언론·시민단체 감시 여부 '뇌관'… 정부, 해킹·도청팀 운영 논란정윤회 문건 유출사건 때 연루 의심자 이메일도 해킹 정황"이명박 정권 때 대선공작용 처음 구입" 의혹도파문 뒤 감춰진 진실과 미스터리 청와대 관련설 증폭 내막
국정원은 해당 프로그램의 구매 사실은 인정하면서도 민간인 불법 사찰 의혹에 대해선 부인하고 있다. 대공ㆍ연구 목적으로만 쓰려고 프로그램을 도입했다는 입장이다.
하지만 국정원이 해킹팀에 국내 통신사 단말기에 대한 도ㆍ감청 기능 업데이트를 요구한 정황이 밝혀졌고, 이 사건에 연루된 국정원 직원이 해킹 프로그램 사용 기록을 무단삭제하고 스스로 목숨을 끊으면서 논란이 증폭되고 있다.
새정치민주연합은 국정원이 외국으로부터 해킹 프로그램을 불법 수입해 민간인 사찰 등에 활용한 의혹이 있다며 원세훈 전 국정원장과 수입 중개업체 등을 검찰에 고발했다.
이런 가운데 민간인도 해킹 대상인 정황이 있다는 전직 국정원 고위인사의 주장이 제기돼 관심이 쏠리고 있다. 또 국정원이 지난해 말 불거진 이른바 '정윤회 문건 유출 사건' 관련 의심자의 이메일을 해킹했을 가능성이 있다는 주장도 나와 눈길을 끈다.
국정원 해킹의 숨겨진 비밀
정치권에서는 국정원 해킹 사건이 상황에 따라 청와대에 적지 않은 타격을 줄 것으로 전망한다.
새정치민주연합 이종걸 원내대표는 24일 국정원 '해킹 의혹' 진상규명과 관련, "검찰에 나나테크와 전 국정원장 등을 고발했는데, 국정원은 수사에 협조하고 대통령도 직접 나서야 한다"고 촉구했다.
이 원내대표는 전날 여야 원내대표 합의를 통한 진상규명 절차와 관련, "국정원은 로그파일을 제출하는 것도 부정적인 듯하다"며 "전문가도 없이 와서 보라는 것인데, 기계만 보게 될 우려가 있다"고 말했다.
이 원내대표는 "(전날 협상에서 여당이) 청문회는 절대로 할 수 없다고 해, 청문회에 준하는 내용을 명기하는 데 그쳤다"고 협상 과정을 설명했다.
그러면서 여야 협상에 대해 "커튼 뒤에서 지침을 하달하는 대통령을 마주해야 했다"며 "해킹사찰 의혹이 뭔가의 반대에 부딪혀 있는 것 같다. 모범답안을 두고 합의를 해야 하는 어려운 상황이었다. 하명사항이 있는 답안지를 보는 듯했다"고 말했다.
이어 "대통령이 권력으로 국회를 간접지배하는 구조를 깨뜨리는 것이 절실한 상황"이라고 강조했다.
야권은 같은 날 맹공을 더했다. 새정치연합은 국가정보원 해킹 의혹과 관련, 추가로 해킹을 시도한 IP가 5개 더 발견됐다면서 다음주 초 추가 고발을 할 예정이라고 밝혔다.
새정치연합 국민정보지키기 위원회 소속 신경민 의원은 이날 기자간담회에서 "SKT 회선 5개 IP에 스파이웨어를 감염시키려 한 정황이 파악됐다"며 "400GB 분량의 자료를 계속 점검하고 있으니 또 다른 (해킹시도 정황) IP가 나오는 대로 추가고발에 집어넣겠다"고 밝혔다.
새정치연합은 전날 SKT 회선을 사용한 3개 IP에 해킹을 시도한 정황이 드러났다며 고발장을 낸 바 있다.
또 신 의원은 집단으로 성명을 낸 국정원 직원들에 대해서도 고발을 검토하고 있다고 밝혔다. 고발 대상은 성명을 주도한 직원과, 이병호 국정원장 내지 감찰실장 등 성명사태의 책임자로 명시할 계획이다.
신 의원은 "내용에서 보면 죽을 이유가 없는 사람이 죽었다고 하는데, 죽을 이유가 있는지 없는지는 아무도 모른다. 이 내용을 알 수 있는 것은 감찰실 뿐"이라며 "지금도 감찰을 안했다고 주장하고 있는데, 고강도의 감찰이 있었을 것이다. 이에 대한 수사가 필요하다"고 했다.
신 의원은 이어 "검찰은 공안부를 주축으로 사건을 배당하는데, 심각한 문제"라면서 "첨단수사기법과 전문성을 갖춘 특별수사팀이 맡아야 한다"고 주장해 향후 이 사건이 특별수사를 받게 될 가능성도 있다.
국정원 해킹을 둘러싼 미스터리는 하나 둘이 아니다. 우선 국정원의 해킹프로그램 구입은 이미 해외에서는 공공연하게 알려진 사실로 2014년에도 국내 일부 언론에 보도된 적 있다. 하지만 여러 이슈가 잇따라 불거지면서 관련 내용이 묻혔다가 최근 관련 문건이 해킹으로 유출되면서 다시 수면위로 부상하고 있는 것이다.
지난 6일 이탈리아의 스파이웨어 개발업체 'Hacking Team(HT)' 이 해킹돼 400 기가 가량의 내부 자료가 몽땅 토렌트(PtoP 공유프로그램)로 유출됐다. 해킹된 자료에는 이 스파이웨어 회사로부터 감청장비를 구매한 각국 기관들, 특히 정부기관들에 대한 모든 정보가 담겨져 있었다.
캐나다 토론토 대학 사이버 연구팀 '시티즌랩(Citizen Lab)'은 2014년 2월 이탈리아 해킹팀이 그동안 한국을 포함 세계 21개국에 이 스파이웨어를 판매한 흔적을 찾았다고 발표했다. 이 내용은 당시 <워싱턴포스트> <보이스 오브 아메리카> 등 해외언론에는 보도되었지만 한국 언론에는 거의 보도되지 않았다.
<워싱턴포스트>는 이와 관련해 "과거 미·중·러 등 엘리트 스파이 기관들의 전유물이었던 해킹·사이버공격이 다른 국가에서도 벌어지고 있고 일부 국가들은 인권 관련 운동가들을 목표로 하고 있다"고 비판했다.
시티즌랩은 당시 이 내용을 공개해 사이버 스파이와 인터넷 검열에 관한 사실을 폭로한 공로를 인정받아 맥아더재단으로부터 미화 백만 달러를 상금으로 받았다.
최근 유출된 HT 문건 중 'Client Overview_list_20150603.xlsx' 시트 파일에 기록된 내용을 보면 South Korea라고 적힌 한국의 기관명이 등장한다. 이 문건은 프로그램 구입자 명단으로 여기에 구입자는 'The 5163 Army Division', 즉 '5163부대'로 기재돼있다.
HT는 한국 '5163부대'로부터 2012년부터 총 68만6,400 유로를 받았다고 문서에 기록돼 있다.
이 기록을 보면 국정원은 5163부대 명의로 2012년 라이센스 구입 등 소프트웨어 도입비용으로 448,000 유로를 지불했고 ▦2013년 유지보수비용으로 58,850 유로 ▦2014년 업그레이드 및 유지보수 비용으로 145,700 유로 ▦2015년 유지보수 비용으로 33,850 유로를 지불한 것으로 드러나 있다.
이는 최근 환율 1유로당 1,253원을 적용하면 한국 '5163부대'는 약 8억 6,000만원 가량의 국가예산을 이탈리아 스파이웨어 업체에 지급했다. 유출된 자료들 중 Invoice - 003_2015 - Army Division Korea.pdf 등등의 자료에 의하면 국정원은 'Remote Control System'을 구입했다. 이는 '감청 프로그램'으로 이에 대한 내용은 위키리크스(Wikileaks)에서도 확인할 수 있다.
HT에 따르면 이 프로그램은 스텔스-스파이웨어 기반으로, 컴퓨터와 스마트폰을 공격, 감염, 감시할 수 있는 시스템으로, 표적 사용자의 암호화된 통신 (스카이프 등 메신저나 보이스톡, PGP 암호 커뮤니케이션, 암호화된 웹메일 등)까지 모두 감시할 수 있는 시스템이다. 이 회사는 동영상 광고까지 제작해 업체 홈페이지에 올려 그 뛰어난 성능을 자랑하고 있다.
또 유출된 자료 중 RCS 8 Technical.pptx 에 따르면 이 회사가 감시 가능하다고 밝힌 서비스를 살펴보면 보이스톡, 이메일, SNS가 모두 감청 가능하다.
해킹, 언제 누가 누구를 어떻게
'5163부대'가 구매한 HT의 RCS 에서 구현 가능하다는 감청 항목을 보면 거의 모든 장비의 감청이 가능하다. 유출된 자료 중 RCS_9.1_Features_Compatibility_v1.2.pdf 파일에 기재된 내용에는 컴퓨터는 마이크를 통한 도청, 채팅, 파일 확보, 키보드 입력, 패스워드, 접속 사이트, 스크린샷 등이 가능하다. 심지어 개인 PC는 데스크탑의 경우 캠 카메라를 통한 몰래카메라촬영도 찍을 수 있다.
이뿐만 아니라 모바일의 경우 폰 카메라를 통한 도촬(도둑촬영- 몰래 사진 찍는 행위), 마이크를 통한 도청, 위치 정보, 스크린샷 등이 가능하다. 더욱 놀라운 것은 이것이다. 이 프로그램을 활용하면 데스크탑과 모바일 모두 특정 프로그램 원격 실행, 기록, 설치 삭제 및 정보 무단삭제가 가능하다는 것이 이 업체의 설명이다.
또 유출된 자료 중 RCS 7.3 - Administration Manual.pdf 등 RCS의 메뉴얼에 따르면 여러 방식으로 공격을 통해 스파이웨어 에이전트가 설치되면, 네트워크를 통해 지속적으로 감청 정보가 전송된다.
또 네트워크에 접속되어있지 않거나 스마트폰 데이터네트워크를 끄더라도 지속적으로 데이터를 수집한 뒤, 네트워크에 연결되는 시점에 다시 모아 전송토록 하고 있다. 전송되는 경로 또한 익명화시켜 어디로 전송되는지 알 수 없도록 구현돼 있다는 것이 HT의 설명이다.
에이전트가 설치된 PC에 문제의 감시에이전트는 평소 PC이용자가 자주 사용하는 프로그램과 아주 비슷하게 생긴 프로세스를 보거나 프로세스를 확인조차 할 수 없다. 이처럼 흔적을 남기지 않는 부분도 매우 치밀하게 설계됐기 때문에 향후 국정원을 조사한다 해도 국내 민간인 도감청 내용을 파악하는 것은 쉽지 않을 것으로 보인다.
HT사가 선전하는 내용을 보면 시스템 구축을 통해 손가락 움직임 하나까지 알 수 있다. 감시 표적의 현재 위치가 지도에 표시되고, 감시 표적이 현재 스마트폰이나 PC로 하고 있는 일, 전화통화 내용, 보이스톡 대화 내용, 폰 카메라에 잡힌 주변 풍경, 마이크에 잡힌 대화내용, 페이스북 내용까지 모두 한 곳에서 확인이 가능하다.
현재 국정원 해킹 의혹과 관련해 핵심은 정권과의 연루 부분이다. 2012년부터 2014년 사이 구입과 유지보수 비용이 지불되던 시기를 보면 국내 정치 사회문제가 끊이지 않았다.
2012년 한국 '5163부대' 가 이 소프트웨어 대금을 결제할 당시 국정원장이던 원세훈 전 원장은 대선 직후 국정원 댓글사건에 휘말려 검찰 수사를 받았다. 즉 HT가 국정원으로부터 소프트웨어 도입 비용으로 44만8,000 유로를 받은 것이 이때다. 한화로 약 5억 6,000만원 가량의 국가예산이다.
한국 '5163부대' 가 업그레이드 및 유지보수 비용으로 14만5,700 유로를 지불했다는 2014년에는 세월호 참사가 있었다. 아울러 국정원은 카카오톡 감청영장을 집행, 한국 네티즌들의 사이버망명 사태를 야기하기도 했다. 이 때 국정원은 HT에 업그레이드 명목으로 78,000 유로 등 총 14만5,700 유로의 청구서를 끊었다. 한화로 약 2억 가량의 국가예산이다.
이 비용은 국정원 전체 예산을 감안할 때 크지 않은 액수일 수도 있다. 하지만 사안이 해킹 도감청에 대한 사안이기 때문에 예산집행 때 최고위층에 보고됐을 가능성을 배제할 수 없다.
또 이 해킹프로그램이 국내 언론인, 시민단체 관계자, 야권 인사 등에 활용됐을 것이라는 주장이 일각에서 제기되고 있다. 시티즌랩 측도 그 같은 주장에 가능성을 열어뒀다.
이 같은 정황은 다른 곳에서도 드러난다. 이명박 정부 당시 원 전 원장은 국정원 개혁을 추진했다. 이 과정에서 원 전 원장은 대공파트를 대폭 축소했다. 이명박 정부 때는 국정원 내부 정보 유출이 심각해 해킹과 같이 은밀한 작업은 시도하기 어려웠을 것이라는 게 국정원 관계자의 전언이다.
또 전현직 국정원 관계자에 따르면 원 전 원장은 임기 중 국정원 대외요원들을 대부분 대내요원으로 전환하고 대외첩보업무 대신 국내업무에 집중하도록 지시했다. 이에 따라 첩보업무를 담당하던 이들이 국내 정치권 인사들과 시민단체 그리고 좌파인사들에 대한 첩보활동을 했다는 것이다.
또 최근에는 국정원이 지난해 말 정윤회 문건유출 사건이 불거졌을 때 일부 문건 유출 의심자들을 해킹했다는 주장도 나오고 있다. 문건 작성 연루자로 의심된 한 인사에 따르면 정윤회 문건 사건이 터지기 직전 이메일 등이 해킹당했다는 것이다. 하나만 해킹된 것이 아니고 자신이 자주 사용하는 주요 이메일 계정이 전부 해킹됐다고 증언했다.
새정치연합은 일단 MB정부 국정원 관계자를 타깃으로 했지만 궁극적으로는 박근혜정부를 겨냥하고 있다. 만일 국정원의 민간인 사찰 의혹이 사실로 밝혀진다면 그것이 박 대통령과 무관한 국정원의 독자적인 행보라 하더라도 국정운영에 큰 부담이 된다. 더구나 내년 4월 총선을 앞두고 있어 야권의 공세가 강화되면서 이번 국정원 해킹 의혹 사건은 현 정부를 흔들 '뇌관'이 될 수 있다. 국정원의 '민간인 해킹 의혹' 고발 사건을 접수한 서울중앙지검은 27일 사건을 부서에 배당, '뇌관'의 실체에 접근한다.
윤지환기자 musasi@hankooki.com