일반 해킹툴 ‘감기’라면 이번 해킹툴은 ‘메르스’

국정원 해킹프로그램의 실체

▲ 7월 16일 새정치민주연합 당대표실에서 열린 해킹프로그램 시연을 통해 개인정보가 죄다 빠져나갈 수 있다는 게 확인됐다.[사진=뉴시스]

국정원이 인터넷 댓글 작업을 통한 대선 개입에 이어 또다시 논란의 중심에 섰다. 이탈리아 해킹프로그램 전문업체인 ‘해킹팀(Hacking Team)’으로부터 해킹프로그램을 들여와서다. 국정원은 ‘대북 감시를 위한 연구 목적’이라 해명했다. 문제는 이 말을 믿는 국민이 아무도 없다는 거다.

7월 16일 새정치민주연합 당대표실. 해킹프로그램을 이용한 스마트폰 실시간 도ㆍ감청 시연이 있었다. ‘RCS(Remote Control System)’ 방식의 해킹프로그램을 이용해 어떤 정보들이 어떤 식으로 유출될 수 있는지 알아본 것인데, 결과는 충격적이었다. 해킹 당한 휴대전화에서 SNS를 실행해 문자를 입력하자 잠시 후, 해커가 보고 있는 모니터에서 그 문자가 그대로 나타났다. 카메라를 작동하자 영상도 나타났다. 카메라를 껐는데도 해커의 모니터에는 여전히 영상들이 찍혀 나왔다.

이날 시연을 준비한 권석철 큐브피아 대표는 “녹화, 녹취, 문서, 위치추적, SNS, 메일 등 거의 모든 개인 정보들이 빠져나갈 수 있다고 보면 된다”며 “일반 해킹툴이 감기라면 이번 해킹툴은 메르스라고 생각하면 된다”고 설명했다. 그만큼 위험성이 크다는 거다. 이런 해킹프로그램을 누군가 불순한 목적을 갖고 다른 이의 휴대전화에 심는다면 심각한 문제가 발생할 수 있다는 얘기다. 국가정보원(국정원)이 들여온 해킹프로그램을 두고 정치권이 갑론을박을 펼치는 이유가 여기에 있다.

7월 6일 이탈리아의 해킹프로그램 전문업체 해킹팀(Hacking Team) 내부자료가 유출됐다. 이는 곧 인터넷 폭로 전문 사이트 위키리크스에 공개됐다. 유출된 자료는 무려 400GB. 이 자료에는 각국 정보기관들이 정보통신기술을 이용해 국민을 감시해온 정황들이 담겨 있었다. 해킹팀의 고객리스트에는 ‘대한민국 육군 5163부대’도 들어 있었다. 이 부대는 국정원이 외부에서 쓰는 위장명칭이다. 2013년 국정원 댓글 사건을 통해 알려졌다. 사실이 알려지자 국정원은 ‘대북 감시용’ ‘연구용’이라고 둘러댔다.

해킹팀이 ‘고객’들에게 홍보한 자료에 따르면 해당 해킹프로그램은 보안이 쉽게 뚫리지 않는다던 애플의 운영체제(iOS)는 물론 구글의 G메일도 뚫는다. 미 연방수사국(FBI)조차 이 회사 서비스를 이용하는 것으로 알려져 있다. 때문에 남북대치 상황에서 정보전을 펼쳐야 하는 국정원으로서는 해당 해킹프로그램이 필요했을 가능성도 있다. 다만 그 주장을 곧이곧대로 받아들이기엔 이해할 수 없는 부분들이 많이 있다는 게 문제다.

쟁점은 크게 세가지다. 하나는 국정원이 해킹프로그램을 구입한 시기다. 이병호 국정원장은 7월 14일 국회 정보위원회 전체회의에서 “구입한 해킹프로그램은 20개 회선(2012년 1월과 7월 각 10개씩 구입)”이라고 말했다. 하지만 국정원과 해킹팀의 중간다리 역할을 했던 나나테크가 해킹팀과 주고받은 이메일에는 더 많은 양을 구입했던 것으로 나온다. 2012년 3월 14일과 12월 6일. 각각 35개, 30개를 추가 주문했다.

총선과 대선에 해킹툴 썼나

19대 총선과 18대 대선을 코앞에 둔 시점이다. 더구나 구매를 대행한 나나테크가 해킹팀에 보내는 이메일에는 ‘긴급’이라는 단어가 수시로 등장한다. 그만큼 해킹프로그램을 빨리 사용해야 할 절박함이 있었을 거란 얘기다. 야권이 2013년 댓글 공작에 이어 선거를 겨냥해 공작을 펼친 것 아니냐는 주장을 내놓는 이유다. 더구나 새누리당과 박근혜 대통령은 선거에서 압승을 거뒀다.

해킹프로그램 구입 자체의 불법 논란도 있다. 국정원이 간첩을 잡는 목적으로 해킹프로그램을 사용했다고 하더라도 현재 법제 하에서는 해킹프로그램을 작동하는 것 자체가 불법이다. 법원이 발부하는 영장과 통신비밀보호법에 따라 해킹이 이뤄지는 게 아니라서다. 이에 대해 황교안 국무총리는 “국정원이 해킹프로그램을 구입한 것 자체는 불법이 아니다”며 “불법적으로 사용하는 게 문제”라고 말했다. 그런데 이미 국정원은 해당 해킹프로그램을 사용하다가 문제가 발생하자 해킹팀에 도움을 요청한 정황도 드러났다. 이게 사실이라면 국정원은 이미 불법적으로 해킹프로그램을 사용했다는 얘기다.

국정원이 예외적인 정보기관이라고 하더라도 문제는 여전히 남는다. 간첩으로 의심되는 이가 간첩이 아니었을 경우에는 민간인 사찰 문제로 이어질 수 있다. 야권에서 국정원의 해킹프로그램 구입을 민간인 사찰로 연결 짓는 것도 이런 이유에서다. 더구나 해당 해킹프로그램의 위험성은 이미 시연을 통해 드러났다.

간첩과 민간인, 종이 한장 차이

국정원의 해명에는 진실성도 없다. 애초엔 해킹프로그램 구입 자체를 부인하다가 하나둘 사실이 드러나자, 20개를 구입했다고 한발 물러섰다. 정부의 천안함 폭침설을 반박해온 재미 과학자 안수명 박사를 해킹하려 했던 정황이 드러나자 “대북 관련 용의점이 있었다”는 식으로 둘러댔다. 국정원은 2013년에도 인터넷 댓글을 통해 대선에 개입한 정황들이 속속 드러났지만 함구와 부인으로 일관한 바 있다. 민간인 사찰용이 아니라는 국정원의 해명을 국민이 쉽게 받아들이지 않는 이유다.

<Issue in Issue : 권석철 큐브피아 대표>
“나쁜 마음 먹으면 못할 게 없어”

▲ 권석철 큐브피아 대표는 “나쁘게 활용하겠다는 마음만 먹으면 못 할 게 없는 수준”이라며 이번 국정원이 사들인 해킹프로그램의 위험성을 전했다.[사진=지정훈 기자]

✚ 해킹팀의 해킹프로그램은 어떤 건가.
“RCS라는 거다. 통신기기에 해킹프로그램을 심으면 원격조정이 가능하다. 백신프로그램을 원격 업데이트 하는 것과 같은 이치다.”

✚ 이번 해킹프로그램의 위험성은.
“현재 갖고 있는 열쇠로만 열리던 문이 다른 열쇠로 열리면 황당한 일 아니겠나. 백신이 만들어지지 않은 완전히 새로운 해킹 기법을 개발한 거다. 백신은 모든 해킹을 막을 수 없고 특정한 기법에 대해서만 반응한다. 기존 백신의 한계를 뚫은 것이다. 일반적인 해킹이 감기라면 이번 것은 ‘메르스’에 해당한다. 아직 약이 없다. 그래서 값도 비싸다.”

✚ 해당 해킹프로그램으로 무엇을 할 수 있나.
“나쁘게 활용하겠다는 마음만 먹으면 못 할 게 없는 수준이라고 하는 게 맞을 거다. 기본적으로는 문서 유출, 전화 녹음, 메일 분석, 촬영, 위치추적 등이 다 가능하다. 통화의 실시간 감시는 조금 어렵다. 무조건 정보를 빼내가려 하면 스마트폰이 과열되고 네트워크가 느려지니까 들킬 염려가 있어서다. 대신 녹음, 녹화가 가능하다. SNS는 실시간 감시는 돼도 저장된 파일을 꺼내가는 건 안 되는 것 같다.”

✚ 해킹프로그램 사용을 위해서는 물리적인 접촉이 반드시 필요한가.
“그렇다. 특정 대상의 휴대전화에 일단 악성코드를 심어야 한다. 지금 나오는 논란처럼 간첩을 해킹한 거라면 문제가 없겠지만, 간첩이 아니면 문제가 될 듯하다”

✚ 해킹프로그램 라이선스가 20개인지 30개인지가 중요한가.
“그렇지 않다. 한번에 감시할 수 있는 회선이 20개, 30개라는 것이다. 30개를 구입하더라도 대상자를 바꿔가면서 수백, 수천명을 해킹할 수도 있다. 그래서 이번 해킹프로그램 구입 사건이 더 논란이 되는 것이다.”

✚ 이런 해킹프로그램 유통은 합법적인 건가.
“말하기 어렵다. 하지만 일반적으로 보안 취약점이 있으면 해커(화이트해커)는 그런 걸 찾아내 위험을 막으라고 알려준다. 그러면 백신이 만들어진다. 그런데 해킹팀은 도둑질 할 수 있는 기술을 판 거다. 아무래도 불법적인 요소가 없지 않다고 본다.”
김정덕 더스쿠프 기자 juckys@thescoop.co.kr

김정덕 기자 juckys@thescoop.co.kr

다른기사 보기