국정원 해킹 잡아내는 “오픈 백신”(안드로이드용) 일반 배포 시작

 

- 국민 누구나 참여하고 후원하는 개방형 모델, 소셜펀치로 진행

- 구글 스토어에서 누구나 설치 가능

- 향후 윈도우, 맥 용 등 확대 예정

 

(사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는 2015년 8월 8일, 안드로이드용 “오픈 백신”을 일반에 공개했다. 오픈 백신은 국가정보원이 이용한 해킹팀(Hacking Team)의 스파이웨어인 RCS 감염 여부를 탐지하기 위한 자유/오픈소스 백신 프로그램이다. 이미 윈도우 PC용으로는 “디텍트(Detekt)”가 개발, 공개되어 있기 때문에, RCS의 공격 대상일 가능성이 높은 안드로이드용으로 개발하였다.

 

오픈 백신 개발의 취지

지난 7월 5일, 정부 기관에게 해킹 프로그램인 RCS를 판매해 온 이탈리아 기업 ‘해킹팀’이 해킹 당하면서 내부자료 400GB가 유출되었다. 유출된 자료에는 ‘해킹팀’이 고객과 주고받은 이메일, 소스 코드, 계약사항 등이 포함되어 있었는데, 이를 통해 한국의 국가정보원 역시 지난 2012년부터 해킹팀의 고객이었음이 드러났다.

해킹팀의 RCS는 이용자의 PC나 스마트폰을 감염시켜 이메일, 메신저, 전화통화 등을 모니터링 할 수 있고, 심지어 기기의 카메라나 마이크도 몰래 조작할 수 있는 강력한 감시 프로그램이다. 이미 해외에서는 해킹팀이나 핀피셔와 같은 감시 프로그램이 인권 활동가, 언론인, 정치적 반대자에 대한 감시 수단으로 활용되고 있는 것에 대한 비판이 높다. 예를 들어, 2012년에는 해킹팀의 RCS가 모로코와 아랍에미레이트의 기자와 인권 활동가를 감시하는데 사용되었다는 의혹이 제기되었다. 이 때문에 해킹팀은 인권단체에 의해 ‘인터넷의 적’으로 선정되기도 했다. 캐나다의 비영리 연구기관인 시티즌랩(Citizen Lab)은 지난 2014년 2월 27일, 한국을 포함한 21개국 정부가 RCS를 사용하고 있다고 보인다는 공식 보고서를 발표했다.

국정원은 RCS 구입 사실을 인정했지만, 이를 해외 정보 수집과 연구용으로 이용했다고 변명하고 있다. 그러나 해킹팀에서 유출된 자료를 보면, 국정원이 우리 국민에 대한 감시를 위해 RCS를 이용했다는 정황이 드러나고 있다. 카카오톡 해킹이 가능하도록 요구하고, 삼성 갤럭시 신모델이 나올 때마다 이를 위한 업그레이드를 요구했다. 대표적인 백신 프로그램인 안랩의 ‘V3 모바일 2.0’과 같은 백신을 회피하기 위한 방법도 문의하였고, 서울대 공대 동창회 명부’라는 제목의 워드 파일, <미디어오늘> 기자를 사칭한 천안함 보도 관련 문의 워드 파일에 악성코드를 심어달라고 요청하였다. 또한, △네이버 맛집 소개 블로그 △벚꽃축제를 다룬 블로그 △삼성 업데이트 사이트 등 내국인들이 주로 방문할 것으로 보이는 사이트 등을 피싱 용도로 활용하고자 했다. 대선이나 지방선거 등 주요 선거를 앞두고 RCS를 사용했다는 점도 석연치 않다.

그러나, 국정원은 이러한 모든 의혹을 부정하면서도, 이를 뒷받침할 수 있는 근거 자료를 국회 정보위원회에조차 제출하지 않고 있다. RCS와 같이 감청보다 훨씬 심각한 인권 침해를 야기할 수 있는 감시 프로그램을 누구의 통제로부터 받지 않고 국정원이 사용해왔다는 것 자체가 큰 문제이며, 국정원 개혁을 통해 국정원이 국민의 감독과 통제 하에서 활동하도록 할 필요가 있다.

국회는 국가정보원의 불법적인 감시 활동 실태에 대해 철저한 진상을 조사해야 한다. 동시에 우리는 오픈 백신을 통해 국민 스스로 국정원의 RCS의 피해를 입었는지 여부에 대해 파악하고자 한다. 오픈 백신의 개발은 RCS의 감염 여부를 탐지하여 피해를 복구하기 위한 조치임과 동시에, 국정원의 불법적인 감시 활동 여부를 탐지하기 위한 것이다.

 

국민 백신 프로젝트

(사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는 오픈 백신 개발을 위해 ‘국민 백신 프로젝트’를 시작하였다. 세 단체는 오픈 백신의 초기 개발을 지원하며, 프로그램의 소스 코드를 공개하여 향후에는 기술적 재능이 있는 누구나 오픈 백신 개발에 참여할 수 있도록 할 계획이다. 이를 통해 해킹팀이 개발한 RCS 뿐만 아니라, 핀피셔(FinFisher)와 같이, 정부의 시민 감시에 이용되는 다른 스파이웨어로 탐지 대상을 확대하고, 안드로이드 및 윈도우 외의 다른 운영체제도 지원할 수 있을 것이다. 오픈 백신은 한국 내에서 국가정보원의 허가를 받을 필요가 없다. 감시에 악용되는 스파이웨어에 맞서기 위해 국민 참여형 대응이 가장 훌륭한 방식임을 보여주고자 한다. 오픈 백신은 전 세계 개발자 누구나 참여할 수 있으며, 개발된 프로그램은 누가 독점하지도 않고 모두에게 개방된다.

오픈 백신은 개발에 필요한 비용을 충당하기 위하여, 현재 진보네트워크센터에서 운영하는 소셜 펀딩 플랫폼인 ‘소셜펀치’를 통해 누구나 후원할 수 있도록 하고 있다.

 

오픈 백신이 지원하는 운영체제

오픈 백신은 1차적으로 안드로이드용 앱으로 제작되었다. 또한, 악의적인 누군가가 오픈 백신을 스파이웨어에 감염시킬 우려가 있기에, 오픈 백신은 플레이 스토어에서만 다운로드 받을 수 있도록 했다.

윈도우 PC나 노트북에서 RCS를 탐지하기 위한 용도로는 국제앰네스티 등 국제인권단체들이 개발한 디텍트(Detekt)를 사용할 수 있다. 디텍트는 2014년 11월에 출시되었으며, 2015년 7월 30일 디텍트 2.0으로 업그레이드 되었다. 디텍트 2.0은 2015년 7월 시점까지의 모든 RCS를 탐지할 수 있다.
(디텍트에 대한 자세한 사용법: http://guide.jinbo.net/digital-security/computer-security/how-to-use-detekt/

오픈 백신은 향후 디텍트를 한글화하여 오픈 백신 윈도우PC 용으로 공개할 예정이다. 또한, 아이폰, 맥용 오픈 백신도 개발할 예정이다.

 

오픈 백신 사용법

1단계: 구글 플레이스토어(https://play.google.com/store/apps)에서 “오픈 백신”으로 검색한다.

 

2단계: 오픈 백신을 선택하여 ‘설치’한다.

 

3단계: 엑세스 해야 하는 대상 팝업에서 ‘동의’를 클릭한다.

 

4단계: 설치가 끝나면 실행한다. 아래와 같이 앱이 실행된다.

참고로, 오픈 백신은 작동 과정에서 이용자를 식별할 수 있는 개인정보를 수집하지 않는다. 그러나 오픈 백신 이용 현황에 대한 정확한 파악을 위해 이용자의 기기의 운영체제, 기종, 모델 등에 대한 정보를 수집한다.

 

5단계: 검사 메뉴를 실행시키면, RCS 탐지를 시작한다. 기기에 따라 수 분이 소요될 수 있다.

 

6단계: 검사가 완료되면, 결과에 따라 아래와 같은 메시지를 보여준다.

RCS가 검출되지 않았을 경우

당신의 안드로이드 스마트폰에서 해킹팀의 감시코드가 검출되지 않았다. 그러나, 당신의 스마트폰이 감시로부터 안전하다는 의미는 아니다. RCS가 아닌 다른 스파이웨어가 설치되어 있을 수도 있기 때문이다.

또한, 국정원에서 RCS 이용 사실이 폭로된 이후에, 스마트폰의 감시 코드를 원격으로 삭제했을 수도 있다. 이 경우, 백신 프로그램만으로 감염 여부를 알아내기는 힘들다.

해킹팀의 감시 코드가 검출되지 않았다고 해도, 향후 자신의 스마트폰 보안에 보다 신경을 쓸 필요가 있다. 디지털 보안 가이드를 통해 자신의 스마트폰 보안을 전반적으로 점검해보자.
(디지털 보안 가이드: https://guide.jinbo.net/digital-security/)

RCS가 검출되었을 경우

당신의 스마트폰이 해킹팀의 감시코드에 감염되었을 가능성이 있다. 오픈 백신은 RCS 감염 여부를 탐지할 뿐, 해당 스마트폰을 치료하는 것은 아니다. 만일 RCS가 검출되었다는 결과가 나올 경우, 스마트폰에 대한 보다 엄밀한 검사가 필요하다.

‘신고’ 버튼을 클릭하면, 검사 결과를 제작팀에 발송할 수 있다. 제작팀은 포렌식 분석을 통해 스마트폰의 감염 여부에 대해 보다 엄밀한 검사를 제공할 것이다.

 

오픈 백신의 용도 및 다른 백신 프로그램의 이용

오픈 백신은 모든 종류의 바이러스나 스파이웨어를 탐지하고 치료하는 일반적인 상용 백신을 목표로 하지 않는다. 1차적으로는 해킹팀의 스파이웨어인 RCS만을 목표로 하며, 앞으로도 시민 감시를 목적으로 하는 다른 스파이웨어 탐지용으로 확대할 계획이다. 즉, 국민 감시용 스파이웨어 전용 백신을 목적으로 한다.

오픈 백신의 제작 계획을 발표한 이후, 다른 상용 백신 업체들도 이미 RCS를 검출할 수 있도록 업데이트하고 있다는 보도가 있었다. 우리는 이를 환영한다. 더 많은 백신 프로그램의 성능이 업데이트된다면 좋은 일이다. 오픈 백신으로 RCS가 탐지되지 않더라도, 다른 스파이웨어나 악성 코드를 방어하기 위해 스마트폰용 백신을 정기적으로 실행할 것을 권고한다.

 

오픈 백신의 작동 원리

오픈 백신은 이번에 해킹팀의 해킹으로 유출된 RCS의 시그니쳐(식별코드)를 데이터베이스화하여, 이를 스마트폰의 파일과 비교하는 방식으로 탐지를 진행한다. 이러한 시그니쳐는 발견이 되면 계속 자동 업데이트될 예정이며 다른 스파이웨어의 시그니쳐도 지속적으로 업데이트될 예정이다.

 

 

오픈넷, 토렌트 이용자를 상대로 한 형사고소사건에서 무죄판결 이끌어내

- 본 판결로 인해 토렌트를 이용한 저작권자의 남고소 및 저작권 합의금 장사 근절되길 기대

 

사단법인 오픈넷은 2016년 7월 6일 대구지방법원에서 토렌트 이용자를 상대로 한 저작권 침해 형사 소송에서 무죄 판결을 이끌어냈다고 밝혔다. (대구지방법원 2016. 7. 6. 선고 2015고정858판결, 검사의 항소 포기로 확정, 첨부파일 참고)

그동안 토렌트를 이용한 패킷의 송수신 행위가 저작권 침해(복제 및 전송)에 해당하는지 여부가 불분명하였고, 이를 악용한 일부 저작권자들은 토렌트 송수신에 직접 참여하여 이용자의 IP 주소를 캡처하는 간이한 방식으로 해당 IP 이용자를 고소하는 행위가 빈번하게 발생하였다. 작년 무협소설 작가 4인이 토렌트 이용자를 상대로 1만 4천건의 고소를 한 바 있어 사회적 으로 큰 문제가 되었으며, 올해 4월 오픈넷이 방어에 성공한 대규모 민사소송 역시 토렌트 이용자를 상대로 한 사건이었다.

이번 판결에서 법원은 “유죄의 인정은 법관으로 하여금 합리적인 의심을 할 여지가 없을 정도로 공소사실이 진실한 것이라는 확신을 가지게 하는 증명력을 가진 증거에 의하여야 하므로, 그와 같은 증거가 없다면 설령 피고인에게 유죄의 의심이 간다 하더라도 피고인의 이익으로 판단할 수밖에 없다”고 밝히면서, “검사가 제출한 증거만으로는 합리적인 의심을 배제한 채 피고인이 이 사건 저작물을 다운로드 받아 공유폴더에 저장하고 고소인에게 업로드 하였다고 인정하기에 부족하고 달리 이를 인정할 증거가 없다”라고 무죄 선고의 취지를 밝혔다.

이번 사건에서 검사는 피고인이 이용한 IP 주소에서 다수의 소설 저작물이 압축된 118기가바이트 상당의 파일을 구성하는 패킷을 토렌트 방식을 이용하여 해당 파일의 98%가 수신(다운로드)되었다는 캡처 화면을 증거로 제출하였다. 또한 고소인은 압축파일에 포함된 여러 저작물 중 본인의 저작물만 선택하여 다운로드를 요청하는 방식으로 토렌트를 이용한 패킷 송수신에 참여했다고 주장하였다.

그러나 피고인은 송신(업로드) 제한조치를 하여 고소인은 피고인으로부터 최대 8.65 메가바이트의 패킷만 수신(다운로드)했다는 점만 입증되었을 뿐, 해당 패킷이 고소인의 저작물이 아닐 수 있다는 합리적 의심을 배제할 수 없었다는 것이 재판부의 판단이다.

이미 지난해 말 창원지방법원 항소심(창원지방법원 2015. 12. 17. 선고 2015노1982 판결)에서 같은 취지의 무죄 판결이 선고된 바 있고 이번 판결을 통해 토렌트를 이용한 패킷의 송신 및 수신이 저작권법상 복제나 전송에 해당하는지 여부는 엄격하게 입증되어야 한다는 취지가 재차 확인되었다.

오픈넷 측은 이번 무죄 판결로 인하여 저작권자가 스스로 토렌트 방식의 송수신에 참여하면서 이용자의 IP 주소를 캡처하는 방식으로 진행하는 대규모 기획고소가 줄어들고 이를 악용한 합의금 장사 역시 근절되기를 기대한다고 밝혔다.

 

첨부. 2015고정858판결문

 

‘도청탐지’ 법적 근거 흐릿해 되레 ‘도청’ 논란
절차와 범위 두루뭉술… 시민 불안 부추겨
민간 업체 실태 점검도 허술

국가 전파 감시•감독 기관인 미래창조과학부 중앙전파관리소의 도청(불법감청) 탐지 절차와 범위가 명확하지 않은 것으로 드러나 논란을 빚고 있다. 35개 민간 불법감청설비탐지업 등록법인에 대한 실태 점검 체계도 허술해 프라이버시 침해 우려를 낳고 있다.

전파관리소 사법경찰관과 민간 불법감청설비탐지업자가 누구의 어떤 대화를 엿듣고 녹음 파일을 얼마나 만들어 어떻게 다뤘는지 낱낱이 확인할 수 없는 상태. 관련 자료 보존•폐기 여부도 오로지 도청 탐지 장비를 다루는 공무원과 민간 업자의 양심에 기댈 뿐이다.

특히 전파관리소가 불법감청설비탐지업체의 영업 실태를 점검할 근거마저 없어 문제다. 전파관리소 관계자도 “(위법 행위) 예방 차원에서 1년에 한두 번 계도할 뿐 장비 현황이나 운영 실태, 영업 실적 따위를 조사할 권한이 없다”고 확인했다. 불법감청설비탐지업체가 도청 여부 탐지를 맡긴 시민의 개인 정보를 얼마나 가졌고, 어떻게 보호•관리하는지조차 제대로 살펴볼 수 없어 개선이 요구된다.

전파관리소도 “근거 애매하다” 시인

법이 애매한 경우도 많으니 (도청 탐지 근거를) 명확히 하자. 법이 명확하지 않으니 (전파관리소가 시민 대화를 엿듣는 것 아니냐는) 의혹이 있지 않나 하는 취지로 법 개정을 검토하고 있습니다.

3월 18일 전상하 중앙전파관리소 불법감청설비팀장의 말. 지난 2월 22일 광주전파관리소가 사기도박 몰래카메라 영상과 무선 통신 내용을 녹화•녹음한 뒤 경찰과 함께 혐의자들을 붙잡은 게 되레 국가기관의 도청 논란으로 번지며 불거진 전파관리소의 고민이 들어 있다. 전파관리소 쪽이 도청 탐지 행위의 법적 근거를 다 갖추지 못한 상태임을 인정한 건 이번이 처음이다.

그동안 전파관리소가 도청 탐지 근거로 내세운 통신비밀보호법 제3조(통신 및 대화비밀의 보호)를 보면 그 누구든지 전기통신을 엿듣거나 공개되지 않은 다른 사람 간 대화를 녹음•청취할 수 없지만 ‘혼신 제거 등을 위한 전파 감시’를 예외로 해 뒀다. 이 예외 조항에 기대어 ‘전파 감시 활동 중에 감청과 녹음을 할 수 있는 것’으로 여겼던 것. 하지만 통신비밀보호법 제3조의 예외 근거로 이어진 전파법 제49조와 51조는 허가받지 않았거나 혼신을 일으키는 전파를 찾아 바로잡기 위한 것이지 주파수를 타고 흐르는 남의 대화를 듣거나 녹음하는 데 쓸 기준은 아니다. 해당 법률에 ‘도•감청’이나 ‘녹음’ 같은 낱말이 명시되지도 않았다. 이처럼 두루뭉술한 근거 때문에 늘 시빗거리가 될 수 있음에도 법률과 세칙 따위를 개선하지 않은 채 사기도박 증거로 감청•녹음을 내민 터라 전파관리소 스스로 감청 논란을 불러왔다.

광주전파관리소는 실제로 “콜, 들어가라. 콜, 콜” 같은 대화를 담은 44초짜리 녹음과 몰래카메라 영상 녹화로 사기도박 혐의자를 잡는 데 큰 구실을 했다. 전파관리소의 이런 능력이 정치인은 물론이고 시민을 표적으로 삼을 수도 있을 것으로 풀이됐다. 민주사회를위한변호사모임 광주전남지부와 진보네트워크센터가 전파관리소의 시민 사찰 의혹과 걱정을 내놓은 까닭이다.

전파관리소의 자랑이었던 도청 탐지

그동안 전파관리소는 도청 탐지 활동으로 사기도박단을 잡아낸 걸 자랑할 일로 여겼다. 국가기관의 부지런한 전파 감시 덕에 사기도박 덫에 빠진 시민을 구해 낸 미담으로 보였기 때문이다.

중앙전파관리소가 2011년 5월 31일 보도자료를 내어 2010년 불법감청설비 적발 수가 25건이라고 널리 알렸을 정도. 이 가운데 하나인 2010년 1월 19일 대전전파관리소의 사기도박단 검거 사례도 올 2월 광주에서 일어난 일과 비슷했다. 무선 영상 몰래카메라와 생활 무전기를 갖춘 채 사기도박으로 생각된 ‘전파에 담긴 음성’을 추적해 잡아냈다.

이 사건이 더욱 눈길을 끈 건 “아산시 전파 관리를 위해 설치한 원격 지능형 전파측정시스템에 의해 사기도박으로 추정되는 ‘음성이 감지돼’ 전파 송신 위치를 추적했다”는 대전전파관리소 쪽 설명. ‘원격 지능형 전파측정시스템’은 서울•부산•광역시•도청소재지를 중심으로 설치한 붙박이 전파측정장비 70식(주변기기를 포함한 소프트웨어와 하드웨어 결합 체계)과 준붙박이 장비 14식이다. 중앙전파관리소 쪽 설명으로는 “국내 거주 지역의 35%”를 덮는 규모. 이 체계에 이상한 전파가 감지되면 방향탐지장비 15식과 전파측정차량 23대를 이용해 송신 위치를 찾아간다. 아산시 사례는 전파관리소가 폭넓은 전파 속 음성 탐지와 위치 추적 체계를 갖췄음을 방증했다.

2009년 4월 17일 대전전파관리소가 대전지방검찰청에 송치한 사기도박단 사건도 전파 탐지와 위치 추적 형태가 비슷했고 보도자료를 통해 널리 알려졌다. 대전에 사는 100억 원대 자산가 김 아무개 씨가 사기도박 덫에 걸려들었다는 내용과 모자에 숨겼던 몰래카메라 사진까지 곁들여 흥미까지 불러일으켰다.

2008년 10월 30일 더 재미있는 보도자료도 나왔다. 중앙전파관리소가 그해 11월을 ‘불법감청(도청) 예방 및 집중 단속 기간’으로 정하고 지방 전파관리소별로 전국 일제 단속에 나선다는 것. 단속 기간에 도청 대응 심포지엄을 열어 무료로 탐지 서비스까지 해 주겠다고 곁들여 마치 잔치를 벌이는 듯했다.

오승곤 당시 중앙전파관리소 전파보호과장은 “소형 도청기를 이용한 사기도박, 개인비밀 도청, 관음적 촬영 등의 불법 행위가 발생하기 때문에 집중 단속이 불법감청으로 인한 국민의 사생활 보호는 물론 일반 국민에게 불법감청에 대한 경각심을 높이는 계기가 될 것”이라고 말했다.

특히 오 과장과 중앙전파관리소는 보도자료에 ‘불법도청 예방수칙’까지 곁들여 눈길을 모았다. 가정 무선 전화로는 중요한 대화를 하지 말라거나 복제될 수 있으니 휴대폰을 다른 사람에게 빌려 주지 말라는 내용을 넣은 ‘도청 예방 10계명’을 내놓은 것. 처음 보는 휴대폰 같은 전자기기가 주변에 있다면 전원을 끈 상태로 서랍에 넣어두라는 ‘불법감청 육안 체크리스트’들도 담아내 전파관리소가 다각적이고 다면적인 도청 탐지 체계를 운영하고 있음을 엿보게 했다.

민간 도청탐지업 실태 관리에 구멍

통신비밀보호법에 실태 점검을 해라 그런 게 없어요. 법이 미비한 점이 있다고 생각되는데요. 저희한테 어떻게 하라는 규정이 없어요. 그분들(불법감청설비탐지업자)이 등록한 뒤 (위법 행위) 예방 차원에서 계도하는 거라고 보시면 됩니다.

3월 21일 이재택 중앙전파관리소 조사계장(방송통신기기•불법감청설비 총괄)의 말. 올 2월 기준으로 35개에 이른 불법감청설비탐지업체의 영업 활동이 일으킬 수 있는 부작용이나 위법 행위를 막을 만한 관리 체계가 없다는 뜻이다.

“예방 차원에서 계도한다”고는 하나 “그 업체에서 (사법경찰관이 사업장에) 오셔서 지도 점검할 근거가 있느냐고 되물으면 (대답할 게) 없다”는 게 전파관리소 관계자의 설명. 도청 전파를 찾아 녹음할 수 있는 장비를 갖추고 자유롭게 영업하는 불법감청탐지업체의 위법 행위를 딱히 규제할 방법이 없다는 얘기였다. 이른바 ‘계도’를 위한 업체 방문도 “웬만하면 1년에 한 번 이상 가려고 노력한다”는 정도에 지나지 않았다.

불법감청설비탐지업체가 새로운 도청 탐지기를 사들였더라도 전파관리소에 ‘장비 변경 신고’를 할 의무도 없는 것으로 확인됐다. 처음 사업 등록을 할 때 유선(통신)선로분석기와 주파수스펙트럼분석기를 각각 1식만 갖춘 뒤로는 장비에 관한 감독을 따로 받지 않기 때문이다.

더욱 큰 문제는 민간 업체가 일하며 알게 된 고객의 정보를 어떻게 관리하는지 알 수 없다는 것. 이 또한 사업 등록을 할 때 ‘이용자 보호 계획’을 낸 뒤로는 중앙전파관리소의 감독이 미치지 않는 상태다. 고객 정보 관리 실태를 들여다볼 법적 근거가 없음은 물론이다.

한 불법감청탐지업체 대표는 “(고객) 개인 정보를 다 파기한다”고 말했으되 일하다가 음성을 녹음한 건 어떻게 관리하느냐는 질문에 “회사 보안상 말씀드릴 수 없다”며 대답을 피했다. 나중에 녹음한 것도 지우느냐는 질문에도 “보안상 모두 말씀드릴 수 없고, 개인 정보는 저희가 철저히 관리하고 있는 부분”이라고 덧붙였다. 중앙전파관리소가 계도 차원에서 실태 조사 같은 걸 나왔을 때 고객 정보 관리 상황을 살펴봤느냐는 질문에도 대답을 내놓지 않았다.

“전파관리소는 벤츠급이고 우리는 그랜저나 소나타급”이라며 도청 탐지 장비의 기능상 차이가 없음을 내보인 또 다른 업체의 대표도 ‘녹음이 적법하냐’는 질문엔 입을 다물었다. 그는 기자의 질문이 법적 근거 여부로 이어지자 갑자기 “(도청 탐지 중에 들리는 음성은) 사람 목소리를 말하는 게 아니다”고 강변했다. 하지만 이 업체는 인터넷 홈페이지에 2013년 어느 날 서울 서초동 한강변 아파트를 지날 때 ‘탐색기에서 한 여성의 통화 내용이 들렸다’고 소개해 뒀다. 그와 그의 동료들은 스펙트럼분석기와 전파방향탐지기를 들고 ‘음성이 더욱 또렷하게 들리는 곳으로 걸어갔다’고도 밝혔다. 고객이 도청 탐지를 의뢰하지 않았음에도 대화를 일부러 엿들어 통신비밀보호법을 위반 시비에 휘말릴 개연성이 커 보였다.

이 업체가 서울 서초동에 사는 어느 여성의 통화 내용을 엿듣기만 했는지, 녹음까지 했는지를 전파관리소 쪽이 알거나 확인할 길이 없다. 통화 내용에 담겼던 개인 정보를 제3자에게 넘겼거나 달리 이용했는지도 깜깜하기로는 매한가지. 모두 도청 탐지 장비를 든 이의 양심에 맡겨야 할 따름이다.

전파관리소도 사법경찰관 양심에 기댈 뿐

전파관리소도 도청 탐지 장비를 쓰는 사법경찰관 20명의 양심에 기댈 뿐이다. 불법 전파를 감시하다가 만난 도청 내용(음성)을 얼마나 들어야 할지, 녹음할지 말지 따위의 기준과 절차로 미리 정해 둔 게 없기 때문. 엿들은 정보와 녹음을 사사로이 이용하거나 제3자에게 넘기지 않는 것 또한 사법경찰관 제각각의 도덕에 맡겨야 한다.

이런 지경임에도 미래창조과학부와 전파관리소의 도청 탐지 사법경찰관에 대한 교육이나 활동 관리 체계마저 허술했다. 1년에 한두 차례 지방검찰청별로 수사 관련 교육을 할 뿐 도청 탐지 기술이나 개인 정보 보호와 관련해서는 사법경찰관의 개별 경험에 기대는 형편이다.

녹음과 개인 정보를 포함한 도청 탐지 수사 자료의 관리도 제대로 이루어지지 않았다. 도청 탐지 활동을 몇 년 동안 얼마나 벌여 몇 건을 잡아냈고, 어떤 내용을 녹음해 검경에 증거로 제공했는지 따위를 따로 관리하지 않았다는 게 전파관리소 쪽 설명. 전파관리소 한 관계자는 “수사 자료 원본을 모두 검찰에 송치한다”며 기자의 정보 공개 청구가 있더라도 “(전파관리소 차원에서) 공식적인 자료를 파악하지 않는다고 답변할 수밖에 없다”고 말했다. 따로 헤아려 관리하는 자료가 없기 때문에 공개할 게 없다는 뜻으로 들렸다.

옛 정보통신부 출신 업계 관계자는 “우리 사회에서 전파 쓰임새가 많아지다 보니 불법 이용에 대한 감시도 더욱 중요해질 수밖에 없다”며 “그만큼 역작용도 고려해야 한다”고 말했다. 그는 특히 “전파 감시 장비를 다루는 공무원(사법경찰관)과 민간 사업자의 도덕적 해이를 어떻게 점검할 것인지를 생각해 볼 때가 된 것 같다”고 보았다.

한수원의 거짓말과 비밀주의를 고발한다

- 클라우드 펀딩 통한 시민공익소송

 

 

울산시민연대와 민주사회를 위한 변호사모임 울산지부(이하 울산민변)는 한국수력원자력(이하 한수원)을 대상으로 시민공익소송(정보공개거부처분 및 부분공개거부처분 취소 행정소송)을 제기한다. 이는 안전하고 투명하게 운영되어야 하는 한수원이 실제로는 거짓과 비밀주의로 사실을 엄폐하고 있기 때문이다. 우리는 이런 한수원의 행태에 대해 엄정한 법적인 책임을 묻고자 한다. 또한 이 과정을 많은 시민들이 참여할 수 있는 클라우드 펀딩방식을 통해 진행(굿펀딩 http://www.goodfunding.net )한다.

 

 

울산시민연대는 지난 3월 한수원 홈페이지에 공개된 정보목록을 통해 ‘반원전 NGO 대응논리 자문료 지급’에 대한 내용을 확인했다. 

또한 잇따른 원전비리사건과 원전수명연장 등 민감한 사안이 즐비한 상황에서 한수원이나 원자력문화재단은 협찬 및 광고를 통해 상당한 액수를 홍보비 등으로 집행하고 있다는 것이 알려졌다. 더욱이 최근 종합편성채널인 MBN에서 돈을 받고 뉴스보도에서 특정회사의 치적을 홍보하거나 또는 문제점을 압박하는 불법적인 광고영업일지가 유출되기도 했다. 

 

명백히 생산문서 있음에도 ‘일절없다’

울산시민연대는 이러한 것에 대한 사실관계를 확인하기 위해 정보공개청구를 했다. 그러나 한수원은 반원전 NGO 대응논리 건에 대해서는 ‘일절 운영하지 않음’을 알려왔다. 광고료 지급 현황 및 협찬 그리고 제작지원 등을 포함한 홍보관련 예산집행 현황 7건에 대해서는 연도별 총액만을 알려왔다. 

 

 

한수원이 공개한 정보목록(2014.8.5. 등)에 명백히 기재되어 있음에도 거짓말을 한 것이다. 

또한 공공기관의 광고료 집행세부내역은 행정심판위원회나 법제처 유권해석 그리고 각 공공기관이 발표한 정보공개처리지침에 공개대상임을 명시하고 있다. 정보공개청구시에 이러한 내역을 명시했음에도 불구하고 공개하지 않은 것은 비밀주의에 다름 아니다. 

 

한수원은 반원전 NGO 대응논리를 누구에게 의뢰했고, 어떤 내용으로 그리고 어떻게 활용했는지 밝히지 않았다. 핵발전 산업과 연관된 이른바 핵마피아들과의 연관성이 있는지, 주민 대응전략이나 언론전략 등에 잘못된 내용이 있는지 알 수 없다. 또한 이 과정에서 사실왜곡 등이 담겨있는지도 알 수 없다. 

 

행심위·법제처, 공공기관의 광고료 집행내역은 공개대상

한수원, 언론사에 파견근무 정황

광고료 집행세부내역과 관련해서는 명백한 법적 기준을 지키지 않았다. 수많은 예산집행을 통해 여론전을 진행하면서도 투명성을 결여하고 있는 것이다. 핵발전을 옹호하는 관련 기사당 몇 천 만원이 집행되고, 심지어 이러한 기사작성은 기자가 아닌 광고부에서 집행하는 경우도 있음이 밝혀지고 있다. 또한 최근 종편의 불법광고영업이 드러났듯 언론윤리를 저버리고 부도덕한 행위가 일어나기도 한다. 더나가 한수원은 직원을 언론사에 파견근무를 보내고 있는 정황도 확인되고 있다. 

 

 

시민들은 알 권리가 있다. 한수원은 국회에는 관련 내역을 제출하면서 정작 시민에게는 정보를 숨기고 있다. 우리의 법에 명시된 국민의 권리이자 기존의 숱한 법적 절차를 통해 확인되고 보장된 정당한 권리임에도 한수원은 이를 부정하고 있다. 또한 정보공개를 통한 국정참여, 투명행정을 추구하는 현 정부의 기준에도 부합되지 않는다.

 

한수원은 투명경영, 안전경영, 윤리경영을 모토로 내세우고 있지만 정작 실제 행동에서는 이를 지키지 않고 있다. 핵발전에 대한 국민의 우려와 불신을 자초하는 것은 법과 원칙을 저버리고 거짓말과 비밀주의로 대처하는 한수원 자신이다. 

 

울산시민연대와 울산 민변은 이러한 한수원의 행위에 책임을 묻고자 한다. 이번 시민공익소송을 클라우드 펀딩을 통해 많은 시민들과 함께 책임을 묻고자 한다. 한수원의 거짓과 비밀주의를 고발하고, 보다 안전한 세상·보다 투명한 세상을 만드는 것에 시민들과 함께 할 것이다. 

 

-끝-

 

2015. 6. 10.

울산시민연대 · 민주사회를 위한 변호사모임 울산지부

[참조 1] 바로가기 및 QR코드

시민공익소송 - 핵발전소의 거짓과 비밀주의를 고발한다. 
 

http://durl.me/8yhaa9 

 
 

 

[참조 2] 정보공개청구내용

1. 2015. 3. 9. 접수번호 2908764호로 공개청구한 정보목록

1) 반원전 주장 대응 교육 현황과 관련된 

- 해당 자료집

- 교육내용(일시, 강사, 참석자, 장소, 기타)

- 관련 예산 집행 세부내역(원고료, 자문료, 강의료 등 자료제작비 및 기타제반내역)

 

2) 반원전 NGO 대응논리 작성지원 자문 현황과 관련된

- 자문의뢰 내역서

- 자문결과

- 자문료 지급현황(금액, 자문기관 또는 자문인)

 

2. 2015. 3. 9. 접수번호 2908756호로 공개청구한 정보목록

2012. 1. 1. ~ 2015. 3. 9. 까지 홍보관련 예산집행현황

1) 프로그램 제작/협찬/언론홍보/기획특집/축하/광고 등 언론관련 집행내역 (언론사, 집행일시, 집행내용, 집행예산) 2) 언론 간담회(일시, 간담회명, 참석언론사 또는 언론인 직위. 관련 예산지출내역)3) 언론 간담회 홍보물품 구매내역(물품명, 구매예산내역, 증정내역-일시, 대상, 갯수) 4) 언론사 원전시찰 및 취재협조 내역(일시, 언론사, 인원, 집행내용) 5) 정기간행물(신문 및 잡지-주·월간지 및 각종 전문지 포함) 구독현황(매체명, 매체별 부수, 매체별 예산집행 내역) 6) 각종 언론사 행사 지원 내역(매체명, 일시, 행사명, 협찬·주관·주최 등의 여부) 7) 영상 보도자료 제공현황(매체명, 일시, 내용) *지상파, 종편, 중앙·지방지, 잡지, 인터넷 등 각 언론매체 포괄

애플, 구글과는 다른 페이스북

“대통령 모욕죄” 영장 협조에 우려한다

 

페이스북은 지난 1월 15일 청와대를 공격한다는 제목 하에 페이스북에 사제총기사진을 게시한 이용자에 대해 국내 법원이 발급한 압수수색영장에 응하여 이 이용자의 IP주소를 제공함으로써, 한 달이 지난 2월 17일 그 이용자의 체포에 이르게 하였다. 이는 다음과 같은 이유로 국내 이용자들의 표현의 자유와 프라이버시에 동시에 심대한 침해를 가하는 것으로서 그렇게 결정하게 된 이유와 기준을 밝힐 것을 요구한다.

외국의 영토에 있는 은밀한 정보를 수사기관이 압수수색을 할 때는 반드시 그 나라의 사법부의 승인을 거치도록 하는 형사사법공조조약(MLAT)이 미국과 한국을 포함한 여러 나라들 사이에 체결되어 있다. 이에 따라 FBI가 카카오톡 압수수색을 하고자 한다면 반드시 우리나라 법무부 국제법무과에 신청을 하여 한국 검찰이 법원영장을 득해야만 하며, 우리 검찰이 페이스북에 대해 압수수색을 하려 해도 마찬가지이다. 한국 통신비밀보호법 제3조 제1항 그리고 미국의 통신비밀보호법 (ECPA) 제2702조(a)(3)에 각각 해당 법을 통하지 아니하고 감청 또는 통신사실확인자료(IP주소 포함) 제공이 금지된 것도 이 맥락이다.

그런데 페이스북은 형사사법공조조약을 거치지 않고 외국 법원이 발부한 영장을 그대로 집행해준 것이다. 이는 각 나라 내에서의 수사는 그 나라 국민들에게 공적 책무를 지는 사법부에 의해 규율되도록 하여 프라이버시와 수사 목적 사이의 균형을 잡으려는 법률을 위반한 것이다. 이런 관행이 자리잡아 외국정부의 부당한 압수수색요청에 각 기업들이 응할 경우,세계인들은 자신의 인권에 대해 아무런 책임감을 가지고 있지 않은 외국 판사들의 영장심사에 자신의 프라이버시를 내맡겨야 할 것이다. 물론 여기서 이용자가 한국인임이 밝혀졌지만 페이스북이 형사수사협조와 같이 이용자에게 긴절한 사안에 있어서 추정국적이나 사용언어에 따라 이용자들을 차별할 수는 없다. 도리어 페이스북은 인터넷이 글로벌한 매체임을 이용해 권위주의적 정부 하의 국민들이 자국정부의 감시와 검열을 피해 외국 서비스들을 이용하여 표현 통신을 해왔다는 점을 상기해야 할 것이다.

물론 긴절한 피해예방을 위해 필요하다면 IP주소의 제공이 정당화될 수도 있다. 그러나 지난 1월 15일 해당 포스팅이 올라오자마자 경찰은 해당 사제총기사진이 진짜가 아니라 인터넷 매체에서 떠돌던 사진이었음을 알았고, 이 때문에 해당 이용자가 박근혜 대통령 욕설을 올린 것에 대해 모욕죄 수사를 하겠다고 했었다. 그런데 며칠 후 별다른 이유 없이 경찰이 갑자기 강력범죄인 대통령에 대한 협박죄로 죄목을 바꾸고 페이스북에 영장을 제시하여 어제의 사태가 발생한 것이다. 이미 비슷한 사진 게시에 대한 대통령협박죄 기소가 있었지만 여러 차례 무죄로 끝난 점을 감안하면 IP주소 요청의 목적이 협박죄 수사인지 모욕죄 수사인지 불분명하다. 모욕죄는 애매모호함과 권력자의 남용 가능성 때문에 UN인권위원회도 폐지권고를 여러 차례 해온 인권침해적 규제인데, 바로 이 규제를 대통령 비호를 위해 집행하는 길을 페이스북이 닦아준 것이 아닌지 우려된다. 특히 페이스북은 최근 우리나라가 대통령의 평판을 보호하기 위해 국가기관이 제기한 여러 명예훼손 민형사소송 때문에 프리덤하우스의 연례조사에서 OECD국가들 중에서 드물게 ’부분적 자유’국으로 분류되고 있다는 점을 감안하여 이용자 표현의 자유에 대해 더욱 신경을 써야 한다.

페이스북이 불법적인 영장 역외집행까지 범하면서 우리나라의 인권침해적 법률의 집행을 도와줘서는 안될 것이다. 이에 비하여, 애플은 테러범의 아이폰 수사에 있어서도 FBI의 과도한 압수수색 협조를 거부하고 있다. 구글도 미국법이 허용하지 않는 한 외국법원의 영장은 형사사법공조조약을 통해서만 집행되도록 하고 있다. (https://www.google.com/transparencyreport/userdatarequests/legalprocess/#how_does_google_respond)