동료 직원을 보내며

국정원은 7월 18일 참담하게도 동료 직원 한사람을 잃었습니다. 누구보다 업무에 헌신적이고 충성스럽고 유능한 직원이었습니다. 국정원은 왜 그 직원이 그런 극단적인 선택을 했는지 묻고 또 묻고 있습니다. 그러나 그럴 필요가 전혀 없는데 왜 그랬는지 아직도 답을 얻지 못하고 있습니다.
그는 2012년도 문제의 해킹 프로그램 구입을 실무판단하고 주도한 사이버 전문 기술직원이었습니다. 그는 유서에서 “업무에 대한 열정으로 그리고 직원의 의무로 일했습니다. 지나친 업무에 대한 욕심이 오늘의 사태를 일으킨 듯 합니다”라고 썼습니다. 오늘의 사태란 국정원의 민간사찰을 기정사실화하고 있는 정치적 논란을 지칭하는 것으로 보입니다.
이 직원은 본인이 실무자로서 도입한 프로그램이 민간인 사찰용으로 사용되었다는 정치권과 일부 언론의 무차별적 매도에 분노하고 있었습니다. 유서에 나와 있는 대로 열심히 최선을 다해 일해 왔는데 이런 상황이 벌어진 데 대해 자기가 잘못해서 국정원에 누가 되지 않았나 하고 노심초사 했었던 것으로 주변 동료들이 말하고 있습니다.
사이버 작전은 극도의 보안이 요구되는 매우 민감한 작업입니다. 안보 목적으로 수행한다 하더라도 이것이 노출되면 외교 문제로도 비화될 수 있습니다. 그래서 국가안보를 지키는 데 있어서 꼭 필요한 대상으로만 조심스럽게 사용하고 있습니다.
일부 정치인들은 이런 내용을 모두 공개하라고 주장하고 있습니다. 이는 근거없는 의혹을 입증하기 위해 국정원이 더 이상 정보기관이기를 포기하라는 요구와 같습니다. 국가안보에 어떤 해악이 미치는지에 대한 고려는 없습니다. 국정원은 이미 우리 국민에 대한 사찰이 없었음을 분명히 했고 정보위원님들의 현장 방문을 수용했습니다. 이미 합의한 절차에 따라 조용히 확인하면 될 일이었습니다. 국정원 직원도 민간인 사찰의 엄중함을 야당의원들 이상으로 절감하고 있으며, 새로운 국정원法으로 내부 통제를 강화하고 있습니다.
“국정원의 위상이 중요하다고 판단하여 혹시나 대테러, 대북 공작활동에 오해를 일으킨 지원했던 자료를 삭제했습니다. 저의 부족한 판단이 저지른 실수였습니다”
이 유서 대목에서 국정원 직원 일동은 고인의 국정원에 대한 깊은 애정을 감지하고 애통해 하고 있습니다. 국정원의 공작내용이 노출될 것을 걱정했던 것으로 보입니다. 그래서 자의대로 이를 삭제하고 그 책임을 자기가 안고 가겠다고 극단적인 선택을 한 것으로 보입니다. 국정원은 현재 그가 무엇을 삭제했는지 복구 작업 중에 있습니다.
그 직원의 극단적인 선택은 그럴 필요가 전혀 없는 상황에서 발생해 참으로 애석하고 안타깝기 그지 없습니다. 순수하고 유능한 사이버 기술자였던 그가 졸지에 우리 국민을 사찰한 감시자로 내몰린 상황을 심정적으로 받아들이기 어려웠던 것으로 보입니다. 또 이로 인해 국정원이 보호해야 할 기밀이 훼손되고 노출될 수 밖에 없는 현실을 자기 희생으로 막아보고자 했던 것으로 보입니다.
이탈리아 해킹팀社로부터 같은 프로그램을 35개국 97개 기관이 구입했습니다. 이들 기관들은 모두 ‘노코멘트’ 한마디로 대응하고 이런 대응이 아무런 논란 없이 받아들여졌습니다. 자국의 정보기관을 나쁜 기관으로 매도하기 위해 매일 근거없는 의혹을 경쟁적으로 쏟아내는 나라는 우리 밖에 없습니다. 드러난 사실은 댓글사건이 있었던 해인 2012년 국정원이 이를 구입했다는 사실 밖에 없고 나머지는 모두 그럴 것이라는 추측성 의혹 뿐입니다.
그런데도 10일 넘게 백해무익한 논란이 지속되면서 국정원은 불가피하게 해명에 나서야 했고, 그 과정에서 정보역량이 크게 훼손되었습니다. 급기야 젊고 유능하고 책임감이 강한 한 사람의 소중한 국정원 직원이 극단적 선택을 한 불행한 사태에까지 이르게 되었습니다.
이 직원은 유서에서 “정말 내국인에 대한, 선거에 대한 사찰은 전혀 없었다”고 분명히 밝혔습니다. 고인의 죽음으로 증언한 이 유서 내용은 글자 그대로 받아들여야 합니다.
그럼에도 불구하고 그의 죽음을 정치적 공세를 이어가는 소재로 삼는 개탄스런 현상이 지속되고 있습니다. 북한의 위협에 직면하고 있는 엄혹한 현실을 도외시하고 외교적 부작용이 발생해도, 국정원이 약화되어도 상관없다는 위험하고 무책임한 발상이 이어지고 있는 것입니다. 그가 자신을 희생함으로써 지키고자 했던 가치를, 국가안보의 가치를 더 이상 욕되게 해서는 안될 것이며, 결과에 대해 책임 또한 따라야 할 것입니다.
국정원은 정보위원들의 방문시 필요한 기록을 공개함으로써 국정원이 민간인 사찰을 하지 않았음을 명백히 할 것입니다.
국정원을 보호하기 위해 ‘무명으로 헌신’한 직원의 명복을 빕니다. 全국정원 직원은 동료를 떠나보낸 참담한 심정을 승화시켜 나라를 지키는 본연의 업무에 더욱 진력할 것입니다.
- 국정원 직원 일동

Q.국정원이 구입, 운용한 해킹팀의 RCS에서 ‘타깃 20개’란 어떤 의미인가? 국정원장은 20명 분의 해킹프로그램이라고 주장한다.

국정원이 이탈리아 해킹팀으로부터 도입해서 운용한 RCS 프로그램의 타깃(target)은 20개다. 이는 동시에 최대한 20개까지 감시가 가능하다는 의미다(해당항목으로 이동).

국정원장의 해명은 해킹을 20명만 할 수 있다는 것처럼 들리지만 실제는 동시에 감시가 가능한 것이 20명이다. 실제 연 감시 대상은 훨씬 많을 수 있다는 것이다.

이탈리아 해킹팀이 나나테크에 보낸 제안서에서 설명하는 타깃에 대한 개념도 그렇다.

예를 들어 모니터링하고 있는 타깃 20개 가운데 더 이상 감시할 필요가 없는 타깃 5개를 삭제하면 새로운 타깃 5개에 추가로 스파이웨어를 설치해 다시 20개까지 모니터링 할 수 있다는 뜻이다. 이렇게 될 경우 국정원이 해킹한 타깃은 모두 25개가 되지만 동시 모니터링 하고 있는 타깃은 20개가 된다.

Q. 동시 감시 대상이 20개라는 것은 예를 들어 국정원이 감시가 필요한 대상 100개를 미리 감염시켜 놓은 뒤에 필요에 따라 감시 대상 20개 안에 넣었다 뺐다 할 수 있다는 것인가?

그렇다고 보기는 힘들다. 국정원 관리자와 해킹팀이 2014년 7월7일 주고받은 메일을 보자. 에이전트는 휴대폰이나 PC 등의 목표물에 설치해 해당 기기에서 정보를 빼내오는 해킹용 스파이웨어를 말한다.

질의 응답은 다음날인 7월8일 이메일로 이어진다.

(※RCS에는 여러 모듈(기능의 작동단위)이 있는데 기능에 따라 CALL 모듈, CHAT 모듈, PHOTO 모듈 등이 있다. CALL 모듈을 작동시키면 CALL을 감시할 수 있고 CHAT 모듈을 작동시키면 CHAT을 가로챌 수 있다.)

간단히 정리하면 예를 들어 타깃 100개를 한꺼번에 해킹해 놓고서 필요한 것들을 골라서 그 때 그 때 20개 안에 넣었다 뺐다 바꿔가면서 감시하는 것은 불가능하다는 말이다.

Q.그렇다면 이미 20개를 가득 채워서 동시에 모니터링을 하고 있는 상태에서 다른 1개의 타깃에 추가로 스파이웨어가 설치된다면 어떤 일이 벌어질까?

실제로 다른 나라의 고객이 해킹딤에 질문했다. 30개 타깃에 대한 라이선스를 갖고 있고 현재 30개를 동시에 감시하고 있는데 만약 3개월 전에 감염파일을 담아 보낸 이메일을 감시 대상이 이제서야 열어서 감염될 경우 어떻게 되냐는 것이다.

이럴 경우 31번째 타깃은 대기열(queue)에 위치하게 된다고 해킹팀은 답한다. 살아만 있을 뿐 자료를 빼오는데는 써먹을 수는 없는 상태라는 것이다. 따라서 라이선스 1개를 추가로 구입하거나 아니면 기존에 감시중인 타깃 하나를 제거해야 31번째 타깃의 에이전트가 활성된다는게 해킹팀의 설명이다.(▷관련 메일)

국정원도 비슷한 상황에 처한 적이 있다. 2013년 7월29일에 오간 이메일들(TICKET ID:!SMZ-100-78952)을 보면 “최근 타깃 3개가 감염된 것을 알게 돼서 기존 타깃 3개를 삭제했다. 그런데도 (감염된 타깃이) 대기열에서 시스템으로 들어오지 않고 대시보드에 추가할 수도 없다”면서 “3개의 공간이 있는데도 감염된 에이전트 2개가 20시간째 대기열에 머물러 있다”고 질문한다.

당시 국정원이 문제를 설명하면서 보낸 RCS 콘솔의 스크린샷이다.

▲ 빨간색 사각형이 국정원 직원이 직접 표시한 부분이다. 20개 타깃 가운데 3개의 여유가 있음을 보여준다.

스크린샷 제일 상단에 있는 RCS:DB 항목에서 상태가 ‘2connections’ 라고 돼 있는 부분이 대기열에 있는 타깃 2개를 말하는 것으로 보인다. 에이전트가 17/20로 3개의 여유분이 있으니 바로 시스템과 동기화돼서 감시 가능 상태에 들어와야 하는데 여전히 대기열에 머물러 있는 상황이다.

이 문제는 결국 국정원이 해킹팀의 조언대로 콜렉터를 다시 부팅하면서 해결이 된다.(▷관련 이메일)

Q.그렇다면 국정원이 천 명, 만 명의 타깃을 감염시켜 대기열에 위치시켜 놓은 뒤에, 20개씩 차례대로 동시 감시 대상으로 올리면 이론적으로는 감염시켜놓은 모든 타깃을 숫자 제한없이 감시할 수 있다는 말 아닌가?

이론적으로는 가능하다. 하지만 실제 해킹팀 RCS 운영 상황으로 볼 때 현실적으는 어렵다. 먼저 앞에서 국정원이 언급했던 대시보드가 무엇인지 보자.

▲ 2012년, 다른 나라의 고객이 해킹팀에 보낸 대시보드 스크린샷. 감염된 PC와 휴대폰별로 작동시킬 수 있는 항목이 한 눈에 보인다.

타깃을 대시보드에 추가한다는 것은 기능별로 타깃을 살펴보겠다는 의미다. 사진 왼쪽에 감염된 기기들이 나오고 각각 제공되는 기능이 일목요연하게 표시된다. 휴대폰의 경우 일정,통화,채팅,메모리,이메일,마이크,위치 등에 대한 기능이 제공됨을 알 수 있다.

대시보드에 감염대상을 추가하고 나면 각종 작업을 수행할 수 있다. 다음은 작업 명령을 내리는 화면이다.

감시 중인 스마트폰의 스크린샷을 찍어 전송받을 수도 있고 마이크를 작동시켜 녹음을 할 수 도 있다.

RCS는 이렇게 필요한 타깃의 기기 특성과 운영체제, 사용프로그램에 맞춰 취약점을 공격하고 일단 스파이웨어를 설치한 뒤에는 타깃의 활동 하나 하나를 면밀히 모니터링하는 시스템이다. 목표물의 음성 통화나 채팅, 사진 등을 감시하다가 필요한 때 자료를 빼오는 시스템이다.

또 목표물을 해킹하기 위해서는 취약점 공격에 필요한 URL이나 감염파일이 필요한데, 국정원이 직접 만드는 게 아니라 해킹팀에 요청해서 받아야 한다. 뉴스타파가 분석한 결과 지난 2013년 5월부터 2년 동안 국정원이 해킹팀으로 받은 URL이나 감염파일은 모두 320여 개였다. 이것이 모두 성공했다 하더라도 목표물은 2년 동안 320여 개가 되지만 이 가운데는 한 번 실패했다 다시 요청받은 것도 있어 실제 목표물은 320개 보다 적을 것으로 보인다.

또 국정원은 주로 해킹을 위해 문자나 이메일로 스파이웨어가 심어져 있는 URL을 보내는 방식을 사용했는데 이 경우 URL은 한 개의 목표물만 감염시킬 수 있기 때문에 다수의 목표물에 문자나 이메일을 발송해 다수를 한꺼번에 감염시키는 것이 불가능하다.

이런 여러가지 이유로 동시 감시대상이 20개라 하더라도 사실상 무제한으로 감시할 수 있다는 것은 이론적으로는 가능하지만 RCS의 운영특성으로 볼 때 현실적으로는 설득력이 없어 보인다. 물론 이것은 해킹팀 RCS에 한정된 얘기고, 국정원이 다른 해킹 프로그램들을 운용해 더 많은 목표물을 감시하고 있는지 여부는 현재로선 확인된 바가 없다.

▲ 이탈리아 업체 ‘해킹팀’의 원격감시프로그램 RCS 설치용 CD

Q.국정원이 사용하는 해킹솔루션인 RCS(Remote Control System)은 불특정 다수의 PC나 휴대폰을 무차별적으로 해킹하나?

그렇지 않다. 많은 사람들이 오해하는 부분인데 국정원이 사용하는 RCS라는 해킹프로그램은 원하는 목표물만 대상으로 한다. 도감청 대상자(target)가 사용하는 PC나 스마트폰에 문자나 메일을 보내 감염시킨 뒤에 에이전트(원격으로 작동하는 작은 스파이웨어)를 설치해 단말기 내 자료를 해킹하거나 통화내용을 빼가는 방식이다. 스팸메일이나 보이스피싱처럼 악성코드를 무차별적으로 살포해 불특정 다수를 목표로 하는 방식과는 다르다.

Q.그렇다면 국정원은 몇 명이나 도감청할 수 있나?

국정원이 감시할 수 있는 대상(target)은 동시에 최대 20개까지 가능하다. 도감청 목표물의 수는 이탈리아 해킹팀과의 계약에 따라 늘어날 수도 있고 줄어들 수도 있다. 국정원은 2012년 초 첫 계약 때 10개를 계약했고, 그해 7월에 목표물 10개를 더 감시할 수 있는 시스템을 추가로 계약해 현재 20개를 커버할 수 있는 것으로 확인됐다. 즉 현재 운용하는 시스템은 최대 20개의 목표물을 동시에 해킹하거나 도감청할 수 있는데 목적을 달성한 목표물은 빼고, 그만큼의 목표물을 추가할 수 있다. 물론 돈을 더 많이 지불하면 더 많은 목표물을 감시할 수 있지만 그럴 경우 국정원의 관리인력과 장비도 그만큼 보강해야 한다.

▲ 2013년 7월, 국정원이 사용하고 있는 RCS에 표시된 목표물 감시 현황이다. 에이전트. 20개 가운데 17개가 가동되고 있는 것으로 보인다.

Q.아이폰은 해킹이 불가능하다던데?

이탈리아 해킹팀의 RCS 제품은 아이폰도 해킹할 수 있다. 단 현재는 이른바 ‘탈옥폰’의 경우만 가능하다. 탈옥폰은 제조사인 애플이 여러가지 기능을 제한하기 위해 걸어놓은 잠금장치를 해제시킨 휴대폰을 말한다. 탈옥폰은 사용자 환경을 마음대로 바꿀 수 있고 유료 앱을 무료로 쓸 수 있게 해주지만 보안에 치명적인 약점을 가지게 된다. 탈옥시키지 않은 정상적인 폰의 경우에는 아직까지 RCS의 침투가 불가능하다. 그러나 유출된 자료를 보면 해킹팀은 탈옥하지 않은 아이폰도 해킹이 가능하도록 연구 중이며 이미 데모 버전도 만들어 놓은 것으로 알려졌다. 또 현재의 RCS 버전 9.6 이후에 나올 버전 10.0부터는 아이폰에 대해서도 RCS가 작동하도록 할 계획이었던 것으로 알려졌다.

Q. 안드로이드폰의 경우는 어떤가?

운영체제 버전에 따라 다르다. 해킹팀의 RCS는 안드로이드 4.4(킷캣)까지만 지원하고 안드로이드 5.0(롤리팝)은 아직 지원하지 않는다.

Q.국정원의 해킹 프로그램이 뚫고 들어갈 수 있는 스마트폰은 어떤 게 있나?

운영체제와 단말기에 따라 다르다. 앞서 말한대로 아이폰의 경우는 탈옥폰의 경우에만 가능하고 안드로이드폰의 경우는 운영체제와 제품에 따라 침투되는 것도 있고 아닌 것도 있다. 해킹팀은 블랙베리도 뚫을 수 있다고 설명한다.

RCS를 작동하려면 우선 해당 기종의 보안 취약점을 공격해야 하는데 새로 출시되는 휴대폰 단말기 종류와 운영체제가 워낙 다양해 해킹팀이 이를 바로 따라잡지는 못하고 있다. 즉 개발까지는 일정한 시차가 있기 때문에 최신 휴대폰일수록 안되는 경우가 많다고 보면 된다. 국내에서 많이 사용되는 삼성 단말기의 경우 갤럭시 시리즈는 S, S2, S3, S4, S5까지 침투가 가능하고 노트의 경우는 노트3까지 해킹이 가능하다. 갤럭시 S6와 S6에지는 아직 불가능하다.

Q.파일을 빼가는 것은 물론 통화녹음도 할 수 있다는데?

물론이다. 에이전트를 심어놓은 PC나 스마트폰은 국정원이 원격으로 자기 마음대로 조정할 수 있다고 보면 된다. 통화도 녹음할 수 있고 단말기에 내장된 마이크를 통해 감시 대상자가 있는 현장의 소리를 녹음할 수 있다. 내장 카메라를 통해 사용자 몰래 사진을 찍어 저장해 놓은 뒤 이를 전송할 수도 있다.

해킹팀이 고객들의 문의에 답한 내용을 보면 감시 대상자의 스마트폰 내부에 저장공간이 부족해 녹음파일을 저장할 수 없는 경우에는 통화 녹음이 불가능하다고 돼 있다.

Q.스마트폰 메신저 앱을 통한 대화도 가로채 갈 수 있나?

그렇다. 하지만 이 기능은 2015년 6월 현재 안드로이드폰의 경우 ‘루팅’된 폰에서만 가능한 것으로 돼 있다. 루팅폰은 탈옥폰과 마찬가지로 제조사의 기능제한 장치를 풀어버린 폰이다.

루팅이 돼 있을 경우는 스카이프, 왓츠앱, 바이버, 라인, 페이스북, 행아웃, 텔레그램 등에서 이뤄지는 문자 대화 내용을 모두 빼낼 수 있다. 스카이프와 바이버의 경우에는 앱을 통한 음성통화까지 가로채는 게 가능하다.

Q.국정원은 누구를 대상으로 해킹프로그램을 사용했나?

그동안 해킹프로그램과 관련해 어떤 정보도 확인해 줄 수 없다던 국정원은 첫 보도 6일만인 14일에야 대북정보전을 위한 연구개발을 위해 해킹프로그램을 사용했다고 국회 정보위에서 해명했다. 국내 민간인을 대상으로 사용한 적은 없다는 것이다. 정보기관의 특성상 자세한 내용을 밝힐 순 없지만 일부 테스트용으로 사용한 것도 북한공작원을 상대로 한 것이라고 주장했다. 카카오톡에 대한 해킹 문의를 한 것도 북한 공작원이 카카오톡을 사용하는 경우가 있기 때문이라는 것이다. 유출자료를 보면 해킹을 시도한 대상이 중국같은 해외에 있는 PC나 휴대폰인 경우도 확인이 된다. 하지만 국내 이동통신사에서 출시한 스마트폰에 대한 해킹을 요청하거나 ‘천안함 문의’라는 한글 이메일을 통해 감시대상 단말기를 감염시키려 한 사례가 발견돼 국내 민간인을 감시한 게 아니냐는 의혹은 가시지 않고 있다.

▲ 국정원이 2013년10월4일 에이전트를 심어 달라고 해킹팀에 보낸 Cheonan-ham(Cheonan ship).docx 파일. 미디어오늘의 ‘조현호’ 기자를 사칭한 것으로 보인다.

Q.이탈리아의 해킹팀은 해킹 조직인가? 소프트웨어 회사인가?

이탈리아 업체 해킹팀은 지하에서 익명으로 활동하는 해커들의 비밀스러운 조직은 아니다. 2004년부터 해킹프로그램을 만들어서 판매하는 인터넷 보안업체다. 본사는 밀라노에 있지만 싱가포르와 미국 애나폴리스에 지부를 두고 있고 해마다 각국에서 열리는 유명 보안 관련 전시회와 컨퍼런스에도 자주 참여해 마케팅 활동을 펼치고 있다. 하지만 ‘시티즌랩’과 ‘국경없는 기자회’ 같은 국제단체들은 해킹팀의 감시프로그램이 독재국가에서 인권탄압 등에 악용되고 있다며 이 업체를 ‘인터넷의 적’이라고 비난해 왔다.
해킹팀은 프로그램 프리젠테이션과 운영에 관한 기술지원, 교육을 위해 지난 2010년 12월 7일 한국을 처음 방문한데 이어 지금까지 모두 5차례 한국에 와 국정원 담당자들을 만났다.

▲ 2013년 4월 런던에서 열린 보안 관련 전시회에 부스를 차린 해킹팀. 출처 : Ryan Gallger 트위터

Q.우리나라 말고 해킹팀의 RCS를 구입해 사용하고 있는 나라는 어디인가?

30여 개 국가에서 70개 이상의 기관이 이 해킹프로그램을 구입해 사용하고 있는 것으로 알려졌다. 대부분 정보기구나 군,경찰 관련 정부기관이다. 해킹팀 전체 고객리스트는 이곳에서 볼수 있다.

Q.이번에 해킹된 해킹팀 내부 자료는 어디에서 볼 수 있나?

2015년 7월 6일 유출된 이후 비트토렌트와 https://ht.transparencytoolkit.org에 데이터가 공개됐다. 비밀정보 폭로사이트인 위키리크스는 7월 9일 해킹팀 특별 페이지를 오픈해 이 자료들을 누구나 검색할 있도록 했다.

– 최근 2달 총 24번 접속, 국내 실전용 해킹은 2회 추정

뉴스타파가 이탈리아 해킹팀 서버의 최근 2달간 접속 기록을 분석한 결과 국정원은 해킹팀 프로그램을 통해 모두 24건의 해킹을 시도했으며 이 가운데 해외 통신망에서 이뤄진 해킹은 15건, 국내 통신망에서 이뤄진 해킹은 2건으로 분석됐다. 또 나머지는 국내에서 테스트용으로 이뤄진 해킹이었던 것으로 나타났다.

유출된 해킹팀 자료에 들어있던 접속 기록은 해킹 목표물이 감염서버로 유인돼 접속하면서 남긴 기록이다. 여기엔 지난 5월과 6월에 이뤄진 전세계 해킹팀 고객의 해킹 시도 기록이 남아 있다.

이 접속 기록에는 감염서버에 접속한 일시와 해킹 목표가 된 단말기의 정보, 아이피 주소, 감염이 이뤄진 웹페이지 주소, 스파이웨어 설치 성공 여부 등이 포함돼 있다.

뉴스타파 취재진은 접속 기록에 포함된 이같은 정보들과 해킹팀이 국정원에 제공한 해킹용 웹페이지 주소와 첨부파일이 일치하는 지 여부를 비교해 국정원이 시도한 해킹 기록 24건을 찾아냈다.

어디를 해킹했나?

전체 24건 가운데 해외에서, 즉 해외통신망을 이용해 이뤄진 해킹이 총 15건으로 가장 많았다. 지역별로는 중국과 유럽, 동남아, 아프리카 등으로 폭넓게 이뤄졌다. 그러나 실제 해킹용 스파이웨어를 설치하는데 성공한 경우는 3건에 불과했고 12건은 실패한 것으로 나타났다.

해외에서 이뤄진 해킹 시도는 모두 국정원이 실전용이라고 해킹팀에 밝힌 것들이었다.

국내 통신망을 이용한 경우는 모두 9건이었는데 이 가운데 6건은 국정원이 테스트용이라고 밝힌 것이었고 실제로 아이피 주소(223.62.169.10, 223.62.169.56)도 겹치는 것이 많았다. 테더링으로 SK텔레콤 이동통신망에 접속해 개통하지 않은 다양한 단말기를 가지고 해킹 시험을 했기 때문에 아이피 주소가 서로 일치했던 것으로 보인다. (테더링: 휴대폰을 무선모뎀으로 활용해 인터넷에 접속하는 방식)

또 아이피 주소 223.62.169.56을 사용했던 갤럭시노트2(SKT모델) 단말기의 경우 국정원은 실전용이라고 밝혔지만 위의 테스트용 아이피주소와 겹치는 것으로 미뤄 역시 테스트용으로 분류했다.

이에 따라 국정원이 국내에서 실전용으로 실제 해킹에 사용한 것으로 보이는 접속 기록은 2건으로 추려졌다.

▲ 아이피 주소 앞 두자리인 223.62.*.*는 SK텔레콤이 국내에서 LTE 대역으로 사용하는 아이피 대역이다.

하나는 국정원이 실전용이라고 밝히면서 메르스 정보 사이트를 이용해 해킹을 요청했던 것으로 브라우저 설정이 한국어로 되어 있다. 또 하나는 영어로 설정된 단말기로 역시 실전용으로 국정원이 요청한 것이다.

▲ 미국 질병통제센터 CDC의 메르스 관련 페이지를 미끼 URL로 해킹 요청한 국정원 관리자의 이메일

물론 국정원이 실전용이라고 해킹팀에 요청했던 갤럭시노트2의 경우 아이피 주소의 앞 세자리(223.62.169.*)가 다른 테스트용(223.62.169.*)과 같은 것으로 볼 때 실제로는 실전용이 아닐 수도 있다. 그러나 다른 테스트용과는 다르게 매우 구체적인 사이트를 명시한 점으로 미뤄 충분히 국내 이동통신가입자를 상대로한 해킹이 아니냐는 의혹을 가질 수 있다

또 두번째 사례의 경우도 아이피 주소와 미끼 URL이 테스트용과 다른 것을 감안할 때 국내에 입국한 해외 교포나 외국인을 상대로 해킹을 시도한 것이 아니냐는 의심이 가는 대목이다.

다른 해킹 사례는 확인이 안되나?

뉴스타파는 앞서 공개한 자료 <국정원이 해킹팀에 보낸 ‘감염 요청 메일’ 분석 결과> 에서 내국인을 상대로 사용된 것으로 추정되는 미끼 URL과 첨부파일이 모두 43개에 이른다고 보도했다. 이 가운데 2013년에 미국의 안수명 박사를 목표로 한 것으로 보이는 해킹 요청 외에도 지난 3월말과 4월 중순 사이에 한국인을 목표로 했을 것으로 의심되는 사례가 집중돼 있다.

내국인을 상대로 하지 않았다면 미끼 URL로 한글로 된 맛집 소개나 축제 관련 블로그를 사용했을 리가 없기 때문이다.

하지만 이런 미끼 URL을 이용한 해킹 시도가 누구를 대상으로 어디에서 이뤄졌는지 현재로선 확인할 방법이 없다. 해킹팀의 서버에는 접속 기록이 지난 5월과 6월치만 보관돼 있기 때문이다.

또 이동통신사를 대상으로 접속기록을 확인한다고 해도 이동통신사는 인터넷 접속 로그기록을 3개월만 보관하도록 돼 있기 때문에 위에서 언급한 2015년 5월 이전의 의심사례를 확인하는 것은 힘들다.

뉴스타파가 분석한 해킹팀 서버의 해킹 기록은 국정원의 해명대로 해외에서 주로 해킹이 이뤄졌으며 국내에서 테스트용으로 사용한 경우도 있다는 것을 보여주지만 자국민에 대한 해킹의혹을 완전히 해소시켜주는 것은 아니다.

더구나 해킹팀 유출 자료로 분석할 수 있는 접속기록은 최근 2달치에 불과한 반면 국정원이 해킹프로그램을 운용한 기간은 지난 2012년 1월부터 지금까지 3년 6개월에 이른다.

국정원은 지금까지 대테러, 대북 공작을 위해서 해외에서 해킹프로그램을 사용하거나 테스트용으로만 사용했을 뿐 자국민을 대상으로는 사용한 적이 없다고 해명하고 있다.

또 국회 정보위원들이 국정원을 방문하게 되면 그동안의 해킹프로그램 사용기록을 모두 공개하겠다는 입장이다. 과연 해킹팀과 거래를 시작한 2012년부터 현재까지 기록을 투명하게 모두 공개할지 주목된다.

이번에 분석한 접속 기록 관련 자료는 뉴스타파 <국정원과 해킹팀> 데이터 페이지 에서 볼 수 있다.