만을 수호했기 때문이다. 그 9년의 시간 동안 일어난 '적폐'들을 제대로 조사하지 않고 국정원 개혁을 얘기할 수는 없다. <오마이뉴스>는 국정원개혁발전위(13개)과 국정원감시네트워크(15개)가 선정한 국정원 적폐사건 목록 가운데 총 9개를 추려서 '어떤 사건'인지, '무엇'을 재조사해야 하는지를 집중 분석한다. [편집자말]
지난 2014년 2월, 캐나다 토론토대학의 비영리연구팀인 시티즌랩(Citizen Lab)이 중요한 조사결과를 내놓았다. 전세계 40억 개의 IP를 역추적해 이탈리아 해킹프로그램 개발업체 '해킹팀'의 스파이웨어(다른 사람의 컴퓨터에 들어가 중요한 개인정보를 빼가는 소프트웨어)를 구입한 국가들을 찾아낸 것이다.
해킹팀의 스파이웨어를 구입해 국가는 멕시코, 콜롬비아, 파나마, 헝가리, 터키, 이탈리아, 폴란드, 오만, 사우디아라비아, 아랍에미레이트연합, 이집트, 에티오피아, 모로코, 나이지리아, 수단, 아제르바이잔, 카자흐스탄, 말레이시아, 태국, 우즈베키스탄 등 총 21개국이었다. 여기에 한국도 포함돼 있었다. 일부 국가에서는 해킹팀의 스파이웨어를 구입해 인권운동가, 야당 정치인, 언론인에게 사이버 공격을 가한 것으로 알려졌다.
시티즌랩은 같은 해 6월, 러시아 보안업체 카스퍼스키와 공동으로 해킹팀의 원격제어시스템(RCS) 프로그램인 '갈릴레오'의 실체를 폭로하기도 했다. 국경없는 기자회는 또다른 해킹전문업체인 감마 인터내셔널(Gamma International), 블루코트(Blue Coat), 아메시스(Amesys), 트로비코(Trovicor)와 함께 해킹팀을 '인터넷 5적'으로 규정했다.
이후 해킹팀은 '공공의 해킹 표적'이 됐고, 1년여 뒤인 지난 2015년 6월 실제로 해킹팀의 서버가 통째로 해킹당했다. 이어 7월에는 '정부나 기업 등의 비윤리적 행위와 관련된 비밀문서를 폭로하는 웹사이트' <위키리크스>가 400GB에 이르는 방대한 해킹팀 내부자료를 공개했다. 이렇게 공개된 해킹팀 내부자료에 국가정보원을 가리키는 '육군 5163부대'가 등장했다. 국정원이 해킹프로그램을 구입한 흔적이 드러난 것이다.
이탈리아 '해킹팀'과 RCS 프로그램
▲ 이탈리아 '해킹팀'의 RCS 해킹프로그램을 구입한 21개 국가들. 이는 캐나다 토론토대학의 비영리연구팀 '시티즌랩'이 지난 2014년 발표한 것이다. ⓒ 구영식
해킹팀은 지난 2003년 이탈리아 밀라노에서 설립된 해킹 전문 보안업체다. PC나 스마트폰에 몰래 설치해 도·감청을 하거나 감시할 수 있는 해킹프로그램을 개발해 팔아온 업체다. 특히 해킹팀은 사이버 공격기법을 전문적으로 연구하는 '공격연구 보안기업'(offensive security)와 밀접한 관계를 맺어왔다. '공격연구 보안기업'로부터 '제로데이 취약점'(취약점이 발견된 뒤 패치되기 전까지의 취약점)을 사들여 해킹프로그램을 개발해왔다는 것이다.
해킹팀이 개발해서 판매해온 대표적인 해킹프로그램으로는 '다빈치'와 '갈릴레오'가 있다. 둘 다 원격제어시스템(RCS) 프로그램이다. '갈릴레오'는 RCS 프로그램의 최신 버전으로 알려졌다. 해킹팀은 RCS 프로그램의 버전에 따라 '갈릴레오' 등의 별칭을 붙여왔다.
RCS 프로그램이 PC나 스마트폰에 깔리면 인터넷·이메일·파일(PC), 문자메시지·주소록·일정(스마트폰) 등을 훔쳐볼 수 있고 위치도 추적할 수 있다. 심지어 PC의 웹캠, 스마트폰의 카메라와 마이크 등까지도 원격 제어할 수 있다. 특히 RCS 프로그램은 운영시스템(OS)을 가리지 않고 해킹하는 기능을 보유한 것으로 알려졌다. 오병일 진보네트워크센터 활동가(정보인권연구소 이사)의 얘기다.
"RCS 프로그램은 좀더 공격적인 감시방법을 구사한다. 기존의 감시방법이 누군가 밖으로 표현하거나 움직이는 것만 감시했다면 RCS 프로그램은 타깃(감시대상)의 노트북이나 핸드폰 등에 침입한다. 상시적 감시가 가능하고, 주변 환경까지도 감시한다. 타깃(감시대상)의 더 내면적인 것까지 감시한다는 점에서 감시의 강도가 높다."
이러한 특성 때문에 세계 각 정부가 자국의 언론인이나 인권운동가, 야당 정치인 등을 감시하는 용도로 해킹팀의 해킹프로그램을 구입해왔다는 의혹이 많이 제기됐다. 이에 해킹팀은 "반인권 정부로 지목된 나라와는 거래하지 않는다"라고 의혹을 부인해왔다. 하지만 위키리크스의 폭로로 인해 해킹팀이 이집트, 레바논, 에티오피아, 수단 등과 거래해온 사실이 드러났다.
그동안 언론에서 확인한 해킹팀의 고객은 멕시코(11개 기관), 이탈리아(7개 기관), 모로코(2개 기관), 사우디아라비아(3개 기관), 미국(3개 기관), 싱가포르(1개 기관) 등 총 37개 67개 기관이다(그런데 국정원은 지난 2015년 7월 해킹프로그램 구입 논란이 벌어진 직후 "35개국 97개 기관이 이 프로그램을 구입했다"라고 주장한 바 있다).
'5163부대=국정원', 해킹프로그램 라이선스 20개 구입
그런데 해킹팀의 해킹프로그램을 구입한 고객 명단 가운데 'The 5163 Army Division, S.Korea'가 있었다. '남한의 5163부대'가 해킹프로그램을 구입했다는 것인데, '5163부대'는 국정원을 가리킨다. 5163부대는 '7452부대'와 함께 국정원의 대외용 혹은 위장용 명칭이다. 결국 국정원이 해킹팀의 해킹프로그램(RCS)을 구입했다는 얘기다.
국정원은 대선이 치러진 지난 2012년 1월과 7월 두 차례에 걸쳐 총 20개의 RCS 프로그램 라이선스('감시할 수 있는 권한'에 해당하는 용어 - 기자 말)를 구입했다. 국정원도 지난 2015년 7월 14일 국회 정보위 전체회의에서 "2012년 1월과 7월 이태리 해킹팀으로부터 총 20명 분의 RCS 소프트웨어를 구입했다"라고 인정했다(관련기사 : 국정원 "해킹 프로 구입 인정"... 민간인 사찰은 부인).
▲ 이병호 국정원장 국회 정보위 출석 '해킹 의혹' 보고 국가정보원의 민간인 대상 해킹 의혹과 관련해 국회 차원의 진상조사가 시작된 27일 오후 서울 여의도 국회에서 열린 정보위원회 전체회의에 이병호 국가정보원장이 출석하고 있다. ⓒ 유성호
같은 날 국회 정보위 전체회의에 참석한 이병호 국정원장은 "2012년 해킹팀한테서 두 차례(1월과 7월)에 걸쳐 휴대전화 감청이 가능한 해킹 프로그램을 각 10개 회선씩 (모두 20개 회선을) 구입했다"라고 국회 정보위원들에게 설명했다.
"총 20명 분의 RCS 소프트웨어를 구입했다"라는 것의 의미와 관련, 오병일 활동가는 "20명을 동시에 감시할 수 있는 프로그램 라이선스를 구입했다는 뜻이다"라며 "프로그램 라이선스가 많으면 많을수록 더 많은 사람을 감시할 수 있다"라고 말했다. '총 20명 분의 RCS 소프트웨어'는 '20개의 해킹 회선 라이선스'를 가리킨다.
<위키리크스>에 의해 공개된 해킹팀의 매출전표에 따르면, 국정원은 지난 2012년부터 2015년까지 6차례에 걸쳐 총 70만1400유로(약 8억8000만 원)를 해킹팀에 지급했다. 이는 RCS 프로그램 라이선스 구입과 관리·보수, 업그레이드 등에 들어가는 비용까지 포함된 금액이다. 10개 해킹 회선 라이선스의 가격은 4만유로(약 5000만 원)이고, 관리·보수를 의뢰할 경우 구입비의 15%에 해당하는 금액을 추가로 내야 한다.
실제로 국정원은 지난 2012년 2월 39만 유로(4억9000만 원)를 주고 RCS 프로그램을 구입한 뒤 2015년까지 5차례에 걸쳐 관리·보수, 업그레이드 등의 비용으로 31만1400유로(3억9000만 원)를 추가로 지급했다. 이와 별도로 국정원은 나나테크를 통해 지난 2012년 3월과 12월 각각 35개와 30개의 RCS 프로그램 라이선스를 추가 주문했다. 국정원과 해킹팀의 거래를 대행한 나나테크는 유·무선 통신설비를 통신사 등에 공급해온 업체다.
의문스러운 해킹프로그램 구입 실무자의 죽음
그런데 국정원에서 RCS 프로그램 구입 과정에 관여했던 임아무개 과장이 지난 2015년 7월 18일 자신의 빨간 마티즈 차량에서 숨진 채 발견됐다. 임 과장은 '해킹팀'과 수시로 이메일을 주고받으며 해킹프로그램 구입, 피싱, 인터넷주소 제작 등을 문의해온 인물이다.
임 과장은 국정원 제3차장 산하 과학정보국 연구개발단에서 해킹업무를 총괄해온 팀장급 간부였다. 국정원도 언론에 "2012년도 문제의 해킹 프로그램 구입을 실무판단하고 주도한 사이버 전문 기술직원"이라고 소개했다. 그는 국정원이 구입한 해킹프로그램을 해킹 대상 스마트폰에 심는 기술적 업무를 맡아온 것으로 알려졌다.
임 과장의 역할(임무)을 엿볼 수 있는 주장도 있다. 지난 2015년 7월 13일 김광진 당시 새정치민주연합 의원은 "인터넷에 공개된 해킹팀의 해킹 자료를 분석한 결과, 국정원은 구입한 해킹 프로그램인 RCS를 감시 대상자의 스마트폰 등에 침투시키기 위한 '피싱URL' 제작을 최소 87회 이상 해킹팀에 의뢰한 것으로 나타났다"라고 주장했다.
임 과장은 지난 2015년 7월 18일 오전 4시 50분께 부인에게 "출근한다"라고 말한 뒤 집을 나섰다. "출근한다"라고 했지만 국정원에도 그는 없었고, 오전 8시부터는 통화조차 이루어지지 않았다. 결국 이날 오전 11시 55분께 자신의 집에서 13km 떨어진 경기도 용인구의 한 야산 중턱에서 숨진 채 발견됐다.
▲ 2015년 7월 18일 최근 현안이 되고 있는 국정원의 해킹 프로그램 구입 관련 내용이 포함된 유서를 남기고 숨진 국정원 직원 임모(45)씨가 발견된 승용차. ⓒ 연합뉴스
임 과장이 숨진 빨간 마티즈 안에서는 두 개의 번개탄과 세 장의 유서가 발견됐다. 세 장의 유서는 가족(2장)과 국정원장·차장·국장(1장) 앞으로 쓴 것이었다. 그는 "지나친 업무에 대한 욕심이 오늘의 사태를 일으킨 듯하다"라고 자책하면서 "정말 내국인에 대한, 선거에 대한 사찰은 전혀 없었다"라고 민간인 사찰 의혹 등을 전면 부인했다.
국정원 직원들은 이례적으로 다음날(7월 19일) '동료를 보내며'라는 3쪽짜리 성명서를 발표했다. 이들은 임 과장을 "국정원을 보호하기 위해 '무명으로 헌신'한 직원"이라고 추켜세우면서 "그가 자신을 희생함으로써 지키고자 했던 가치를, 국가안보의 가치를 더 이상 욕되게 해서는 안될 것이다"라고 촉구했다(관련기사 : "자살할 이유 없는 유서... 국정원 정상 아니다").
하지만 의문스러운 임 과장의 죽음과 이례적인 국정원 직원들의 집단행동은 오히려 의혹을 키웠다. 국정원이 해킹프로그램 구입 논란과 그에 따른 민간인 사찰 의혹 등을 물타기하기 위해 임 과장을 희생양으로 삼았다는 지적이 나왔다.
왜 메신저 '카카오톡·바이버' 해킹 문의했나?
국정원의 해킹프로그램 구입 사건에서 가장 먼저 규명되어야 할 부분은 '구입 목적'이다. 이는 민간인 사찰, 선거개입 등의 의혹과 직결된 사안이어서 중요하다. 특히 국정원과 해킹팀의 거래가 이명박·박근혜 정부 시기에 걸쳐 있었고, 같은 시기에 RCS 프로그램을 사용했다는 점을 눈여겨봐야 한다.
국정원은 구입 목적을 "대북 해외정보전 기술분석을 위한 연구개발용"이라고 주장했다. 구입한 RCS 프로그램 라이선스 20개 가운데 18개는 대북정보수집용으로, 나머지 2개는 연구용으로 사용했다는 것이다. 하지만 민간인을 대상으로 RCS 프로그램을 사용한 것으로 볼 수 있는 흔적은 상당하다.
먼저 해킹팀의 로그파일에서 국내 인터넷 IP가 무더기로 발견됐다. 당시 야당(새정치민주연합)이 해킹팀의 자료를 분석해 총 138개의 한국 인터넷 IP를 찾아낸 것이다. 이들이 찾아낸 한국 인터넷 IP에는 KT와 LG유플러스, 다음카카오, 한국방송공사(KBS), 서울대 등이 포함돼 있었다(관련기사 : 새정치연합 "해킹팀 유출자료에 국내 IP 138개 발견").
당시 신경민 의원은 "유출된 자료에서 한국에 할당된 IP가 대량으로 발견됨에 따라 해외·북한 정보 수집용이나 연구용이라는 국정원의 주장은 거짓말일 가능성이 높다"라고 지적했다. 하지만 국정원측은 "야당이 제기한 국내 IP는 국정원과 무관하다"라고 의혹을 부인했다.
신 의원은 최근 기자와 만나 "대테러용 등으로 해킹프로그램을 구입할 수는 있지만 어디에다 쓰느냐가 문제다"라며 "당시 우리가 몇날 밤을 새워 해킹자료를 뒤져서 국내에서 사용한 흔적을 찾아냈는데 언론이 이것을 무시했다, 결국 우리가 동력을 잃었다"라고 아쉬움을 나타냈다.
신 의원은 "당시 내가 국정원에다 '해외에 있는 북한 사람들이 삼성폰을 쓰냐, 아이폰을 쓰냐?'고 물었더니 '모른다'고 했다"라며 "그래서 '그런데 왜 해외에 있는 북한 사람들을 해킹했다고 하느냐? 한번 (해킹한 자료를) 가져와 봐라'고 했더니 그것은 기밀이라서 안된다고 했다"라고 전했다.
국정원은 국내에서 가장 많이 사용하고 있는 메신저 카카오톡(카톡)의 해킹과 관련한 내용도 문의했다. 해킹팀 직원들이 지난 2014년 3월 27일 이메일을 통해 공유한 '출장보고서'(Trip Report)에는 "한국이 이미 요청했던, 자국에서 가장 일반적으로 사용되는 카카오톡에 대한 (해킹 기능 개발) 진행 상황에 대해 물었다"라고 기술돼 있다. 국정원이 카톡을 해킹할 수 있는 기술 개발의 진행 정도를 해킹팀에 문의한 것으로 해석될 수 있는 대목이다.
해킹팀의 한 직원은 비슷한 시기 이메일에서 "이미 우리 (해킹팀의) 연구개발팀에 카카오톡에 대한 내용을 지시했다"라며 "(국정원이) 카카오톡 건을 빠르게 처리해줄 것을 재촉하고 있다"라고 밝혔다. 하지만 국정원은 "북한 공작원들이 카톡도 쓰고 있기 때문에 해킹팀에 카톡과 관련해 문의했고, 기술을 개발하기 위해 이메일을 주고받았다"라고 해명했다.
특히 국정원이 바이버를 해킹해 달라고 요청한 것은 '정치인 사찰' 의혹으로 연결된다. 해킹팀과 국정원의 거래를 대행해온 나나테크의 한 관계자는 지난 2013년 5월 13일자 이메일에서 "우리는 지금 바이버 모니터링 시스템을 찾고 있다"라며 바이버를 해킹해 내용을 엿볼 수 있는지를 해킹팀에 문의했다.
미국 스마트폰 메신저인 바이버는 당시 안철수 의원 등 야당 국회의원들이 도·감청 등 사찰을 피할 목적으로 국내 메신저인 카톡 대신에 많이 쓰던 메신저다. 그런 점에서 야당 국회의원들을 해킹하기 위해 바이버 해킹 가능성을 타진해본 것이라는 주장도 나왔다. 해킹팀의 홍보자료에도 바이버를 해킹할 수 있다고 기술돼 있다.
왜 삼성 갤럭시 국내 모델까지 직접 보냈나?
국정원이 삼성 스마트폰인 갤럭시 국내 모델을 해킹팀에 직접 보낸 점도 민간인 사찰 의혹을 키웠다. 해킹팀과 나나테크가 주고받은 이메일에 따르면, 국정원은 지난 2013년 1월 삼성 갤럭시 S3를 해킹팀에 보내 '음성녹음 기능이 가능한지'를 분석해 달라고 의뢰했다. 갤럭시 S3를 직접 보낸 것은 국정원의 감시대상이 국내용 스마트폰에 있음을 뜻한다.
지난 2015년 6월에는 '갤럭시 S6'의 해킹을 문의하기도 했다. 특히 해킹팀 직원의 이메일에서는 "삼성 갤럭시 탭2, 삼성 GT-I9500, 삼성 SHV-E250S 등에 대한 해킹이 필요하다"라고 기술된 대목이 발견됐다. 국정원이 여러 가지 삼성 스마트폰 모델들의 해킹 가능성을 타진한 것이다.
또한 국정원 감시네트워크는 "국정원은 대북용이나 연구용으로 보기에 너무 광범위하게 RCS를 사용했다"라며 ▲ 해킹을 위한 '미끼' 메시지에 메르스 정보, 빌보드 차트, 학교 동문회, 포르노사이트 등 80여 개가 링크돼 있는 점 ▲ 애니팡2, 모두의 마블, 드래곤 플라이트 등 인기 게임 애플리케이션에 악성코드를 심는 실험을 실시한 점 등을 근거로 들었다. 오병일 활동가도 "이것은 내국인을 감시할 목적으로 RCS 프로그램을 구입했다는 정황적 증거들이다"라고 말했다.
국정원이 지난 2013년 10월 해킹팀에 의뢰해 '서울대 공과대학 동창회 명부'라는 한글 제목 파일에 해킹용 악성코드를 심은 것이나 비슷한 시기 조현호 <미디어오늘> 기자를 사칭한 것으로 추정되는 '천안함 1번 어뢰 부식 사진 의문사항 문의(미디어오늘 조현우 기자)'라는 제목의 파일에도 악성코드를 심어 달라고 요청한 점도 민간인 사찰을 의심케 한다. 만약 서울대 공대 출신 인사나 <미디어오늘> 기자로부터 이메일을 받은 "박사님"이 악성코드가 심어진 파일을 열었다면 그들의 컴퓨터나 스마트폰은 해킹됐을 것이다.
다만 아직까지는 RCS 프로그램으로 민간인을 사찰했다는 '스모킹 건'(smoking gun, 결정적 증거)은 나오지 않았다. 진보네트워크센터가 지난 2015년 7월부터 RCS 프로그램을 탐지할 수 있는 오픈 백신 '디텍트'(Detekt)를 배포했지만(관련자료) 아직까지 RCS 프로그램에 감염됐다는 신고는 없었다. 오병일 활동가는 "5만 명 정도가 오픈 백신을 다운받았는데 RCS 프로그램에 감염됐다는 신고는 아직까지 없다"라고 전했다.
라이선스 10개 구입했다는 것의 의미
▲ 2015년 7월 30일 오전 서초동 서울중앙지검앞에서 민변, 참여연대, 진보네트워크센터 등 국정원 국민해킹사찰에 대응하는 시민사회단체 회원들이 국민고발장 제출을 앞두고 기자회견을 열었다. ⓒ 권우성
국정원은 RCS 프로그램을 통한 민간인 사찰이나 대선 개입 의혹 등을 전면 부인하고 있다. 심지어 국정원은 "구입한 소프트웨어가 20명 분이기 때문에 (민간인 사찰이) 불가능함이 입증됐다"라고 주장했다. 하지만 이러한 주장을 두고 '눈가리고 아웅하기'라는 지적이 나온다.
오병일 활동가는 "20명 분의 라이선스라고 해도 20명만 감시했다고 볼 수 없다"라고 말했다. 20명 분의 해킹 회선 라이선스를 구입했다는 것이 '동시에 20명'을 감시할 수 있다는 뜻이지 '20명만' 감시할 수 있다는 뜻은 아니라는 것이 그의 주장이다.
"동시에 감시할 수 있는 사람 수에 따라 라이선스 개수가 다르다. 20명 분의 라이선스라면 RCS 프로그램에 20명의 정보가 동시에 뜬다. 하지만 한 개의 라이선스로 A를 감시하다가 B로 넘어갈 수 있다. 한 개의 라이선스지만 2명을 감시할 수 있는 것이다."
실제로 해킹팀과 나나테크가 거래과정에서 주고받은 문서를 보면 "한 사람의 감시가 끝나면 타깃의 백도어를 제거하고 또다른 타깃으로 옮겨 감시할 수 있다"라는 내용이 포함돼 있다. 이는 오병일 활동가의 지적처럼 1개의 라이선스로도 감시대상을 바꿔가며 감시할 수 있기 때문에 어떻게 운영하느냐에 따라 실제로 감시할 수 있는 대상은 1명보다 훨씬 많을 수 있다는 것이다.
오병일 활동가는 "국정원 서버의 로그기록을 확인하면 국정원이 누구를 타깃(감시대상)으로 했는지, 얼마나 빈번하게 감시했는지, 언제까지 감시했는지 등을 확인할 수 있다"라며 "특히 이것도 하나의 작전이었기 때문에 작전의 목적이 무엇이고, 프로그램을 누가 구매했고, 누가 언제 작업했는지 등을 적어놓은 내부문건이 있을 것이다"라고 말했다.
왜 총선과 대선 전에 총 65개 라이선스 추가 주문했나?
국정원이 해킹팀으로부터 RCS 프로그램 라이선스를 구입하거나 주문한 시기가 총선, 대선과 맞물려 있어 '선거개입 의혹'까지 나온다. 총 20개의 RCS 프로그램 라이선스를 구입한 때는 지난 2012년 1월(10개)과 7월(10개)이었고, 총 65개의 라이선스를 추가로 주문한 때는 지난 2012년 3월(35개)과 12월(30개)이었다. 신경민 의원은 "RCS 프로그램 구입은 시기적으로 선거와 관련이 있다"라고 말했다.
게다가 지난 2014년 6·4 지방선거를 앞두고 안드로이드폰 해킹 공격을 요청한 사실도 드러났다. 지난 2014년 3월 해킹팀에서 작성한 '출장보고서'에 "한국 고객은 6월에 안드로이드폰 공격에 RCS를 사용하는 게 필요하다며 진전 상황을 물었다"라고 기술돼 있었던 것이다. 이러한 정황증거는 국정원이 6·4지방선거를 겨냥해 안드로이드폰 해킹 공격을 해킹팀에 요청했을 가능성을 보여준다.
국정원이 해킹팀으로부터 RCS 프로그램을 구입했다는 것은 '명백한 사실'로 확인됐다. 하지만 또다른 해킹프로그램을 구입했거나 사용했는지는 아직 드러나지 않았다. 오병일 활동가는 "핀피셔(Fin Fisher-시민 감시 스파이웨어) 등 다른 해킹프로그램을 구입했는지, RCS 프로그램과 관련해 자체 개발한 프로그램이 있는지 등도 조사해야 한다"라고 말했다. 국정원이 구입한 RCS 프로그램 라이선스 20개 가운데 2개를 연구용으로 사용했다고 밝혔다는 점에서 국정원이 해킹프로그램을 자체 개발했을 가능성도 배제할 수 없다.
국정원이 구입한 프로그램을 '어떻게' 운영했는지도 조사되어야 한다. 오병일 활동가는 "해킹팀이 해킹당하기 전까지만 해도 유일한 감독기관인 국회 정보위조차 국정원이 RCS 프로그램을 사용하는지 몰랐다"라며 "해킹된 자료 때문에 국정원이 RCS 프로그램 사용을 인정했지만 이것을 어떻게 사용했는지는 밝혀내지 못했다, 이것이 지금까지의 팩트다"라고 강조했다.
"임 과장 자살, 권 과장 자살기도 모방하다 생긴 사고사"
국정원의 해킹프로그램 구입과 실행 과정에 관여한 임 과장의 갑작스런 죽음도 의문투성이다. 임 과장이 죽음으로써 국정원의 해킹프로그램 구입 사건은 미궁으로 빠졌다.
하지만 국정원개혁발전위는 적폐청산T/F팀을 통해 임 과장의 부인이 112에 실종 신고했다가 취소하고 119에 신고한 점, 소방대원들이 수색 당시 국정원 직원의 지휘를 받은 점, 소방대원들이 무전기 대신 휴대전화를 사용한 점, 국정원 직원이 경찰보다 50분 먼저 사망 현장에 도착한 점, 경찰과 검찰이 서둘러 수사를 종결하고 마티즈 차량을 폐차한 점 등을 꼼꼼하게 다시 조사해야 한다.
최근에는 임 과장의 유가족이 "자살이 아니다"라고 주장하면서 수사기관이 '단순자살'이라고 성급하게 결론내린 것도 의혹으로 남아 있다. 국정원 댓글공작 최초 제보자 김상욱씨는 "임 과장 자살 사건은 권 과장 자살기도 사건을 벤치마킹하다가 일어난 사건이다"라고 주장했다. '권 과장 자살기도 사건'이란 '서울시 공무원 간첩 사건' 증거 조작에 관여한 혐의로 수사를 받던 권아무개 국정원 과장이 자살을 시도했던 사건을 가리킨다.
김상욱씨는 "권 과장은 자살을 기도한 이후 단기기억상실증에 걸렸다고 해서 처벌받지 않았다"라며 "임 과장의 경우도 조사를 회피하기 위해 자살극을 벌이다가 일어난 사고사일 가능성이 있다"라고 주장했다.
"임 과장이 진짜 자살하려고 했다면 왜 마누라와 싸우고, 유서에 하트까지 그렸겠나? 상식을 벗어난 것은 의심의 대상이다. 임 과장이 혼자서 자살극을 벌였을 리 없다. 사전에 누군가와 자살극을 논의했다면 그것을 밝혀야 한다."
국회 정보위에서 활동했던 신경민 더불이민주당 의원도 "스스로(자기 의지로) 자살한 것 같지는 않다"라며 "'너 혼자 책임지고 가라'는 조직의 압박이 있었다고 볼 수도 있다, 다만 타살이라고 주장하는 것은 과학적이지 않다"라고 말했다. 신 의원은 "임 과장이 당시 육사 1학년이던 딸 때문에 광장히 많이 고민했다고 들었다"라고 전했다.
같은 당 김현 전 의원도 "임 과장이 죽음으로써 증거는 인멸됐고, 사건(국정원 해킹프로그램 구입)은 종결돼 더 이상 조사할 수 없었다"라며 "원래는 국정원이 임 과장을 보호해줘야 하는데 그가 살아 있는 것이 부담스러웠을 수 있다, 결국 국정원이 죽게 만들었다"라고 주장했다.
"댓글-간첩조작-해킹사건이 시작과 끝"
특히 김상욱씨는 ▲ 국정원 댓글공작 사건 ▲ 서울시 공무원 간첩사건 ▲ 해킹프로그램 구입 사건을 차례로 언급하며 "내가 이 세 가지는 꼭 조사해야 한다고 주장하는 이유는 이 세 가지 사건의 맥락이 같다는 데 있다"라고 주장해 눈길을 끈다.
"국정원 댓글사건은 박근혜 정부의 정통성을 흔들었다. 그래서 국면 전환이 필요했다. 박원순 서울시장을 견제하기 위한 것이라는 의견도 있지만 서울시 공무원 간첩사건은 (국면전환과 박원순 시장 견제라는) 양수겸장의 측면이 있었다. 서울시 공무원이 간첩이라면 정말 쇼킹한 일이다. 이렇게 쇼킹한 사건으로 국면을 전환하려고 했는데 (여동생은) '간첩이 아니다'고 부인하고, 시민단체에서는 탈북자들 조사나 관리에 문제가 있다고 비판했다.
국정원은 대공수사권을 근거로 국내정보 수집활동을 해왔다. 그런데 그 대공수사권을 오남용해서 간첩을 조작했다는 비판에 직면했다. 국정원이 (국내정치 측면에서) 합법적으로 존립할 근거가 대공수사권이다. 그런데 대공수사권을 오남용함으로써 국정원 존폐가 걸리게 됐다. 결국 국정원 댓글사건과 서울시 공무원 간첩조작 사건을 무마하기 위해 (광범위한) 해킹의 필요성을 느꼈을 것이다. 해킹프로그램은 대테러용이나 대북정보수집용이 아니라 민간인 사찰용이었다고 본다."
김상욱씨는 "권 과장의 자살 기도로 서울시 공무원 간첩조작 사건은 끝났고, 임 과장의 자살로 해킹프로그램 사건도 종결됐다"라며 "이 세 사건이 시작과 끝이고, 그 최후가 박근혜 대통령의 탄핵이었다"라고 주장했다.
☞ 집중분석- 국정원 9대 적폐사건 특별면 바로가기
'시사' 카테고리의 다른 글
"MBC·KBS 안봅니다" 야당을 당황케한 총리의 돌직구 - 노컷 (0) | 2017.09.12 |
---|---|
[단독] 최하위 수준 기업을 강소기업 선정.."박성진이 밀어붙였다" - YTN (0) | 2017.09.12 |
[이거 레알?] 'SOC 호남홀대론', 과연 사실일까? - 노컷 (0) | 2017.09.12 |
[단독]신연희 강남구청장 일가족, 현대백화점 빵집 특혜 의혹 - 노컷 (0) | 2017.09.12 |
[팩트체크] NATO, 유사시 미국 전술핵 사용권한 있나? - JTBC (0) | 2017.09.12 |