본문 바로가기

세상에 이럴수가/정치·사회·경제

국정원 해킹사건 총정리

국정원 해킹사건 총정리
[한겨레] 정유경 기자 | 등록 : 2015-07-17 20:52 | 수정 : 2015-07-18 11:05


사상 초유의 사건입니다. 미국 국가안보국의 무차별적인 개인정보 수집에 대한 에드워드 스노든의 폭로 이래 최대 규모 ‘스캔들’입니다. 한국도 스캔들의 중심에 서 있습니다.

국가정보원이 국민들의 스마트폰을 속속 들여다봤다는 의혹을 받고 있습니다. 그런데 뉴스를 보면, 정보기술(IT) 용어가 복잡하기만 합니다. 매일 쏟아지는 기사를 파악하기도 버겁습니다. <한겨레>가 핵심만 쏙쏙 추려 ‘국정원 해킹 사건 총정리판’을 싣습니다.

▲ 7월 5일 이후 ‘국정원 해킹 사건’ 전개 일지 (※ 클릭하면 확대됩니다.)


이탈리아 IT기업 ‘해킹팀’이 어느날 발칵 뒤집혔습니다.
누군가 각국 고객들과 주고받은 이메일, 음성파일 등을
송두리째 해킹해 인터넷에 올린 겁니다.



악명 높은 해킹업체, 도리어 해킹을 당하다

지난 5일(현지 시각) 늦은 밤, 이탈리아 밀라노에 있는 IT기업 ‘해킹팀’이 발칵 뒤집혔습니다. 누군가 내부정보를 통째로 해킹해 인터넷에 올려버린 겁니다. 트위터 계정까지 탈취해 ‘해킹당한 팀’이라고 이름을 바꿔놓고 조롱했습니다.

해킹팀은 컴퓨터와 스마트폰 해킹 프로그램을 다수 국가에 판매하는 것으로 악명 높았습니다. 그런데 이번에 공개된 정보에는 해킹 프로그램의 소스코드(프로그램 설계도)가 그대로 담겨 있습니다. 각국 고객들과 주고받은 이메일, 음성 파일, 직원들이 쓰는 암호도 송두리째 노출됐습니다.

“국제기구에 반인권 정부로 지목된 정부와는 거래하지 않는다”던 해킹팀의 말은 거짓이었습니다. 유엔의 ‘무기 금수 조처’를 받은 수단은 이 프로그램으로 유엔 평화유지군을 해킹하려 했습니다. 에티오피아는 정부가 이 프로그램을 사서 비판적인 언론인과 활동가를 사찰했습니다. 정부에 비판적인 인사들을 도청한다는 의혹을 받아온 △사우디아라비아 △러시아 △아랍에미리트 △레바논 등도 고객이었습니다.


한국 국정원도 고객이었습니다.
해킹 프로그램은 감시대상이
컴퓨터와 스마트폰을 통해 보고 듣고 교류하는
모든 내용을 그대로 감시자에게 보여줍니다.





국정원도 빠질 순 없지

한국 국정원도 고객이었습니다. ‘육군 5163부대’라는 고객명을 썼는데, 국정원의 위장용 이름으로 널리 알려진 명칭입니다. 박정희 전 대통령이 5.16 군사 쿠데타 때 1961년 5월 16일 새벽 3시 한강을 넘었던 걸 ’기념‘해서 붙인 이름이랍니다.

7월 7일과 8일 IT 전문지가 외신을 인용해 정보 유출 소식을 전했습니다. 9일 온라인매체 <미스핏츠>에 개발자 이준행씨가 상세한 의혹을 소개했습니다. 9일치 <한국일보>, 10일치 <세계일보> 등 일간지들도 ‘국정원이 구입처로 보인다’는 의혹을 보도했습니다. <한겨레>는 IT 담당 기자가 유출된 자료를 분석해 국정원이 이 해킹 프로그램을 구매한 영수증을 확인했고 11일치 1면에 실었습니다. 국정원은 이즈음 ‘국외용·대북용’이라는 해명을 내놨습니다.

정말 그럴까요? <한겨레>가 지난 주말 분석에 매달린 결과, 자국민을 대상으로 하는 광범위한 불법 도·감청 정황이 곳곳에서 드러났습니다. 특히 13일치 “국정원이 ‘카톡 검열’ 기능 요구했다”는 <한겨레> 보도는 큰 파장을 일으켰습니다. 주로 국내에서 쓰는 카카오톡을 공격하려 했다는 점에서 국정원이 해킹 프로그램으로 국내 인사를 사찰하려 했다는 정황이 드러났기 때문입니다.


대체 무슨 프로그램이길래?

우선 해킹 프로그램에 대해 알아보겠습니다. 아르시에스(RCS), 즉 ‘원격 제어 시스템’이라고 불리는 이 해킹 프로그램은 감시 대상이 컴퓨터와 스마트폰을 통해 보고 듣고 교류하는 모든 내용을 그대로 감시자에게 보여줍니다. 컴퓨터에 웹캠이 달려 있다면 사진을 찍어 보냅니다. 스마트폰 통화 내용을 녹음해 전송하기도 합니다. 이 모든 일이 사용자 몰래 이뤄집니다. 백신에도 잡히지 않습니다. △마이크로소프트의 윈도 △리눅스 △구글 안드로이드 △애플의 아이오에스(iOS) △블랙베리 △심비안 등 모든 운영체제를 해킹할 수 있습니다.

암호화된 메신저도 소용이 없습니다. 키보드 입력 단계에서 정보를 가로챌 수 있기 때문입니다. 자주 사용하는 아이디와 비밀번호 역시 입력하는 순간 노출됩니다.

다만 이 프로그램에도 한계가 있습니다. 감시 대상자의 컴퓨터나 스마트폰에 이 해킹 프로그램이 설치되어 있어야만 합니다. 해킹팀이 쓰는 방법은 △감시 대상자의 무선공유기를 조작해 RCS를 설치한다 △문서파일, 파워포인트 파일 등으로 위장한 악성코드 설치 파일을 보낸다 △일반 웹사이트로 보이는 변조된 설치 링크를 보낸다 등입니다.


국정원은 “북한 해킹을 대비하기 위한 연구용”이라고 해명했지만
국민을 대상으로 하는 광범위한 불법 도·감청 정황이 곳곳에서 드러났습니다.



국정원의 감시 대상은 누구였나

이 프로그램으로 국정원은 뭘 하려고 했을까요? 이병호 국정원장은 14일 “북한 해킹을 대비하기 위한 연구용”이라고 말했는데요. 지금까지의 보도를 종합하면, 그럴 가능성은 점점 작아지고 있습니다.

첫째, 앞서 말씀드렸듯 국정원은 카카오톡을 해킹하길 원했습니다. 2014년 3월 해킹팀 내부 메일에는 “한국에서 가장 일반적으로 사용되는 카카오톡에 대한 (해킹 기능 개발) 진행 상황에 대해 물었다”는 대목이 나옵니다.

둘째, 국정원은 스마트폰 국내용 모델 해킹에 초점을 맞췄습니다. 2013년 2월 갤럭시S3 국내 모델을 이탈리아에 보내 몰래 음성녹음이 가능한지 살펴달라고 주문합니다. ‘맞춤 해킹’을 의뢰한 겁니다. 외국에서 출시된 모델은 기본 애플리케이션이 국내용과 다릅니다. 국정원이 타깃으로 삼은 감시 대상자가 국내용 모델을 쓰고 있다는 얘깁니다. 이후로도 국정원은 갤럭시 최신형이 나올 때마다 기술 지원을 요청했습니다. 안랩의 ‘V3 모바일 2.0’과 같은 국내용 백신을 회피하기 위한 방법을 묻기도 했습니다. 미국 스마트폰 메신저인 바이버를 해킹해 달라는 요청도 있었습니다. 바이버는 야당 정치인들 사이에서 사찰을 피할 목적으로 카카오톡 대신 쓴다는 메신저입니다.

셋째, 지방선거를 앞두고 안드로이드 스마트폰 공격을 요청했습니다. 지방선거를 석달 앞둔 2014년 3월께 오간 해킹팀의 ‘출장 보고서’를 보면, “그들(국정원)의 주된 관심사는 원격의 안드로이드, 아이폰에 대한 공격”이며 “특히 6월에 안드로이드 공격을 이용하길 원한다”고 적고 있습니다.

넷째, ‘서울대 공대 동창회 명부’라는 제목의 워드 파일, <미디어오늘> 기자를 사칭한 천안함 보도 관련 문의 워드 파일에 악성코드를 심어달라고 요청했습니다. 천안함 관련 연구진, 서울대 출신 고위관계자 등이 감시 대상자였을 가능성이 제기됩니다.

다섯째, 국정원이 해킹팀 쪽에 ‘악성 코드를 심어 달라’며 보낸 설치 파일 링크를 살펴보면 △네이버 맛집 소개 블로그 △벚꽃축제를 다룬 블로그 △삼성 업데이트 사이트를 미끼로 내건 주소가 나옵니다. 일반인들이 흔히 누를 법한 링크들입니다. 메르스가 극성을 부리던 지난 6월에는 ‘메르스 정보 링크’를 위장한 악성코드를 요청하기도 했습니다. △애니팡2 △모두의 마블 △드래곤 플라이트 같은 인기 애플리케이션에 악성 코드를 심는 실험도 진행했습니다.


대북 정보활동에 썼다면 합법?

국정원의 해명대로 북한을 상대로 하는 해킹이었다면, 북한산 소프트웨어의 취약점을 연구해야 맞습니다. 북한은 ‘붉은별’이라는 컴퓨터 운영체계와 ‘아리랑’이란 휴대전화 운영체계를 쓰고 있습니다.

하지만 국정원은 “남파 간첩이 카카오톡을 쓰고 있다”고 해명했습니다. 이미 이슬람국가(IS)와 같은 반국가단체 등이 ‘슈어 스팟’ 등의 암호화된 메신저를 쓰고 있다는 점을 볼 때 설득력이 다소 떨어집니다. 오픈소스인 안드로이드 폰은 아이폰 운영체계에 견줘 해킹에 취약한데 남파 간첩이 안드로이드 폰에서 카톡으로 접선했을지는 독자 여러분의 상상에 맡기겠습니다.

백번 양보해서 간첩이 국내에서 카톡을 썼다고 칩시다. 그렇다면 국정원은 간첩 의심자에게 접근할 필요도 없이 법원에 압수수색 영장을 신청해서 카카오톡 서버를 통째로 열어 볼 수 있습니다. 굳이 카카오톡 ‘해킹 기술’까지 요구할 이유가 없었다는 겁니다. 검찰이나 국정원에서 일종의 ‘사전 감청영장’을 신청하면, 휴대전화와 인터넷망을 비롯한 모든 전기통신에 대한 감청이 법적으로 허용됩니다.

더 간편한 방법도 있습니다. 간첩과 같이 국가의 중차대한 위협이 되는 상황에서는 영장 없이 대통령의 서면 승인만으로도 휴대전화를 감청할 수 있습니다. 그런데도 굳이 해킹을 시도한 걸 보면, ‘영장을 받을 수 없는 상대’를 도청하려 한 것이란 결론이 나올 수밖에 없습니다.


‘뻔한’ 해명을 할 수밖에 없는 까닭

그런데 국정원이 “대북용”이라는, 속이 빤히 보이는 해명을 한 까닭은 무엇일까요. “대북용” 혹은 “남파 간첩 대응용”이라고 하면 국정원이 무슨 행동을 하든 이해받을 수 있는 범위가 생깁니다. 국정원은 대북 정보활동이나 국외 첩보활동이 주 업무지요.

결국 관건은 ‘누구를 대상으로 했는가’입니다. 정황상 북한 거주자에 대한 공격은 아닌 것이 확실합니다. 그럼 국내에서 활동하는 남파 간첩의 휴대전화에 스파이웨어를 심어 감청했다면 어떨까요. 이런 행위는 불법입니다. 법조계에서는 “외국 국적자가 대상이라면 영장 없는 도청도 합법이 될 수 있다. 하지만 그 경우에도 스파이웨어를 썼다면 불법”이라고 설명합니다.

그런데 심지어 감시 대상자가 야당 정치인이거나 정부에 비판적인 사회활동가 혹은 언론인이라면? 국정원의 업무는 대국민 감시가 아닙니다. 그런 점에서 파문은 커질 수밖에 없습니다.

국정원이 구체적으로 국민 누구를 감시해 왔는가에 대해선 아직까지 증거가 드러나지 않았는데요. 그 가운데 한 인물이 변호사일 수도 있다는 의혹이 제기됐습니다. ‘위키리크스’가 15일 트위터에 “‘해킹팀’이 한국군(SKA·국정원을 지칭)의 변호사 컴퓨터 해킹을 도왔다”고 주장하며 증거 이메일을 첨부했습니다. 이 이메일을 보면, 해킹팀 직원은 다른 직원에게 2013년 9월 국정원(SKA)과 모아카(MOACA·몽골 정보기관)의 요구 사항을 담은 메일을 보내며 “고객의 목표 대상은 변호사이지 기술자가 아니다”라고 썼습니다. 감청 사실을 들킬 수 있으니 문제가 된 감시 회선을 삭제하라는 해킹팀의 지시를 따르지 않은 국정원 혹은 모아카 쪽에서 이 해킹팀 직원에게 ‘감청 대상은 변호사이기 때문에 기술적 분야를 잘 모를 것’이라는 취지로 답했다는 설명입니다. 국정원은 “그 변호사는 우리 쪽이 아닌 몽골 쪽”이라고 해명했습니다.


국정원은 왜 몰래 ‘원격 감시 프로그램’을 구매했을까요?
대상이 민간인이어서 적법한 영장절차를 밟기 어려운데다
첩보시장에서 널리 사용되는 방법이기 때문일 수도 있습니다.



왜 영장 받지 않고 ‘스파이웨어’ 구입 택했나

그렇다면 국정원은 왜 몰래 ‘원격 감시 프로그램’을 구매했을까요?

첫째, 감시 대상이 민간인이어서 적법한 영장 절차를 밟기 어렵다는 판단을 내린 경우입니다.

둘째, 장비와 편의성의 문제입니다. 현행법은 영장에 따른 모든 전자통신기기의 감청을 허용하고 있지만, 국정원은 “휴대전화 감청에 필요한 설비 등이 없어 영장을 (효과적으로) 집행할 수 없다”고 줄곧 주장해 왔습니다.

만약 이동통신사에서 어떤 이의 휴대전화든지 실시간으로 모니터링할 수 있는 장비를 미리 갖추고 있다면, 국정원은 영장 집행을 통해 그 내용을 들여다 볼 수 있을 겁니다. 하지만 그런 모습은 통신사가 모든 걸 들여다볼 수 있는 ‘디지털 빅브라더’ 사회를 전제로 한 것이겠지요. 이런 사회는 사실상 불가능하니 상대의 컴퓨터나 휴대전화에 몰래 스파이웨어를 설치해 정보를 빼돌리는 수법이 국외 첩보시장에서는 널리 사용돼 왔습니다.


해킹 소프트웨어를 20건 구입한 뒤
대선전 30개를 추가주문했던 국정원은
이제 북한의 사이버 테러 위협을 이유로
감청장비 설치를 의무화해야 한다고까지 주장하고 나섰습니다.



국정원의 들통난 ‘거짓 해명’

국정원은 14일 해명에서 “해킹 소프트웨어를 구입한 것은 두 차례 10개 회선씩, 총 20명분에 불과(해 대국민 감시용이기 어렵다)”라고 주장했습니다.

▲ 21세기한국대학생연합 회원들이 17일 오후 서울 광화문광장에서 ‘국가정보원 해킹 의혹’ 사건을 비판하는 행위극을 하고 있다. 뉴시스

14일까지의 언론 보도에서는 발견된 감시 프로그램 판매 기록이 20건인 것으로 보도됐습니다. 하지만 이는 감시 대상자가 20명이라는 얘기가 아닙니다. 일정한 수의 감시할 수 있는 관리자 권한만으로도 해킹 공격의 대상을 바꿔가며 계속해 사용할 수 있습니다. 공격 대상이 무한정 커질 수 있다는 얘깁니다.

뿐만 아니라 국정원은 2012년 12월 6일 대통령 선거를 2주 가량 앞두고 해킹 프로그램 라이선스를 30개 추가 주문했습니다. 총선을 한달 앞둔 2012년 3월에도 35개 라이선스를 추가로 주문한 바 있습니다. 해킹팀의 내부 메일에서는 “동시에 많은 타겟들을” 성공적으로 감시하고 있으며 “전국을 대상으로 확대할 수 있다”는 언급도 발견됐습니다.

국정원은 위기를 ‘기회’로 돌파할 기세입니다. 이번 기회에 북한의 사이버 테러 위협을 강조하면서 이동통신 감청 장비 설치를 의무화해야 한다고 나선 겁니다. 현재 통신비밀보호법상 휴대전화 사업자들이 감청 설비 설치를 의무화하도록 하는 법안도 발의된 상태입니다. <동아일보>는 15일자 사설에서 “이동통신사에 감청장치를 의무화하는 입법은 반드시 필요하다”고 썼습니다.

바야흐로 국가의 합법적인 ‘디지털 감시 시대’ 서막이 오르는 것은 아닌지 걱정이 큽니다.


▲ 명불허전 정원씨 [불타는감자 #19]


출처  [더(THE) 친절한 기자들] 국정원 해킹사건 총정리