국정원이 민간인 해킹 의혹을 풀 핵심 열쇠인 로그파일 공개를 계속 거부하고 있는 가운데, 보안 전문가들은 국정원 RCS 로그파일이 이미 위변조되었을 가능성도 있다는 견해를 밝혔다. 이에 따라 완전한 의혹 해소를 위해서는 로그파일만이 아니라 국정원 RCS의 운영체제, 즉 하드디스크까지 객관적으로 분석해 원본 파일에 조작이 있었는지 여부를 검증할 필요성이 제기되고 있다.

‘로그파일 공개’는 ‘민간인 해킹 검증’의 핵심

국정원 해킹 의혹의 본질이 국내 민간인에 대한 해킹 여부라는 것은 주지의 사실이다. 이를 판가름할 핵심 정보는 국정원 RCS 서버에 담긴 로그기록 속에 들어 있다.

이미 해킹팀 유출 자료 가운데 지난 5월과 6월 중 국정원이 요청한 악성코드의 활동이 담긴 로그기록이 26건이 확인된 바 있는데, 악성코드의 활동 일시, 접속 아이피, 단말기 모델 및 기종, 설정 언어, 미끼 URL, 감염 성공 여부까지를 확인할 수 있는 형식이었다. 이 가운데 2건은 내국인 해킹이 의심되는 기록이다.

※ 관련 데이터 : 해킹팀 서버 국정원 로그기록

사태 초기 야당은 국정원에 이 로그파일을 제출하라고 요구했다. 대국민 해킹이라는 휘발성 높은 의혹이 일었던 만큼 여당 역시 최대한 국정원이 자료를 공개하도록 협조하겠다는 입장이었다.

▲ 7월 18일 국정원 직원 임 과장 자살 현장

그러나 7월 18일 RCS 운영팀의 일원이었던 국정원 임 모 과장이 유서에 ‘일부 자료를 삭제했다’고 밝히며 스스로 목숨을 끊으면서 분위기가 바뀌었다. 야당이 자살 배경과 경위에 대한 석연치 않은 정황들을 이유로 공세를 강화하자 여당은 입장을 바꾼다. 로그파일 공개는 국가 기밀을 유출하라는 것이고 국가 안보를 무장해제하라는 것이어서, 북한만 이롭게 하는 행위라는 논리로 맞공세를 시작한 것이다.

▲ 7월 27일 국회 정보위원회에 참석한 이병호 국정원장

7월 27일 국정원은 임 과장이 삭제한 자료를 10일 만에 모두 복원했다며 국회 정보위원들에게 보고한다. 모두 51건의 해킹 시도 기록 가운데 대북·대테러 용의자를 대상으로 10건은 성공, 10건은 실패한 자료였으며, 나머지 31건은 내부 실험용 기록이었다는 것이다. 그러면서 이병호 국정원장은 자신의 직을 걸고 국내 사찰은 없었다고 강변했다. 그러나 야당은 국정원이 이른바 ‘셀프 검증’으로 ‘셀프 면죄부’를 발부하고 있다며, 객관적이고 세부적인 자료 제출 없이는 믿을 수 없다고 반발했다.

보안 전문가들의 견해는? “로그파일 이미 위변조됐을 수도”

국정원 해킹 의혹을 둘러싼 이 같은 여야 간 대치 정국을 국내외 보안 전문가들은 어떻게 바라보고 있을까. 뉴스타파가 접촉한 전문가들은 하나같이 의혹을 말끔히 해소하기 위해 필요한 것은 정치적 공방이 아니라 냉정한 기술적 접근이라고 조언했다.

우선 이들은 임 과장의 자료 삭제 문제는 큰 틀에서 볼 때 중요치 않을 수도 있다는 점을 언급했다. 내국인 사찰 여부를 가를 핵심은 어차피 로그파일인데, 해킹팀 자료 유출 이후 이미 20일 이상 흐른 시점에서 임 과장이 아닌 다른 국정원 직원이 로그파일에 손을 댔어도 이상할 것이 없기 때문이라는 것이다.

▲ 뉴스타파와 빌 마크잭의 화상 인터뷰 장면

이탈리아 해킹팀의 RCS가 전세계 21개국에서 활동하고 있음을 지난해 폭로했던 토론토대학 시티즌랩 연구원 빌 마크잭은 뉴스타파와의 화상 인터뷰에서 “로그파일은 기본적으로 텍스트 파일 형태이므로 누구라도 쉽게 편집과 삭제와 추가 등의 조작이 가능하다”며 “이런 조작이 있었는지를 디지털 포렌식 전문가조차 알 수 없게 수행하는 것도 얼마든지 가능하다”고 밝혔다.

익명을 요구한 한 국내 디지털 포렌식 전문가는 “디지털 포렌식에도 ‘골든타임’이 존재한다”면서 “해킹팀의 자료 유출 직후 국정원 RCS 서버에 담긴 로그파일을 곧바로 확보하지 않은 이상, 지금 와선 그 파일에 이미 어떤 조작이 가해졌는지를 판단하긴 어렵다”고 말했다.

▲ 김진국 플레인비트 대표와의 인터뷰 장면

이런 상태에서는 야당이 요구하는 로그파일이 공개된다 해도 의혹을 해소하기는커녕 되레 논란을 증폭시킬 수 있다는 견해도 있었다. 김진국 플레인비트 대표는 “디지털 자료는 위변조가 너무나 용이하다. 따라서 어떤 디지털 데이터의 ‘원본’이라는 것은 특정 시점에서 데이터의 특정 상태에 관해 이해 당사자 간의 상호 인정이 있을 때, 혹은 객관적 인증 절차(전자지문 등)가 있었을 때 성립하는 개념이다. 바꿔 말하면 이런 절차 없이 제시되는 디지털 자료는 이해 관계에 따라 ‘원본’이라고 주장할 수도 있고 아니라고 주장할 수도 있게 되는 것”이라고 설명했다. 즉 지금 당장 로그파일이 공개됐을 때 문제되는 내용이 없으면 여당은 ‘원본’으로 야당은 ‘조작본’으로 규정할 것이며, 문제되는 내용이 나오면 그 반대 주장이 펼쳐질 것이라는 의미다.

“로그파일 조작 여부 판단 위해 운영체제 전부 들여다 봐야”

전문가들은 이런 문제를 해결하기 위해선 로그파일만이 아니라 파일이 담겨 있던 국정원 RCS 서버의 운영체제를 모두 분석해 위변조 여부부터 판단해야 한다고 조언했다.

▲ 운영체제 검증 개념도 CG

원리는 이렇다. 만약 누군가가 로그파일 일부를 변조했다면 파일을 열고, 내용을 수정하고, 저장하고, 파일을 닫는 일련의 과정을 거쳐야 하는데 각각의 단계마다 디지털 기호 형태의 흔적이 운영체제 어딘가에 남겨진다는 것이다. 혹은 파일을 열지 않은 채로 삭제하려면 이 기능을 수행하는 소프트웨어나 프로그램이 실행되어야 하는데 이 역시 운영체제 어딘가에 흔적을 남긴다. 이런 산재한 정보들을 모두 긁어모아 분석하면, 로그파일이 위변조되기 이전의 원 정보를 복원시킬 수는 없더라도 최소한 조작이 있었다는 사실은 확정할 수 있다는 것이다.

이 파일이 만약에 어떻게 수정이 되거나 사용자가 어떤 행위를 했다, 그러면 그 시스템, 우리가 윈도우즈 컴퓨터라고 하면 컴퓨터 자체, 서버면 서버 자체, 그 디스크 자체가 전체적으로 있으면 그 안에 있는 로그파일에 어떤 임의적인 조작을 가했다 안 했다(를 알 수 습니다.) 사실 이것도 시간이 지나면 밝혀내기가 어렵습니다. 그래도 어느 정도 파일 하나만 보고 판단하는 것보다는 신빙성 있게, 신뢰성 있게 판단할 수 있죠.
– 김진국 플레인비트 대표

포렌식 분석을 제대로 하기 위해선 해킹팀의 소프트웨어가 실행됐던 국정원 컴퓨터의 원본 하드 드라이브를 확보해야 합니다. 만약 국정원이 로그파일만을 제공한다면 그것의 조작 여부를 확인할 확실한 방법은 없다고 봐야 하고요.
– 빌 마크잭 토론토대학 시티즌랩 연구원

국정원, 국민 신뢰 회복할 마지막 기회 잡을 수 있을까

지난 29일 여야는 민간 추천 전문가와 국정원 기술진의 간담회 개최에 조건부 합의했다. 이때 야당은 국정원이 RCS 데이터가 담긴 하드디스크 원본 등 6개 자료가 제출되지 않으면 합의를 파기하겠다는 뜻을 밝혔다. 이는 디지털 보안과 포렌식 전문가들이 제시한 검증 방식의 틀에 부합하는 것이다.

마찬가지로 국정원도 민간인 사찰 의혹을 근본적으로 해소하는 데 필수인 디지털 증거를 제시하는 데 주력할 필요가 있다. 특히 국정원장 직을 걸겠다고 밝힐 정도로 자신이 있다면 전문가들이 인정하는 검증 방법을 마다할 이유가 없을 것이다. 그리고 그 결정은 빠를수록 좋다. 이미 대선 개입과 간첩 증거 조작으로 국민의 신뢰를 잃은 국정원이기에 더더욱 그렇다.

포스코건설이 하청업체 대표에게 입막음조로 거액을 제공한 사실이 확인된 가운데, 해당 자금의 출처에 대한 의혹이 제기되고 있다. 포스코건설은 하청업체 대표 정 씨와의 협상 과정에서 합의금 액수를 수시로 조정하고 차명 거래를 종용하는 등 일반적인 손실 보상 절차로 볼 수 없는 행태를 보였다. 뉴스타파는 포스코건설과 하청업체 대표 정 모 씨가 2년에 걸쳐 주고받은 공문과 녹취를 입수, 분석해 이같은 사실을 확인했다.

입수한 자료에 따르면, 2014년 3월 정 씨는 포스코 건설의 브라질 CSP 공사에 참여해 입은 손실을 보전해달라며 포스코건설 측에 처음 공문을 보냈다. 포스코건설 측은 “손실이 발생한 책임이 정 씨에게 있고, 정 씨가 제출한 근거 자료 또한 부실하다”며 보상을 거부했다. 오히려 브라질 현지에서 내지 않은 세금과 자재비 등을 해결하라며 정 씨를 압박했다. 양측의 줄다리기는 1년 이상 계속됐다.

그런데 2015년 초, 정씨가 포스코건설 임직원의 비리 폭로 등을 예고하며 1인 시위에 나선 직후 분위기가 달라졌다. 당시 정 씨가 포스코건설 임원들과 나눈 대화 녹취 파일 등에 따르면, 포스코건설이 이전과는 달리 적극적으로 보상 협상에 나섰음을 알 수 있다. 김성관 당시 포스코건설 사장이 직접 협상에 나섰을 정도다. 녹취 파일에 따르면 김 사장은 정 씨에게 “(포스코건설 비리를 폭로하기 위해) 언론사를 찾아가는 건 국익에도 맞지 않다. 우리와 얘기해 해결하자”며 정 씨를 회유한 것으로 나온다. 그리고 한달 뒤, 포스코건설은 상생협력을 명분으로 5억8천만 원의 손실보상금을 지급하겠다는 공문을 정 씨에게 보냈다.

협상 과정에서 포스코건설 측이 구두와 공문으로 정 씨에게 제시한 보상금의 액수는 수시로 바뀌었다. 한 달이 안되는 기간 동안 보상금이 4~6억 원을 오갔다. 정 씨가 포스코건설의 5억 8000만 원 보상안을 거부하고 1인 시위의 강도를 높이자, 보상금 액수는 2배 수준인 10억 원까지 올랐다. 정 씨는 “무슨 근거로 10억원이라는 액수가 결정됐는지 난 알지 못했다”고 말했다.

보상금 지급 과정에서 포스코건설이 보인 태도도 의혹을 키운다. 포스코건설은 상생협력 차원의 보상금이라면서도 정상적인 방식으로 보상금을 지급하지 않았다. 정 씨가 지정해 준, 브라질에 개설된 다른 사람 명의의 계좌로 돈을 보냈다. “회계처리가 어려워 일반 계좌 입금은 어렵다”는 게 이유였다. 포스코건설 스스로 이 합의금이 비정상적 거래임을 시인한 셈이다. 이런 내용은 정 씨와 포스코건설 임원이 나눈 대화내용으로 확인할 수 있었다. 정 씨는 최근 뉴스타파와의 인터뷰에서 “포스코건설 측이 먼저 차명 해외계좌로 돈을 보내겠다는 뜻을 밝혔다”고 주장했다. 합의금 10억 원(320만 브라질 헤알)은 지난 5월 28일 정씨 측에 송금됐다. 돈을 보낸 곳은 포스코건설 브라질법인이었다.

뉴스타파는 정 씨에게 10억 원을 지급한 이유와 경위 등을 묻는 질의서를 포스코건설에 보냈다. 그러나 포스코건설은 ‘보안 규정’을 이유로 명확한 답변을 하지 않았다.

취재 오대양, 한상진
촬영 김수영, 최형석
편집 정지성