RCS 사태에 대응하기 위해 19대 국회가 꼭 할 일:

통신자료제공제도 및 피감시자통지제도 개선 법안 처리

 

국가정보원이 이탈리아 “해킹팀”의 스파이웨어인 RCS(Remote Control System)를 구매하여 사용한 사실이 드러나면서, 해당 프로그램이 우리 국민을 불법적으로 사찰하는 데 사용되었는지 여부가 초미의 관심사이다. 오픈넷은 최소한의 방책으로서 이번 회기에 기 발의된 사이버사찰 방지법안들이 조속히 통과될 것을 요구한다.

우선 가장 중요한 방책은 피감시자에 대한 통지의 개선이다. 국정원이 RCS를 내국인에게 사용하였다면 피감시자에게 통지할 의무가 있는데, 선진국 중에서 거의 우리나라만 유일하게 통지가 수사가 완전히 종료된 후에야 이루어진다. 현행법에서는 기소 또는 불기소 처분을 한 날부터 30일 이내 통지라고 되어 있어 처분이 없는 경우는 통지가 아예 행해지지 않고 있으며, 검사장의 승인 하에 무기한 유예하는 것도 가능해 통지를 못 받는 경우가 훨씬 많다. 오픈넷은 이에 따라 통신비밀보호법 개정안이 감청, 통신사실확인, 전기통신 압수수색 등 감시가 이루어졌다면 그 종료 후 90일 이내에 당사자에게 집행 내역을 통지하도록 하였다(정청래 의원 발의). 현행법상의 피감시자 통지 자체가 부실하였기 때문에 피감시자 몰래 하는 감시의 궁극이라고 할 수 있는 RCS에 대해서도 도덕적 해이가 있었을 것으로 보인다. 다시 확인컨대 “영장이 있다고 해서 증거를 훔칠 수는 없다.”

두 번째 문제는 피감시자의 신원확인이 영장이나 통지 없이 이루어진다는 것이다. 2014년 10월에는 노동당 정진우 부대표의 카톡 압수수색 사건으로 인해 대규모 ‘사이버 망명’ 사태가 벌어지기도 했는데 이때도 사람들이 분노한 것은 정 부대표의 단체카톡방의 카톡 내용에 대해 이루어진 합법적인 압수수색보다도 그 방에 참가한 수천 명의 사람들의 신원정보를 당사자에게 아무런 통지 없이 취득했었기 때문이다. 지난 2014년 한 해 동안 통신자료 제공(가입자 이름, 주소, 주민번호 등)은 10,771,978건(전화번호/ID 수 기준)이 이루어졌는데, 이 수치에 의하면 한 해에만 우리 국민 5명 중 1명은 통신에 관련된 정보를 수사기관에 털린 경험이 있다고 해도 과언이 아니다. 더 큰 문제는 대부분의 경우 통지를 받지 못해 털린 것도 모른다는 것이다. 현행 전기통신법 제83조 3항이 통신자료가 민감한 개인정보임에도 불구하고 수사기관이 영장 없이 기업들을 통해 손쉽게 취득하는 것을 허용하고 있어, 오픈넷은 전기통신사업법 개정안은 해당 조문을 삭제하여 영장주의의 적용을 받게 하였다(정청래 의원 발의). RCS와 같이 개인의 통신기기의 통제권을 완전히 잠탈하게 된다면 앞으로도 정진우 부대표의 사례와 같이 엄청난 수의 무고한 통신상대방의 신원정보도 모두 취득될 것이다.

위의 통신비밀보호법과 전기통신사업법의 개정은 19대 국회에서 반드시 해결해야 한다. 19대 국회가 개원한 2012년 6월 이후 위 두 가지 사안에 대해 2015년 6월까지 3년간 발의된 관련 법안만 무영장 통신자료제공 제도 개선 10개, 피감시자통지제도 개선 총 17개나 된다. (참여연대, 이슈리포트 <국회 통과 기다리는 사이버사찰방지 법안 17개>)

여기에는 오픈넷이 정청래 의원과 함께 발의한 전기통신사업법 개정안과 통신비밀보호법 개정안도 포함되어 있는데(http://opennet.or.kr/7900), 그 골자는 통신자료 제공 제도 폐지 및 감시 현황에 대한 투명성 강화 그리고 감청, 전기통신압수수색, 통신사실확인에 대한 통지제도 보완이다. 추가적으로 전기통신사업자들이 감시협조 현황에 대해 보고하고 국민에게 공개하도록 하는 투명성 보고 제도를 신설했다.

오픈넷은 위의 두 가지 핵심법안 외에도 RCS에 대한 대응의 일환으로서 피싱에 의한 감청 및 압수수색의 금지를 법으로 금지할 것인가에 대한 논의도 제안한다. (오픈넷은 7월30일 저녁 7시, 스타트업 얼라이언스에서 “디지털시대 감시의 한계는 어디인가? 피싱, 기지국수사, 프리즘”이라는 주제로 포럼을 개최할 예정이다.)

눈부신 정보통신기술 발전의 혜택은 일반인뿐만 아니라 범죄자도 동일하게 누리고 있으며, 날로 고도화되는 범죄 수법을 따라가기 위해서는 어느 정도의 사이버 사찰은 필요악이다. 하지만 사찰은 개인의 기본권, 특히 프라이버시를 지대하게 침해하는 행위이기 때문에 국민의 통제 없이 이루어져서는 안 된다. 또한 사찰의 필요성이 없어진 경우에는 대상자에게 반드시 통지를 해서 사찰의 대상자에게 기본권이 제한되었던 사실을 알리고 대응을 할 수 있는 기회를 주어야 할 것이며, 이런 절차가 있어야만 수사기관이 태생적으로 가질 수밖에 없는 끝없는 감시 욕구를 견제할 수 있을 것이다.

이제 시간이 별로 남지 않았다. 제19대 국회는 임기가 끝나기 전까지 기 발의된 2개의 법안이라도 통과시켜 한시라도 빨리 선량한 국민들을 무차별적인 사이버사찰로부터 보호하는 것이 국민의 대표로서의 소임을 다하는 길임을 명심하기 바란다.

 

2015년 7월 22일

 

사단법인 오픈넷

 

이탈리아 해킹전문업체 판매 내역이 해킹되어 공개됐다. 고객명단에 대한민국 정부 5163부대가 있었다. 오고 간 영수증 주소는 국정원 공개 민원 창구 접수처와 같았다. 국정원은 프로그램 사용을 시인했다. 그러나 ‘대북·해외 정보전’ 차원이라고 변명했다. 국내 민간인 사찰 목적이 아니라는 설명이다. 국정원 직원이 자살했다.

이번 일의 기술 담당 직원이었다. 유서에는 “내국인에 대한 선거 사찰은 전혀 없었다”고 쓰여 있었다. 새누리당은 야당과 일부 언론이 물고 늘어져 비극으로 이어졌다는 정치공세를 시작했다. 여권 관계자는 “우리나라에선 국정원이라고 하면 덮어놓고 의심의 눈초리로 보는 경향이 있다“며 분노했다.

19일 야당은 ‘이탈리아 해킹팀이 시도한 국내 아이피 주소 중 KBS와 KT·다음카카오 등 방송·통신사 등이 두루 포함된 것’으로 나타났다고 발표했다. 국정원 주장대로 ‘대북용’ 이나 ‘연구용’이든 아니든, 국내 아이피 주소들이 해킹당한 것은 부인할 수 없다.

암약하는 간첩 신원을 확인했기 때문에 전방위적 사찰을 했다 한다면, 그것도 두려운 일이다. 도대체 간첩은 얼마나 있는 것이며 국정원은 그동안 무엇을 했단 말인가. 지난 대선 국정원 직원 김아영이 여당 후보, 대통령을 도왔던 열정이면 나라가 이 꼴이 되었을까 말이다.

‘덮어 놓고 의심의 눈초리로 보는 경향’은 누가 만들었는가. 국민들이 국가 안보에 여념 없는 정보기관 존재를 일년 내내 사찰 시비로 왜 만나야 하는가.

국정원장이 선거법 위반과 국정원법 위반으로 감옥에 갇혀 있는 것은 말이 되는가. 당신들이 결백하다는 것을 믿을 사람은 눈을 씻고 봐도 없는데, 국민에게 뒤집어 씌운다. 이런 것을 적반하장이라고 하지 않겠나. 도둑이 되레 매를 들고, 잘못한 사람이 도리어 잘한 사람을 나무라는 경우 말이다.

하긴 여당 대표 김무성씨는 “국가 안위를 위해 해킹 할 필요가 있으면 하는 것 아니냐”했다 하니, 그게 국내용이든 불법이든, 사적이든, 이미 논할 가치조차 없을지 모른다. 솔직한 말이었을지 모른다. 국가정보기관이 언제는 정부여당 것 아닌 적이 있었는가, 닥치고 조용히 있으라는 말이다.

국정원 직원 공동성명이 발표되었다. “자국의 정보기관을 나쁜 기관으로 매도하기 위해 매일 근거 없는 의혹을 경쟁적으로 쏟아내는 나라는 우리 밖에 없습니다.” 정보기관 직원 일동이라는 본적 없고 들은 적도 없는 성명도 어이없다. 조만간 부서 직책 연명도 불사할 기세다. 조직을 지키기 위해서라면 정보기관 기본도 지키지 않는다.

무엇보다 근거 없는 의혹을 끊임없이 제공했던 성찰은 단 한 줄도 없다. 중앙정보부, 안기부, 국정원으로 이어졌던 국내용 사찰과 고문의 역사를 국민이 잊었다고 하는 소린지 실소가 나온다. 이번 죽음조차 석연치 않게 생각하는 사람이 많다.

박근혜 정부 들어 증언자들은 결정적 순간에 죽었기 때문이다. 정적 제거를 위해 어떠한 수단도 마다하지 않던 박정희와 중앙정보부가 무소불위 권력을 휘둘렀던 때를 우리는 독재시대라 부른다.

그 시대 망령을 불러온 것이 누군지, 다시 한번 묻고 싶다. 국민이 문제인가, 당신들이 문제인가. 5163부대 명칭이 ‘516 쿠데타 때 박정희 소장이 새벽 3시에 한강철교를 넘었다’는 데서 따온 숫자라고 하던데… 말해 무엇하리요. 국정원의 거처를. 입만 아프지.

2015. 7. 21. 경기일보
박진 (다산인권센터 상임활동가)

<원문보기>

[경기시론] 5163부대와 그들의 적반하장

* 아래 '공감' 버튼, 페이스북 좋아요 한번씩 눌러주시면 

더 많은 분들께 이 소식을 전할 수 있습니다. ^^

– 최근 2달 총 24번 접속, 국내 실전용 해킹은 2회 추정

뉴스타파가 이탈리아 해킹팀 서버의 최근 2달간 접속 기록을 분석한 결과 국정원은 해킹팀 프로그램을 통해 모두 24건의 해킹을 시도했으며 이 가운데 해외 통신망에서 이뤄진 해킹은 15건, 국내 통신망에서 이뤄진 해킹은 2건으로 분석됐다. 또 나머지는 국내에서 테스트용으로 이뤄진 해킹이었던 것으로 나타났다.

유출된 해킹팀 자료에 들어있던 접속 기록은 해킹 목표물이 감염서버로 유인돼 접속하면서 남긴 기록이다. 여기엔 지난 5월과 6월에 이뤄진 전세계 해킹팀 고객의 해킹 시도 기록이 남아 있다.

이 접속 기록에는 감염서버에 접속한 일시와 해킹 목표가 된 단말기의 정보, 아이피 주소, 감염이 이뤄진 웹페이지 주소, 스파이웨어 설치 성공 여부 등이 포함돼 있다.

뉴스타파 취재진은 접속 기록에 포함된 이같은 정보들과 해킹팀이 국정원에 제공한 해킹용 웹페이지 주소와 첨부파일이 일치하는 지 여부를 비교해 국정원이 시도한 해킹 기록 24건을 찾아냈다.

어디를 해킹했나?

전체 24건 가운데 해외에서, 즉 해외통신망을 이용해 이뤄진 해킹이 총 15건으로 가장 많았다. 지역별로는 중국과 유럽, 동남아, 아프리카 등으로 폭넓게 이뤄졌다. 그러나 실제 해킹용 스파이웨어를 설치하는데 성공한 경우는 3건에 불과했고 12건은 실패한 것으로 나타났다.

해외에서 이뤄진 해킹 시도는 모두 국정원이 실전용이라고 해킹팀에 밝힌 것들이었다.

국내 통신망을 이용한 경우는 모두 9건이었는데 이 가운데 6건은 국정원이 테스트용이라고 밝힌 것이었고 실제로 아이피 주소(223.62.169.10, 223.62.169.56)도 겹치는 것이 많았다. 테더링으로 SK텔레콤 이동통신망에 접속해 개통하지 않은 다양한 단말기를 가지고 해킹 시험을 했기 때문에 아이피 주소가 서로 일치했던 것으로 보인다. (테더링: 휴대폰을 무선모뎀으로 활용해 인터넷에 접속하는 방식)

또 아이피 주소 223.62.169.56을 사용했던 갤럭시노트2(SKT모델) 단말기의 경우 국정원은 실전용이라고 밝혔지만 위의 테스트용 아이피주소와 겹치는 것으로 미뤄 역시 테스트용으로 분류했다.

이에 따라 국정원이 국내에서 실전용으로 실제 해킹에 사용한 것으로 보이는 접속 기록은 2건으로 추려졌다.

아이피주소	223.62.169.2	223.62.212.18
단말기	갤럭시노트2 SKT	갤럭시노트2(해외용)
해킹 일시	2015.6.4	2015.6.17
설정 언어/국가	ko-kr	en-ph
할당대역	SKT	SKT
미끼 URL	http://www.cdc.gov/coronavirus/ mers/faq.html	http://www.5zuo2.com

▲ 아이피 주소 앞 두자리인 223.62.*.*는 SK텔레콤이 국내에서 LTE 대역으로 사용하는 아이피 대역이다.

하나는 국정원이 실전용이라고 밝히면서 메르스 정보 사이트를 이용해 해킹을 요청했던 것으로 브라우저 설정이 한국어로 되어 있다. 또 하나는 영어로 설정된 단말기로 역시 실전용으로 국정원이 요청한 것이다.

물론 국정원이 실전용이라고 해킹팀에 요청했던 갤럭시노트2의 경우 아이피 주소의 앞 세자리(223.62.169.*)가 다른 테스트용(223.62.169.*)과 같은 것으로 볼 때 실제로는 실전용이 아닐 수도 있다. 그러나 다른 테스트용과는 다르게 매우 구체적인 사이트를 명시한 점으로 미뤄 충분히 국내 이동통신가입자를 상대로한 해킹이 아니냐는 의혹을 가질 수 있다

또 두번째 사례의 경우도 아이피 주소와 미끼 URL이 테스트용과 다른 것을 감안할 때 국내에 입국한 해외 교포나 외국인을 상대로 해킹을 시도한 것이 아니냐는 의심이 가는 대목이다.

다른 해킹 사례는 확인이 안되나?

뉴스타파는 앞서 공개한 자료 <국정원이 해킹팀에 보낸 ‘감염 요청 메일’ 분석 결과> 에서 내국인을 상대로 사용된 것으로 추정되는 미끼 URL과 첨부파일이 모두 43개에 이른다고 보도했다. 이 가운데 2013년에 미국의 안수명 박사를 목표로 한 것으로 보이는 해킹 요청 외에도 지난 3월말과 4월 중순 사이에 한국인을 목표로 했을 것으로 의심되는 사례가 집중돼 있다.

내국인을 상대로 하지 않았다면 미끼 URL로 한글로 된 맛집 소개나 축제 관련 블로그를 사용했을 리가 없기 때문이다.

하지만 이런 미끼 URL을 이용한 해킹 시도가 누구를 대상으로 어디에서 이뤄졌는지 현재로선 확인할 방법이 없다. 해킹팀의 서버에는 접속 기록이 지난 5월과 6월치만 보관돼 있기 때문이다.

또 이동통신사를 대상으로 접속기록을 확인한다고 해도 이동통신사는 인터넷 접속 로그기록을 3개월만 보관하도록 돼 있기 때문에 위에서 언급한 2015년 5월 이전의 의심사례를 확인하는 것은 힘들다.

뉴스타파가 분석한 해킹팀 서버의 해킹 기록은 국정원의 해명대로 해외에서 주로 해킹이 이뤄졌으며 국내에서 테스트용으로 사용한 경우도 있다는 것을 보여주지만 자국민에 대한 해킹의혹을 완전히 해소시켜주는 것은 아니다.

더구나 해킹팀 유출 자료로 분석할 수 있는 접속기록은 최근 2달치에 불과한 반면 국정원이 해킹프로그램을 운용한 기간은 지난 2012년 1월부터 지금까지 3년 6개월에 이른다.

국정원은 지금까지 대테러, 대북 공작을 위해서 해외에서 해킹프로그램을 사용하거나 테스트용으로만 사용했을 뿐 자국민을 대상으로는 사용한 적이 없다고 해명하고 있다.

또 국회 정보위원들이 국정원을 방문하게 되면 그동안의 해킹프로그램 사용기록을 모두 공개하겠다는 입장이다. 과연 해킹팀과 거래를 시작한 2012년부터 현재까지 기록을 투명하게 모두 공개할지 주목된다.

이번에 분석한 접속 기록 관련 자료는 뉴스타파 <국정원과 해킹팀> 데이터 페이지 에서 볼 수 있다.

동료 직원을 보내며

국정원은 7월 18일 참담하게도 동료 직원 한사람을 잃었습니다. 누구보다 업무에 헌신적이고 충성스럽고 유능한 직원이었습니다. 국정원은 왜 그 직원이 그런 극단적인 선택을 했는지 묻고 또 묻고 있습니다. 그러나 그럴 필요가 전혀 없는데 왜 그랬는지 아직도 답을 얻지 못하고 있습니다.
그는 2012년도 문제의 해킹 프로그램 구입을 실무판단하고 주도한 사이버 전문 기술직원이었습니다. 그는 유서에서 “업무에 대한 열정으로 그리고 직원의 의무로 일했습니다. 지나친 업무에 대한 욕심이 오늘의 사태를 일으킨 듯 합니다”라고 썼습니다. 오늘의 사태란 국정원의 민간사찰을 기정사실화하고 있는 정치적 논란을 지칭하는 것으로 보입니다.
이 직원은 본인이 실무자로서 도입한 프로그램이 민간인 사찰용으로 사용되었다는 정치권과 일부 언론의 무차별적 매도에 분노하고 있었습니다. 유서에 나와 있는 대로 열심히 최선을 다해 일해 왔는데 이런 상황이 벌어진 데 대해 자기가 잘못해서 국정원에 누가 되지 않았나 하고 노심초사 했었던 것으로 주변 동료들이 말하고 있습니다.
사이버 작전은 극도의 보안이 요구되는 매우 민감한 작업입니다. 안보 목적으로 수행한다 하더라도 이것이 노출되면 외교 문제로도 비화될 수 있습니다. 그래서 국가안보를 지키는 데 있어서 꼭 필요한 대상으로만 조심스럽게 사용하고 있습니다.
일부 정치인들은 이런 내용을 모두 공개하라고 주장하고 있습니다. 이는 근거없는 의혹을 입증하기 위해 국정원이 더 이상 정보기관이기를 포기하라는 요구와 같습니다. 국가안보에 어떤 해악이 미치는지에 대한 고려는 없습니다. 국정원은 이미 우리 국민에 대한 사찰이 없었음을 분명히 했고 정보위원님들의 현장 방문을 수용했습니다. 이미 합의한 절차에 따라 조용히 확인하면 될 일이었습니다. 국정원 직원도 민간인 사찰의 엄중함을 야당의원들 이상으로 절감하고 있으며, 새로운 국정원法으로 내부 통제를 강화하고 있습니다.
“국정원의 위상이 중요하다고 판단하여 혹시나 대테러, 대북 공작활동에 오해를 일으킨 지원했던 자료를 삭제했습니다. 저의 부족한 판단이 저지른 실수였습니다”
이 유서 대목에서 국정원 직원 일동은 고인의 국정원에 대한 깊은 애정을 감지하고 애통해 하고 있습니다. 국정원의 공작내용이 노출될 것을 걱정했던 것으로 보입니다. 그래서 자의대로 이를 삭제하고 그 책임을 자기가 안고 가겠다고 극단적인 선택을 한 것으로 보입니다. 국정원은 현재 그가 무엇을 삭제했는지 복구 작업 중에 있습니다.
그 직원의 극단적인 선택은 그럴 필요가 전혀 없는 상황에서 발생해 참으로 애석하고 안타깝기 그지 없습니다. 순수하고 유능한 사이버 기술자였던 그가 졸지에 우리 국민을 사찰한 감시자로 내몰린 상황을 심정적으로 받아들이기 어려웠던 것으로 보입니다. 또 이로 인해 국정원이 보호해야 할 기밀이 훼손되고 노출될 수 밖에 없는 현실을 자기 희생으로 막아보고자 했던 것으로 보입니다.
이탈리아 해킹팀社로부터 같은 프로그램을 35개국 97개 기관이 구입했습니다. 이들 기관들은 모두 ‘노코멘트’ 한마디로 대응하고 이런 대응이 아무런 논란 없이 받아들여졌습니다. 자국의 정보기관을 나쁜 기관으로 매도하기 위해 매일 근거없는 의혹을 경쟁적으로 쏟아내는 나라는 우리 밖에 없습니다. 드러난 사실은 댓글사건이 있었던 해인 2012년 국정원이 이를 구입했다는 사실 밖에 없고 나머지는 모두 그럴 것이라는 추측성 의혹 뿐입니다.
그런데도 10일 넘게 백해무익한 논란이 지속되면서 국정원은 불가피하게 해명에 나서야 했고, 그 과정에서 정보역량이 크게 훼손되었습니다. 급기야 젊고 유능하고 책임감이 강한 한 사람의 소중한 국정원 직원이 극단적 선택을 한 불행한 사태에까지 이르게 되었습니다.
이 직원은 유서에서 “정말 내국인에 대한, 선거에 대한 사찰은 전혀 없었다”고 분명히 밝혔습니다. 고인의 죽음으로 증언한 이 유서 내용은 글자 그대로 받아들여야 합니다.
그럼에도 불구하고 그의 죽음을 정치적 공세를 이어가는 소재로 삼는 개탄스런 현상이 지속되고 있습니다. 북한의 위협에 직면하고 있는 엄혹한 현실을 도외시하고 외교적 부작용이 발생해도, 국정원이 약화되어도 상관없다는 위험하고 무책임한 발상이 이어지고 있는 것입니다. 그가 자신을 희생함으로써 지키고자 했던 가치를, 국가안보의 가치를 더 이상 욕되게 해서는 안될 것이며, 결과에 대해 책임 또한 따라야 할 것입니다.
국정원은 정보위원들의 방문시 필요한 기록을 공개함으로써 국정원이 민간인 사찰을 하지 않았음을 명백히 할 것입니다.
국정원을 보호하기 위해 ‘무명으로 헌신’한 직원의 명복을 빕니다. 全국정원 직원은 동료를 떠나보낸 참담한 심정을 승화시켜 나라를 지키는 본연의 업무에 더욱 진력할 것입니다.
- 국정원 직원 일동

야후 뉴스, 국정원 직원 ‘현안’과 관련한 유서 남기고 자살 – 미공개 유서, 국정원의 해킹 프로그램 구매와 관련한 내용이 든 것으로 보여– 전직 국정원장들, 불법 감청으로 유죄 판결받아– 대법원, ‘원세훈 전 국정원장 대선개입’ 파기환송 판결 내려 야후 뉴스는 AP 통신을 받아 한국 국가정보원 직원이 ‘현안’에 관한 유서를 남기고 자살한 소식을 보도했다.기사는 국정원 직원이 사망한 채 발견됐으며 ...

UPI, 대한변협 국정원 수사 촉구 보도– 변호사 컴퓨터 해킹 의혹 관련, 상세히 수사한 후 책임자 강력히 처벌하라 요구– 휴대 전화의 내용이나 사진 해킹 및 실시간 감시도 가능– 국정원 특정 개인과 친북 성향 인사들에 대한 사찰 사실인정UPI는 16일 대한변호사협회가 성명을 내고 국정원이 해킹 프로그램을 이용해 변호사를 사찰한 것은 통신비밀보호법을 위반한 것이라며 수사를 촉구했다고 보도했다. 대한변협은 변호사의 ...

일 교도 통신, “국정원 감청 파문 정치적 논란 일으켜”-. 국정원 감청 프로그램 구매 사실 자세히 타전-. 국정원 해명과 달리 채팅, 이메일까지 염탐 가능 국가정보원의 해킹 스캔들이 급기야 일본 언론에 보도됐다. 산케이는 14일 일본 교도 통신 기사를 받아 국정원이 이탈리아 보안업체 해킹팀에게 감청 프로그램을 구매했던 사실을 보도했다. 교도 통신은 대북 사이버 전쟁을 위한 것이하는 국정원의 해명과 ...

1.너의 죄를 또 사하노라?

“경제사범을 풀어줘서 경제를 살리겠다는 발상은 언제나 새롭다. 성범죄자들을 풀어줘서 여성들이 안심하는 나라를 만들자.” -트위터리안 ID ‘leejaehun80′

경제사범 특별사면, 여러분은 어떻게 생각하시나요?

2.타파스극장 : 국정원 해킹대작전

올 여름을 강타할 SF 스릴러
“우리는 네가 올 여름 할 일까지 알고 있다” ★★★★★
“카카오톡의 강렬한 쓴맛!” ★★★★☆

3.타파스클립 : 검열의 시대

“왜 안돼? 이번엔 내가 고른 영화 보자며.”
“상영하는 곳이 없는데 어떡해 그럼.”
“…….”

무슨 영화를 볼지 고민하지 마세요. 여러분이 아니라 배급사가 고릅니다.

<한겨레>가 선도적으로 취재·보도해온 ‘국가정보원 해킹·감청 의혹’의 진상을 밝히기 위해 독자와 시민 여러분께 ‘크라우드소싱’(crowd sourcing)을 통한 협업을 제안합니다.

국정원이 해킹 스파이웨어(RCS)를 구입한 이탈리아 업체 ‘해킹팀’에서 유출된 데이터는 400기가바이트(GB)에 이릅니다. <한겨레>가 독자적으로 검색·분석하기엔 너무 방대합니다. 국정원은 이 프로그램을 국내 사찰용으로는 사용하지 않았다고 밝혔지만, 여러 정황상 불법 사찰 의혹이 강하게 제기되고 있습니다.
아래 링크에서 해킹팀 내부 자료를 내려받아 음성파일 등을 열어보거나 ‘korea’, ‘devilangel’ 등 국정원 관련 키워드로 검색한 뒤 의심 가는 내용이 발견되면 이메일([email protected])로 알려주십시오. <한겨레>가 추가 취재해 진실을 알리겠습니다.
정보기관에 대한 민주적 통제에 관심 있는 분들이나 컴퓨터·보안 전문가 등의 적극적인 참여를 부탁드립니다.

<유출 자료 전체>
http://ht.transparencytoolkit.org
http://hacked.thecthulhu.com/HT
http://njsq2jeyc527mol7.onion.city
http://hacking.technology/Hacked%20Team
http://kat.cr/usearch/Hacking%20Team%20Archive%20Part

<유출 이메일>
http://wikileaks.org/hackingteam/emails

국정원 대선개입, 대법원의 정치적 판결

 

- 정권 눈치 보기, 상고법원 통과를 위한 대법원의 꼼수 -

 

대법원이 국가정보원의 2012년 대선개입 사건을 유죄로 인정하지 않았다. 항고심에서 인정한 핵심 증거들의 증거 능력 부족을 이유로 사건을 서울고법으로 파기 환송했다. <경실련>은 이번 판결이 정권의 눈치를 본 전형적인 정치적 판결이며, 현재 대법원이 추진하는 상고법원 설립을 위해 야당의 반발을 피하기 위한 꼼수로 규정한다. 이에 대법원의 역행을 비판하며, 서울 고등법원이 법과 원칙에 입각한 판결을 내리기를 강력하게 촉구한다.

 

 

첫째, 대법원은 결정적 증거인 첨부파일의 실질적 증거능력을 외면했다.

국정원 직원의 이메일 첨부파일인 ‘425지논’, ‘시큐리티’의 증거능력은 충분하다. 형사소송법 315조는 ‘기타 특히 신용할 만한 정황에 의해 작성된 문서’는 증거로 인정된다고 규정했다. 해당 첨부파일은 ‘업무일지’의 성격이 명백하다. 결정적 증거인 첨부파일은 당사자가 필요한 내용을 계속 추가, 보충했다. 또한 국정원 직원들의 활동내역과 실적을 반복적으로 기재했다. 그러나 대법원은 개인의 사생활이 일부 담긴 점과 작성자가 법정에서 해당 파일 작성 부인을 근거로 증거능력을 인정하지 않았다. 대법원은 ‘업무일지’의 성격을 협소하게 바라보고 결정적 증거를 의도적으로 배제한 것이다. 대법원이 다시 고등법원에 공을 떠넘기는 전형적인 소극적 판결이다.

 

둘째, ‘425지논’, ‘시큐리티’ 뿐만 아니라 최소 11만개의 증거들도 대선개입을 드러내고 있다.

국정원 직원들의 대선개입 트윗들은 1심에서는 11만개, 2심에서는 27만개가 인정되었다. 또한 검찰 측에서는 아직도 80만개를 주장한다. 이 정도의 증거들이 충분히 있는 경우에는 대법원이 얼마든지 마음만 먹으면, 국정원 대선개입에 대한 판단을 내릴 수 있다. 그러나 대법원 전원합의체의 대법관들은 나머지 증거들에 대한 판단을 내리지 않았다. 대법원은 자신들의 직무를 유기했다. 결과적으로 대법원은 원 전 국정원장에게 유리한 판단을 하는 기회주의적 행태를 보였다. 이는 박근혜 정권의 정통성을 흔들지 않기 위한 권력 눈치 보기에 지나지 않는다.

 

결론적으로 대법원은 판결을 유보하고, 핵심 증거를 배제함으로서 원 전 국정원장에게 유리한 국면을 만들었다. 또한 대법관들은 국정원의 선거법 위반을 애써 외면하여 정권에 부담을 주지 않으려는 의도가 명확하다. 동시에 상고법원 설치를 위해 야당을 자극하지 않기 위한 꼼수라는 의구심을 지울 수 없다. 하급심에 부담을 떠넘겨, 1심에서의 선거운동을 금지하고 있는 국정원법은 위반하였으나 선거운동을 금지하고 있는 공직선거법 위반은 아니라는 판결이 나올 가능성이 농후하다. 이번 판결에서 대법관들은 대법원이 법치의 마지막 보루의 소임을 망각했고, 사법정의를 포기했다.

 

사법부는 더 이상 정치적 이해관계가 아닌 우리 사회의 정의와 진실을 향해 나아가야 한다. 사법부는 민주주의의 근간을 뒤흔든 국정원의 정치개입에 대해 실추된 신뢰를 회복해야한다. 검찰도 ‘성완종 리스트’에서 보여준 정치검찰의 모습이 아닌 진실을 좇는 모습을 보여야한다. <경실련>은 서울 고등법원이 국민들이 납득할 수 있는 판결을 내리기를 강력하게 촉구한다. 사법부가 이번에도 독립성을 지키지 않는다면, 국민들은 결코 좌시하지 않을 것이다.

방송쟁이로 근 30년을 살아왔지만 이렇게 기구한 삶을 보는 것은 처음인 것 같습니다. 도대체 이런 인생을 만들어내는 한반도는, 대한민국은 어떤 곳인지 참담합니다.

김련희, 그녀는 탈북을 원하지 않은 탈북자입니다. 북한 평양에서 군의관의 아내로 잘살던 사람입니다. 그러나 그녀는 간 질환에 걸렸고, 치료하기 위해 2011년 중국으로 갔습니다.

사촌 언니의 집에 머물던 그녀는 치료비를 벌기 위해 식당일을 하던 중 탈북 브로커와 선이 닿았습니다. 브로커는 한국에 들어가면 몇 달 만에 큰돈을 버는데 무엇하러 중국에서 고생하느냐고 했습니다. 김 씨는 한국에 가서 몇 달만 돈 벌고 다시 중국으로 나와 치료를 받은 뒤 북으로 돌아가야겠다고 생각했습니다. 이것이 치명적인 실수였습니다. 동족이 사는 땅인데도 그 경계선을 넘는 순간 다시 되돌아가는 것은 범죄가 되어버리는 현실을 몰랐다는 게 그녀의 실수였습니다.

탈북자 대열에 합류한 뒤 자신이 순진한 생각을 했다는 것을 알게 됐지만, 그때는 이미 여권을 뺏긴 뒤였습니다. 브로커들은 일단 대열에 들어온 탈북자들을 묶어두기 위해 여권부터 빼앗습니다. 그렇게 그녀는 한국에 들어왔고 국정원 중앙 합동신문센터에 입소했습니다.

대한민국이 정상적인 국가라면 2011년 6월 그녀를 심사해 북으로 돌려보냈어야 합니다. 그녀는 북한이탈주민보호법이 규정하는 ‘보호 요청’을 하지 않았을 뿐 아니라 자신을 북으로 보내달라고 했습니다. 단식까지 하면서 질기게 요구했지만, 국정원은 ‘북으로 보낼 제도적 장치가 없다’며 전향서를 쓰라고 강요합니다. 쓰지 않으면 밖으로 나가지 못한다는 말에 그녀는 전향서를 썼습니다. 6개월 뒤에 나온다는 여권을 기대했기 때문입니다. ‘여권이 나오면 중국을 통해 조국으로 돌아갈 수 있으리라’ 이것이 대한민국에서의 그녀의 마지막 희망이었습니다.

짐작하시다시피 국정원은 그녀를 신원특이자로 분류했습니다. 북으로 보내달라는 말을 한 적이 있는 김련희 씨는 대한민국 밖으로 나갈 권리를 박탈당한 채 절망 속에 유배됐습니다. 밀항을 시도하고 여권을 위조하려 한 것은 당연한 귀결이었습니다. 그리고 그것마저 모두 수포로 돌아갔을 때 그녀는 ‘다섯 차례’ 자살을 기도했습니다.

그리고 그녀는 간첩이 됐습니다. 김련희 씨가 받은 판결문은 그녀가 북한 심양 영사관의 영사로부터 지령을 받아 탈북자 정보를 수집해 넘겼다고 적시하고 있습니다. 정말 웃기는 대한민국입니다.

수사 결과에 따르면 2013년 7월 21일 남북한 여자 축구경기가 열렸을 때, 그녀는 92명의 탈북자 신원정보를 상암 월드컵 경기장에서 북한 공작원에게 넘겼습니다. 문제는 그 날 아침 김련희 씨가 자신의 신변보호를 담당하는 경찰관들에게 경기를 함께 보러 가자고 제의했었다는 것입니다. 그리고 경기가 끝난 뒤 경찰관들과 술을 마신 김 씨가 ‘나 오늘 탈북자 정보를 넘겼어, 몰랐지?’라고 했습니다.

제가 수사팀장에게 물어보니 그도 이 혐의에 대해 사실이 아닌 것으로 생각하고 있었습니다. 그러면 혐의에서 빠져야 할 텐데 버젓이 판결문에 들어가 있습니다. 대한민국 수준이 이렇습니다.

그뿐이 아닙니다. 김 씨는 탈북자 정보를 실제로 수집하긴 했는데, 수집하면서 계속 경찰관에게 ‘나 지금 수집하고 있거든요. 나를 좀 멈춰줘요’라고 말했습니다. 경찰은 그녀를 구속시켜서 멈춰주었습니다. 그녀는 왜 그랬을까요? 저는 한참 동안 그녀를 따라다닌 끝에 이제 이해하게 됐습니다. 궁금하시면 프로그램을 보십시오. 이 말만 할게요. 대한민국 경찰, 검찰, 법원 모두 정말 진실과는 담 쌓은 ‘겁나는’ 집단입니다.

이 프로그램에는 김련희 씨가 북한의 딸과 통화하는 장면이 나옵니다. 피붙이가 있는 사람이라면 누구나 김련희 씨 딸의 목소리를 듣고 마음이 편할 수는 없을 것입니다. 딸은 엄마가 아직 중국에서 돈 벌며 치료하고 있는 것으로 압니다. 엄마가 언제 올 것인지, 딸은 묻고 또 묻습니다.

뉴스타파가 신경민 의원실을 통해 정보당국(정보당국이 어딘지 아시죠?)에 물어봤습니다. ‘도대체 브로커에 속아 들어온 사람이 북으로 다시 돌아가려면 어떡해야 하느냐’고. 갈 방법이 없다고 할 줄 알았는데, 정보당국은 ‘북한이탈주민대책협의회’에서 논의해 결정하는 게 좋겠다’는 다소 긍정적인 답변을 내놨습니다.

4년 전 김련희 씨가 북으로 보내 달라고 요구했을 때 그렇게 답했다면 얼마나 좋았을까요. 물론 정부가 김련희 씨를 보내줄 것이라고는 전혀 확신할 수 없습니다. 아마도 김 씨는 한국 정부보다 북한 정부가 나서주기를 기대하는지 모릅니다.

분단 70년이 가깝습니다. 이제 서로 헷갈려서 상대 땅으로 들어간 사람들 정도는 돌려보내는 합의를 할 만한 때도 되지 않았나요?

우리 이제 그만 김련희 씨를 딸에게 돌려보냅시다. 네?

-3년 간 시스템 도입 및 유지비로 한화 8억 원 지급
-10월엔 해킹팀 관계자 직접 한국 방문 교육 예정
-뉴스타파 확보 이메일에 ‘2016년 유지비용은 67,700유로’

이탈리아의 인터넷 감시프로그램 제작 및 서비스 업체인 ‘해킹팀’(Hacking Team)의 내부 정보가 해킹으로 인터넷에 유출돼 전세계적인 파장을 불러일으키고 있는 가운데 국가정보원도 2012년 이 업체의 감시프로그램을 구매해 현재도 사용하고 있는 것으로 뉴스타파 취재결과 드러났다.

해킹팀의 프로그램을 구입한 국가들은 대부분 인권 탄압이 심하다고 지목된 나라들인데다 실제 이 감시프로그램을 반정부 단체나 인물을 감시하는데 사용한 것으로 확인되고 있어 국정원이 어떤 목적으로 이 감시프로그램을 사용하고 있는지에 대해 의문이 제기되고 있다.

지난 7월5일(미국현지시각) 해킹돼 인터넷에 공개된 해킹팀의 내부정보는 400기가바이트(GB) 분량이다. 여기에는 각 국 고객과의 계약사항과 주고받은 이메일, 해킹팀의 직원정보, 감시프로그램에 대한 설명 등이 포함돼 있다.

계약서와 요금청구서의 결제정보 자료에는 ‘한국 정부의 5163부대(The 5163 Army division)’라는 고객 이름이 나오는데 이 ‘5163부대’는 국정원이 외부와 업무연락을 할 때 사용하는 명칭이다. 5163부대와 맺은 계약서에 찍힌 주소도 국정원이 사용하는 사서함 주소(P.O. Box 200)와 일치하는 것으로 확인됐다.

이 자료를 보면 국정원은 2012년 1월 27만3천 유로를 지불하고 원격감시시스템을 구입했으며 1년에 두번 정도 유지비용을 냈고, 가장 최근인 지난 1월에도 약 3만3천850유로를 유지비용으로 지불한 것으로 나타났다. 감시시스템 첫 구입 후 지금까지 지금한 총 금액은 68만6천410 유로, 우리 돈으로 모두 8억 6천만 원에 이른다.

국정원이 구입한 감시프로그램은 RCS(Remote Control System)로 불리는 원격감시프로그램이다. 자료에 따르면 국정원은 2014년 업그레이드 버전인 ‘다빈치’(Da Vinci)도 구입해 지금까지 유지보수 비용을 지불하고 있는 상태다.

RCS는 스파이웨어를 원하는 목표물에 설치해 정보를 빼가는 방법을 사용하는데 컴퓨터와 스마트폰을 감청하는 것은 물론이고 단말기의 카메라와 녹음기까지 원격조정할 수 있는 막강한 감시프로그램이다. 이때문에 해킹팀은 전세계의 민간 정보보호단체들과 시민기구로부터 ‘인터넷의 적’이란 표현을 얻을 만큼 많은 비난을 받고 있다.

해킹팀의 프리젠테이션 자료에는 감시 대상 목표물이 문서나 웹페이지를 열 때 감시프로그램이 작동하도록 용량이 작은 스파이웨어를 심거나 SMS을 이용한다는 등의 설명이 들어있으며 기존 백신으로는 추적이 불가능하다고 적혀있다.

캐나다의 연구팀 ‘시티즌랩’이 지난해 2월 해킹팀의 감시프로그램을 추적해 확보한 IP(인터넷주소)를 공개한 적이 있다. 아래 표처럼 당시 발견된 21개 국가 가운데 한국의 IP도 포함이 돼 있어서 한국에서도 해킹팀의 감시프로그램이 사용되고 있는 것이 아니냐는 의혹이 일었는데 이번 자료유출은 그 사용자가 국정원이었을 가능성이 높다는 것을 보여준다.

국정원은 ‘나나테크’라는 국내 보안업체를 통해 해킹팀과 감시시스템 구입 및 운용 계약을 했다. 아래는 뉴스타파가 확보한 나나테크의 대표와 해킹팀의 담당자가 주고받은 이메일이다. 불과 9일 전 작성된 이 이메일을 보면 국정원은 지금도 이 감시프로그램을 사용하고 있다는 것을 알 수 있다.

지난 7월 1일자 이메일에서 나나테크 관계자는 해킹팀이 제안한 고객 교육에 대해 ‘10월에 교육이 이뤄지길 고객이 희망’하며 ‘2차 송금은 고객이 8월말까지 할 것’이라고 회신했다.(올해 유지 비용에 대한 1차 송금은 1월에 이뤄졌다. 1, 2차 각각 33,850 유로씩이다.) 이후 이메일에서는 양측이 해킹팀 교육관계자의 10월 한국 방문 계획을 확정한다. 유출자료를 보면 해킹팀은 감시프로그램 첫 구매 계약 직후인 2012년 1월에도 우리나라를 방문한 적이 있었던 것으로 확인된다. 이들은 서울 강남구의 한 호텔에 숙박했던 것으로 나타났다.

나나테크는 지난 2003년 3월 설립된 정보통신서비스업체로 서울 공덕동에 위치해 있다. 공시된 기업정보에 따르면 대표는 허손구 씨(60세) 등 2명이고, 직원 수는 6명이다. 2012년도 매출액은 5억7천만 원, 영업이익은 6천9백만 원이었다. 뉴스타파는 국정원과의 연관성을 확인하기 위해 9일 나나테크를 찾아갔으나 업무시간임에도 불구하고 사무실은 굳게 닫혀진 상태였다.

이번 내부 정보 유출 사고가 없었다면 국정원과 해킹팀과의 관계는 내년에도 계속 이어졌을 것으로 보인다. 나나테크와 해킹팀이 주고받은 이메일을 보면 국정원이 직접 송금하던 유지 비용을 내년 1월부터는 나나테크를 통해 지불하겠다는 내용이 나온다. 국정원이 이 감시프로그램을 2016년에도 계속 사용하겠다는 뜻이다.

문제는 국정원이 이렇게 구입한 감시프로그램을 어떤 용도로 운용하고 있는가이다. 북한이나 중국의 해킹 조직과 싸우는 데 사용하는 것이 아니라 혹시라도 국내에서 자국민을 상대로 사용하고 있다면 또다시 정보기관의 사찰 문제와 개인의 사생활 보호 같은 인권 문제가 불거질 수 밖에 없다. 국정원 측은 감시프로그램 구입과 사용여부, 목적 등에 대한 질문에 “어떤 질문에도 확인해줄 수 있는 것이 없다. 이해해달라”는 말만 되풀이했다.

그런데 해킹팀으로부터 감시프로그램을 도입한 것으로 드러난 멕시코와 모로코, 이집트, 수단,이디오피아 등의 국가들은 대부분 모두 언론이나 시민단체를 사찰하거나 인권을 탄압해 문제가 불거졌던 나라들이다.

모로코의 경우 이번에 유출된 자료로 2010년 이전부터 지금까지 모로코 정부가 해킹팀으로부터 감시프로그램을 구입해 사용한 사실이 확인됐다. 이에따라 지난 2012년 정부에 비판적인 언론인을 상대로 했던 해킹사건도 정부 소행이 아니냐는 의혹이 커지고 있다.

또 에티오피아의 경우도 지난해 발생한 언론인에 대한 해킹 사건에 정보기관이 관여했음을 보여주는 자료가 이번에 유출됐다.

우리의 경우 국정원이 감시프로그램을 처음 구입한 2012년 1월은 대선을 앞두고 심리전단이 SNS 전담조직을 확대했던 시기와도 일치하고 있어서 국정원이 왜 이 프로그램을 당시에 구입했는지 의문이 제기되고 있다.

-국정원 2차장 산하 국내파트 사용 의혹
-목표물(target) 20개 모니터링 화면 포착

국정원이 이탈리아의 ‘해킹팀’으로부터 구입한 인터넷 감시프로그램을 주로 통신 도·감청에 활용했음을 뒷받침하는 자료가 확인됐다. 또 국정원은 이미 2012년부터 이 프로그램을 실제 사용했으며 동시에 모니터할 수 있는 목표물을 최초 10개에서 20개로 늘려 운영한 것으로 나타났다.

이 같은 사실은 뉴스타파가 인터넷을 통해 공개된 ‘해킹팀’ 유출자료를 분석한 결과 드러났다. 국정원이 만약 이 스파이웨어를 통해 국내 스마트폰 사용자를 대상으로 통화 도·감청을 했다면 통신비밀보호법 위반 논란이 불가피할 것으로 보인다.

국정원의 협력업체 역할을 한 국내 보안업체 ‘나나테크’가 해킹팀과 주고받은 메일을 보면 국정원은 지난 2010년부터 감시프로그램 구입을 추진했다.

국정원, 음성 통화 감시 기능 요구

해킹팀에게 자신들의 고객이 한국의 정부기관임을 이미 밝혔던 나나테크는 2010년 9월 보낸 이메일에서 “고객이 해당 제품이 휴대전화 상에서의 음성 대화를 모니터링하는 기능이 있는지 알고 싶어한다”면서 고객이 그런 기능을 원한다고 전하고 있다.

또 2012년 5월 해킹팀이 나나테크에 보낸 메일에는 원격감시프로그램인 RCS를 업데이트하면서 목표물이 아무리 많더라도 모니터링 기능을 한국 전체로 확장할 수 있는 기능과 알려지지 않은 통화자의 목소리를 서로 구분할 수 있는 기능을 옵션으로 제공한다 설명하고 있다.

이 같은 메일을 받은 국정원은 한 달 뒤인 2012년 6월, 10개의 목표물을 추가로 관리할 수 있는 계약을 요청해서 이후 모두 20개의 목표물을 감시할 수 있는 시스템을 갖춘 것으로 보인다.

국정원의 RCS 작동 화면에 그대로 드러난 운영 현황

아래 사진은 2013년 7월 27일 운용하던 감시프로그램에 문제가 생기자 국정원 측 관리자가 해킹팀에 보낸 국정원 RCS 콘솔의 실제 캡쳐화면이다. 국정원 관리자는 문제가 생겼다며 어떻게 해야 고칠 수 있는지 질문하며 이 사진을 첨부해 보냈다.

화면 중앙에 표시된 Agent 17/20 은 현재 20개 가운데 17개가 작동하고 있음을 의미하는 것으로 보인다. Agent는 해킹을 위해 목표물에 심어놓는 스파이웨어를 말한다.

아랫부분에는 데스크톱과 모바일로 나뉘어 작동하는 플랫폼이 표시돼 있다. 윈도우와 안드로이드, IOS 등 어떤 운영체제에도 침투할 수 있다는 것을 보여준다. 해킹팀으로부터 유출된 이 같은 자료들은 국정원의 감시프로그램이 한국 내에서 목표물의 데스크톱과 모바일을 실시간으로 감시, 분석하고 통화 등을 도·감청하는데 사용되고 있음을 입증한다.

현재 우리나라 통신비밀보호법 제5조에 따르면 통신제한조치(감청)는 “계획 또는 실행하고 있거나 실행하였다고 의심할 만한 충분한 이유가 있고 다른 방법으로는 그 범죄의 실행을 저지하거나 범인의 체포 또는 증거의 수집이 어려운 경우에 한해” 허가되며 기간도 최대한 2개월로 제한하고 있다.

이렇게 국가보안법 위반 사건이든 형법 위반 사건이든 통신 감청에는 엄격한 제한이 있기 때문에 국정원이 법원의 허가 없이 감시프로그램을 이용해 감청했다면 통신비밀보호법 위반에 해당한다.

감시프로그램 운용 부서는 2차장 산하 국내정치파트?

불법 감청의 의혹이 생기는 근거는 또 있다. 2014년 1월 14일 협력사인 나나테크는 “고객(국정원)의 내부 상황 때문에 의회가 예산을 삭감해 매우 제한된 예산만 사용할 수 있다. 이번에는 유지관리 계약만 하길 원한다”는 이메일을 해킹팀에 보냈다.

내부 상황이라는 것은 2013년 내내 뜨거운 이슈였던 국정원의 대선개입 댓글사건을 의미하는 것으로 보인다.

그런데 당시 2014년 국정원 전체 예산은 삭감된 것이 아니라 동결됐다. 삭감된 곳은 2차장 산하 국내파트 뿐이었고, 3차장 소관인 대북정보파트와 1차장 소관인 산업스파이 파트 예산은 오히려 늘어났다. 국내 정치 개입에 대한 우려 때문이었다. 감시프로그램을 구입하고 활용한 국정원 부서가 국내파트인 2차장 산하가 아닌지 의심 가는 대목이다.

이 밖에도 국정원이 휴대전화 감시에 해킹팀의 프로그램을 활용한 증거는 곳곳에 포착된다. 지난 2014년 1월 29일 이메일에는 국정원의 또 다른 부서에서 아이폰의 운영체제만 지원하는 RCS(원격조정시스템)을 원하고 있다고 전하면서 가격에 대해 문의하는 내용이 나온다.

또 해킹팀의 기술지원팀 직원들끼리 ‘SKA(South Korean Army-해킹팀 내부에서 국정원을 지칭한 용어)’가 까다로운 것을 요구하고 있다면서 취약점 발굴이 필요한 삼성 스마트폰의 모델에 대한 정보를 교환하고 있는 내용도 포착됐다.

아직 국정원이 누구의 PC와 스마트폰을 도·감청했는지는 구체적으로 확인되지 않고 있지만, 국정원이 해킹팀의 감시프로그램을 이용해 2012년부터 통화 도·감청 등을 활발하게 실시하고 있으며, 기종과 운영체제를 가리지 않았다는 사실이 여실히 드러나고 있다.

국정원이 이탈리아 보안업체 ‘해킹팀’에서 구입한 해킹프로그램을 통해 국내 이동통신가입자의 스마트폰을 감청해 왔음을 보여주는 자료가 속속 드러나고 있다.

해킹으로 유출된 해킹팀 내부자료에 따르면 국정원은 해킹팀에 국내 이동통신사에서 출시된 스마트폰 모델을 특정해 해킹 방법을 요청하는가 하면, 국내에서 주로 사용되는 카카오톡 해킹 방법이나 안랩의 모바일 백신 관련 대책을 논의한 사실이 드러났다.

국내 이동통신사용 스마트폰에 대한 통화녹음 기능 요청

2012.8.14 국정원
통화 녹음이 되는 안드로이드 기종이 어떤 게 있는지 알고 싶다. SHW-M 시리즈(250S, 250K)는 통화 녹음이 작동하지 않는다. 통화 녹음 기능을 지원해줄 수 있는가?

2012.9.26 해킹팀
250S와 250K는 갤럭시 S2의 한국 기종으로 보인다. 삼성 갤럭시를 심도 있게 테스트했지만 아무런 문제가 없었다. 한국 시장으로 나온 제품이므로 우리에게 보내주면 테스트해서 최선의 지원을 하도록 하겠다.

이탈리아 해킹팀의 원격감시 해킹프로그램인 RCS(Remote Control System)을 구입한 뒤에 국정원의 RCS 관리자가 해킹팀 직원과 나눈 이메일 내용이다. 갤럭시 250S는 SK텔레콤을 통해 출시된 단말기에 붙는 모델명이고, 250K는 KT를 통해 출시된 단말기의 모델명이다. 이는 국정원이 해킹팀에 국내 이동통신가입자들의 갤럭시 S2 단말기를 대상으로 통화 감청과 녹음 기능을 요청했다는 것을 보여준다.

2013년에도 국정원은 한국에서 생산된 삼성 갤럭시 S3의 경우 통화 녹음이 되지 않는다며 직접 제품을 보내 분석을 의뢰했다.

2013.2.15 국정원
한국의 안드로이드폰 몇 개를 이탈리아로 보냈다고 들었다. RCS에서 음성 녹음 기능을 사용할 수 없기 때문이다. 체크해서 개발해주기 바란다.

2013.2.22 해킹팀
보내준 단말기들을 테스트해봤는데 이탈리아 시장에서 산 갤럭시 S3와 하드웨어가 같은 것으로 나타났다. 유감스럽게도 삼성 갤럭시 S3는 RCS 모듈과 호환되지 않는다.

2013.2.25 국정원
알았다. 현재의 RCS가 지원하는 통화 녹음이 가능한 안드로이드 기종을 알려달라.

2013.2.25 해킹팀
현재 음성 녹음이 모든 폰에서 가능한 것은 아니다. 가능한 기종은 다음과 같다.
삼성 갤럭시 S2, 갤럭시 넥서스(목표물 음성만), 갤럭시 S3(목표물 음성만),
삼성 갤럭시 탭 7인치

국내 이동통신사용 스마트폰 신제품이 출시될 때마다 해당 기종을 공격대상으로 삼기 위한 국정원의 기술지원 요청은 계속됐다.

2015.3.19 국정원
삼성 갤럭시 노트3 SM-900L, SM-900K, SM-900S의 취약점을 설정하고 싶다. 가능한가? 다음 버전에서 삼성 기기를 지원하겠다고 했는데 어떻게 되어가고 있나?

2015.3.17 해킹팀
삼성 갤럭시 노트3 펌웨어가 너무 최근에 나와서 현재로썬 원격 취약점 공격이 가능하지 않다.

단말기 모델명 뒤에 붙는 L은 LG유플러스용, K는 KT용, S는 SKT용으로 출시된 단말기를 뜻한다. 국정원 관리자는 또 불과 한 달 전인 지난 6월 15일 자 이메일에서 삼성전자의 최신 스마트폰인 갤럭시 S6와 S6 엣지 단말기를 대상으로 한 해킹 녹음이 되지 않는다며 자신들에게 중요한 기능이기 때문에 빨리 사용할 수 있게 해 달라고 요청하고 있다.

국정원이 한국 내에서 새로운 스마트폰이 출시될 때마다 해당 단말기에 대한 해킹 공격 방법을 요청했다는 것은 국정원의 감시대상에 국내 이동통신 가입자들이 포함돼 있다는 것을 의미한다.

‘카카오톡’, ‘라인’ 메시지와 음성 추출 기능도 요청해

국정원은 또 2014년 1월 17일 이메일을 통해 에이전트(정보를 빼내 갈 수 있는 스파이웨어)를 심어놓은 PC에 ‘카카오톡’과 ‘라인’이 설치돼 있는 것으로 나왔다며 메시지와 음성 녹음을 추출하는 기능을 지원해달라고 해킹팀에 요청하고 있다.

또 올해 초에는 해킹용 에이전트가 국내 인터넷 백신 업체인 안랩의 모바일용 백신에 의해 검출됐다며 수차례에 거쳐 이메일을 나누며 해결책을 논의한 사실도 확인됐다. 다음은 2015년 2월 3일부터 6일 사이에 이뤄진 국정원과 해킹팀의 이메일 대화 내용이다.

국정원 : 설치한 에이전트가 안랩의 V3 Mobile 2.0에 의해 악성 프로그램으로 검출됐다.
해킹팀 : 알려줘서 고맙다. 최대한 빨리 분석하겠다. 공격대상(목표물)의 운영체제와 사용 중인 RCS 버전을 알려달라
국정원 : 공격대상은 안드로이드 4.4.4를 쓴다. RCS 버전은 9.5.1이다.
해킹팀 : 어떤 백신인지 정확히 알려줄 수 있나?
국정원 : 안랩 V3 모바일+ 2.0 Version : 2.3.8.1 (build 1137) 이다.
해킹팀 : 유럽에서는 당신이 말한 백신을 구할 수 없는데 보내줄 수 있나?
(하루 뒤)
해킹팀 : 테스트 결과 (RCS의) 새 버전인 9.5.2에서는 V3가 에이전트를 걸러내지 못했다. 언제든 또 문제가 생기면 연락하라.

안랩의 모바일 백신은 국내에서 대부분의 모바일뱅킹에 이용될 뿐 아니라 최근에 출시되는 단말기에는 기본 탑재될 정도로 국내에선 일반적인 백신이다. 이 때문에 안랩의 백신이 설치된 단말기를 해킹 대상으로 삼았다면 국내 가입자의 단말기일 가능성이 크다.

이탈리아 해킹팀에서 유출된 이메일 자료들을 보면 중국 등 해외에 있는 것으로 보이는 PC나 스마트폰에 대한 해킹 문의도 눈에 띈다. 그러나 앞서 살펴본 사례처럼 국정원이 국내 이동통신 가입자들을 대상으로 국내에서 감청과 해킹을 했다는 것은 다른 차원의 문제다.

영장 없이 국내 이용자를 대상으로 한 이 같은 감청과 해킹을 했다면 통신비밀보호법 위반이다. 특히 국내 정치개입으로 물의를 빚은 원세훈 전 국정원장 취임(2009년) 이후에 해킹프로그램을 통한 인터넷 감시가 본격적으로 추진되고 자행됐다는 점에서 논란이 불가피할 것으로 보인다.

나나테크 관계자, “담당 국정원 직원의 소속은 몰라”

한편 국정원의 해킹프로그램 중개업체인 나나테크의 한 관계자는 뉴스타파와의 통화에서 자신도 “왜 국정원이 자신들의 이름을 한국의 정보기관이라고 하지 않고 ‘5163 Army Division’이라고 했는지 의아했다”면서 “해킹프로그램을 구입한 곳은 국정원이 맞다”고 시인했다.

또 이탈리아 해킹팀의 직원들이 그동안 수차례 한국을 방문해 국정원 직원들을 대상으로 프리젠테이션을 하거나 교육을 한 사실이 있다고 밝혔다. 하지만 국정원 직원들의 소속 부서는 모르며, 어떤 용도로 해킹 프로그램을 사용했는지에 대해서도 추정은 하지만 말하기는 곤란하다고 밝혔다.