‘암호 생성기가 암호 누출기로’…미·독, 각국 비밀통신 해킹

미 CIA, 스위스 암호생성기 조작해 각국 비밀통신 해독
크립토AG, ‘암호 누출기’ 120개국에 제공…한·일 동맹도 포함

스위스의 크립토 에이지가 제조한 암호생성기 CX-52. 이 회사는 이런 암호생성기를 120개국에 제공했는데, 미국 중앙정보국 등은 이 암호생성기를 조작해 각국의 비밀통신 내용을 탈취했다.

미국과 독일의 정보기관이 암호생성기 판매를 통해 각국의 비밀통신을 탈취해 온 것으로 드러났다.

미국 중앙정보국(CIA)과 독일 연방정보원(BND)은 전세계 120개국이 사용하는 스위스 회사의 암호생성기를 조작해 해당국들의 비밀통신을 해독해왔다고 미국과 독일 언론들이 보도했다. 특히, 이 회사는 사실상 중앙정보국이 은밀하게 소유한 회사로, 중앙정보국은 회사 경영과 판매에 관여하며 암호 생성기를 각국에 판매하는 공작을 벌였다. 각국은 암호 생성기가 아니라 ‘암호 누출기’를 구매한 셈이다.

미국 <워싱턴포스트>와 독일 공영방송 <제2텔레비전>(ZDF), 스위스 공영방송 은 중앙정보국이 ‘세기의 정보 쿠데타’로 평가한 이 공작에 관한 기밀처리된 중앙정보국의 내부 역사문건을 입수해 보도했다. 스위스 회사 ‘크립토 에이지(AG)’는 냉전 시대 때부터 최근 2000년대까지 120개국에 암호 생성기들을 공급해왔는데, 미국과 독일 정보기관은 이 장비를 조작해 암호를 해독하고 통신 내용을 확보했다. 이란과 인도, 파키스탄 등이 미국과 독일 정보기관의 집중적인 목표가 됐으며, 한국과 일본 등 동맹국도 주요 고객이었다.

<워싱턴 포스트>는 “고객들의 어느 누구도 크립토 에이지가 서독 정보기관과 고도의 비밀 동맹을 맺은 중앙정보국이 비밀스럽게 소유하고 있다는 사실을 몰랐다”며 “이 정보기관들은 이 회사 장비들을 조작해 각국이 암호화된 메시지를 보내는 데 사용한 암호들을 손쉽게 해독할 수 있었다”고 밝혔다. 이 공작은 처음에 암호명 ‘시소러스’(유의어 사전)으로 불렸으나, 나중에 ‘루비콘’으로 개명됐고, 중앙정보국 역사상 가장 대담한 공작의 하나로 “세기의 정보 쿠데타”로 기록됐다.

1970년부터 중앙정보국과 미국 암호해독 기관인 국가안보국(NSA)은 크립토 공작의 거의 모든 측면을 통제해, 기술 설계, 알고리즘 해독, 판매 대상 설정 등을 주관했다. 미국과 서독의 공작원들은 앉아서 감청만 하면 됐다. 암호장비 시장에서 크립토 에이지의 지위를 유지하지 위해 중앙정보국은 경쟁회사에 대한 비방전 등 공작도 벌였다. 롤렉스 시계와 성매매 같은 뇌물 제공도 했다. 이런 공작으로 미국은 지난 1979년 테헤란 주재 미 대사관 인질 위기 사태 때 이란 관리들의 동태를 감시할 수 있었고, 포클랜드 전쟁 때 아르헨티나의 군부 동향 정보를 영국에게 제공할 수 있었다.

특히, 미국과 독일은 이렇게 확보한 정보를 판매한 것으로 나타났다. “외국 정부들은 미국과 서독이 이미 읽은 최고 기밀통신을 공유하는 특권에 대한 대가로 두 나라에 많은 돈을 지불하고 있었다”는 것이다. 미국 정보 관리들이 처리한 외국 통신의 약 40%는 크립토의 암호 장비를 통해 제공됐다. 암호 생성기를 제공한 스위스 회사는 수천만달러의 이익을 올렸고, 그 이익들은 중앙정보국과 연방정보원으로도 흘러갔다.

러시아와 중국은 스위스 회사의 이 장비를 신뢰하지 않아 사용하지 않았다. 북한 역시 이 회사 장비를 사용하지 않는다. 하지만, 미국은 러시아 및 중국과 교류하는 다른 나라들의 이 암호 장비를 해독하며 모스크바와 베이징의 정보 상당수를 얻을 수 있었다.

이 공작은 1992년 이 회사의 판매직원이 이란에 체포되면서 금이 갔다. 회사가 100만달러를 제공해 석방된 이 직원은 자신의 직장이 정보당국과 연계된 의심을 언론 인터뷰에서 밝혔다. 이 사건을 계기로 독일은 통일 이후 크립토 에이지를 통한 공작에서 손을 뗐다. 중앙정보국은 이 회사의 독일 지분을 사들여 공작을 지속하다가 2018년에 회사를 매각하면서 공작을 중지했다. 중앙정보국이 이 공작을 중단한 것은 온라인 암호 기술의 전파로 이 회사의 중요성이 떨어졌기 때문이다.

크립토 에이지는 지난 2018년 한 투자자에 의해 인수된 뒤 ‘크립토 인터내셔널’로 바뀌었다. 크립토 인터내셔널 쪽은 중앙정보국과 연방정보원과 관련이 없다며 이 보도로 아주 타격을 받았다고 밝혔다. 스위스 정부는 지난 11월 이 사건에 대해 통보받고 은퇴한 연방 판사를 지명해 수사토록 했다고 밝혔다.

크립토 에이지의 의심스러운 거래는 몇년 전부터 소문이 나돌았다. 이 회사 직원들은 무언가 잘못되고 있다고 의심했다는 것이다. 스위스 정부는 이를 알고 있던 것으로 전해졌다. 스위스 정부는 미 중앙정보국이 건드리지 않는 암호생성기를 받아온 유일한 정부이다.

이번 사건으로 중립국 스위스의 신뢰는 큰 타격을 받았다. <비비시>(BBC)는 스위스 전역에서 장탄식이 나오고 있다고 전했다. 한 언론인은 “우리의 명성은 누더기가 됐다”며 “우리의 중립성은 위선이다”고 말했다.

스위스의 중립성과 기술성에 대한 신뢰 때문에 각국은 스위스 제조 암호생성기를 구입했는데, 미국 중앙정보국은 이런 신뢰를 역이용한 것이다. <비비시>(BBC)는 스위스는 돈을 받고는 엉터리 장비를 팔았다며, 스위스는 적당한 가격이 되면 무엇이든지 한다는 이미지를 이제는 가지게 됐다고 비판했다.

정의길 선임기자 Egil@hani.co.kr