국정원이 민간인 해킹 의혹을 풀 핵심 열쇠인 로그파일 공개를 계속 거부하고 있는 가운데, 보안 전문가들은 국정원 RCS 로그파일이 이미 위변조되었을 가능성도 있다는 견해를 밝혔다. 이에 따라 완전한 의혹 해소를 위해서는 로그파일만이 아니라 국정원 RCS의 운영체제, 즉 하드디스크까지 객관적으로 분석해 원본 파일에 조작이 있었는지 여부를 검증할 필요성이 제기되고 있다.

‘로그파일 공개’는 ‘민간인 해킹 검증’의 핵심

국정원 해킹 의혹의 본질이 국내 민간인에 대한 해킹 여부라는 것은 주지의 사실이다. 이를 판가름할 핵심 정보는 국정원 RCS 서버에 담긴 로그기록 속에 들어 있다.

이미 해킹팀 유출 자료 가운데 지난 5월과 6월 중 국정원이 요청한 악성코드의 활동이 담긴 로그기록이 26건이 확인된 바 있는데, 악성코드의 활동 일시, 접속 아이피, 단말기 모델 및 기종, 설정 언어, 미끼 URL, 감염 성공 여부까지를 확인할 수 있는 형식이었다. 이 가운데 2건은 내국인 해킹이 의심되는 기록이다.

※ 관련 데이터 : 해킹팀 서버 국정원 로그기록

사태 초기 야당은 국정원에 이 로그파일을 제출하라고 요구했다. 대국민 해킹이라는 휘발성 높은 의혹이 일었던 만큼 여당 역시 최대한 국정원이 자료를 공개하도록 협조하겠다는 입장이었다.

그러나 7월 18일 RCS 운영팀의 일원이었던 국정원 임 모 과장이 유서에 ‘일부 자료를 삭제했다’고 밝히며 스스로 목숨을 끊으면서 분위기가 바뀌었다. 야당이 자살 배경과 경위에 대한 석연치 않은 정황들을 이유로 공세를 강화하자 여당은 입장을 바꾼다. 로그파일 공개는 국가 기밀을 유출하라는 것이고 국가 안보를 무장해제하라는 것이어서, 북한만 이롭게 하는 행위라는 논리로 맞공세를 시작한 것이다.

7월 27일 국정원은 임 과장이 삭제한 자료를 10일 만에 모두 복원했다며 국회 정보위원들에게 보고한다. 모두 51건의 해킹 시도 기록 가운데 대북·대테러 용의자를 대상으로 10건은 성공, 10건은 실패한 자료였으며, 나머지 31건은 내부 실험용 기록이었다는 것이다. 그러면서 이병호 국정원장은 자신의 직을 걸고 국내 사찰은 없었다고 강변했다. 그러나 야당은 국정원이 이른바 ‘셀프 검증’으로 ‘셀프 면죄부’를 발부하고 있다며, 객관적이고 세부적인 자료 제출 없이는 믿을 수 없다고 반발했다.

보안 전문가들의 견해는? “로그파일 이미 위변조됐을 수도”

국정원 해킹 의혹을 둘러싼 이 같은 여야 간 대치 정국을 국내외 보안 전문가들은 어떻게 바라보고 있을까. 뉴스타파가 접촉한 전문가들은 하나같이 의혹을 말끔히 해소하기 위해 필요한 것은 정치적 공방이 아니라 냉정한 기술적 접근이라고 조언했다.

우선 이들은 임 과장의 자료 삭제 문제는 큰 틀에서 볼 때 중요치 않을 수도 있다는 점을 언급했다. 내국인 사찰 여부를 가를 핵심은 어차피 로그파일인데, 해킹팀 자료 유출 이후 이미 20일 이상 흐른 시점에서 임 과장이 아닌 다른 국정원 직원이 로그파일에 손을 댔어도 이상할 것이 없기 때문이라는 것이다.

이탈리아 해킹팀의 RCS가 전세계 21개국에서 활동하고 있음을 지난해 폭로했던 토론토대학 시티즌랩 연구원 빌 마크잭은 뉴스타파와의 화상 인터뷰에서 “로그파일은 기본적으로 텍스트 파일 형태이므로 누구라도 쉽게 편집과 삭제와 추가 등의 조작이 가능하다”며 “이런 조작이 있었는지를 디지털 포렌식 전문가조차 알 수 없게 수행하는 것도 얼마든지 가능하다”고 밝혔다.

익명을 요구한 한 국내 디지털 포렌식 전문가는 “디지털 포렌식에도 ‘골든타임’이 존재한다”면서 “해킹팀의 자료 유출 직후 국정원 RCS 서버에 담긴 로그파일을 곧바로 확보하지 않은 이상, 지금 와선 그 파일에 이미 어떤 조작이 가해졌는지를 판단하긴 어렵다”고 말했다.

이런 상태에서는 야당이 요구하는 로그파일이 공개된다 해도 의혹을 해소하기는커녕 되레 논란을 증폭시킬 수 있다는 견해도 있었다. 김진국 플레인비트 대표는 “디지털 자료는 위변조가 너무나 용이하다. 따라서 어떤 디지털 데이터의 ‘원본’이라는 것은 특정 시점에서 데이터의 특정 상태에 관해 이해 당사자 간의 상호 인정이 있을 때, 혹은 객관적 인증 절차(전자지문 등)가 있었을 때 성립하는 개념이다. 바꿔 말하면 이런 절차 없이 제시되는 디지털 자료는 이해 관계에 따라 ‘원본’이라고 주장할 수도 있고 아니라고 주장할 수도 있게 되는 것”이라고 설명했다. 즉 지금 당장 로그파일이 공개됐을 때 문제되는 내용이 없으면 여당은 ‘원본’으로 야당은 ‘조작본’으로 규정할 것이며, 문제되는 내용이 나오면 그 반대 주장이 펼쳐질 것이라는 의미다.

“로그파일 조작 여부 판단 위해 운영체제 전부 들여다 봐야”

전문가들은 이런 문제를 해결하기 위해선 로그파일만이 아니라 파일이 담겨 있던 국정원 RCS 서버의 운영체제를 모두 분석해 위변조 여부부터 판단해야 한다고 조언했다.

원리는 이렇다. 만약 누군가가 로그파일 일부를 변조했다면 파일을 열고, 내용을 수정하고, 저장하고, 파일을 닫는 일련의 과정을 거쳐야 하는데 각각의 단계마다 디지털 기호 형태의 흔적이 운영체제 어딘가에 남겨진다는 것이다. 혹은 파일을 열지 않은 채로 삭제하려면 이 기능을 수행하는 소프트웨어나 프로그램이 실행되어야 하는데 이 역시 운영체제 어딘가에 흔적을 남긴다. 이런 산재한 정보들을 모두 긁어모아 분석하면, 로그파일이 위변조되기 이전의 원 정보를 복원시킬 수는 없더라도 최소한 조작이 있었다는 사실은 확정할 수 있다는 것이다.

이 파일이 만약에 어떻게 수정이 되거나 사용자가 어떤 행위를 했다, 그러면 그 시스템, 우리가 윈도우즈 컴퓨터라고 하면 컴퓨터 자체, 서버면 서버 자체, 그 디스크 자체가 전체적으로 있으면 그 안에 있는 로그파일에 어떤 임의적인 조작을 가했다 안 했다(를 알 수 습니다.) 사실 이것도 시간이 지나면 밝혀내기가 어렵습니다. 그래도 어느 정도 파일 하나만 보고 판단하는 것보다는 신빙성 있게, 신뢰성 있게 판단할 수 있죠.
– 김진국 플레인비트 대표

포렌식 분석을 제대로 하기 위해선 해킹팀의 소프트웨어가 실행됐던 국정원 컴퓨터의 원본 하드 드라이브를 확보해야 합니다. 만약 국정원이 로그파일만을 제공한다면 그것의 조작 여부를 확인할 확실한 방법은 없다고 봐야 하고요.
– 빌 마크잭 토론토대학 시티즌랩 연구원

국정원, 국민 신뢰 회복할 마지막 기회 잡을 수 있을까

지난 29일 여야는 민간 추천 전문가와 국정원 기술진의 간담회 개최에 조건부 합의했다. 이때 야당은 국정원이 RCS 데이터가 담긴 하드디스크 원본 등 6개 자료가 제출되지 않으면 합의를 파기하겠다는 뜻을 밝혔다. 이는 디지털 보안과 포렌식 전문가들이 제시한 검증 방식의 틀에 부합하는 것이다.

마찬가지로 국정원도 민간인 사찰 의혹을 근본적으로 해소하는 데 필수인 디지털 증거를 제시하는 데 주력할 필요가 있다. 특히 국정원장 직을 걸겠다고 밝힐 정도로 자신이 있다면 전문가들이 인정하는 검증 방법을 마다할 이유가 없을 것이다. 그리고 그 결정은 빠를수록 좋다. 이미 대선 개입과 간첩 증거 조작으로 국민의 신뢰를 잃은 국정원이기에 더더욱 그렇다.

일 석간 후지, 국정원 해킹 “박근혜, 부메랑 맞아” – 박근혜, 노무현 정부 때 국정원 도청 앞장서서 비판 – 해킹 문제로 요동치는 한국 – 박근혜, 외교-경제에서 막다른 골목 봉착 박근혜는 자신이 하면 로맨스, 남이 하면 불륜이라는 태도로 국정운영에 임해 왔다. 이번 국정원 도·감청 스캔들도 마찬가지다. 일본 석간 후지는 이런 행태를 꼬집고 나섰다.후지는 28일 국정원이 시민들의 스마트폰을 ...

이 나라에는 한 주 걸러 한 주, 어느날은 하루 건너 하루, 느무느무 큰 일들이 많이 생기니 "국가정보기관이 국민들 상대로 해킹했을 것이다"라는 거의 확실한 의심들 조차 어느새 지나간 이야기가 되었다.

그러나 잊지 말아야 할 것은, 그렇게 무뎌질 대로 무뎌진 상처 너머로 진짜 상처는 이미 우리 뼛속깊은 곳에 깊은 독이 되어있을지 모른다는 것.

이상한 나라의 국정원, 여기 국정원이 있다.

 

노골적으로 외도를 권하는 기혼 남녀 만남 중개 사이트인 “애슐리 매디슨”, 여기에 가입한 한국인들은 얼마나 될까, 또 그들은 누구일까?

최근 미국과 영국, 캐나다 등 영미권 국가들에서는 애슐리 매디슨의 가입자 정보가 해킹으로 유출돼 큰 이슈가 됐다. 뉴스타파는 이 데이터를 입수해 한국인 가입자들과 관련한 정보를 분석했다. 그리고 분석 결과 이 사안이 단순한 말초적 호기심을 충족시키는 것을 넘어, 한국 사회의 한 단면을 보여주고 더 나아가 공적 감시의 영역에도 해당한다고 판단했다. 이러한 판단에 입각해 뉴스타파 제작진은 여러 차례 진지한 논의 끝에 보도를 결정했다.

분석 결과, 가입 당시 자신의 국가를 한국이라고 표시한 사람은 무려 66만 7천 2백 96명이었다. 가입자 숫자로는 전체 53개 국가 가운데 9위, 인구 대비 가입자 비율로는 17위였다.

국가	가입자 숫자 (명)	인구 대비 가입자 비율
미국	17,608,441	5.52%
브라질	3,228,430	1.61%
캐나다	2,414,185	6.87%
영국	1,302,054	2.03%
오스트레일리아	1,221,574	5.28%
스페인	1,149,973	2.46%
멕시코	1,033,718	0.85%
타이완	767,757	3.29%
한국	667,296	1.33%
이탈리아	597,810	1.00%
인도	491,558	0.04%
콜롬비아	484,718	1.00%
아르헨티나	477,403	1.15%
칠레	476,832	2.71%
일본	468,545	0.37%

애슐리 매디슨은 지난해 한국 서비스를 시작했지만 두 달도 채 지나지 않아 사이트 폐쇄를 당했고 올해 초 간통죄 위헌 결정이 나자 4월에 서비스를 재개했다. 당시 애슐리 매디슨은 대규모 기자회견을 열 정도로 한국 시장에 대한 기대감을 숨기지 않았다. 그리고 불과 석달 만에 가입자 정보가 유출됐는데, 한국 가입자는 이미 60만 명을 돌파한 것이다. 짧은 영업 기간을 감안하면 결코 적다고 할 수 없는 숫자다.

한국보다 인구가 두 배 이상 많은 일본의 경우, 이번에 유출된 데이터를 보면 전체 가입자 수도 한국보다 훨씬 적었고, 인구 대비 가입자 비율은 한국의 4분의 1 수준이었다.

뉴스타파가 입수한 파일에는, 가입자의 이메일 계정과 닉네임, 최종 이메일 답변 시점, 접속 위치 등의 정보가 들어있었다. 우선, go.kr과 korea.kr 도메인을 가진 공무원들의 이메일 계정이 얼마나 있는지 확인해 봤다. 확인 결과 go.kr 도메인을 가진 계정이 67건, korea.kr을 가진 계정이 169건이었다. (이메일을 보냈더니 40통이 반송되었으므로 유효한 메일 주소는129건으로 추정된다. 뉴스타파는 각 정부 기관에 해당 메일이 유효한 메일인지를 묻는 정보 공개를 청구했으며 답을 기다리고 있다.)

go.kr 도메인을 가진 이메일 가운데는 경기도청 소속이 12건으로 가장 많았고, 서울시청 3건, 서울의 각 구청이 8건 등 지자체 소속 공무원들이 많았다. police.go.kr , 즉 경찰청 도메인의 이메일 계정도 4건 나왔다. scourt.go.kr 도메인, 즉 법원 직원의 업무용 메일 주소는 1개, spo.go.kr 도메인, 즉 검찰 직원의 업무용 메일 주소는 3개 포함돼 있었다. 특히 법원과 검찰 직원의 이메일 계정은 모두 실제로 존재하는 계정으로 확인됐다. 청와대 도메인을 가진 이메일도 2개 발견됐지만 하나는 [email protected], 다른 하나는 [email protected] 이어서 정상적인 개인 사용자의 계정으로 보기는 어려웠다. 이밖에 각 시도의 교육청, 소방서, 각종 공공 기관들의 도메인을 가진 이메일 계정도 다수 발견됐다.

ac.kr 도메인을 가진 계정, 즉 대학교와 연관된 계정은 240개나 나왔다. 상당수는 학생이나 대학원생, 대학교 교직원의 이메일 계정이었고 교수로 확인된 계정은 23개였다. 뉴스타파가 이 교수들에게 이메일을 통해 질의한 결과 이 가운데 3명은 가입 사실을 인정했고, 2명은 메일 주소 도용을 주장했으며 나머지는 아무런 응답도 하지 않았다.

공영방송 kbs의 경우, kbs.co.kr 도메인을 가진 메일 주소가 8개 발견됐으며 이 가운데 4명은 실제 kbs의 전현직 직원으로 확인됐다. 이 가운데 3명은 취재나 프로그램 제작 업무에 종사하는 사람들로, 모두 취재나 프로그램 제작 때문에 가입했다고 말했다.

개신교 목사의 이메일 역시 2개가 발견됐다. 그러나 그 가운데 하나는 가입자의 접속 위치가 미국으로 되어 있었다. 나머지 한 명의 목사는 “시대적인 경향과 성 문화를 알기 위해 가입했으며 이것은 설교의 소재가 될 수 있다. 한 번 가입해 둘러보았을 뿐 그 뒤로는 한 번도 접속을 하지 않았다”고 해명했다.

대기업 직원들의 이메일 역시 다수 발견됐다. 우리나라 10대 기업의 도메인을 가진 이메일 계정만 추려봤더니 모두 114건이 나왔다. 기업별로는 삼성이 47건으로 가장 많았고 sk가 33건, 두산이 14건으로 뒤를 이었다. 사기업 직원들의 경우 사생활임을 고려해 이메일을 보내거나 메일의 유효성을 확인하는 작업은 별도로 하지 않았다. 따라서 이 가운데 몇 개가 유효한 계정인지는 알 수 없다.

기업명	도메인 명	이메일 계정 숫자
삼성	@samsung.com	47
현대차	@hyundai.com	9
SK	@sk.com	33
LG	@lg.com	0
롯데	@lotte.com	0
현대중공업	@hhi.com	1
GS	@gs.com	7
한진	@hanjin.co.kr	2
한화	@hanwha.co.kr	1
두산	@doosan.com	14

성적 자기 결정권을 가진 성인이 애슐리 매디슨에 가입하거나 혹은 더 나아가 이를 외도의 수단으로 활용한다고 해도 제3자가 이에 대해 왈가왈부할 수는 없다.특히 이번 사건으로 정보가 유출된 당사자들은 불법 해킹으로 인한 개인 정보 유출의 피해자이기도 하다. 뉴스타파 취재진은 이 점에 깊이 유의해 수집한 이메일을 철저히 관리했으며 당사자 취재 범위 역시 공적 영역으로만 한정했다. 공무원이나 공기업의 직원, 국립대학교의 교직원이 업무용 메일로 이같은 사이트에 가입하거나 활동을 한 것으로 보이는 경우, 또 개인 메일로 가입했다 하더라도 선출직이나 고위 공직자인 경우, 또한 높은 도덕성이 요구되는 종교인이 가입한 경우가 바로 그런 경우였다.

뉴스타파가 애슐리 매디슨 한국인 가입자들의 이메일 계정을 분석한 결과, 현직 판사와 검사의 이메일도 가입된 것으로 확인됐다. 또 서울시 의원과 정부부처 공무원 등 수백명의 공직자 이메일 계정도 발견됐다.

뉴스타파는 애슐리 매디슨에 가입하거나 활동한 것은 성인의 사생활에 해당하는 부분이지만, 엄격한 도덕성이 요구되는 고위공직자나 선출직 공직자의 경우에는 의혹에 대해 최소한의 해명을 들어야 할 필요가 있다고 판단했다.

때문에 조심스럽게 당사자들과 접촉해 해명을 들었다. 취재진이 접촉한 공직자들은 해당 사이트에 가입한 사실 자체를 부인하거나, 가입했어도 실질적 활동은 한 적이 없다고 말했다.

판·검사 이메일 확인…“가입한 적 없어 메일 도용 의심”

개인 이메일 계정으로 애슐리 매디슨에 가입된 것으로 확인된 현직 판사와 검사 등 법조인은 14명이었다. 이 가운데 판사 1명, 검사 2명, 대형 로펌 소속 변호사는 11명이었다.

지방법원에 근무하고 있는 한 판사는 취재진과의 전화통화에서 “애슐리 매디슨이라는 사이트를 언론을 통해 접해서 알고는 있었지만, 사이트에 가입한 기억은 없다”며 “만약 가입을 했다면 호기심에서 했을테지만 정확한 기억이 나지 않는다”고 말했다.

정부 부처에 파견 근무 중인 한 검사는 이메일을 통해 자신은 이 사이트에 가입한 사실 자체가 없으며 자신의 이메일 계정이 도용된 것으로 의심된다고 답변했다.특히 이 검사는 방송 직전까지 취재진에게 수차례 이메일을 보내 관련 보도 자체를 하지 말 것을 요구하기도 했다.

이 검사는 “혹시나 보도가 나가더라도 ‘검사’나 ‘검찰 직원’ 등의 직종 자체를 절대 언급하지 말라”며 “강력한 경고에도 특정 직업이 언급되면 법적 책임을 져야함을 엄중 경고”한다고 말했다.

솔직한 심정으로 무슨 미친 개한테 물린 심정입니다
…관련 보도를 실행하지 말 것을 강력히 요구합니다.

당신이 ‘검찰’ 또는 ‘검사’를 언급하는 것 자체만으로도,
설사 명의도용이라 주장한다는 언급을 덧붙인다 하더라도…
심각한 명예훼손 결과를 초래할 것이 분명한
특정 직업명(검사, 검찰)을 언급하면 절대 안됨.

– 해당 검사 이메일 내용 중 발췌

지방법원에 근무하는 또 다른 검사의 경우에는 현재 부재 중으로 연락이 닿지 않아 입장을 들을 수 없었다.이 검사는 취재진의 이메일 문의에도 회신하지 않았다.

뉴스타파가 확인한 애슐리 매디슨 가입자 명단에는 또, 서울시 의원 3명의 이메일 계정도 포함돼 있었다.

해당 서울시 의원들은 모두 “가입한 사실이 없으며 이메일 계정이 도용된 것 같다”고 말했고,이 중 한 의원은 “가입한 적도 없는 사이트에서 ‘어떤 여성이 찾고 있다’며 계속 이상한 이메일을 보내오더라, 그래서 모두 스팸처리했다”고 밝혔다.

실제 애슐리 매디슨은 가입 당시 별도의 이메일 인증절차가 없다. 가짜 메일을 만들어 가입할 수도 있다는 것이다. 하지만 이 사이트는 휴대폰 대신 오로지 ‘이메일’을 통해서 만 이성과 연락을 주고 받도록 돼 있다. 즉, 도용한 이메일로는 이성과 아무런 연락을 주고받을 수 없다는 뜻이다. 따라서 만약 이메일을 도용당한 것 같다는 공직자들의 해명이 맞다면,누가 어떤 목적으로 이들 공직자들의 이메일을 도용했는지 의문이 남는다.

공무원 19명 “가입은 했지만 실제 활동한 적은 없다”

뉴스타파가 확인한 이메일 계정 가운데는 ‘go.kr’, ‘korea.kr’등 공무원들의 공식 업무용 이메일 계정도 236개나 있었다. 뉴스타파는 이들에게 일일이 이메일을 보내 가입 경위를 물었다.

저희는 모든 성인들이 성적 자기 결정권을 갖고 있다는 것을 믿고 있습니다.
선생님을 도덕적으로 비난할 의도에서 이런 메일을 드린 것은 아닙니다.

다만 공적인 업무에 쓰여야 할 이메일 주소를 불륜 등 사적인 만남을 위해 사용하신 점은 사회적 비난의 소지가 있을 수 있다고 생각합니다.
– 뉴스타파가 업무용 계정이 확인된 공무원들에게 보낸 이메일 내용 중

236명 가운데 25명으로부터 답장이 왔다. 이중 6명은 이메일 계정이 도용됐다고 주장했지만,나머지 19명은 가입 사실을 시인했다.다만 모두 실질적 활동을 한 적은 없다고 답했다.지방법원에서 근무하는 한 공무원은 “단순한 호기심으로, 일회성으로 가입만 했을 뿐 지금은 들어가지도 않고 어떤 활동을 한 것도 없다”고 말했다.

그러나 사적인 활동에 업무용 이메일을 사용한 것에 대해서는 대부분 잘못을 인정했다.

저는 아들과 딸을 둔 아이들의 아버지고, 한 여자의 남편입니다.
부디 제 사정과 사실관계를 정확히 파악하시어
가정과 사회에 부끄러운 가장,몰지각한 공무원이라는 오명을 얻지 않도록
도와주시기 바랍니다.
– ㅇㅇ도청 공무원이 보내온 이메일 내용 중

공무원들이 업무용 이메일로 애슐리 매디슨에 가입했다고 해서 범법행위가 되지는 않는다. 공직자윤리위원회는 “국가공무원법상 공무원은 업무시간과 상관없이 품위를 유지해야하지만,가입 자체만으로는 문제가 되지 않고 실질적으로 어떤 행위를 한 것이 드러난다면 징계대상이 된다”고 설명했다.

뉴스타파가 접촉한 애슐리 매디슨 가입자 가운데 돈을 내고 ‘실질적’ 활동을 했다고 인정한 사람은 단 한 명에 불과했다.그러나 애슐리 매디슨은 올해만 한국에서 83억원의 매출을 올렸고,5년 내 전세계 3위 수준의 매출을 달성할 것으로 자체 전망했다.

오랜만에 깨끗한 날씨였습니다. 비가 온다는 일기예보가 무색하게 밝고 좋은 날이었습니다. 지난 연말 성북동에서의 회원 송년의 밤 이외엔 처음으로...