“간첩들은 바보라서 카톡을 쓴다”?
국정원의 감시 대상은, 카톡 공격을 문의한 이유는… 보도된 핵심만 추려서 정리한 A부터 Z까지 사건의 전말
미국 국가안보국(NSA)의 무차별적인 개인정보 수집 실태를 폭로한 에드워드 스노든 이래 역대 최대 규모 대정부 ‘스캔들’이 세계 각지에서 벌어지고 있다. 그중 한 곳이 바로 한국이다.
국가정보원이 스마트폰을 속속들이 들여다봤다는 의혹을 받고 있는 건 알겠는데, 구체적으로 뭐가 어떻게 된 건지 정보기술(IT) 용어는 복잡하기만 하다. 이러다 전 국민이 IT 전문가가 될 기세다.
지금까지 보도된 핵심만 쉽게 쏙쏙 추려서 정리했다. 이를테면 ‘국정원 스마트폰 감시 사건’ A부터 Z까지다. _편집자
1. 악명 높은 해킹업체, 도리어 해킹당하다
지난 7월5일 늦은 밤(현지시각), 이탈리아 밀라노에 본사를 둔 정보기술(IT) 기업 ‘해킹팀’이 발칵 뒤집혔다. 누군가 메인 컴퓨터에 접근해 통째로 빼낸 내부 정보를 인터넷에 올렸기 때문이다. 트위터 계정까지 탈취돼 ‘해킹당한 팀’이라고 조롱당했다.
이탈리아 해킹팀은 컴퓨터와 스마트폰을 몰래 들여다볼 수 있는 해킹 프로그램을 개발도상국에 판매하는 것으로 악명이 높았다. 에티오피아 정부기관이 이 프로그램을 구입해 정부에 비판적인 언론인과 활동가들을 사찰한 것이 대표적이다.
공개된 정보에는 문제의 해킹 프로그램 소스코드가 그대로 담겨 있다. 소스코드는 프로그램의 설계도 같은 것이다. 해킹팀이 각국 고객과 주고받은 전자우편, 음성파일, 직원들이 쓰는 암호 등도 송두리째 노출됐다. 유출된 자료 분량만 400GB에 이른다.
덕분에 “감시 프로그램은 정부와 정부기관에만 판매하고, 국제기구에 반인권 정부로 지목된 정부들과는 거래하지 않는다”던 해킹팀의 해명은 거짓임이 드러났다. 유엔 무기 금수 조처를 받은 수단은 이 프로그램으로 유엔 평화유지군을 해킹하려 했던 정황이 드러났다. 정부에 비판적인 인사를 도청하고 감시한다는 의혹을 받아온 사우디아라비아, 러시아, 아랍에미리트, 레바논 등이 고객 명단에 올라 있었다.
7월5일 정보기술(IT) 기업 ‘해킹팀’의 메인 컴퓨터에 누군가 접근해 내부 정보를 통째로 빼내 인터넷에 올렸다. 해킹팀은 ‘해킹당한 팀’이라고 조롱당했다. 해킹당한 자료들.
2. 해킹팀 고객 ‘육군 5163대 부대’=국정원
“감시 프로그램은 정부와 정부기관에만 판매하고, 국제기구에 반인권 정부로 지목된 정부들과는 거래하지 않는다”던 해킹팀의 해명은 거짓임이 드러났다. 수단은 이 프로그램으로 유엔 평화유지군을 해킹하려 했던 정황이 드러났다.
한국 국가정보원도 고객이었다. ‘육군 5163부대’라는 고객명을 썼는데, 이는 국정원의 위장용 이름이다. 국내에선 7월7~8일께 IT 전문지 등이 외신 보도를 근거로 정보 유출 소식을 전했다. 곧이어 한 온라인 매체를 통해 개발자 이준행씨가 상세한 의혹을 풀어내 소셜네트워크서비스(SNS)에서 화제로 떠올랐고, 일간신문도 7월9일치부터 ‘국정원이 구입처로 보인다’는 의혹을 보도했다. 국정원은 7월10일 무렵부터 비공식적 루트를 통해 ‘국외용·대북용’이라는 해명을 언론에 내놨다.
그 뒤에도 <한겨레21>과 <한겨레> 등은 자국민을 대상으로 한 광범위한 불법 도·감청 정황을 잇따라 보도했다. 국정원이 ‘카톡 검열’ 기능을 해킹팀에 요청했다거나, 삼성 스마트폰 갤럭시 국내 모델을 이탈리아로 보내 ‘맞춤 해킹’을 의뢰했다는 전자우편 분석 내용이 공개됐다. 국정원이 바이버(미국 스마트폰 메신저)를 해킹해달라고 요청했다는 보도도 나왔다. 바이버는 국내 야당 정치인들이 카카오톡 대신에 주로 쓰는 메신저다.
논란을 외면할 수 없게 된 이병호 국정원장은 7월14일 국회 정보위원회에서 “해킹 프로그램을 구입한 사실은 맞지만, 국민에게 사용하지는 않았다”고 해명했다.
3. RCS? 대체 무슨 해킹 프로그램이길래?
‘원격 제어 시스템’(RCS·Remote Control System)이라고 불리는 해킹 프로그램은 감시 대상이 컴퓨터와 스마트폰을 통해 보고 듣고 교류하는 모든 내용을 그대로 감시자에게 보여준다. 쉽게 말하자면, 내 컴퓨터의 모든 정보를 가로채 뿌려준다고 생각하면 된다. 컴퓨터에 웹캠이 달려 있다면 사용자 몰래 사진을 찍어 보낸다. 스마트폰이라면 몰래 통화 내용을 녹음해 전송하는 일도 가능하다. 이 모든 일은 사용자가 알 수 없는 상태에서 이뤄진다. 운영체제의 알려지지 않은 허점(뒷문)을 이용하기 때문에 백신으로도 드러나지 않는다고 해킹팀은 광고한다. 심지어 운영체제와 플랫폼도 가리지 않는다. 마이크로소프트의 윈도, 리눅스, 구글 안드로이드, 애플의 iOS, 블랙베리, 심비안 등 모든 운영체제를 해킹할 수 있다고 한다. 해킹팀은 이 프로그램의 최신 버전에 ‘갈릴레오’라는 이름을 붙여 판매해왔다.
그런 방식이라면, 암호화된 메신저를 사용한다고 해도 아무 소용이 없다. 키보드 입력 단계에서 정보를 가로챌 수 있기 때문이다. 보안에 강하다는 텔레그램 메신저에서 시간이 흐르면 자동 폭파되는 ‘비밀대화’ 기능을 썼더라도, 무슨 말을 치는지 다 볼 수 있다면 더 이상 ‘비밀대화’라고 말할 수 없는 셈이다. 자주 사용하는 아이디, 비밀번호 역시 입력하는 순간 노출된다.
다만 이 프로그램에도 한계가 있다. 감시 대상자의 컴퓨터나 스마트폰에 이 해킹 프로그램이 설치돼 있어야만 한다. 해킹팀 쪽은 감시 대상자의 무선공유기를 조작해 RCS를 설치하거나, 문서파일, 파워포인트 파일 등으로 위장해 악성코드 설치 파일을 보내거나, 일반 웹사이트로 보이는 변조된 설치 링크를 보내는 식으로 해킹 프로그램을 설치할 수 있다고 설명한다.
국가정보원은 2012년 ‘나나테크’(위)라는 대행업체를 통해 프로그램을 구입했다. 한겨레 허승 기자
4. 국정원의 감시 대상은 누구였나
이 프로그램으로 국정원은 뭘 하려고 했던 걸까? 국정원은 동시에 최대 20명을 도·감청할 수 있는 20개의 회선을 구입했고, 그중 18개 회선은 해외에 있는 북한 공작원을 상대로 활용했으며, 2개 회선은 국내에서 연구용으로 운용했다고 밝혔다. “시민들을 대상으로 한 적은 결코 없다”는 것이다. 정말 “해외에 있는 북한 공작원 감시용” “연구용”이었을까? 지금까지의 보도를 종합하면, 국정원의 해명에서 의심스러운 대목이 적지 않다.
국정원이 ‘나나테크’라는 대행업체를 통해 해킹 프로그램 구입을 시도한 것은 2010년이다. 나나테크는 “한국 실정상 불법이기 때문에 대신해서” 구입한다고 이탈리아 쪽에 설명했다. 이후 5년간 국정원(나나테크)-이탈리아 해킹팀 사이에 오간 전자우편에는 한국 쪽의 요구가 좀더 명확히 드러난다.
첫째, 국정원은 스마트폰 국내용 모델 해킹에 초점을 맞췄다. 2013년 2월에는 당시 출시된 지 7개월여가 지난 갤럭시S3 국내 모델을 이탈리아에 보내, 사용자 몰래 음성녹음이 가능한지 살펴달라고 주문했다. 이후로도 갤럭시 최신형 등이 나올 때마다 기술 지원을 요청했다. 안랩의 ‘V3 모바일 2.0’과 같은 국내용 백신을 회피하기 위한 방법을 문의하기도 했다.
둘째, 국정원은 이와 별도로 카카오톡을 해킹하길 원했다. 2014년 3월, 해킹팀 내부 전자우편에는 “한국에서 가장 일반적으로 사용되는 카카오톡에 대한 (해킹 기능 개발) 진행 상황에 대해 물었다”는 대목이 나온다.
셋째, 2014년 지방선거를 3개월 앞두고 국내 안드로이드 스마트폰 공격 방법을 요청했다. 2014년 3월께 오간 해킹팀의 ‘출장보고서’를 보면 “그들(국정원)의 주된 관심사는 원격의 안드로이드, 아이폰에 대한 공격”이며 “특히 6월에 안드로이드 공격을 이용하길 원한다”고 적고 있다.
이 밖에도 ‘서울대 공대 동창회 명부’라는 제목의 한글로 된 MS 워드 파일에 악성코드를 심어달라고 요청하거나, <미디어오늘> 기자를 사칭한 천안함 보도 관련 문의 워드 파일에 악성코드를 심어달라고 요청한 기록도 나온다. 서울대 출신의 천안함 관련 연구진 등이 감시 대상자였을 가능성이 제기되는 대목이다.
일반 국민을 대상으로 한 사찰 가능성도 엿보인다. 국정원이 해킹팀 쪽에 ‘(컴퓨터와 스마트폰을 해킹할 수 있는) 악성코드를 심어달라’며 보낸 설치 파일 링크에는 네이버 맛집 소개 블로그, 벚꽃축제를 다룬 블로그 등이 나온다. 중동호흡기증후군(메르스)이 극성을 부리던 지난 6월에는 메르스 정보 링크를 위장한 악성코드를 요청하기도 했다.
5. 남파 간첩이 카카오톡 쓰고 있어서 ‘대북용’?
국정원의 해명처럼 해외에 있는 북한 공작원을 상대로 한 해킹이었다면, 북한산 소프트웨어나 북한 공작원이 체류하는 해외 국가의 소프트웨어의 취약점을 공격하는 방법을 이탈리아 해킹팀에 묻거나 이에 대한 연구에 집중했어야 한다. 북한은 미국 마이크로소프트사의 윈도나 구글의 안드로이드가 아니라, ‘붉은별’이라는 컴퓨터 운영체계와 ‘아리랑’ 휴대전화 운영체계를 독자적으로 개발해 쓰고 있다. 카카오톡 ‘공격 기술’을 해킹팀에 문의해 익혀봤자 정보 취득 효과가 크지 않을 수 있다.
그러자 국정원은 카카오톡 공격 방법을 문의한 데 대해 “남파 간첩이 카카오톡을 쓰고 있기 때문”이라고 해명했다. 국내에 있는 남파 간첩이 쓰는 카카오톡에 대한 공격을 연구하기 위해 이탈리아 해킹팀에 그 방법을 문의했다는 취지다.
하지만 이미 이슬람국가(IS)와 같은 반국가단체 등도 각국 정부의 추적을 피하기 위해 ‘슈어스팟’ 등의 암호화된 메신저를 쓰고 있는 점을 볼 때 설득력이 떨어진다. 누리꾼들은 “간첩들은 바보라서 카톡을 쓴다”며 국정원의 해명을 비꼬고 있다. 과연 남파 간첩들이 보안에 취약한 안드로이드 스마트폰에서 카톡을 통해 접선하겠느냐는 것이다.
그런데 남파 간첩들이 정말로 국내에서 카톡을 사용할 가능성이 있지는 않을까? 그렇다면 국정원은 법원에 압수수색영장을 신청해서 카카오톡 통신 내용을 열람할 수 있었다. 굳이 카카오톡 ‘해킹 기술’까지 요구할 이유가 없었다. ‘영장을 받을 수 없는 상대’를 도청하려 한 것 아니냐는 의문이 제기되는 대목이다.
해킹당한 전자우편에 나나테크의 이름이 보인다.
6. 왜 영장 받지 않고 ‘스파이웨어’ 구입 택했나
2013년 2월에는 당시 출시된 지 7개월여가 지난 갤럭시S3 국내 모델을 이탈리아에 보내, 사용자 몰래 음성녹음이 가능한지 살펴달라고 주문했다. 이후로도 갤럭시 최신형 등이 나올 때마다 기술 지원을 요청했다.
그렇다면 국정원은 왜 몰래 원격 감시 프로그램을 구매해야 했을까? 몇 가지 가능성을 짐작해볼 수 있다.
첫째, 감시 대상이 적법한 영장 절차를 밟기 어렵다고 판단한 경우다. 간첩, 테러 용의자 등이 아니라 국내 인사들을 상대로 도·감청을 할 경우 이 해킹 프로그램을 활용했을 수 있다. 둘째, 장비와 편의성의 문제다. 현행법은 영장을 받으면 모든 전자통신 기기의 감청을 허용하지만, 국정원은 “휴대전화 감청에 필요한 설비 등이 없어 영장을 (효과적으로) 집행할 수 없다”고 주장해왔다. 이런 상황에서 국정원이 아예 해킹 프로그램을 통해 감시 대상자의 정보를 손에 쥐는 길을 택했을 가능성이 있다. 이번 사태를 통해 국정원의 ‘정보기술력’에 대한 의문도 동시에 제기된다. 세계적으로 해커들이 컴퓨터와 스마트폰 운용체계에 침투해 정보를 빼내는 수법을 쓰고 있는데, 국정원이 기본적인 스파이웨어 도구조차 갖추지 못하고 ‘아웃소싱’을 맡긴 뒤 해외 해킹팀에 계속 의존했다는 얘기이기 때문이다.
국정원이 국내에서 수집한 정보가 국외로 유출되고 있을 위험성도 제기된다. 이탈리아의 해킹팀 본사가 한국에서 쓰는 원격 제어 프로그램에서 어떤 정보를 모으고 있는지 들여다봤을 가능성이 있다. 국정원의 활동이 해킹팀에 고스란히 노출됐을 수 있다는 얘기다. 민감한 정보를 모아야 하는 ‘대외 첩보용’으로는 적합하지 않다.
7. 국정원의 ‘거짓 해명’
국정원은 “해킹 소프트웨어를 구입한 것은 두 차례 10개 회선씩, 총 20명분에 불과(해 대국민 감시용이기 어렵다)하다”고 주장했다. 그러나 감시 프로그램 판매 기록이 20회선이라고 해서 감시 대상자가 20명에 그친다는 뜻은 아니다. 어떤 감시 대상의 도·감청 공격이 끝나면 해킹 공격의 대상을 바꿔가며 계속 사용할 수 있다. 이탈리아 해킹팀의 기술적 지원을 받아 공격 대상을 늘려갈 수 있다는 뜻이다.
이뿐만 아니라 국정원은 2012년 12월6일 대통령 선거를 2주가량 앞둔 시점에 해킹 프로그램 라이선스를 30개 추가 주문하고, 19대 총선을 한 달 앞둔 그해 3월에도 35개 라이선스를 추가로 주문했다는 보도가 나왔다. 동시에 도·감청을 할 수 있는 회선을 최대 20개까지 보유해왔다는 국정원의 해명과 배치되는 부분이다.
해킹팀이 한국에서 제2, 제3의 고객을 확보하려 한 정황도 속속 드러나고 있다. 국방부 국방사이버TF팀 소속 중령의 연락처와, 경찰청으로 추정되는 또 다른 정부기관과의 접촉 흔적도 발견됐다.
하지만 국정원과 여당이 이런 상황을 ‘기회’로 돌파하려는 분위기도 감지된다. 이번 기회에 북한의 사이버 테러 위협을 강조하면서 안보 차원에서라도 이동통신 감청 장비 설치를 의무화해야 한다고 나선 것이다. 새누리당은 이미 이동통신 사업자들이 휴대전화를 감청할 수 있는 장비를 의무적으로 설치하는 통신비밀보호법 개정안을 발의해놓은 상태다.
정유경 <한겨레> 디지털콘텐츠팀 기자 edge@hani.co.kr
***********************************************************************************************
징징대는 이 고객의 정보전 능력은?
안기부에서 국정원으로, 아날로그에서 디지털로 끊임없이 업그레이드된 감청·도청… 중동·북아프리카 등 보안기술 취약한 국가가 구입한 프로그램 구매, 한국 정보기관의 능력 도마 위에
불법 도청의 뿌리는 국가정보원의 모태인 박정희 정권의 중앙정보부로 거슬러 올라간다. 시작은 유선전화였다.
중앙정보부는 1961년 창설할 때부터 유선전화 감청기구를 설치했다. 대공수사를 명분으로 내걸었지만, 각계 인사를 대상으로 광범위한 도청을 하는 게 주요 임무였다고 한다.
이 기구는 전두환·노태우 정권의 국가안전기획부(안기부) 시절까지 지속되며 정보를 수집했다.
국가정보원 해킹 프로그램 운용. 공식 감청 건수(2014년) 국정원 5531건·경찰 301건·검찰 7건·군수사기관 7건. 자료: 미래창조과학부
휴대전화 도청 장비도 이탈리아서 수입
이보다 더 유명한 팀은 ‘안기부 X파일’ 사건으로 전모가 밝혀진 안기부 미림팀이다. 1991년 7월 특수도청 임무를 받아 5명으로 구성된 ‘1차 미림팀’은 유명 음식점의 직원들을 매수해, 예약자 명단과 시간을 미리 파악한 뒤 음식점에 송신기를 설치했다.
송신기는 주요 정치인이 나눈 대화를 잡아내 음식점 근처에 세워둔 차량으로 보냈고, 대화 내용은 녹음돼 상부에 보고됐다.
김영삼 정부 출범을 앞두고 잠시 활동을 멈췄던 미림팀을 안기부는 1994년 6월 부활시켰다. ‘2차 미림팀’은 노태우 정부 때보다 더 과감히 정보를 수집했다. 여당 정치인들의 대화 내용뿐만 아니라, 삼성 등 주요 기업인들의 대화까지 수집했다. 이 정보들은 이후 ‘안기부 X파일’ 사건으로 보도되면서 삼성그룹이 불법 대선자금을 지원한 게 드러나기도 했다.
통신 기술의 발전은 도청 기술의 발달을 불러왔다. 개인 간 휴대전화 통화가 늘어나자, 안기부는 1996년 1월 아날로그 휴대전화를 도청할 수 있는 감청 장비 4벌을 이탈리아에서 사들였다. 이 장비들은 1999년 12월 아날로그 휴대전화 서비스가 중단될 때까지 불법 도청에 이용됐다. 이번 이탈리아 해킹팀 사건을 떠올려보면, 국정원과 이탈리아 업체가 오랫동안 인연을 맺어온 셈이다.
아날로그 방식의 도청은 김대중 정부 때 디지털 방식으로 업그레이드됐다. 임동원·신건 두 국정원장 재직 시절, 국정원이 한 세트당 600회선인 R-2(유선중계통신망 감청 장비) 6세트를 보유해 국내 주요 인사 1800여 명의 전화번호를 입력해 추적했다는 사실이 검찰 수사 결과 밝혀졌다. R-2는 휴대전화가 유선중계통신망을 이용해 유선전화와 연결되는 것을 이용해, 유선중계통신망 중간에 끼어들어 통화 내용을 가로챌 수 있었다.
당시 ‘국정원 도청 사건’을 수사했던 검찰 발표를 보면, 국정원은 감청 장비를 국정원 8국(과학보안국) 사무실에 설치한 뒤, 감청팀원 32명이 1년 365일 상시 도청을 한 것으로 드러났다.
유선전화뿐만 아니라 휴대전화 내용도 중간에 빼냈다. 국정원은 여행가방만 한 크기의 카스(CASS) 장비를 자체 개발해 휴대전화와 휴대전화 사이의 통화를 도청하기도 했다.
2000년대 들어 전화 대신 인터넷을 통해 주로 정보를 주고받기 시작하자, 국정원의 감청 범위도 확대됐다. 2000년대 중반부터 외부에 알려진 이른바 ‘패킷 감청’이다.
인터넷 회선을 통해 오가는 전자신호를 패킷이라고 하는데, 이 패킷을 중간에서 가로채 감청하는 방식이다. 음성통화보다 더 내밀한 정보가 담긴 전자우편이나 사용자가 접속하는 인터넷 누리집 등을 전부 들여다볼 수 있다.
2009년 국회를 통해 2002년 이후부터 당시까지 국정원이 11대의 인터넷 패킷 감청 설비를 국내에 도입한 사실이 공개되기도 했다.
2005년 검찰 수사관이 안기부가 불법 도청을 위해 운용한 ‘미림팀’ 자료를 옮기고 있다. 한겨레
2011년 패킷 감청 헌법소원, 헌재 묵묵부답
통째로 인터넷 통신 내용을 들여다보는 패킷 감청은 사생활 침해 문제를 불러일으켰다. 범죄 혐의와 관련 없는 모든 인터넷 통신 정보가 수사기관에 노출되고, 수사 대상과 같은 회선을 사용하는 제3자의 통신 내용까지 감청됐기 때문이다.
국정원의 패킷 감청을 당한 김아무개씨는 2011년 패킷 감청을 가능케 한 통신비밀보호법에 대한 헌법소원을 제기했지만, 헌법재판소는 지금까지 판단을 미루고 있다.
통째로 맛본 정보의 단맛에 중독된 것일까. 국정원은 패킷 감청에만 머물지 않으려 했던 것으로 보인다. 국정원은 패킷 감청에 대한 헌법소원이 제기된 2011년, ‘5163부대’라는 이름으로 이탈리아에 있는 스파이웨어 업체 ‘해킹팀’과 접촉했다. 해킹팀은 컴퓨터나 스마트폰에 몰래 프로그램(스파이웨어)을 깔아 정보를 빼내는 ‘원격 제어 시스템’(RCS·Remote Control System)을 파는 곳이다. 국정원은 2012년 44만8천유로(약 5억6천만원)에 RCS 도입 및 유지 계약을 맺었다.
패킷 감청이 주고받은 정보를 중간에 가로채는 것이라면 해킹은 더 공격적이다. 해킹은 대상자가 정보를 주고받지 않더라도 대상자의 컴퓨터나 스마트폰에 침투해, 저장된 모든 정보를 확인하고 빼낼 수 있다.
해킹팀의 광고물을 보면, RCS는 스마트폰의 녹음 기능을 켜서 주변의 대화 내용을 녹음할 수도 있고, 카메라를 활성화해서 촬영할 수도 있다. 컴퓨터와 스마트폰이 자신의 소유주를 감시하는 도구로 바뀔 수 있다는 것이다.
이 RCS를 분석한 국내 보안업체 엠시큐어의 홍동철 연구소장은 “웬만한 것은 다 가능하다고 보면 된다”고 설명했다.
홍동철 연구소장이 이 프로그램을 분석한 결과를 보면, 악성파일은 스마트폰이 부팅될 때, 잠금 또는 해지가 될 때, 통화하거나 문자메시지를 주고받을 때 등을 모두 감지할 수 있다. 예를 들어 사용자가 스마트폰을 사용하지 않을 때를 파악해 감시자에게 데이터를 전송할 수 있다는 것이다.
또 대상자가 전화할 때는 녹음 기능을 켜고, 주고받은 문자메시지는 감시자에게 실시간으로 보낼 수 있다.
2010년 국회에서 열린 패킷 감청의 문제점과 개선 방안 토론회에서 패킷 감청이 시연되고 있다. 한겨레 박종식 기자
“들여다보는 프로그램 해마다 많아져”
‘2차 미림팀’은 노태우 정부 때보다 더 과감히 정보를 수집했다. 여당 정치인들의 대화 내용뿐만 아니라, 삼성 등 주요 기업인들의 대화까지 수집했다.
해킹팀은 문자메시지보다 훨씬 많이 쓰는 채팅 앱도 들여다볼 수 있도록 RCS 프로그램을 설계했다. 해킹팀의 소스코드를 보면, 페이스북·구글·라인·스카이프·텔레그램·위챗·와츠앱 등 전세계 대부분의 메신저를 공격한 것으로 보인다.
보안이 상대적으로 뛰어난 것으로 알려져 국내 이용자들이 많이 옮겨간 텔레그램마저 해킹팀의 공격 대상에 포함됐다.
RCS의 소스코드에 카카오톡은 보이지 않지만 “소스가 유출될 때 카카오톡이 없다는 것이지, 카카오톡이 안전하다는 것은 아니다”라고 홍동철 소장은 말했다.
공개된 해킹팀의 전자우편을 보면, 2014년 3월 해킹팀 직원은 한국으로 출장을 다녀온 뒤 내부 전자우편을 통해 이미 “카카오톡에 대한 연구·개발을 하고 있다고 한국에 알렸다”는 내용이 나온다.
카카오톡은 전세계 국가 가운데 한국에서 가장 많이 쓰이는 메신저다. 지난해 다음카카오는 수사기관의 영장에 카카오톡 대화 내용을 대량으로 제공하다, 사찰 논란이 불거지면서 이용자들의 반발에 부딪히자, 감청 영장에 불응하겠다고 밝힌 바 있다.
해킹팀의 RCS에 주목해야 할 이유는 더 있다. 홍동철 소장은 해킹팀의 소스코드는 다른 스파이웨어에 비해 녹음 기능을 강화하려 한 흔적이 보인다고 지적했다. 일반 스파이웨어는 녹음에는 별로 신경 쓰지 않는데, 해킹팀의 프로그램은 통화 중 녹음이나 주변 환경 녹음에 특화된 기능들이 보인다는 것이다.
또 위치추적을 하거나 전화목록을 확보하는 것은 기본이고, 접속한 웹사이트 정보와 아이디·비밀번호까지 훔쳐보려 했다는 것도 확인됐다.
통제받지 않은 기관이 이처럼 진화한 해킹 기능들을 장착한 RCS를 사용하면, 이는 곧바로 사회를 감시하는 무서운 장비가 된다. 법원의 감청 영장을 받지 않고 이를 운용한다면, 해킹 대상자가 ‘누구나’일 수 있기 때문이다.
시민이 추적당했는지, 범죄자가 추적당했는지, 공개되지 않은 해킹 프로그램의 대상자가 누군지 밝혀져야 할 이유다. 국정원의 예산과 활동을 보고받는 국회도 해킹팀의 자료가 유출되기 전에는 이 프로그램의 존재를 알지 못했다.
통제받지 않는 기관의 표적이 되었을 때, 해킹을 피하는 방법이 있을까?
이름을 밝히길 꺼린 국내 한 보안 전문가는 “해킹팀의 프로그램 설명서를 보면, 해킹 프로그램이 깔리더라도 컴퓨터나 스마트폰의 성능이나 배터리에 영향을 끼치지 않는다고 나온다. 그렇다면 일반인은 자신이 해킹을 당하고 있는지조차 알 수 없다”고 했다.
다만 문자메시지나 소셜네트워크서비스(SNS) 메신저 등으로 온 인터넷 주소에 함부로 들어가지 않거나, 알지 못하는 사람에게서 온 전자우편의 첨부파일을 열어보지 않는 것 등이 해킹을 피하는 방법이긴 하다.
그러나 이런 자구책조차 불완전하다. 악성코드를 심은 웹사이트를 만들어놓고, 블로그나 행사 안내 등으로 가장하면 무심코 속을 수 있다. 속아서 클릭하면 자신의 컴퓨터나 스마트폰이 해킹돼 원격으로 감시되는 프로그램이 깔린다.
한편에서는 이번에 유출된 해킹팀의 전자우편을 통해 국정원의 정보전 능력이 도마 위에 올랐다는 지적도 나온다.
보안 전문가는 “이 프로그램을 구매한 곳을 보면 주로 사이버 보안 인력이 부족한 곳에서 샀다. 중동이나 북아프리카 등이다. 미국이나 중국 등 사이버 보안 기술이 발달한 곳은 이런 업체에서 사가지 않는다. 이걸 보면 한국 정보기관의 능력이 취약하다는 것을 알 수 있다. 게다가 이제는 한국 국정원이 어떤 해킹 프로그램을 가지고 있는지 다른 나라 정보기관들이 알 수 있게 된 셈”이라고 꼬집었다.
해킹팀의 해킹 방법을 설명하는 그림. 대상자가 인터넷을 통해 웹페이지를 열거나 응용프로그램을 업데이트할 때 악성코드를 심게 된다.
국정원의 능력과 인식도 비밀
실제 이 해킹팀의 내부 전자우편 내용을 살펴보면, 아이폰6에 들어가는 운영체체나 삼성 갤럭시6에 들어가는 안드로이드(5.×) 운영체제 등 최신 모델은 해킹하는 능력이 부족한 것으로 나온다.
해킹팀이 지난 6월 국정원 쪽에 보낸 전자우편에도 “안드로이드 4.×에 작동하던 녹음 기능이 안드로이드 5.×에선 작동되지 않는다”고 답한 바 있다.
국정원 쪽은 그동안 RCS가 제대로 작동되지 않으면 이탈리아 업체에 전문가를 보내라고 요청하거나, 구형 스마트폰을 분석해달라고 요구하는 전자우편을 수차례 보낸 것으로 드러났다. 대북용으로 썼든 연구용으로 썼든 해킹에 대응하는 국정원의 기술력을 짐작할 수 있는 내용이다.
국정원은 한 해 수천억원의 세금을 쓰는 것으로 알려져 있다. 국정원의 인원과 예산 등은 비밀이다. 아울러 이들의 능력과 수준도 비밀이 돼버렸다.
이완 기자 wani@hani.co.kr