국정원 해킹 사태 해결을 위한 토론 및 백신 프로그램 발표회 개최

 

• 일시: 2015년 7월 30일(목) 오전 10시
• 장소: 국회 의원회관 제1소회의실
• 주최: 사단법인 오픈넷, 이종걸 의원실

 

취지

국민의 세금으로 운영되는 국가기관인 국가정보원이 스파이웨어를 구매하여 민간인을 사찰했다는 의혹이 해소되지 않고 있습니다. 더구나 국정원의 감시감청은 영장, 대통령 허가,설비도입 보고 등의 절차를 무시하여 통신비밀보호법과 정보통신망법을 위반했다는 비판도 받고 있습니다. 절차 규정을 준수했다 하더라도 개인의 정보기기에 대한 통제권을 잠탈하는 해킹까지 헌법상 허용되는지에 대한 의문이 제기되고 있습니다. 이번 토론회는 이탈리아 해킹팀 자료 유출로 드러난 국정원의 해킹식 감시·감청에 대한 전반적인 법률 문제와 해결 방안을 살펴보고, 해외 민간인 사찰 사례 소개, RCS가 어떻게 작동하여 민간인 사찰에 악용되는지, 이에 대해 외국 특히 유럽연합에서는 어떤 대응을 하고 있는지도 살펴보고자 합니다.

국정원이 배포한 스파이웨어에 감염된 불특정 다수의 국민들은 국정원이나 해킹팀이 아니더라도 제3자에게 사어버 공격을 당할 위험에 놓이게 됩니다. 하지만 국내 백신 업체들은 아무런 대응도 하지 않고 있습니다. 이에 시민들이 자발적으로 참여하는 ‘국민 백신 프로젝트’가 발족하였습니다. 이를 통해 개발한 백신 프로그램의 베타버전을 공개하고 향후 계획에 대해 발표하는 자리를 갖고자 합니다.

 

순서

• 개회사 및 전체 진행: 남희섭((사)오픈넷 이사)

[제1 세션] 국가기관의 해킹툴 사용의 위법성과 해결 방안(60분)

• 좌장: 이종걸 의원(새정치민주연합 원내대표)
• 발제 1 – 심우민 박사(국회 입법조사처 입법조사관): 국정원의 RCS 사찰과 불법성 검토
• 발제 2 – 박경신 교수(고려대 법학전문대학원, (사)오픈넷 이사): 외국 감청감시의 한계 및 감청감시 입법 제안
• 토론 1 – 김지미 변호사(민주사회를 위한 변호사모임 사무차장): 국정원 어떻게 할 것인가?
• 토론 2 – 국회의원 1인: 국정원의 국민 해킹에 대한 국회의 대응 방안

[제2 세션] 오픈 백신 프로그램 베타버전 발표(30분)

• 취지 설명 및 향후 계획: 남희섭((사)오픈넷 이사)
• RCS 작동원리 및 오픈 백신 프로그램 내용 소개: 개발자(익명)

[제3 세션] 이탈리아 해킹팀의 민간인 사찰 사례 및 외국의 대응(30분)

• RCS의 해외 민간인 사찰 사례: 전자개척자재단(EFF), 시티즌랩(섭외 중)
• 외국의 대응: 이탈리아 의원 또는 유럽의회 의원(섭외 중)
• 종합토론 및 질의응답(30분)

 

국정원의 국민해킹 우려에 맞서는 “국민 백신 프로젝트” 발족

국민 누구나 참여·후원할 수 있는 오픈소스 및 소셜펀딩 방식으로 진행

베타 버전, 7월30일 목요일 오전10시 국회 토론회에서 발표 예정

 

(사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는, 국정원이 이용한 해킹팀(Hacking Team)의 스파이웨어(RCS)에 불특정 다수의 우리 국민들까지 감염되었을 우려에 대응하기 위해 RCS 감염 여부를 포착하고 RCS에 의한 감염을 치유 및 예방하는 프로그램을 개발하는 “국민 백신 프로젝트”를 발족한다. 베타버전은 오는 7월 30일 10시에 공개할 예정이다(국회토론회는 별도의 보도자료 배포).

RCS를 식별할 수 있는 프로그램은 이미 배포되어 있지만, 윈도우 PC용으로 제한되어 있고, 성능 보장도 확실하지 않다. 가령 국제인권단체들이 배포한 ‘디텍터(Detekt)’[1], 외국 보안업체가 만든 레드삭스(Redsocks)의 ‘MTD’ (Malware Threat Defender)[2], 루크 시큐리티(Rook Security)의 ‘밀라노’(Milano)[3] 등은 모두 윈도우 PC용이고, 우리 국민 대다수가 사용하는 모바일에는 적용할 수 없다. “국민 백신 프로젝트”로 개발될 프로그램 “오픈백신”(가칭)은 모바일을 포함한 모든 기기에 적용되도록 할 것이다.

오픈백신 프로그램 개발 방식

해킹팀의 스파이웨어를 국정원도 사용하고 있다는 의혹이 제기된지는 무려 1년 6개월이 지났다[4]. 하지만 국내 백신업체들은 아무런 대응도 하지 않았다. 특히 지난 7월 6일에는 해킹팀의 내부 자료가 유례없이 방대한 규모로 공개되어, 국정원이 해당 스파이웨어를 구입하여 내국인을 상대로 사용했다고 믿을만한 정황들이 드러난지도 벌써 한 달이 다 되어간다. 하지만 국내 백신업체들은 여전히 아무런 백신도 내놓지 않고 있다. 해킹팀의 스파이웨어는 소스코드가 기트허브(GitHub)에 이미 공개되어 있어서 백신 프로그램을 얼마든지 만들 수 있는데 말이다(https://github.com/0xPoly/Hacking-Team-Sweeper).

오픈백신은 이처럼 공개된 소소코드드를 기초로, 우리 국민들이 가장 많이 사용하는 안드로이드 모바일, 윈도 PC용 백신 프로그램 개발을 목표로 한다. 초기 개발은 위 3개 단체가 지원하고(이미 RCS 소스 분석은 마쳤다), 이후에는 개방형 개발 방식으로 전환한다. 오픈백신 프로그램 역시 소스코드를 모두 공개하여 기술적 재능이 있는 사람이라면 누구나 익명으로 재능기부를 할 수 있고, 이를 통해 오픈백신을 모든 기기로 확대할 수 있을 것이다. 이러한 개방형 혁신이 백신업체 내부의 개발자들에 의한 폐쇄형 방식보다 성능이나 보안 면에서 더 우수하다는 점은 이미 밝혀졌다. 그리고 국민 감시에 악용되는 스파이웨어에 맞서는 데에는 국민참여형 대응이 가장 훌륭한 방식임을 보여줄 것이다. 그리고 개발된 프로그램은 누가 독점하지도 않고 모두에게 개방될 것이다(이탈리아 해킹팀은 자신의 기술을 이미 국내에 특허출원까지 해 두었다(특허출원번호 제1020137005146호 “네트워크 트래픽을 처리하는 방법 및 장치”).

오픈백신 프로그램 배포 일정 및 운영

• 안드로이드 모바일, 윈도우 PC용 백신 프로그램 개발 완료 후 베타버전 공개: 2015년 7월 30일 오전 10시, 국회 의원회관 제2소회의실
• 테스트 진행, 버그 및 수정 작업 후 정식버전 배포: 8월 6일 예정
• 오픈소스 방식으로 전환하여 다른 기기용 백신 프로그램 개발 및 배포
• 해킹팀의 스파이웨어 소스코드 분석 보고서 발표
• 감염된 기기에 대한 디지털 포렌식 분석
• 해킹팀 이외의 다른 스파이웨어에 대한 패턴 업데이트 진행

국민 누구나 참여하는 소셜펀딩

오픈백신 프로그램을 베타버전에서 완성단계로 발전시키고 다양한 기기나 국내 통신환경에 맞게 개선하고 유지보수하는 데에는 상당한 자원이 소요된다. 이에 따라 진보네트워크센터가 운영해온 소셜펀딩 플랫폼을 이용하여 국민들이 누구나 후원할 수 있도록 할 계획이다.

오픈백신 프로그램과 국정원의 합법적인 해외 정보 수집

스파이웨어를 찾아내는 백신 프로그램이 배포되면 국정원의 정상적인 해외 정보 수집이 방해받는다는 우려가 있을 수 있다. 하지만 이미 해킹팀의 스파이웨어는 소스코드가 공개되어 어떻게 작동하는지 누구나 알 수 있는 상태다. 따라서 오픈백신 프로그램 때문에 우리 정보기관의 합법적인 해외 정보 수집이 타격을 받을 가능성은 거의 없다. 가령 북한은 이미 RCS를 통한 감시를 우회하는 기술을 개발하였을지도 모른다. 국민들을 대상으로 한 스파이웨어의  감염 시도가 이루어졌을 것이라는 우려가 높은 상황에서 우리는 실제로 감염되었을지 모를 해킹팀의 악성코드뿐 아니라 누군지 모르는 제3자의 해킹위험에 처해있을 국민들의 정보인권에 우선을 둘 수밖에 없다.

————————————————-

[1] ‘디텍터’는 클라우디오 과르니에르(Claudio Guarnieri)가 시티즌랩(Citizen Lab)의 기술 지원으로 국제 정보인권 단체들, 프라이버시 인터내셔널(Privacy International), 디지탈레 게젤샤프트(Digitale Gesellschaft), 앰네스티 인터내셔널, 전자개척자재단(EFF)과 함께 해킹팀의 스파이웨어를 탐지하는 프로그램으로 2014년 11월 배포되었다. 사용법은 진보네트워크센터에서 우리말로 제공하고 있다. http://act.jinbo.net/drupal/node/8782

[2] http://redsocksmtd.blogspot.kr/2015/07/hacking-team-100-endgame.html

[3] https://www.rooksecurity.com/resources/downloads/

[4] 이탈리아 해킹팀이 RCS를 각국 정부에 팔았고, RCS가 모로코와 아랍에밀레이트 기자와 인권운동가를 감시하는 데에 사용되었다는 의혹이 제기된 것이 2012년이다. 그리고 시티즌랩(Citizen Lab)이 한국을 포함한 21개국 정부가 RCS를 사용하고 있다고 보인다는 공식 보고서를 발표한 것이 2014년 2월 17일이다. https://citizenlab.org/2014/02/mapping-hacking-teams-untraceable-spyware/ 참조

 

2015년 7월 27일

 

(사)오픈넷

진보네트워크센터

P2P재단코리아준비위원회

 

이란 프레스 TV, 국정원 해킹…한국인들 스마트 폰 습관 바꿔– 한국 정부의 사찰은 단순 도청 수준 넘어– 이용자들, 국외 서비스망 사용하고 직접 만나는 방법 취해– 해킹 추문으로 나라 꼴 엉망진창 – 국정원, 2012년 야당 대선 후보 비방글 유포 혐의로 기소돼이란의 프레스 TV는 25일 ‘한국 해킹 스캔들 드러나다’라는 영상 보도에서 정부의 감시를 피하려는 한국인들이 스마트 폰 사용 ...

1.국정원을 위한 타파스 플레인 – 해킹.감청 똑바로 하기

제대로 공작하는 법을 1도 모르는 것 같은 요원님들을 위해 타파스가 준비한 ‘올바른 해킹·감청 가이드’
▶ 더 자세한 내용이 알고싶다면?
박경신 사단법인 오픈넷 이사가 쓴 “국정원의 해킹팀 스캔들 평가”

2.타파스 극장 : 삼권분립 대서사시

어느 나라 얘기 같아 보이는건 기분탓일 겁니다. 아마도…

3.타파스 클립 : 당신은 학부모가 아니다

집에서는 아버지, 학교에서는 남남?
아버지로 인정받을 수 없었던 아버지의 싸움
그런데 이런 아버지들, 참 많습니다.

참으로 이상한 나라입니다. 

 

시간은 앞으로 흘러가고 있는데 이 정부와 사회는 점점 뒤로 후퇴하는 느낌입니다. 

국가정보원이 해킹 프로그램을 구매하였습니다.  

국정원은 계속 부인하고 있지만 우리는 그 프로그램의 용도가 무엇인지 너무나도 분명히 알고 있습니다. 

곧 이어 담당자가 자살을 하고, 기다렸다는 듯 국정원 직원 명의 성명서가 나왔습니다.  

성명서에서 국정원은 '자국의 정보기관을 나쁜 기관으로 매도하기 위해 매일 근거없는 의혹을 경쟁적으로 쏟아내는 나라는 우리 밖에' 없다며 오히려 의혹을 제기한 국민들을 비난했습니다. 

 

그 와중에 대통령이란 사람은 이 사태에 대해 일언반구도 없습니다. 

여당 대표라는 사람은 국가 안보를 위해서라면 사찰을 할 수도 있는 것 아니냐며

말인지 막걸리인지 알 수 없는 발언을 내뱉고 있습니다. 

 

더 이상 참을 수 없다고 판단한 경기,수원지역 시민사회단체들이 어제(23일) 새누리당 경기도당 앞에 모여 시국선언을 진행하였습니다. 

 

 

 

기자회견에서 발언자들은 국정원과 박근혜 정부를 강력 규탄하였습니다. 발언들 중 일부를 살펴볼까요? 

 

"대선 당시 벌어진 국정원 직원 댓글 사건과 최근 벌어진 민간인 사찰 의혹 문제를 보며 국정원에 의해서 거짓 정권이 탄생했다는 생각을 지울 수가 없다."
"종들(집권세력)이 주인(국민)을 무시하고 자기가 주인인양 행패 부리는 꼴을 뼈아프게 느끼고 있다. 이 종들을 총선과 대선에서 심판해서, 권력은 국정원이 아닌 국민에게서 나와야 한다는 민주주의의 기본을 지키는 올바른 종들을 뽑자."

-이종철 목사(수원지역목회자 연대대표)

"국정원의 대외 위장용 명칭인 '대한민국 정부 5163부대'는 박정희가 쿠데타를 일으킨 5월 16일 새벽 3시를 가리키는 것이다. 이것이 국정원이 박정희의 독재를 그리워하는 조직이라는 걸 스스로 고백한 증거이다."
"국정원은 국회 동의도 없이 해킹 프로그램을 사들였고, 영장도 없이 감청했는데, 이는 모두 불법이다. 특검을 도입해 진상을 규명하라"

-송무호 (민주 행동경기원탁 회의 상임 공동대표)

"김무성 새누리당 대표가 '국가 안보를 위하는데 사찰이 무슨 문제냐?'는 발언을 했다. 여기서부터 문제가 시작된 것이다."

"국정원이 직원 명의로 성명을 발표한 것은 국민에 대한 삿대질이다. 국가 정보원을 해체해야 한다, 당신들(국정원)이 없어도 우리는 충분히 안전하게 살 수 있다"

-박진 (다산인권센터 상임 활동가)

 

 

 

      ▲  국정원이 돋보기를 든 채 민주주의 등을 꽁꽁 묶은 포승줄을 들고 있는 퍼포먼스      

 

금번 “국민해킹”사태 관련 시민사회의 입장 국정원의 ‘국민해킹’사태관련 시민사회단체 공동성명...

RCS 사태에 대응하기 위해 19대 국회가 꼭 할 일:

통신자료제공제도 및 피감시자통지제도 개선 법안 처리

 

국가정보원이 이탈리아 “해킹팀”의 스파이웨어인 RCS(Remote Control System)를 구매하여 사용한 사실이 드러나면서, 해당 프로그램이 우리 국민을 불법적으로 사찰하는 데 사용되었는지 여부가 초미의 관심사이다. 오픈넷은 최소한의 방책으로서 이번 회기에 기 발의된 사이버사찰 방지법안들이 조속히 통과될 것을 요구한다.

우선 가장 중요한 방책은 피감시자에 대한 통지의 개선이다. 국정원이 RCS를 내국인에게 사용하였다면 피감시자에게 통지할 의무가 있는데, 선진국 중에서 거의 우리나라만 유일하게 통지가 수사가 완전히 종료된 후에야 이루어진다. 현행법에서는 기소 또는 불기소 처분을 한 날부터 30일 이내 통지라고 되어 있어 처분이 없는 경우는 통지가 아예 행해지지 않고 있으며, 검사장의 승인 하에 무기한 유예하는 것도 가능해 통지를 못 받는 경우가 훨씬 많다. 오픈넷은 이에 따라 통신비밀보호법 개정안이 감청, 통신사실확인, 전기통신 압수수색 등 감시가 이루어졌다면 그 종료 후 90일 이내에 당사자에게 집행 내역을 통지하도록 하였다(정청래 의원 발의). 현행법상의 피감시자 통지 자체가 부실하였기 때문에 피감시자 몰래 하는 감시의 궁극이라고 할 수 있는 RCS에 대해서도 도덕적 해이가 있었을 것으로 보인다. 다시 확인컨대 “영장이 있다고 해서 증거를 훔칠 수는 없다.”

두 번째 문제는 피감시자의 신원확인이 영장이나 통지 없이 이루어진다는 것이다. 2014년 10월에는 노동당 정진우 부대표의 카톡 압수수색 사건으로 인해 대규모 ‘사이버 망명’ 사태가 벌어지기도 했는데 이때도 사람들이 분노한 것은 정 부대표의 단체카톡방의 카톡 내용에 대해 이루어진 합법적인 압수수색보다도 그 방에 참가한 수천 명의 사람들의 신원정보를 당사자에게 아무런 통지 없이 취득했었기 때문이다. 지난 2014년 한 해 동안 통신자료 제공(가입자 이름, 주소, 주민번호 등)은 10,771,978건(전화번호/ID 수 기준)이 이루어졌는데, 이 수치에 의하면 한 해에만 우리 국민 5명 중 1명은 통신에 관련된 정보를 수사기관에 털린 경험이 있다고 해도 과언이 아니다. 더 큰 문제는 대부분의 경우 통지를 받지 못해 털린 것도 모른다는 것이다. 현행 전기통신법 제83조 3항이 통신자료가 민감한 개인정보임에도 불구하고 수사기관이 영장 없이 기업들을 통해 손쉽게 취득하는 것을 허용하고 있어, 오픈넷은 전기통신사업법 개정안은 해당 조문을 삭제하여 영장주의의 적용을 받게 하였다(정청래 의원 발의). RCS와 같이 개인의 통신기기의 통제권을 완전히 잠탈하게 된다면 앞으로도 정진우 부대표의 사례와 같이 엄청난 수의 무고한 통신상대방의 신원정보도 모두 취득될 것이다.

위의 통신비밀보호법과 전기통신사업법의 개정은 19대 국회에서 반드시 해결해야 한다. 19대 국회가 개원한 2012년 6월 이후 위 두 가지 사안에 대해 2015년 6월까지 3년간 발의된 관련 법안만 무영장 통신자료제공 제도 개선 10개, 피감시자통지제도 개선 총 17개나 된다. (참여연대, 이슈리포트 <국회 통과 기다리는 사이버사찰방지 법안 17개>)

여기에는 오픈넷이 정청래 의원과 함께 발의한 전기통신사업법 개정안과 통신비밀보호법 개정안도 포함되어 있는데(http://opennet.or.kr/7900), 그 골자는 통신자료 제공 제도 폐지 및 감시 현황에 대한 투명성 강화 그리고 감청, 전기통신압수수색, 통신사실확인에 대한 통지제도 보완이다. 추가적으로 전기통신사업자들이 감시협조 현황에 대해 보고하고 국민에게 공개하도록 하는 투명성 보고 제도를 신설했다.

오픈넷은 위의 두 가지 핵심법안 외에도 RCS에 대한 대응의 일환으로서 피싱에 의한 감청 및 압수수색의 금지를 법으로 금지할 것인가에 대한 논의도 제안한다. (오픈넷은 7월30일 저녁 7시, 스타트업 얼라이언스에서 “디지털시대 감시의 한계는 어디인가? 피싱, 기지국수사, 프리즘”이라는 주제로 포럼을 개최할 예정이다.)

눈부신 정보통신기술 발전의 혜택은 일반인뿐만 아니라 범죄자도 동일하게 누리고 있으며, 날로 고도화되는 범죄 수법을 따라가기 위해서는 어느 정도의 사이버 사찰은 필요악이다. 하지만 사찰은 개인의 기본권, 특히 프라이버시를 지대하게 침해하는 행위이기 때문에 국민의 통제 없이 이루어져서는 안 된다. 또한 사찰의 필요성이 없어진 경우에는 대상자에게 반드시 통지를 해서 사찰의 대상자에게 기본권이 제한되었던 사실을 알리고 대응을 할 수 있는 기회를 주어야 할 것이며, 이런 절차가 있어야만 수사기관이 태생적으로 가질 수밖에 없는 끝없는 감시 욕구를 견제할 수 있을 것이다.

이제 시간이 별로 남지 않았다. 제19대 국회는 임기가 끝나기 전까지 기 발의된 2개의 법안이라도 통과시켜 한시라도 빨리 선량한 국민들을 무차별적인 사이버사찰로부터 보호하는 것이 국민의 대표로서의 소임을 다하는 길임을 명심하기 바란다.

 

2015년 7월 22일

 

사단법인 오픈넷

 

이탈리아 해킹전문업체 판매 내역이 해킹되어 공개됐다. 고객명단에 대한민국 정부 5163부대가 있었다. 오고 간 영수증 주소는 국정원 공개 민원 창구 접수처와 같았다. 국정원은 프로그램 사용을 시인했다. 그러나 ‘대북·해외 정보전’ 차원이라고 변명했다. 국내 민간인 사찰 목적이 아니라는 설명이다. 국정원 직원이 자살했다.

이번 일의 기술 담당 직원이었다. 유서에는 “내국인에 대한 선거 사찰은 전혀 없었다”고 쓰여 있었다. 새누리당은 야당과 일부 언론이 물고 늘어져 비극으로 이어졌다는 정치공세를 시작했다. 여권 관계자는 “우리나라에선 국정원이라고 하면 덮어놓고 의심의 눈초리로 보는 경향이 있다“며 분노했다.

19일 야당은 ‘이탈리아 해킹팀이 시도한 국내 아이피 주소 중 KBS와 KT·다음카카오 등 방송·통신사 등이 두루 포함된 것’으로 나타났다고 발표했다. 국정원 주장대로 ‘대북용’ 이나 ‘연구용’이든 아니든, 국내 아이피 주소들이 해킹당한 것은 부인할 수 없다.

암약하는 간첩 신원을 확인했기 때문에 전방위적 사찰을 했다 한다면, 그것도 두려운 일이다. 도대체 간첩은 얼마나 있는 것이며 국정원은 그동안 무엇을 했단 말인가. 지난 대선 국정원 직원 김아영이 여당 후보, 대통령을 도왔던 열정이면 나라가 이 꼴이 되었을까 말이다.

‘덮어 놓고 의심의 눈초리로 보는 경향’은 누가 만들었는가. 국민들이 국가 안보에 여념 없는 정보기관 존재를 일년 내내 사찰 시비로 왜 만나야 하는가.

국정원장이 선거법 위반과 국정원법 위반으로 감옥에 갇혀 있는 것은 말이 되는가. 당신들이 결백하다는 것을 믿을 사람은 눈을 씻고 봐도 없는데, 국민에게 뒤집어 씌운다. 이런 것을 적반하장이라고 하지 않겠나. 도둑이 되레 매를 들고, 잘못한 사람이 도리어 잘한 사람을 나무라는 경우 말이다.

하긴 여당 대표 김무성씨는 “국가 안위를 위해 해킹 할 필요가 있으면 하는 것 아니냐”했다 하니, 그게 국내용이든 불법이든, 사적이든, 이미 논할 가치조차 없을지 모른다. 솔직한 말이었을지 모른다. 국가정보기관이 언제는 정부여당 것 아닌 적이 있었는가, 닥치고 조용히 있으라는 말이다.

국정원 직원 공동성명이 발표되었다. “자국의 정보기관을 나쁜 기관으로 매도하기 위해 매일 근거 없는 의혹을 경쟁적으로 쏟아내는 나라는 우리 밖에 없습니다.” 정보기관 직원 일동이라는 본적 없고 들은 적도 없는 성명도 어이없다. 조만간 부서 직책 연명도 불사할 기세다. 조직을 지키기 위해서라면 정보기관 기본도 지키지 않는다.

무엇보다 근거 없는 의혹을 끊임없이 제공했던 성찰은 단 한 줄도 없다. 중앙정보부, 안기부, 국정원으로 이어졌던 국내용 사찰과 고문의 역사를 국민이 잊었다고 하는 소린지 실소가 나온다. 이번 죽음조차 석연치 않게 생각하는 사람이 많다.

박근혜 정부 들어 증언자들은 결정적 순간에 죽었기 때문이다. 정적 제거를 위해 어떠한 수단도 마다하지 않던 박정희와 중앙정보부가 무소불위 권력을 휘둘렀던 때를 우리는 독재시대라 부른다.

그 시대 망령을 불러온 것이 누군지, 다시 한번 묻고 싶다. 국민이 문제인가, 당신들이 문제인가. 5163부대 명칭이 ‘516 쿠데타 때 박정희 소장이 새벽 3시에 한강철교를 넘었다’는 데서 따온 숫자라고 하던데… 말해 무엇하리요. 국정원의 거처를. 입만 아프지.

2015. 7. 21. 경기일보
박진 (다산인권센터 상임활동가)

<원문보기>

[경기시론] 5163부대와 그들의 적반하장

* 아래 '공감' 버튼, 페이스북 좋아요 한번씩 눌러주시면 

더 많은 분들께 이 소식을 전할 수 있습니다. ^^

– 최근 2달 총 24번 접속, 국내 실전용 해킹은 2회 추정

뉴스타파가 이탈리아 해킹팀 서버의 최근 2달간 접속 기록을 분석한 결과 국정원은 해킹팀 프로그램을 통해 모두 24건의 해킹을 시도했으며 이 가운데 해외 통신망에서 이뤄진 해킹은 15건, 국내 통신망에서 이뤄진 해킹은 2건으로 분석됐다. 또 나머지는 국내에서 테스트용으로 이뤄진 해킹이었던 것으로 나타났다.

유출된 해킹팀 자료에 들어있던 접속 기록은 해킹 목표물이 감염서버로 유인돼 접속하면서 남긴 기록이다. 여기엔 지난 5월과 6월에 이뤄진 전세계 해킹팀 고객의 해킹 시도 기록이 남아 있다.

이 접속 기록에는 감염서버에 접속한 일시와 해킹 목표가 된 단말기의 정보, 아이피 주소, 감염이 이뤄진 웹페이지 주소, 스파이웨어 설치 성공 여부 등이 포함돼 있다.

뉴스타파 취재진은 접속 기록에 포함된 이같은 정보들과 해킹팀이 국정원에 제공한 해킹용 웹페이지 주소와 첨부파일이 일치하는 지 여부를 비교해 국정원이 시도한 해킹 기록 24건을 찾아냈다.

어디를 해킹했나?

전체 24건 가운데 해외에서, 즉 해외통신망을 이용해 이뤄진 해킹이 총 15건으로 가장 많았다. 지역별로는 중국과 유럽, 동남아, 아프리카 등으로 폭넓게 이뤄졌다. 그러나 실제 해킹용 스파이웨어를 설치하는데 성공한 경우는 3건에 불과했고 12건은 실패한 것으로 나타났다.

해외에서 이뤄진 해킹 시도는 모두 국정원이 실전용이라고 해킹팀에 밝힌 것들이었다.

국내 통신망을 이용한 경우는 모두 9건이었는데 이 가운데 6건은 국정원이 테스트용이라고 밝힌 것이었고 실제로 아이피 주소(223.62.169.10, 223.62.169.56)도 겹치는 것이 많았다. 테더링으로 SK텔레콤 이동통신망에 접속해 개통하지 않은 다양한 단말기를 가지고 해킹 시험을 했기 때문에 아이피 주소가 서로 일치했던 것으로 보인다. (테더링: 휴대폰을 무선모뎀으로 활용해 인터넷에 접속하는 방식)

또 아이피 주소 223.62.169.56을 사용했던 갤럭시노트2(SKT모델) 단말기의 경우 국정원은 실전용이라고 밝혔지만 위의 테스트용 아이피주소와 겹치는 것으로 미뤄 역시 테스트용으로 분류했다.

이에 따라 국정원이 국내에서 실전용으로 실제 해킹에 사용한 것으로 보이는 접속 기록은 2건으로 추려졌다.

아이피주소	223.62.169.2	223.62.212.18
단말기	갤럭시노트2 SKT	갤럭시노트2(해외용)
해킹 일시	2015.6.4	2015.6.17
설정 언어/국가	ko-kr	en-ph
할당대역	SKT	SKT
미끼 URL	http://www.cdc.gov/coronavirus/ mers/faq.html	http://www.5zuo2.com

▲ 아이피 주소 앞 두자리인 223.62.*.*는 SK텔레콤이 국내에서 LTE 대역으로 사용하는 아이피 대역이다.

하나는 국정원이 실전용이라고 밝히면서 메르스 정보 사이트를 이용해 해킹을 요청했던 것으로 브라우저 설정이 한국어로 되어 있다. 또 하나는 영어로 설정된 단말기로 역시 실전용으로 국정원이 요청한 것이다.

물론 국정원이 실전용이라고 해킹팀에 요청했던 갤럭시노트2의 경우 아이피 주소의 앞 세자리(223.62.169.*)가 다른 테스트용(223.62.169.*)과 같은 것으로 볼 때 실제로는 실전용이 아닐 수도 있다. 그러나 다른 테스트용과는 다르게 매우 구체적인 사이트를 명시한 점으로 미뤄 충분히 국내 이동통신가입자를 상대로한 해킹이 아니냐는 의혹을 가질 수 있다

또 두번째 사례의 경우도 아이피 주소와 미끼 URL이 테스트용과 다른 것을 감안할 때 국내에 입국한 해외 교포나 외국인을 상대로 해킹을 시도한 것이 아니냐는 의심이 가는 대목이다.

다른 해킹 사례는 확인이 안되나?

뉴스타파는 앞서 공개한 자료 <국정원이 해킹팀에 보낸 ‘감염 요청 메일’ 분석 결과> 에서 내국인을 상대로 사용된 것으로 추정되는 미끼 URL과 첨부파일이 모두 43개에 이른다고 보도했다. 이 가운데 2013년에 미국의 안수명 박사를 목표로 한 것으로 보이는 해킹 요청 외에도 지난 3월말과 4월 중순 사이에 한국인을 목표로 했을 것으로 의심되는 사례가 집중돼 있다.

내국인을 상대로 하지 않았다면 미끼 URL로 한글로 된 맛집 소개나 축제 관련 블로그를 사용했을 리가 없기 때문이다.

하지만 이런 미끼 URL을 이용한 해킹 시도가 누구를 대상으로 어디에서 이뤄졌는지 현재로선 확인할 방법이 없다. 해킹팀의 서버에는 접속 기록이 지난 5월과 6월치만 보관돼 있기 때문이다.

또 이동통신사를 대상으로 접속기록을 확인한다고 해도 이동통신사는 인터넷 접속 로그기록을 3개월만 보관하도록 돼 있기 때문에 위에서 언급한 2015년 5월 이전의 의심사례를 확인하는 것은 힘들다.

뉴스타파가 분석한 해킹팀 서버의 해킹 기록은 국정원의 해명대로 해외에서 주로 해킹이 이뤄졌으며 국내에서 테스트용으로 사용한 경우도 있다는 것을 보여주지만 자국민에 대한 해킹의혹을 완전히 해소시켜주는 것은 아니다.

더구나 해킹팀 유출 자료로 분석할 수 있는 접속기록은 최근 2달치에 불과한 반면 국정원이 해킹프로그램을 운용한 기간은 지난 2012년 1월부터 지금까지 3년 6개월에 이른다.

국정원은 지금까지 대테러, 대북 공작을 위해서 해외에서 해킹프로그램을 사용하거나 테스트용으로만 사용했을 뿐 자국민을 대상으로는 사용한 적이 없다고 해명하고 있다.

또 국회 정보위원들이 국정원을 방문하게 되면 그동안의 해킹프로그램 사용기록을 모두 공개하겠다는 입장이다. 과연 해킹팀과 거래를 시작한 2012년부터 현재까지 기록을 투명하게 모두 공개할지 주목된다.

이번에 분석한 접속 기록 관련 자료는 뉴스타파 <국정원과 해킹팀> 데이터 페이지 에서 볼 수 있다.

동료 직원을 보내며

국정원은 7월 18일 참담하게도 동료 직원 한사람을 잃었습니다. 누구보다 업무에 헌신적이고 충성스럽고 유능한 직원이었습니다. 국정원은 왜 그 직원이 그런 극단적인 선택을 했는지 묻고 또 묻고 있습니다. 그러나 그럴 필요가 전혀 없는데 왜 그랬는지 아직도 답을 얻지 못하고 있습니다.
그는 2012년도 문제의 해킹 프로그램 구입을 실무판단하고 주도한 사이버 전문 기술직원이었습니다. 그는 유서에서 “업무에 대한 열정으로 그리고 직원의 의무로 일했습니다. 지나친 업무에 대한 욕심이 오늘의 사태를 일으킨 듯 합니다”라고 썼습니다. 오늘의 사태란 국정원의 민간사찰을 기정사실화하고 있는 정치적 논란을 지칭하는 것으로 보입니다.
이 직원은 본인이 실무자로서 도입한 프로그램이 민간인 사찰용으로 사용되었다는 정치권과 일부 언론의 무차별적 매도에 분노하고 있었습니다. 유서에 나와 있는 대로 열심히 최선을 다해 일해 왔는데 이런 상황이 벌어진 데 대해 자기가 잘못해서 국정원에 누가 되지 않았나 하고 노심초사 했었던 것으로 주변 동료들이 말하고 있습니다.
사이버 작전은 극도의 보안이 요구되는 매우 민감한 작업입니다. 안보 목적으로 수행한다 하더라도 이것이 노출되면 외교 문제로도 비화될 수 있습니다. 그래서 국가안보를 지키는 데 있어서 꼭 필요한 대상으로만 조심스럽게 사용하고 있습니다.
일부 정치인들은 이런 내용을 모두 공개하라고 주장하고 있습니다. 이는 근거없는 의혹을 입증하기 위해 국정원이 더 이상 정보기관이기를 포기하라는 요구와 같습니다. 국가안보에 어떤 해악이 미치는지에 대한 고려는 없습니다. 국정원은 이미 우리 국민에 대한 사찰이 없었음을 분명히 했고 정보위원님들의 현장 방문을 수용했습니다. 이미 합의한 절차에 따라 조용히 확인하면 될 일이었습니다. 국정원 직원도 민간인 사찰의 엄중함을 야당의원들 이상으로 절감하고 있으며, 새로운 국정원法으로 내부 통제를 강화하고 있습니다.
“국정원의 위상이 중요하다고 판단하여 혹시나 대테러, 대북 공작활동에 오해를 일으킨 지원했던 자료를 삭제했습니다. 저의 부족한 판단이 저지른 실수였습니다”
이 유서 대목에서 국정원 직원 일동은 고인의 국정원에 대한 깊은 애정을 감지하고 애통해 하고 있습니다. 국정원의 공작내용이 노출될 것을 걱정했던 것으로 보입니다. 그래서 자의대로 이를 삭제하고 그 책임을 자기가 안고 가겠다고 극단적인 선택을 한 것으로 보입니다. 국정원은 현재 그가 무엇을 삭제했는지 복구 작업 중에 있습니다.
그 직원의 극단적인 선택은 그럴 필요가 전혀 없는 상황에서 발생해 참으로 애석하고 안타깝기 그지 없습니다. 순수하고 유능한 사이버 기술자였던 그가 졸지에 우리 국민을 사찰한 감시자로 내몰린 상황을 심정적으로 받아들이기 어려웠던 것으로 보입니다. 또 이로 인해 국정원이 보호해야 할 기밀이 훼손되고 노출될 수 밖에 없는 현실을 자기 희생으로 막아보고자 했던 것으로 보입니다.
이탈리아 해킹팀社로부터 같은 프로그램을 35개국 97개 기관이 구입했습니다. 이들 기관들은 모두 ‘노코멘트’ 한마디로 대응하고 이런 대응이 아무런 논란 없이 받아들여졌습니다. 자국의 정보기관을 나쁜 기관으로 매도하기 위해 매일 근거없는 의혹을 경쟁적으로 쏟아내는 나라는 우리 밖에 없습니다. 드러난 사실은 댓글사건이 있었던 해인 2012년 국정원이 이를 구입했다는 사실 밖에 없고 나머지는 모두 그럴 것이라는 추측성 의혹 뿐입니다.
그런데도 10일 넘게 백해무익한 논란이 지속되면서 국정원은 불가피하게 해명에 나서야 했고, 그 과정에서 정보역량이 크게 훼손되었습니다. 급기야 젊고 유능하고 책임감이 강한 한 사람의 소중한 국정원 직원이 극단적 선택을 한 불행한 사태에까지 이르게 되었습니다.
이 직원은 유서에서 “정말 내국인에 대한, 선거에 대한 사찰은 전혀 없었다”고 분명히 밝혔습니다. 고인의 죽음으로 증언한 이 유서 내용은 글자 그대로 받아들여야 합니다.
그럼에도 불구하고 그의 죽음을 정치적 공세를 이어가는 소재로 삼는 개탄스런 현상이 지속되고 있습니다. 북한의 위협에 직면하고 있는 엄혹한 현실을 도외시하고 외교적 부작용이 발생해도, 국정원이 약화되어도 상관없다는 위험하고 무책임한 발상이 이어지고 있는 것입니다. 그가 자신을 희생함으로써 지키고자 했던 가치를, 국가안보의 가치를 더 이상 욕되게 해서는 안될 것이며, 결과에 대해 책임 또한 따라야 할 것입니다.
국정원은 정보위원들의 방문시 필요한 기록을 공개함으로써 국정원이 민간인 사찰을 하지 않았음을 명백히 할 것입니다.
국정원을 보호하기 위해 ‘무명으로 헌신’한 직원의 명복을 빕니다. 全국정원 직원은 동료를 떠나보낸 참담한 심정을 승화시켜 나라를 지키는 본연의 업무에 더욱 진력할 것입니다.
- 국정원 직원 일동

야후 뉴스, 국정원 직원 ‘현안’과 관련한 유서 남기고 자살 – 미공개 유서, 국정원의 해킹 프로그램 구매와 관련한 내용이 든 것으로 보여– 전직 국정원장들, 불법 감청으로 유죄 판결받아– 대법원, ‘원세훈 전 국정원장 대선개입’ 파기환송 판결 내려 야후 뉴스는 AP 통신을 받아 한국 국가정보원 직원이 ‘현안’에 관한 유서를 남기고 자살한 소식을 보도했다.기사는 국정원 직원이 사망한 채 발견됐으며 ...

국정원의 해킹프로그램 실무자가 목숨을 끊었다.

국정원의 해킹프로그램 실무자로 알려진 45살 임 모씨가 자신의 차량 안에서 숨진 채 발견됐다. 경찰은 임 씨가 번개탄을 피워 스스로 목숨을 끊은 것으로 추정된다고 밝혔다.

임 씨가 남긴 유서 3장 가운데 공개된 유서는 국정원에게 보내는 1장이다.

국정원장과 차장, 국장에게 보내는 유서에서 임 씨는 “지나친 업무에 대한 욕심이 오늘의 사태를 일으켰다”면서 “내국인이나 선거에 대한 사찰은 전혀 없었다”고 적었다.

또 “국정원의 위상이 중요하다고 판단해 대테러, 대북 공작활동에 오해를 일으킨, 지원했던 자료를 삭제했다”고 밝혔다. 또 자신의 부족한 판단이 저지른 실수라면서 자신의 행위에 대해 우려할 부분이 전혀 없다고 적어놨다.

무엇을 왜 삭제한 것일까?

유서의 문맥을 보면 자료를 삭제한 자신의 행위에 대해 국정원 측에 해명하려는 의도가 있음을 알 수 있다. 국정원의 위상이 중요하다고 생각해, 오해를 일으킬만한 자료를 삭제했다는 것으로 풀이된다. 그러면서도 내국인이나 선거에 대한 사찰은 아니니 우려할 부분은 없다고 말하고 있다.

임 씨가 유서에 쓴 내용대로 대외적으로 ‘오해를 일으킨, 지원했던 자료’는 현재로선 밝혀진 것이 안 박사에 대한 해킹 시도 건밖에는 없다. 안 씨의 경우 미국 시민권자여서 외교문제가 될 수 도 있다.

그러나 “국정원 간부들은 임 씨의 책임은 전혀 없었다고 말했다”고 국회 정보위 새누리당 간사인 이철우 의원이 전했다. “해킹프로그램을 도입할 때부터 실무자였던 임씨가 4일 동안 잠도 안자고 일하면서 공황상태에서 착각을 한 것이 아닌가”라고 국정원에서는 판단하고 있다는 것이다.

전산담당 실무자로 해킹 목표물을 직접 선택할 위치엔 있지 않았던 것으로 알려진 임 씨가 상부의 지시없이 독자적으로 증거를 인멸했다는 것도 납득하기 힘든 상황이다.

국정원은 임 씨가 삭제한 자료도 디지털 포렌식을 통해 100% 복원할 수 있다고 밝혔다. 또 언제 삭제했는 지도 조사해 의혹을 풀겠다는 입장이다. 지금까지 보관하고 있는 모든 해킹관련 기록을 국회 정보위원들에게 공개하겠다는 입장에도 변함이 없다. 기록 공개는 빠르면 이달말 안에 이뤄질 예정이다.

UPI, 대한변협 국정원 수사 촉구 보도– 변호사 컴퓨터 해킹 의혹 관련, 상세히 수사한 후 책임자 강력히 처벌하라 요구– 휴대 전화의 내용이나 사진 해킹 및 실시간 감시도 가능– 국정원 특정 개인과 친북 성향 인사들에 대한 사찰 사실인정UPI는 16일 대한변호사협회가 성명을 내고 국정원이 해킹 프로그램을 이용해 변호사를 사찰한 것은 통신비밀보호법을 위반한 것이라며 수사를 촉구했다고 보도했다. 대한변협은 변호사의 ...