국정원 요청 따라…해킹업체, 서울 호텔방서 해킹 시연

국정원 RCS 구입과정 재구성
2010년 12월7일 그랜드인터컨티넨탈호텔
비밀리에 해킹 프로그램 선보여
최종사용자 정보 요구에도
국정원 정체 계약직전까지 숨겨

이탈리아 보안업체인 ‘해킹팀’의 해킹 프로그램 ‘갈릴레오’ 소개 영상 갈무리.

국가정보원은 어떤 과정을 거쳐 스마트폰 해킹 ‘상품’을 샀을까? 이탈리아 업체 ‘해킹팀’의 내부 자료를 바탕으로 국정원이 해킹 프로그램 ‘아르시에스’(RCS·리모트컨트롤시스템)를 구입하는 과정을 다시 살펴보니, ‘고객’인 국정원은 감청에 준하는 스마트폰 해킹 기능을 집요하게 요구했다.

2010년 12월7일 오전 10시 서울 삼성동 그랜드인터컨티넨탈호텔 3층 5호실. 이탈리아에서 온 해킹팀 직원 3명과 한국 중개업체 나나테크 직원 2명, ‘고객’ 5명이 비밀리에 접촉했다. 애초 이들은 두달 전 미국 워싱턴에서 접촉하기로 계획을 세웠지만 일정이 어긋나 서울에서 만나게 됐다.

거래 ‘중개자’인 나나테크는 ‘고객’인 국정원이 특히 궁금해하는 스마트폰 해킹 성능의 시연을 해킹팀 쪽에 요청했다. 해킹팀은 호텔방에서 대표 상품인 ‘아르시에스’를 작동시켰고, ‘고객’은 휴대전화 감시 기능에 만족해하며 해킹 범위를 묻고 가격 협상을 시작한다.

계약 단계까지 들어갔지만 해킹팀은 여전히 ‘고객’의 정체를 알지 못했다. 호텔 접촉에 앞서 해킹팀은 나나테크에 “우리는 아르시에스 최종 사용자의 정보가 필요하다”고 거듭 요청한다. 이에 나나테크는 “한국 육군 조사팀이니 걱정할 것 없다”고 했다. 구체적 고객 정보를 알려달라는 해킹팀과 어떻게든 실제 고객의 정체를 숨기려는 나나테크 사이의 줄다리기는 이듬해 계약 직전까지 이어졌다. 나나테크는 호텔 접촉 1년 뒤인 2011년 11월에야 그 ‘고객’이 ‘한국 5163부대’라고 해킹팀에 알려준다. 5163부대는 국정원의 대외용 위장 명칭이다.

앞서 해킹팀과의 첫 접촉은 2010년 8월로 거슬러 올라간다. 나나테크는 “‘고객’이 ‘스카이프’ 솔루션을 찾고 있다”며 해킹팀에 이메일을 보낸다. 스카이프는 마이크로소프트의 메신저 프로그램이고 ‘솔루션’은 해킹 프로그램을 뜻한다. 해킹팀의 설명을 국정원에 전달한 나나테크는 다시 “고객이 솔루션(아르시에스)에 음성 대화와 휴대전화를 감시할 수 있는 기능이 있는지 궁금해한다”며 관심 범위를 ‘감청’으로 넓힌다.

나나테크는 ‘고객’이 다른 해킹 업체에도 문의하고 있다며 해킹팀의 경쟁심을 자극한다. 나나테크는 이메일을 보내고 한달 뒤엔 다시 “고객이 감마(GAMMA)그룹과 접촉하고 있지만 해킹팀이 기술력과 비용 면에서 더 경쟁력이 있으니 걱정 말라”는 내용의 이메일을 보낸다. ‘국경 없는 기자회’의 보고를 보면, 감마그룹의 해킹 프로그램은 중동지역에서 민주화를 요구하는 시민단체와 기자 등을 감시하는 데 주로 쓰이고 있다고 한다.

계약이 거의 성사된 2011년 12월, 나나테크는 ‘5163부대’의 다급한 상황을 해킹팀에 전한다. “고객은 물건 배송이 12월20일까지 완료되지 않으면 예산이 삭감된다고 한다”, “서둘러 ‘독점공급 계약서’를 보내주지 않으면 프로젝트가 이뤄지지 않는다. 고객은 일반적으로 경쟁입찰을 해야 하지만 독점공급자와는 수의계약을 체결할 수 있다”는 내용이었다.

2011년 12월16일 해킹팀은 “배송 업체에 물건을 넘겼다”며 송장 작성을 위한 정확한 배송 목적지를 나나테크에 묻는다. 나나테크는 해킹팀에 그곳이 ‘서울 서초구 서초동 서초우체국 사서함 200번’이라고 알려준다. 국정원 민원 창구 주소였다.

방준호 기자 whorun@hani.co.kr

■ 국정원의 거래 중개자인 ‘나나테크’와 이탈리아 보안업체 ‘해킹팀’ 사이에 오간 이메일

① 2010년 11월23일 나나테크는 최종사용자가 누구냐는 해킹팀의 물음에 “군대 조사팀이므로 걱정하지 말라”고 답했다.

② 2010년 11월30일 나나테크는 만남 장소인 그랜드인터컨티넨탈 호텔과 참여자 정보를 해킹팀에 전했다.

③ 2010년 12월12일 해킹팀과 만난 뒤, 나나테크는 해킹팀에 고객이 모바일 쪽에 관심을 두고 있다며 추가정보를 요구했다.