이병호 국정원장 “국내 해킹 없어” 해명에도 의혹은 그대로
김백겸 기자 kbg@vop.co.kr 최종업데이트 2015-07-14 20:54:34 이 기사는 현재 건 공유됐습니다
국가정보원이 이탈리아 해킹업체인 ‘해킹팀’으로부터 해킹 프로그램을 구입한 사실을 시인하면서 ‘대북·해외용’이라고 해명했으나 국내 활용 의혹은 여전히 남아있다.
이병호 국정원장은 14일 국회 정보위원회 전체회의에 출석해 “2012년 1월과 7월 이태리 해킹사로부터 총 20명분의 RCS(Remote Control System) 소프트웨어 구입했다”고 밝히면서도 “국민을 대상으로 이런(해킹) 활동은 있을 수 없다”고 의혹을 부인했다. 이 국정원장은 “만약 그렇다면 어떠한 처벌도 받겠다”고 장담까지 했다.
하지만 ‘서울대’를 목표로 한 한글워드 파일에 해킹 프로그램을 심어 놓고, 국내 사용자가 많은 ‘갤럭시’ 기종의 해킹을 의뢰하는 등 국내 활용 정황에 대해서는 명확한 답변을 내놓지 못했다.
▲북한 사람도 ‘서울대’ 다닌다? = 국정원(육군 5163부대)은 2013년 10월2일 이메일을 통해 ‘서울대 공과대학 동창회 명부’라는 한글 제목의 MS워드 파일을 ‘해킹팀’에 보내면서 “MS 워드의 보안 취약점을 이용하기 위한 샘플 파일을 첨부했다. 오늘 바로 회신을 달라”고 주문했다. 13시간 뒤 해킹팀은 악성 코드를 심은 동창회 명부 파일을 첨부한 이메일을 답신으로 보내면서 “본인(5163부대) 컴퓨터에서는 열지 말라”고 경고했다.
또한 국정원은 ‘Cheonan-ham (Cheonan Ship) inquiry’(천안함 문의)라는 영어 제목 워드 파일에도 악성 코드를 심어달라며 ‘미디어 오늘 조현우 기자’ 명의로 천안함 ‘1번 어뢰 부식 사진’ 관련 문의사항을 담은 한글워드 파일을 첨부한 이메일을 ‘해킹팀’에 보냈다. ‘조현우 기자’는 천안함 관련 의혹 기사를 다수 보도한 ‘미디어오늘’ 조현호 기자의 이름을 연상하게 한다.
이를 종합하면, 2013년 10월 초 국정원이 천안함 침몰 사건과 관련해 ‘서울대 공대 출신 전문가’들을 목표로 해킹을 시도했던 것으로 추정할 수 있다.
특히, ‘서울대’, ‘천안함’, 국내 언론인 ‘미디어오늘’ 등 관련된 키워드들도 북한보다 국내에 연관성이 많은 키워드들이다.
▲외국서도 팔리는 ‘갤럭시’...굳이 국내용을 보낸 이유는? = 국정원은 2013년 1월 당시 출시한 지 7개월이 지난 삼성의 ‘갤럭시 S3’ 스마트폰을 ‘해킹팀’에 보내 “‘갤럭시 S3’를 보낼 테니 음성 녹음 기능이 가능한지 확인해달라”고 의뢰했다. 더구나 지난달에는 최근 출시된 최신 스마트폰인 ‘갤럭시 S6’에 대한 해킹을 문의했다.
국내에서도 많이 쓰이는 ‘갤럭시’ 기종은 해외에서도 판매량 1,2위를 다툴 정도로 구하기 쉬운 기종이다. 그런데 왜 국정원은 굳이 국내에서 시판된 ‘갤럭시 S3’를 이탈리아로 직접 보냈을까.
이는 외국에서 사용하는 갤럭시 기종과 국내에서 사용하는 갤럭시 기종에 기본적으로 깔여있는 애플리케이션 등 사양이 다를 수도 있다는 것을 고려한 것으로 분석된다. 즉, 스마트폰 해킹의 대상이 정확히 국내에 맞춰져 있다는 것을 증명하는 것이다.
▲간첩들이 ‘카카오톡’으로 연락? = 지난해 3월 '해킹팀' 직원들 사이에서 오간 ‘출장 보고서’란 제목의 이메일을 보면 국정원(육군 5163부대) 관계자는 당시 ‘해킹팀’을 직접 만나 ‘카카오톡’ 해킹 기술에 대한 진전 사항을 문의했다. 이메일에는 “한국이 이미 요청했던, 자국에서 가장 일반적으로 사용되는 카카오톡에 대한 (해킹 기능 개발) 진행 상황에 대해 물었다”고 기록했다. 이에 답변을 단 다른 이메일에는 “카카오톡 건에 대한 빠른 일처리를 재촉하고 있다”고 말했다.
국정원이 ‘해킹팀’에 카카오톡 해킹을 위한 의뢰를 한 것으로 보이는 정황이다.
이에 대해 국정원 측은 정보위에서 “카카오톡에 대해서 문의한 것도 북한 대상 공작원들이 카카오톡도 쓰고 있어서 문의하고 기술개발하기 위해 (해킹팀과) 이메일을 주고받은 것”이라고 해명했다.
그러나 카카오톡 이용자 중 국내 가입자가 훨씬 많은 것을 고려하면 국내 사찰을 염두에 둔 것이라는 의혹을 지울 수 없다.
▲국내 백신 뚫을 방법 의뢰한 국정원 = 국정원은 지난 2월3일 ‘해킹팀’에 이메일을 보내 “설치한 에이전트가 안랩의 V3 모바일 2.0에 의해 악성 프로그램으로 검출됐다”며 분석을 의뢰했다.
국정원이 해킹팀으로부터 받은 해킹 프로그램이 안랩의 백신에 검출되는 문제가 발생하자 이를 피할 수 있는 방법을 문의한 것으로 보인다.
이에 ‘해킹팀’은 “유럽에서는 당신이 말한 백신을 구할 수 없다. 백신을 보내달라”고 요청한다.
‘V3 모바일 2.0’은 국내 보안업체인 안랩이 개발한 모바일 백신으로 무료로 사용할 수 있어 국내에서 많이 쓰이는 백신 중 하나다. 국정원이 굳이 외국에서도 잘 쓰지 않는 백신의 우회 방법을 문의한 정황 또한 국내에서 활용하기 위한 목적이 아닌지 의심하게 하는 대목이다.
▲국내 대형 포털 블로그로 ‘스미싱’한 국정원 = 국정원은 ‘해킹팀’에게 감시대상의 스마트폰 등에 침투시키기 위한 ‘피싱URL’제작을 최소 87회 이상 '해킹팀'에 의뢰한 것으로 나타났다.
새정치민주연합 김광진 의원은 국정원이 불과 보름 전인 지난 6월29일에도 이를 의뢰해 최근까지 감시 활동을 해온 것으로 판단된다고 의혹을 제기했다.
국정원이 구입한 RCS 프로그램은 감시대상의 통신기기(스마트폰, PC)에 바이러스프로그램을 침투시켜야 작동한다. 이를 위해 ‘해킹팀’은 국내 포털 네이버의 블로그 두 곳에 안드로이드를 사용하는 스마트폰을 감염시킬 수 있는 악성 코드를 심었다. 이 블로그들에는 한글로 떡볶이 관련 글 등 맛집 정보와 지방자치단체의 행사 홍보하는 내용이 담겨있다.
국정원은 악성 코드를 심어둔 ‘피싱 URL’을 감시대상에게 보내고, 대상이 여기에 접속하면 기기에 바이러스가 설치되도록 한 뒤 미리 지정해둔 블로그로 연결해 의심을 없애는 수법을 사용한 것으로 분석된다.
국정원이 해킹 프로그램의 목표라고 주장한 북한 공작원이 ‘떡볶이’에 관심을 가질 가능성은 크지 않을 것이므로 이는 국내 불특정 다수 일반인을 해킹 대상으로 노린 것으로 볼 수있다.
▲하필이면 왜 대선 전인가 = 국정원은 ‘해킹팀’으로부터 대통령 선거가 있던 해인 2012년 1월과 7월 해킹 프로그램을 구입했다고 밝혔다. 국정원은 그해 인터넷 댓글로 대선에 개입했다는 사실이 밝혀졌고 당시 국정원장인 원세훈 전 원장은 실형까지 선고받았다.
국군기무사령부에서도 2012년 10월로 대선 직전 21대의 감청장비를 사들였다. 공교롭게도 이 시기는 국군 사이버사령부 심리전단 요원들이 적극적으로 대선에 개입했던 시기와 겹친다.
국정원과 국군이 해킹프로그램과 감청장비를 대선에 활용했다는 의심 제기되는 부분이다.
새정치연합 송호창 의원은 이에 대해 “대통령 선거가 있었던 그 해에 일어났기 때문에, 그리고 대량의 장비들을 구입한 목적이 무엇인지, 또 어떻게 활용을 했는지, 여기에 대한 것이 전혀 나오질 않고 있는 상황”이라며 “어떻게 사용됐는지 등이 기무사를 통해서 확인돼야 될 것”이라고 지적했다.
▲‘대북용’이면 불법이 아닌가 = 국정원이 주장한대로 해킹 프로그램이 ‘대북·해외용’이라 하더라도 문제가 없는 것은 아니다. 대공 수사라고 하더라고 영장 발부를 받아야 한다.
또한 감청설비를 만들거나 배포하려는 자는 미래창조과학부장관의 인가를 받아야 한다. 이를 위반하면 5년 이하의 징역형의 형사처벌을 받게 된다. 또 국정원과 같은 정보수사기관은 감청 설비를 도입하면서 국회 정보위원회에 통보해야 한다.
국정원이 시도한 블로그를 이용한 악성 코드 감염 수법은 사회에서 문제가 되고 있는 ‘스미싱’ 범죄 수법이므로 정보통신망 이용촉진 및 정보보호 등에 관한 법률에도 위반된다.
더구나 현행법상 한국 정부기관은 감청 프로그램 구매를 직접 할 수 없도록 돼 있다. 국정원이 국내 프로그램 업체인 ‘나나테크’를 대리인으로 내세워 프로그램을 구입한 것도 이러한 불법성을 염두한 것으로 보인다.
이같이 국정원의 공식적인 해명에도 의혹들이 말끔히 풀리지 않자 정보위 위원들은 조만간 국정원을 직접 방문해 국정원의 주장을 확인할 방침이다. 정보위 야당 간사인 새정치연합 신경민 의원은 “저희들이 가지고 있는 의구심이나 언론이 지적한 문제점에 대해서 이 답변만으로 확정 지을 수 없기 때문에 국정원에 가서 확인하는 절차를 밟기로 했다”고 밝혔다.
최근 댓글 목록