본문 바로가기

광고

광고닫기

광고

본문

광고

사회 사회일반

국정원 도입 해킹프로그램, ‘국내 사찰용’인 7가지 이유 [더(The)친절한 기자들]

등록 2015-07-14 17:23수정 2022-08-19 17:19

[더(The) 친절한 기자들]
‘해킹 시도’ 들통나고도, 국내 사찰 의혹엔 ‘모르쇠’인 국정원
명백한 정황들은 그들의 변명이 ‘거짓말’이라 가리키고 있어
이탈리아 보안업체인 ‘해킹팀’의 해킹 프로그램 ‘갈릴레오’ 소개 영상 갈무리.
이탈리아 보안업체인 ‘해킹팀’의 해킹 프로그램 ‘갈릴레오’ 소개 영상 갈무리.

국가정보원이 이탈리아 해킹업체 ‘해킹팀’에 돈을 주고 개인용 컴퓨터와 스마트폰을 사찰할 수 있는 해킹 프로그램을 구입했다는 의혹이 사실로 확인됐습니다. 국정원은 지난 12일 “우리 원의 입장에서 구입한 것까지 부인할 수는 없다”며 구입을 시인했습니다. 하지만 국정원은 14일 국회 정보위위원회 전체회의에서 "2012년 1월과 7월 해킹팀으로부터 약 20명분의 'RCS'(해킹 악성 코드)를 구입했지만 대북 및 국외 정보, 기술 분석, 해외 전략 수립 및 연구 목적으로만 썼다"는 입장을 밝혔습니다. 국내에서 특정 정치인이나 민간인 등을 사찰하기 위한 목적이 아니라는 말인데요. 과연 그럴까요. 국내 사찰용으로 볼 수밖에 없는 이유 7가지를 정리해봤습니다.

1. 북한에서도 카카오톡을 쓰나?

국정원의 대외명칭인 ‘육군 5163부대’ 관계자는 지난해 3월 ‘해킹팀’을 직접 만나 ‘카카오톡’ 해킹 기술에 대한 진전 사항을 물었습니다. 지난해 3월 해킹팀 직원들 사이에서 오간 ‘출장 보고서’란 제목의 이메일을 보면, “한국이 이미 요청했던, 자국에서 가장 일반적으로 사용되는 카카오톡에 대한 (해킹 기능 개발) 진행 상황에 대해 물었다”고 적혀 있습니다. 또 다른 이메일에는 “이미 우리 (해킹팀의) 연구개발팀에 카카오톡에 대한 내용을 지시했다”며 “카카오톡 건에 대한 빠른 일처리를 재촉하고 있다”고 밝혔습니다. 국정원의 요청으로 카카오톡 애플리케이션 공격을 위한 연구가 진행된 것으로 보입니다. 국정원이 해킹 프로그램을 통해 카카오톡을 보려 했다면, 대북·국외 정보전보다는 국내 사찰용일 가능성에 무게가 더 실립니다.

▶ 관련 기사 : [단독] 해킹 프로그램 산 국정원, ‘카톡 검열’ 기능도 요청했다

2. ‘국내 보안업체’ 안랩 분석 의뢰한 국정원

국정원은 지난 2월3일 ‘해킹팀’에 직접 이메일을 보냅니다. “설치한 에이전트가 안랩의 V3 모바일 2.0에 의해 악성 프로그램으로 검출됐다”며 분석을 의뢰한 내용입니다. ‘V3 모바일 2.0’은 국내 보안업체인 안랩이 개발한 모바일 백신입니다. 국정원이 해킹팀으로부터 받은 악성 코드를 설치하는 과정에서 안랩의 백신에 의해 적발되는 문제가 발생하면서, 이 백신을 피할 수 있는 방법을 물어본 걸로 분석됩니다.

해킹팀은 “유럽에서는 당신이 말한 백신을 구할 수 없다. 백신을 보내달라”고 국정원 쪽에 요청합니다. 이 역시 해킹 프로그램 구입과 관련한 의뢰가 국내 사찰용임을 알 수 있게 하는 대목입니다.

이병호 국가정보원장이 14일 오후 국회 정보위원회에 출석하는 동안 경호팀 등 국가정보원 직원들이 ‘갤럭시 스마트폰 해킹 의뢰‘와 관련해 질문을 하려는 기자들을 밀어내고 있다. 이정우 선임기자 woo@hani.co.kr
이병호 국가정보원장이 14일 오후 국회 정보위원회에 출석하는 동안 경호팀 등 국가정보원 직원들이 ‘갤럭시 스마트폰 해킹 의뢰‘와 관련해 질문을 하려는 기자들을 밀어내고 있다. 이정우 선임기자 woo@hani.co.kr

3. 국내용 삼성 갤럭시 스마트폰 새 버전 출시 때마다 “뚫어달라” 요구

국정원은 2013년 1월 당시 출시한 지 7개월이 지난 삼성의 ‘갤럭시 S3’ 스마트폰 단말기를 해킹팀에 보내 분석을 의뢰했습니다. “‘갤럭시 S3’를 보낼 테니 음성 녹음 기능이 가능한지 확인해달라”는 의뢰였습니다. 지난달엔 최근 출시된 최신 스마트폰은 ‘갤럭시 S6’에 대한 해킹을 문의하기도 했습니다.

여기서 주목할 건, 이탈리아에서도 구할 수 있는 ‘갤럭시 S3’를 왜 굳이 한국에서 이탈리아로 직접 보냈냐는 겁니다. 보안 전문가들은 이에 대해 ‘국내에서 사용하는 삼성 갤럭시 제품은 기본적으로 깔려 있는 애플리케이션 등이 외국 판매분과 다를 수 있는 만큼 (국정원의) 감시 대상이 정확히 국내용 스마트폰 분석에 있는 것으로 보인다’고 분석합니다. 즉, 국정원은 한국에서 쓰는 갤럭시를 해킹할 수 있는 방법이 필요했던 겁니다.

▶ 관련 기사 : [단독] 국정원, 갤럭시 출시 때마다 해킹업체에 “뚫어달라”

4. 한국어 워드 파일에 ‘악성 코드’ 심어달라고 요구

국정원은 2013년 10월2일 ‘육군 5163부대’ 이메일을 통해 ‘서울대 공과대학 동창회 명부’라는 한글 제목의 워드 파일을 해킹팀에 보냈습니다. 국정원은 “MS 워드의 보안 취약점을 이용하기 위한 샘플 파일을 첨부했다. 오늘 바로 회신을 달라”고 썼습니다.

13시간 뒤 해킹팀은 악성 코드를 심은 동창회 명부 파일을 첨부한 이메일을 답신으로 보내면서 “본인(5163부대) 컴퓨터에서는 열지 말라”고 조언합니다. 국정원이 ‘서울대 공과대학 동창회 명부’를 열어볼 가능성이 큰 인물들을 대상으로 해킹을 추진했음을 알 수 있는 정황입니다.

같은 시기 국정원은 ‘Cheonan-ham (Cheonan Ship) inquiry’(천안함 문의)라는 영어 제목 워드 파일에도 악성 코드를 심어달라고 부탁합니다. 천안함 관련 기사를 다수 작성한 <미디어오늘> 조현호 기자의 이름을 사칭한 것으로 보이는 ‘미디어 오늘 조현우 기자’ 명의로 천안함 ‘1번 어뢰 부식 사진’ 관련 문의사항을 담은 한글 파일을 함께 해킹팀에 보냈습니다. 두 사건을 종합하면, 2013년 10월 초 국정원이 천안함 침몰 사건과 관련해 ‘서울대 공대 출신 전문가’들에게 해킹용 악성 코드를 심은 파일을 보낸 것으로 추정할 수 있습니다. 실제 파일을 보낸 일이 발생하지 않았다 해도, 국정원의 해킹 프로그램 사용 대상이 국내 민간인들이라는 점은 충분히 유추할 수 있는 팩트입니다.

▶ 관련 기사 : [단독] 국정원, ‘서울공대 동창회 명부’로 해킹 시도 정황

5. 해킹팀, 네이버 블로그에 ‘악성 코드’ 심었다

해킹팀은 국정원의 의뢰로 지난 3~4월 모두 7차례에 걸쳐 국내 포털 네이버의 블로그 두 곳에 안드로이드를 사용하는 스마트폰을 감염시킬 수 있는 악성 코드를 심었습니다. 이 블로그들에는 한글로 떡볶이 관련 글 등 맛집 정보와 지방자치단체의 행사 홍보 글이 담겨 있습니다. 국정원이 어떤 특정한 개인을 노린 것이 아니라. 불특정 다수 일반인을 해킹 대상에 포함했을 가능성이 제기되는 대목입니다.

▶ 관련 기사 : 이탈리아 해킹업체, ‘네이버 블로그’ 통해 불특정 일반인 해킹 시도

6. ‘5163부대’ 명칭은 대북·국외용으로 쓸 수 없다

국정원은 해킹팀과 거래하면서 국정원의 대외 명칭인 ‘5163부대’라는 이름을 썼습니다. 박정희 전 대통령이 5.16 군사 쿠데타 때 1961년 5월16일 새벽 3시에 한강을 넘었던 걸 ’기념‘해서 붙인 이름입니다. 50년 넘게 써왔습니다. 국정원 사정에 밝은 한 사정기관 관계자는 “한국 정보부가 ‘5163부대’라는 명칭을 쓴다는 걸 전 세계에서 모르는 곳이 없다”며 “국외 첩보, 대북 첩보 수집용 기구 도입을 위해서 외국에서 뻔히 아는 이름을 쓴다면 차라리 ‘대한민국 국정원’이라고 쓰는 게 낫다. 알려진 이름으로 국외첩보용 장비를 사들이면 한국 공작원들은 다 죽는다”고 말했습니다.

7. 한국 정보통신망을 사용해야 악성 코드 감염이 가능하다

국정원이 해킹팀에 의뢰한 악성 코드와 해킹 프로그램은 개인용 컴퓨터나 스마트폰에 어떤 방법으로든 악성 코드를 심어야 해킹이 가능합니다. 악성 코드를 심는 방법은 USB를 직접 꽂아서 하는 방법도 있지만, 대개는 통신망을 이용합니다.

그런데 대북·국외용으로 해킹 프로그램을 쓰려면, 국정원이 외국의 통신망을 이용하기가 쉽지 않습니다. 국정원 사정에 밝은 한 사정기관 관계자는 “서버를 통제하는 이들의 도움 없이 코드를 심는 건 너무 위험해보인다”고 말합니다. 이 관계자는 “(서초동 주소를 그대로 쓰는 등) 국정원의 대응이 어설프게 보이지 않느냐. 국내용이라는 얘기”라며 “국외 첩보는 프로들의 세계”라고 덧붙였습니다.

7가지 이유를 봐도 마지막 하나의 의문이 남는다는 분들이 있습니다. 국정원이 국내에 거주하는 간첩 등을 대상으로 해킹 프로그램을 사용했다면, 국내용으로 썼어도 별다른 문제가 없는 것 아니냐는 지적입니다. 하지만 이 역시 불법입니다. 대공 수사라고 하더라고 영장 발부를 받아야 하고, 그런 절차를 거치지 않으면 통신비밀보호법 위반입니다. 또 악성 코드를 써서 해킹 프로그램을 심는 건 정보통신망 이용촉진 및 정보보호 등에 관한 법률 48조와 49조 위반입니다. 그러니 혹시라도 국정원이 국내 거주 간첩 수사를 위해 해킹 프로그램을 썼더라도, 비판을 가할 수 있다는 얘기가 되겠습니다.

이재훈 기자 nang@hani.co.kr

▷ 관련기사 : 당신이 궁금했던 ‘국정원 해킹사건’ 핵심만 추렸습니다

■ 국정원 해킹·감청 의혹 규명 ‘독자와의 협업’ 제안합니다

<한겨레>가 선도적으로 취재·보도해온 ‘국가정보원 해킹·감청 의혹’의 진상을 밝히기 위해 독자와 시민 여러분께 ‘크라우드소싱’(crowd sourcing)을 통한 협업을 제안합니다.

국정원이 해킹 스파이웨어(RCS)를 구입한 이탈리아 업체 ‘해킹팀’에서 유출된 데이터는 400기가바이트(GB)에 이릅니다. <한겨레>가 독자적으로 검색·분석하기엔 너무 방대합니다. 국정원은 이 프로그램을 국내 사찰용으로는 사용하지 않았다고 밝혔지만, 여러 정황상 불법 사찰 의혹이 강하게 제기되고 있습니다.

아래 링크에서 해킹팀 내부 자료를 내려받아 음성파일 등을 열어보거나 ‘korea’, ‘devilangel’ 등 국정원 관련 키워드로 검색한 뒤 의심 가는 내용이 발견되면 이메일(rcs@hani.co.kr)로 알려주십시오. <한겨레>가 추가 취재해 진실을 알리겠습니다.

정보기관에 대한 민주적 통제에 관심 있는 분들이나 컴퓨터·보안 전문가 등의 적극적인 참여를 부탁드립니다.

<유출 자료 전체>

ht.transparencytoolkit.org

hacked.thecthulhu.com/HT

njsq2jeyc527mol7.onion.city

hacking.technology/Hacked%20Team

kat.cr/usearch/Hacking%20Team%20Archive%20Part

<유출 이메일>

wikileaks.org/hackingteam/emails
항상 시민과 함께하겠습니다. 한겨레 구독신청 하기
언론 자유를 위해, 국민의 알 권리를 위해
한겨레 저널리즘을 후원해주세요

광고

광고

광고

사회 많이 보는 기사

집회 짓밟고 ‘윤석열 퇴진 투표’ 옥죄고…비판 입틀막 정권 1.

집회 짓밟고 ‘윤석열 퇴진 투표’ 옥죄고…비판 입틀막 정권

서울대, ‘윤석열 퇴진’ 대자보…“불공정과 비상식의 대명사” 2.

서울대, ‘윤석열 퇴진’ 대자보…“불공정과 비상식의 대명사”

위기의 윤 정부 ‘공안 정국’ 조성…검찰, 주말 집회 4명 구속영장 3.

위기의 윤 정부 ‘공안 정국’ 조성…검찰, 주말 집회 4명 구속영장

윤 대통령 부부 의혹은 빼고…검찰, 명태균 구속영장 청구 4.

윤 대통령 부부 의혹은 빼고…검찰, 명태균 구속영장 청구

‘유령’에서 이제야 자격 얻었는데…산재로 꺾인 ‘이주민 청년’의 꿈 5.

‘유령’에서 이제야 자격 얻었는데…산재로 꺾인 ‘이주민 청년’의 꿈

한겨레와 친구하기

1/ 2/ 3


서비스 전체보기

전체
정치
사회
전국
경제
국제
문화
스포츠
미래과학
애니멀피플
기후변화&
휴심정
오피니언
만화 | ESC | 한겨레S | 연재 | 이슈 | 함께하는교육 | HERI 이슈 | 서울&
포토
한겨레TV
뉴스서비스
매거진

맨위로
뉴스레터, 올해 가장 잘한 일 구독신청