나머지 보기

국정원의 국민해킹 우려에 맞서는 “국민 백신 프로젝트” 발족

국민 누구나 참여·후원할 수 있는 오픈소스 및 소셜펀딩 방식으로 진행

베타 버전, 7월30일 목요일 오전10시 국회 토론회에서 발표 예정

(사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는, 국정원이 이용한 해킹팀(Hacking Team)의 스파이웨어(RCS)에 불특정 다수의 우리 국민들까지 감염되었을 우려에 대응하기 위해 RCS 감염 여부를 포착하고 RCS에 의한 감염을 치유 및 예방하는 프로그램을 개발하는 “국민 백신 프로젝트”를 발족한다. 베타버전은 오는 7월 30일 10시에 공개할 예정이다(국회토론회는 별도의 보도자료 배포).

RCS를 식별할 수 있는 프로그램은 이미 배포되어 있지만, 윈도우 PC용으로 제한되어 있고, 성능 보장도 확실하지 않다. 가령 국제인권단체들이 배포한 ‘디텍터(Detekt)’[1], 외국 보안업체가 만든 레드삭스(Redsocks)의 ‘MTD’ (Malware Threat Defender)[2], 루크 시큐리티(Rook Security)의 ‘밀라노’(Milano)[3] 등은 모두 윈도우 PC용이고, 우리 국민 대다수가 사용하는 모바일에는 적용할 수 없다. “국민 백신 프로젝트”로 개발될 프로그램 “오픈백신”(가칭)은 모바일을 포함한 모든 기기에 적용되도록 할 것이다.

오픈백신 프로그램 개발 방식

해킹팀의 스파이웨어를 국정원도 사용하고 있다는 의혹이 제기된지는 무려 1년 6개월이 지났다[4]. 하지만 국내 백신업체들은 아무런 대응도 하지 않았다. 특히 지난 7월 6일에는 해킹팀의 내부 자료가 유례없이 방대한 규모로 공개되어, 국정원이 해당 스파이웨어를 구입하여 내국인을 상대로 사용했다고 믿을만한 정황들이 드러난지도 벌써 한 달이 다 되어간다. 하지만 국내 백신업체들은 여전히 아무런 백신도 내놓지 않고 있다. 해킹팀의 스파이웨어는 소스코드가 기트허브(GitHub)에 이미 공개되어 있어서 백신 프로그램을 얼마든지 만들 수 있는데 말이다(https://github.com/0xPoly/Hacking-Team-Sweeper).

오픈백신은 이처럼 공개된 소소코드드를 기초로, 우리 국민들이 가장 많이 사용하는 안드로이드 모바일, 윈도 PC용 백신 프로그램 개발을 목표로 한다. 초기 개발은 위 3개 단체가 지원하고(이미 RCS 소스 분석은 마쳤다), 이후에는 개방형 개발 방식으로 전환한다. 오픈백신 프로그램 역시 소스코드를 모두 공개하여 기술적 재능이 있는 사람이라면 누구나 익명으로 재능기부를 할 수 있고, 이를 통해 오픈백신을 모든 기기로 확대할 수 있을 것이다. 이러한 개방형 혁신이 백신업체 내부의 개발자들에 의한 폐쇄형 방식보다 성능이나 보안 면에서 더 우수하다는 점은 이미 밝혀졌다. 그리고 국민 감시에 악용되는 스파이웨어에 맞서는 데에는 국민참여형 대응이 가장 훌륭한 방식임을 보여줄 것이다. 그리고 개발된 프로그램은 누가 독점하지도 않고 모두에게 개방될 것이다(이탈리아 해킹팀은 자신의 기술을 이미 국내에 특허출원까지 해 두었다(특허출원번호 제1020137005146호 “네트워크 트래픽을 처리하는 방법 및 장치”).

오픈백신 프로그램 배포 일정 및 운영

• 안드로이드 모바일, 윈도우 PC용 백신 프로그램 개발 완료 후 베타버전 공개: 2015년 7월 30일 오전 10시, 국회 의원회관 제2소회의실
• 테스트 진행, 버그 및 수정 작업 후 정식버전 배포: 8월 6일 예정
• 오픈소스 방식으로 전환하여 다른 기기용 백신 프로그램 개발 및 배포
• 해킹팀의 스파이웨어 소스코드 분석 보고서 발표
• 감염된 기기에 대한 디지털 포렌식 분석
• 해킹팀 이외의 다른 스파이웨어에 대한 패턴 업데이트 진행

국민 누구나 참여하는 소셜펀딩

오픈백신 프로그램을 베타버전에서 완성단계로 발전시키고 다양한 기기나 국내 통신환경에 맞게 개선하고 유지보수하는 데에는 상당한 자원이 소요된다. 이에 따라 진보네트워크센터가 운영해온 소셜펀딩 플랫폼을 이용하여 국민들이 누구나 후원할 수 있도록 할 계획이다.

오픈백신 프로그램과 국정원의 합법적인 해외 정보 수집

스파이웨어를 찾아내는 백신 프로그램이 배포되면 국정원의 정상적인 해외 정보 수집이 방해받는다는 우려가 있을 수 있다. 하지만 이미 해킹팀의 스파이웨어는 소스코드가 공개되어 어떻게 작동하는지 누구나 알 수 있는 상태다. 따라서 오픈백신 프로그램 때문에 우리 정보기관의 합법적인 해외 정보 수집이 타격을 받을 가능성은 거의 없다. 가령 북한은 이미 RCS를 통한 감시를 우회하는 기술을 개발하였을지도 모른다. 국민들을 대상으로 한 스파이웨어의  감염 시도가 이루어졌을 것이라는 우려가 높은 상황에서 우리는 실제로 감염되었을지 모를 해킹팀의 악성코드뿐 아니라 누군지 모르는 제3자의 해킹위험에 처해있을 국민들의 정보인권에 우선을 둘 수밖에 없다.

————————————————-

[1] ‘디텍터’는 클라우디오 과르니에르(Claudio Guarnieri)가 시티즌랩(Citizen Lab)의 기술 지원으로 국제 정보인권 단체들, 프라이버시 인터내셔널(Privacy International), 디지탈레 게젤샤프트(Digitale Gesellschaft), 앰네스티 인터내셔널, 전자개척자재단(EFF)과 함께 해킹팀의 스파이웨어를 탐지하는 프로그램으로 2014년 11월 배포되었다. 사용법은 진보네트워크센터에서 우리말로 제공하고 있다. http://act.jinbo.net/drupal/node/8782

[2] http://redsocksmtd.blogspot.kr/2015/07/hacking-team-100-endgame.html

[3] https://www.rooksecurity.com/resources/downloads/

[4] 이탈리아 해킹팀이 RCS를 각국 정부에 팔았고, RCS가 모로코와 아랍에밀레이트 기자와 인권운동가를 감시하는 데에 사용되었다는 의혹이 제기된 것이 2012년이다. 그리고 시티즌랩(Citizen Lab)이 한국을 포함한 21개국 정부가 RCS를 사용하고 있다고 보인다는 공식 보고서를 발표한 것이 2014년 2월 17일이다. https://citizenlab.org/2014/02/mapping-hacking-teams-untraceable-spyware/ 참조

2015년 7월 27일

(사)오픈넷

진보네트워크센터

P2P재단코리아준비위원회

오픈넷, 위법한 통신자료 취득에 대해

국정원 등 수사기관 상대로 국가배상 청구

오픈넷은 6월 1일 시민들 22명을 대리하여 SK텔레콤, KT, LG유플러스 이동통신 3사로부터 시민들의 개인정보를 영장 없이 제공받은 국정원, 서울중앙지방검찰청, 서울경찰청 등 수사기관을 상대로 국가배상 청구 소송을 제기하였다.

이는 지난 3월 대법원이 통신자료제공에 대하여 포털을 상대로 내려진 손해배상판결을 파기환송하면서 “전기통신사업자가 수사기관의 통신자료 제공 요청에 따라 통신자료를 제공함에 있어서, 수사기관이 그 제공 요청권한을 남용하는 경우에는 이용자의 인적사항에 관한 정보가 수사기관에 제공됨으로 인하여 해당 이용자의 개인정보와 관련된 기본권 등이 부당하게 침해될 가능성이 있다”고 하면서, “수사기관의 권한 남용에 의해 통신자료가 제공되어 해당 이용자의 개인정보에 관한 기본권 등이 침해”된 경우에는 그 책임을 해당 수사기관에 직접 추궁하는 것이 타당하다고 설시한 바에 따른 것이다(대법원 2016. 3. 10. 선고 2012다105482 판결).

통신자료란 이용자의 이름, 주민번호, 주소, 전화번호, 아이디, 가입일 및 해지일 등의 개인정보를 말한다. 현행 전기통신사업법 제83조 제3항은 수사기관 등이 “수사, 재판, 형의 집행 또는 국가안전보장에 대한 위해를 방지하기 위한 정보수집을 위하여” 요청할 경우 통신자료를 제공할 수 있다고 되어 있다. 이 규정에 근거해 그 동안 수사기관들은 영장 없이 국민의 개인정보를 무차별적으로 제공받아 왔으며, 제공 건수도 매년 급증해 2011년에 5,848,991건(전화번호/ID 수기준)에서 2014년 12,967,456건으로 고작 3년 사이에 두 배가 넘게 증가했다.

오픈넷은 2015년 1월부터 참여연대와 함께 이통사 통신자료제공에 대한 알권리 찾기 캠페인을 진행해왔다. 수많은 시민들이 캠페인에 참여해 관심을 보여줬으며, 오픈넷이 직영점 내방 요구 등 불편한 확인절차에 대해 방송통신위원회에 진정을 넣으며 지속적인 문제제기를 한 결과, 이통 3사는 온라인에서 통신자료 제공 확인이 가능하도록 절차를 대폭 개선하였다. 지난 3월 테러방지법 통과와 함께 국가 감시에 대한 국민의 경각심이 높아져 수많은 시민들이 통신자료 제공 확인 신청을 하고 있으며, 이 과정에서 개선된 절차가 큰 역할을 하고 있다.

하지만 이런 상황에도 불구하고 궁금증은 더 커졌다. 이용자가 자신의 통신자료가 수사기관에 제공된 것을 확인해도 왜 제공이 되었는지 알아볼 방법이 없기 때문이다. 이렇게 아무런 이유가 통지되지 않은 상태에서 국가기관이 국민의 신원정보를 취득한 것은 그 정당한 이유가 제시되기 전에는 불법적인 권한남용이라 할 것이다.

오픈넷은 대법원 판결의 취지에 따라 통신자료 제공 요청에 응한 전기통신사업자가 아닌, 요청 권한을 남용한 수사기관의 책임을 묻고자 이번 국가배상 청구 소송을 제기했다. 이번 소송을 통해 그 동안 요청 권한을 남용해 온 수사기관의 관행에 제동이 걸리길 기대한다.

2016년 6월 1일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, master@opennet.or.kr

한국으로 들어온 북한 해외식당 종업원들 중에 16세 미성년자가 있다는 주장이 제기됐다. 민주사회를 위한 변호사 모임 통일위원회는 16일 북한이탈주민보호센터(구 중앙합동신문센터)에서 진행한 기자회견에서 리선미라는 여성 종업원이 99년 5월 18일생이라고 밝혔다. 채희준 변호사는 ‘종업원의 여권에 기재된 생년월일’이라고 했다. 실제로 뉴스타파는 민변 측이 관련 자료를 확보하고 있다는 것을 확인할 수 있었다. 장경욱 변호사는 “한국법에 의하면 19세가 성년이다. 미성년자가 부모 동의 없이 국외에 와 있는 상황이다. 법적으로 유인이 될 수 있다. 범죄가 될 수 있다”면서 국정원이 확인해 줘야 한다고 촉구했다.

16세 소녀가 부모 버리고 남으로 왔다?

16세면 북한의 기준으로도 미성년이다. 북한이 미성년자를 해외 식당 종업원으로 보내는데 어떤 법규를 적용했는지는 알 수 없지만, 미성년인 것은 분명하다. 그 나이의 소녀가 절체절명의 상황에서 자신이 살아왔고 부모가 있는 북이 아닌 남을 선택하는 엄중한 결정을 할 수 있을 정도로 성숙했다는 판단을 하기는 쉽지 않다. 그보다는 지배인과 언니들을 그냥 따라 왔을 가능성이 있다고 생각하는 게 좀더 상식적이다.

한국으로 오는 것도 모른 채 따라왔을 수 있다는 가정도 가능하다. 링보의 북한 식당에서 일하던 종업원들 중에는 북한으로 간 사람들도 있다. 이들은 CNN에 출연해 ‘종업원들은 지배인이 동남아시아로 식당을 옮긴다고 해서 속아 따라간 것’이라고 주장했다. CNN에 출연한 종업원은 ‘떠나기 직전 밖에서 차가 기다리는 상황에서 지배인이 한국으로 간다고 이야기해서 몇 명한테 밖에 이야기할 시간이 없었다’고 했다. 그래서 7명의 종업원들은 북한으로 가고 지배인을 포함한 13명은 한국으로 왔다는 것이다.

북한 종업원, 항의 단식하다 사망했다?

북한 가족들은 CNN에 출연해 ‘딸이 자의로 남한으로 갔을 리 없다’고 했다. CNN과의 회견은 북한 당국이 주선한 것이고 선전의 의도가 있다고 봐야겠지만 갑자기 딸을 잃은 부모가 눈물로 호소하는 것이 당국의 주문에 따라 연극을 하는 것이라고 간주하는 것은 인륜을 가볍게 여기는 것이다.

CNN은 북한 가족들이 ‘딸들이 독방에서 단식투쟁으로 죽어가고 있다’고 믿고 있다고 보도했다. 북한 당국이 그렇게 알려줬다는 것이다. 북한의 입장을 전해온 한 언론은 ‘종업원 중 한 명이 단식을 하다 사망했다’고 보도하기도 했다.

물론 한국 정부는 이런 주장을 강하게 반박했다. 통일부는 “탈북민들은 자유의사에 따라 한국에 왔다. 건강은 좋고 단식한다는 것은 사실무근이다”라고 밝혔다. 한국 상황에서 종업원 중 한 명이 단식으로 사망한 것이 사실이라면 정부가 부인할 수 있을까? 그렇지는 않을 것이다. 북한 정부가 철저히 격리된 종업원들에 대한 정보를 파악할 수 있다는 것도 의문스럽다.

그러나 사망은 모르되 단식은 충분히 가능하다는 시각도 있다. ‘돈을 벌어 다시 북한으로 돌아갈 수 있다’는 브로커의 말에 속아 한국에 왔다는 김련희 씨는 2011년 합동신문센터에 도착하자마자 북으로 돌려보내 줄 것을 요구했다. 김 씨는 요구가 받아들여지지 않자 단식을 했다고 한다. 김 씨의 이야기는 뉴스타파와 한겨레는 물론 뉴욕타임스, CNN 등을 통해 북한에도 알려졌다. 종업원들도 들어 알고 있을지 모른다. 만약 자의에 반해 온 종업원들이 있다면 김련희 씨와 같은 행동을 한다고 해도 무리는 아니다.

북한 가족, 민변에 인신 구제 청구 위임 가능

민변 통일위원회는 16일 단식 사망 등 의혹을 풀기 위해 북한 해외식당 종업원들을 접견하고 싶다고 신청했다. 통일부는 ‘안정을 찾아가고 있는 과정이기 때문에 외부인의 접견은 적절하지 않다’면서 거부했다. 그러나 정부의 입장은 법적으로 취약한 부분이 있다. 대한민국 형사소송법상 변호인이 되고자 하는 자의 접견요청을 막을 수 있는 법 규정은 없다는 것이 민변의 설명이다. 실제로 유우성 씨의 동생 유가려 씨에 대한 접견 신청을 거부한 국정원은 변호인들이 제기한 소송에서 패소했다. 만약 북의 가족들이 민변 변호사들에게 인신구제 청구를 위임한다는 의사를 밝힐 경우 새로운 국면이 될 수도 있다. 유가려 씨가 국정원 합동신문센터에 갇혀 있는 상황에서 유우성 씨는 변호인단에 동생에 대한 인신구제 청구를 해달라고 위임했다. 변호인단은 오빠를 대리해 인신구제청구를 했고 재판 당일 여동생은 풀려났다. 풀려난 여동생은 국정원이 오빠가 간첩이라는 허위자백을 강요했다고 폭로했다.

만에 하나 국정원 등 정부가 자유의사에 반해 온 북한 종업원들을 격리함으로써 그들의 불안정한 상태를 안정화시키고 정부의 뜻에 따르도록 만들 셈이라면 그것은 불가능에 도전하는 일이 될 것이다. 정부가 종업원들을 북한이탈주민보호센터에 격리할 수 있는 기간은 최장 6개월이다. 설사 그동안 성공적으로 그들을 격리시킨다 해도 그 뒤에는 세상에 내보낼 수밖에 없다. 독방에서 6개월 동안 담금질 되며 허위자백을 체화한 가짜 간첩들도 민변 변호사들을 만나면 예외 없이 ‘나는 간첩이 아니다’라고 고백했다. 잠깐은 거짓말 할 수 있지만, 영원한 거짓말은 불가능하다. 거짓은 진실을 만나면 허물어지게 마련이다.

선거에 써먹으려다 남북관계에 새로운 장애물 만들어

정세현 전 통일부 장관은 이 사건이 남북관계에 새로운 장애물을 만들었다고 말한다. 앞으로 이산가족 상봉은 어려워질 것이라고 내다봤다. 북한 입장에서는 ‘이산가족 상봉을 요구하기 전에 이 문제부터 해결하라’고 요구할 수 있는 소재라고 한다. 그것이 북한 조평통이 아니라 적십자사가 이 문제에 대해 대응을 하고 나선 이유라는 것이다. 그는 “선거에 써먹으려다 앞으로 남북관계 개선하는 데 중요한 계기가 눈앞에 지나가도 잡을 수 없게 됐다”고 한탄했다.

방송쟁이로 근 30년을 살아왔지만 이렇게 기구한 삶을 보는 것은 처음인 것 같습니다. 도대체 이런 인생을 만들어내는 한반도는, 대한민국은 어떤 곳인지 참담합니다.

김련희, 그녀는 탈북을 원하지 않은 탈북자입니다. 북한 평양에서 군의관의 아내로 잘살던 사람입니다. 그러나 그녀는 간 질환에 걸렸고, 치료하기 위해 2011년 중국으로 갔습니다.

사촌 언니의 집에 머물던 그녀는 치료비를 벌기 위해 식당일을 하던 중 탈북 브로커와 선이 닿았습니다. 브로커는 한국에 들어가면 몇 달 만에 큰돈을 버는데 무엇하러 중국에서 고생하느냐고 했습니다. 김 씨는 한국에 가서 몇 달만 돈 벌고 다시 중국으로 나와 치료를 받은 뒤 북으로 돌아가야겠다고 생각했습니다. 이것이 치명적인 실수였습니다. 동족이 사는 땅인데도 그 경계선을 넘는 순간 다시 되돌아가는 것은 범죄가 되어버리는 현실을 몰랐다는 게 그녀의 실수였습니다.

탈북자 대열에 합류한 뒤 자신이 순진한 생각을 했다는 것을 알게 됐지만, 그때는 이미 여권을 뺏긴 뒤였습니다. 브로커들은 일단 대열에 들어온 탈북자들을 묶어두기 위해 여권부터 빼앗습니다. 그렇게 그녀는 한국에 들어왔고 국정원 중앙 합동신문센터에 입소했습니다.

대한민국이 정상적인 국가라면 2011년 6월 그녀를 심사해 북으로 돌려보냈어야 합니다. 그녀는 북한이탈주민보호법이 규정하는 ‘보호 요청’을 하지 않았을 뿐 아니라 자신을 북으로 보내달라고 했습니다. 단식까지 하면서 질기게 요구했지만, 국정원은 ‘북으로 보낼 제도적 장치가 없다’며 전향서를 쓰라고 강요합니다. 쓰지 않으면 밖으로 나가지 못한다는 말에 그녀는 전향서를 썼습니다. 6개월 뒤에 나온다는 여권을 기대했기 때문입니다. ‘여권이 나오면 중국을 통해 조국으로 돌아갈 수 있으리라’ 이것이 대한민국에서의 그녀의 마지막 희망이었습니다.

짐작하시다시피 국정원은 그녀를 신원특이자로 분류했습니다. 북으로 보내달라는 말을 한 적이 있는 김련희 씨는 대한민국 밖으로 나갈 권리를 박탈당한 채 절망 속에 유배됐습니다. 밀항을 시도하고 여권을 위조하려 한 것은 당연한 귀결이었습니다. 그리고 그것마저 모두 수포로 돌아갔을 때 그녀는 ‘다섯 차례’ 자살을 기도했습니다.

그리고 그녀는 간첩이 됐습니다. 김련희 씨가 받은 판결문은 그녀가 북한 심양 영사관의 영사로부터 지령을 받아 탈북자 정보를 수집해 넘겼다고 적시하고 있습니다. 정말 웃기는 대한민국입니다.

수사 결과에 따르면 2013년 7월 21일 남북한 여자 축구경기가 열렸을 때, 그녀는 92명의 탈북자 신원정보를 상암 월드컵 경기장에서 북한 공작원에게 넘겼습니다. 문제는 그 날 아침 김련희 씨가 자신의 신변보호를 담당하는 경찰관들에게 경기를 함께 보러 가자고 제의했었다는 것입니다. 그리고 경기가 끝난 뒤 경찰관들과 술을 마신 김 씨가 ‘나 오늘 탈북자 정보를 넘겼어, 몰랐지?’라고 했습니다.

제가 수사팀장에게 물어보니 그도 이 혐의에 대해 사실이 아닌 것으로 생각하고 있었습니다. 그러면 혐의에서 빠져야 할 텐데 버젓이 판결문에 들어가 있습니다. 대한민국 수준이 이렇습니다.

그뿐이 아닙니다. 김 씨는 탈북자 정보를 실제로 수집하긴 했는데, 수집하면서 계속 경찰관에게 ‘나 지금 수집하고 있거든요. 나를 좀 멈춰줘요’라고 말했습니다. 경찰은 그녀를 구속시켜서 멈춰주었습니다. 그녀는 왜 그랬을까요? 저는 한참 동안 그녀를 따라다닌 끝에 이제 이해하게 됐습니다. 궁금하시면 프로그램을 보십시오. 이 말만 할게요. 대한민국 경찰, 검찰, 법원 모두 정말 진실과는 담 쌓은 ‘겁나는’ 집단입니다.

이 프로그램에는 김련희 씨가 북한의 딸과 통화하는 장면이 나옵니다. 피붙이가 있는 사람이라면 누구나 김련희 씨 딸의 목소리를 듣고 마음이 편할 수는 없을 것입니다. 딸은 엄마가 아직 중국에서 돈 벌며 치료하고 있는 것으로 압니다. 엄마가 언제 올 것인지, 딸은 묻고 또 묻습니다.

뉴스타파가 신경민 의원실을 통해 정보당국(정보당국이 어딘지 아시죠?)에 물어봤습니다. ‘도대체 브로커에 속아 들어온 사람이 북으로 다시 돌아가려면 어떡해야 하느냐’고. 갈 방법이 없다고 할 줄 알았는데, 정보당국은 ‘북한이탈주민대책협의회’에서 논의해 결정하는 게 좋겠다’는 다소 긍정적인 답변을 내놨습니다.

4년 전 김련희 씨가 북으로 보내 달라고 요구했을 때 그렇게 답했다면 얼마나 좋았을까요. 물론 정부가 김련희 씨를 보내줄 것이라고는 전혀 확신할 수 없습니다. 아마도 김 씨는 한국 정부보다 북한 정부가 나서주기를 기대하는지 모릅니다.

분단 70년이 가깝습니다. 이제 서로 헷갈려서 상대 땅으로 들어간 사람들 정도는 돌려보내는 합의를 할 만한 때도 되지 않았나요?

우리 이제 그만 김련희 씨를 딸에게 돌려보냅시다. 네?