국정원, 군 의혹(정치, 선거 개입)

“국정원 해킹 접속위치 철저히 숨기려 했다”

道雨 2015. 7. 30. 10:28

 

 

 

 

“국정원 해킹 접속위치 철저히 숨기려 했다”

 

 

 

네덜란드 탐지전문 벤처기업, “5163부대, 고객에 접속할 때, 항상 토르 네트워크 이용”
가상회선 만들어 IP 파악 막아

이탈리아 해킹업체도 국정원에 “계속 IP 감추고 싶으면…” 조언도

 

해킹 의혹을 받고 있는 국가정보원이 이탈리아 보안업체 ‘해킹팀’과 거래하는 과정에서, 자신의 접속 위치를 철저히 숨기려 했던 정황이 드러났다.

 

네덜란드 악성프로그램 탐지 전문 벤처기업인 ‘레드삭스’는 28일 <한겨레>의 문의에 대해 보내온 답신에서, “(국정원의 접속으로 파악된 인터넷 주소) 109개는 모두 ‘토르’(Tor)의 인터넷주소(IP address)였다”며 “(국정원의 위장이름인) ‘5163부대’는 해킹팀 고객 지원 포털에 접속할 때 항상 토르 네트워크를 이용했는데, 실제 위치를 숨기기 위한 것”이라고 밝혔다.

 

토르는 온라인상에서 익명을 보장하고 검열을 피하기 위해 고안된 소프트웨어로, 주기적으로 가상 회선을 만들어 접속자의 아이피 등을 파악할 수 없게 한다. 국정원은 토르를 통해 실제 위치 대신 여러 곳에서 접속하는 것처럼 위장했던 셈이다.

 

 

레드삭스는 지난 21일 발표한 보고서에서 “5163부대는 해킹 활동을 위해 최소한 세계 15개국에서 109개의 아이피를 활용한 것으로 나타났다”며 “(해킹팀의) 원격제어시스템(RCS) 이용 기관 중 가장 적극적인 사용자”라고 밝힌 바 있다.

 

국정원이 위치를 감추면서 해킹 소프트웨어를 운영해 왔다면, 민간인 사찰 의혹 등에 대한 진상규명 작업은 한층 힘들어질 수밖에 없다. 국정원 특성상 비밀보장 수단이었을 수 있지만, 실제 공격 작업에 쓰였을 가능성도 배제할 수 없기 때문이다.

 

 

해킹팀은 지난 6월5일 꾸준히 접촉했던 국정원 직원(데블에인절·devilangel1004)에게 전자우편을 보내, “토르 브라우저는 같은 버그가 있으니, 계속 아이피를 감추고 싶으면 가상사설망(VPN)이나 공개 프록시 등을 써보라”고 조언하기까지 했다. 국정원 쪽이 익명 접속을 꾸준히 요청했던 것으로 보인다.

 

이번 해킹 사건과 관련해 국정원을 고발한 새정치민주연합도 국정원의 사건 관련 의혹을 추가로 제기하고 나섰다.

국회 정보위 야당 간사인 신경민 의원은 29일 기자들에게 “국정원이 2013년 8월 전후로 컴퓨터 성능 개선 작업을 하면서 일부 자료가 유실된 것으로 알려졌는데, 국정원 주장대로 2012년 1월 아르시에스 도입 이후 자료의 100% 복원은 불가능하다”고 지적했다.

또 애초 해킹팀으로부터 부여받은 전체 라이센스 20개 가운데 10%(2개)가 실험용이라 고 했는데, 실제 공격 목표물(타깃)은 전체 51건 가운데 절반 이상(31건)이 실험용이 된 데 대해서도 의문을 제기했다.

 

여당은 이날 국정원에 대한 철벽 방어에 나섰다. 정보위 여당 간사인 이철우 새누리당 의원은 기자들에게, “해외에 있는 위해인사에 대한 해킹은 어느 나라도 불법이라고 안 한다. 우리 법에도 없다”며 “실제가 아니면 의혹을 제기하지 말라”고 말했다.

 

 

 

김외현 권오성 기자 oscar@hani.co.kr