국가정보원이 이탈리아 해킹업체 ‘해킹팀’에 돈을 주고 개인용 컴퓨터와 스마트폰을 사찰할 수 있는 프로그램을 구입했다는 의혹이 본국을 뜨겁게 달구고 있다. 현재 본국에서 벌어지는 논란은 국정원이 해킹 프로그램을 가지고 정치인과 일반인에게 광범위한 정치 사찰을 ‘시도 했느냐’로 모아진다.
하지만 국정원이 해킹 프로그램을 구입한 시점이나 당시 국정원의 구성을 보면 의혹은 2012년 대선을 향하고 있다고 봐야 정확하다. 이미 검찰 수사와 법원 판결을 통해 드러났듯이 당시 대선은 국정원이 댓글 등을 통해 온라인상에서 적극적 대선 개입을 했던 선거다. 국정원은 이번에 문제가 되고 있는 해킹 프로그램 역시 대선을 코앞에 두고 대량으로 주문했다.
국정원이 대선 직전 해킹 프로그램을 급하게 주문했다는 사실은 당시 국정원이 펼쳤던 이 같은 대선 개입 활동의 일환이 아니었을까 하는 의구심을 갖게 한다. 또한 국정원이 해킹 프로그램을 추가 주문했다는 사실은 국정원이 과거에 사들인 해킹 프로그램으로 소기의 성과를 거뒀을 것이라는 점을 시사한다.
본보는 대선을 100여일 앞둔 시점이었던 2012년 9월 이명박 대통령과 박근혜 새누리당 후보가 단독 회동을 갖은 것을 전후해 국정원이 원세훈 전 국정원장의 지시로 사이버상에서 은밀한 작업을 펼쳐왔다는 의혹을 여러 차례 제기해왔다. 국정원 댓글 사건이 그 흑막의 일부였다면 이번 해킹 의혹은 박근혜 대통령을 당선시키기 위한 전·현 정권의 마수가 그대로 드러나는 단초가 될 전망이다. <리차드 윤 취재부 기자>
하지만 박 대통령의 이 같은 주장은 원 전 원장이 2심에서 유죄 판결을 받으면서 모두 거짓임이 드러났다. 대통령의 정통성이 사실상 땅에 떨어지는 순간이었다. 하지만 이번에 드러난 해킹 프로그램 운용 사건은 그야말로 이 정권이 조작과 사찰에 의해 수립됐음을 그대로 보여주고 있다.
국정원은 해킹 프로그램을 대북 방첩용으로만 사용했다고 주장하지만 앞서 말 한대로 해킹 프로그램 운용은 국정원이 댓글을 운용하던 시기와 사실상 일치한다. 즉 대선을 앞두고서다.
해킹프로그램으로 국정원 댓글 운용
외부 공격으로 유출된 해킹팀의 이메일 자료들을 보면 국정원과 해킹팀이 접촉하기 시작한 것은 2010년이다. 국정원과 해킹팀을 중개한 나나테크가 해킹팀에 이메일을 보내 제품의 성능 등을 처음 문의하기 시작한 것이다. 본지가 취재한 것처럼 나나테크는 국정원 특수 작전 물자 공급업체로 의심되는 회사다. 나나테크와 해킹팀은 2012년 2월 계약이 성사돼 국정원은 해킹팀이 만든 ‘RCS’를 39만 유로를 주고 구입했다.
이 ‘RCS’는 강력한 해킹 프로그램으로 감시자는 감시 대상이 컴퓨터와 스마트폰을 통해 보고 듣고 교류하는 모든 내용을 눈 앞에서 보듯 제공받을 수 있다. 또 압수수색을 통해서도 확인이 쉽지 않았던 리눅스, 안드로이드, iOS 등의 운영체제와 블렉베리, 아이폰, 구글폰 등 플랫폼도 가리지 않고 뚫을 수 있다.
특히 국정원의 해킹 프로그램 도입이 민간인을 대상으로 한 ‘사이버 사찰’ 의혹으로까지 번지는 것은 ‘육군 5163부대’가 이 ‘해킹팀’을 직접 만나 우리나라 사람이 많이 쓰는 ‘카카오톡’의 해킹 기술에 대한 진전사항을 물었고, 앞서 프로그램 구입 초반에는 휴대전화상의 ‘음성 대화 모니터링’ 기능을 특별히 주문했다는 이메일 등이 노출됐기 때문이다. 카카오톡 해킹 가능 여부를 물었다는 대목에서 대북정보 수집이나 방첩 분야가 아닌 민간인 사찰에 필요했던 것 아니냐는 의문이 제기되는 것이다. 실제로 국정원이 RCS를 처음 구입하고 2개월이 지난 4월11일 제19대 총선이 치러졌다. 국정원 측은 5개월 뒤인 7월10일 RCS 기능 업그레이드 비용으로 5만8000유로를 지급하기도 했다. 국정원이 긴급히 추가 주문을 한 것은 앞서 10개월간 RCS를 사용하면서 이 제품의 성능에 상당한 확신이 생겼기 때문으로 보인다. 나나테크가 같은 이메일에서 이듬해를 위한 계약 갱신 서류를 요청한 것도 이 같은 신뢰를 방증한다.
총선과 대선 전 인터넷 여론전 활용
2012년 11월23일 야권 성향 유권자들로부터 많은 지지를 받던 무소속 안철수 후보가 사퇴하면서 문재인 후보가 힘을 받았고 대선전은 ‘진검승부’로 치닫고 있었다. 이때는 당시 원세훈 국정원장이 3차장 산하 독립부서인 심리전단 내 사이버팀을 4개 팀, 70여 명으로 확대하는 등 사이버 활동을 강화한 시점과 맞물린다.
급기야 국정원이 해킹팀에 긴급 주문을 하고 닷새가 지난 12월11일 서울 역삼동의 한 오피스텔에서 국정원 직원이 인터넷에 대선 관련 댓글을 달고 있다는 신고가 경찰에 접수됐다. 국정원 댓글사건이 터진 것이다. 이후 경찰과 검찰의 수사로 국정원이 인터넷 여론전을 펼친다며 상당히 방대한 조직을 운영해 왔다는 사실이 확인됐다.
또한 해킹 대상이 변호사였다는 것도 해킹이 북한이 아닌 남한을 대상으로 이뤄졌음을 보여주는 방증이다. 위키리크스는 14일 트위터를 통해 해킹팀이 2013년 9월 16∼17일 ‘SKA’(South Korea Army Intelligence)를 도와 한 변호사의 컴퓨터에 해킹 프로그램을 설치했다는 것을 드러내는 이메일을 공개했다.
SKA는 해킹팀이 사용한 코드명으로, 고객 명칭은 국정원이 대외활동시 사용하는 ‘육군 5163 부대’로 나와있다. 해킹팀 직원들의 메일에는 “대상은 변호사다. 기술자가 아니다”라는 내용이 나온다. 또 “고객(국정원)은 (프로그램) 삭제에 동의하지 않으며 이상한 점이 발견되면 알려주겠다고 약속했다”는 내용도 있다.
메일에는 또 “그들(국정원)이 물리적으로 접근해 (해킹 프로그램을) 설치했다”는 내용도 포함됐다. 당시 야당 후보였던 문재인 대표도 변호사 출신이었고, 야당 핵심 인사들 중 상당수도 변호사 출신이라는 점에서 국정원의 활동은 의구심을 사기에 충분하다.
국정원은 댓글 사건이 터졌을 때도 관련 팀 운용을 부인해왔다. 하지만 국정원이 대선에 개입한 사실은 만천하에 드러났다. 이번 해킹 프로그램 운용도 비슷한 분위기로 흘러가고 있다. 국정원은 이번에도 “프로그램 20개를 구입해 18개 회선은 북한 공작원을 대상으로 해외에서, 2개 회선은 국내에서 연구용으로 운용중”이라고 밝혔다. 즉 이 프로그램을 정치인이나 민간인에게 사용한 사실이 없다고 선을 긋고 있지만, 이런 해명이 사실이 아니라는 것이 하나 둘 드러나고 있다. 오히려 모든 정황은 국정원이 박근혜 대통령 만들기에 올인했음을 보여주고 있다.
박근혜 대통령 만들기 일환 프로그램 구입
이번 해킹프로그램 구입하면서 위장 명칭으로 사용한 ‘5163부대’도 박 대통령과 간접적으로 얽혀 있다. 5ㆍ16군사쿠데타로 집권한 주역들이 중앙정보부를 창설하고 위장명칭을 지었는데, 쿠데타 성공을 영원히 기념하고자 박정희 소장이 한강철교를 넘은 5월 16일 새벽 3시에서 숫자를 따왔다. 국정원의 해명에도 불구하고 국민들이 그 해명을 신뢰하지 못하는 것은 국정원이 이명박과 박근혜 정권에서 해온 일들 때문이다.
2013년 논란이 됐던 서울시 공무원 간첩 조작 사건에도 국정원이 개입한 바 있다. 국정원은 유우성 씨의 중국 출입경 기록을 조작해 증거로 제출한 사실이 드러나 파문을 일으켰다. 지금과 같은 국정원이라면 다가오는 총선과 대선에서 다시 한 번 공작을 벌일 가능성은 얼마든지 있다.
국정원의 해킹 및 도감청 파문으로 인해 최근 국내외에서 크게 주목받고 있는 ‘사이버 안보 강화’ 움직임에도 제동이 걸리게 됐다. 현재 국가 사이버안보 주무기관은 국정원이다. 지난 2013년 3.20 사이버테러 이후 정부가 마련한 사이버안보종합대책에서 사이버 안보에 대한 콘트롤타워는 청와대가 맡지만 주 업무는 국정원이 담당하기로 교통정리를 한 상황이다.
더구나 사이버안보종합대책이 나온 이후로도 한국수력원자력이 대대적인 사이버 공격을 받아 내부 자료가 온라인에 유포되는 등 국가 기반시설에 대한 사이버 위협이 현실로 나타나고 있는 상황에서 사이버 안보를 책임지고 실행에 옮겨야 하는 책임이 국정원에게 있다. 그러나 국정원이 직접 해킹 프로그램을 구입해 사용까지 했다는 의혹이 제기되면서 국정원의 사이버 안보 활동은 전면 중단될 것으로 보인다. 대북활동이 아닌 정치활동에 집중하는 국정원이라면 없는 것이 낫다는 주장이 나오는 이유다.
이탈리아의 인터넷 및 휴대폰 도청장비 서비스업체인 해킹팀의 내부정보가 인터넷에 유출되면서 전세계적으로 파문이 확산되는 가운데 국정원도 이 장비와 서비스를 구입, 사용한 것으로 드러나 논란이 일고 있다. 이 과정에서 국정원이 ‘나나테크’라는 통신장비 오퍼상을 이용한 것으로 밝혀졌으며 이 업체의 정체에 대해서도 궁금증을 자아내고 있으나 본보취재결과 특작업무 물자공급업체일 가능성이 큰 것으로 보인다.
특히 국정원은 해킹팀으로 부터 오는 10월 12일부터 16일까지 해킹툴 교육을 받으려 했던 것으로 확인됐으며, 지난해 2월 캐나다 비영리단체 시티즌랩이 한국이 해킹팀 장비를 사용, 스마트폰을 감청한다는 의혹을 제기하자 국정원 고위간부들이 이 장비의 사용을 중단시키려 했던 것으로 밝혀졌다. 해커에 의한 국가정보원 해킹팀 내부정보 유출 파문의 진상을 <선데이저널>이 파헤쳐 보았다. 박우진(취재부기자)
해킹팀의 내부정보가 인터넷에 유출된 사실이 알려진 것은 지난 5일. 해커는 해킹팀의 공식트위터 계정을 해킹 ‘지금부터 우리는 아무 것도 감추지 않는다, 우리는 이메일과 파일, 모든 소스 등을 공개한다’는 글을 올렸다. 해킹팀의 해킹툴을 이용해 온 세계 각국정부의 검은 얼굴이 드러나는 순간이었다. 해커들이 해킹팀에서 빼내서 공개한 정보는 무려 4백기가바이트, 회사의 1급비밀을 속속들이 빼냈다.
해킹팀은 특이하게도 반드시 세계각국의 정부기관에만 해킹툴을 팔아왔다. 이른바 사법당국에만 이를 판매함으로써 자신들은 기존 해커들처럼 불법을 일삼는 집단이 아니라는 점을 강조한 것이다. 유출된 정보는 각국 정보기관 등 고객들과 주고받은 이메일, 계약서, 대금청구서, 계약상품에 대한 설명서, 교육일정 및 업그레이드, 고객들의 서비스요청등 사실상 모든 정보가 공개됐고 토렌트등을 통해 급속히 확산됐다. 완전히 발가벗겨진 것이다.
장비판매 나나테크, 국정원 방계회사
인터넷에 유출된 해킹팀의 내부정보를 분석한 결과 ‘코리아’라는 단어가 들어간 이메일은 무려 2410건, 국정원에 이 장비를 소개한 ‘나나테크’라는 단어가 들어간 이메일은 967건, 삼성이라는 단어가 들어간 이메일은 무려 6142건에 달했다. 코리아가 들어간 단어의 이메일 중 일부는 그날그날의 뉴스를 모니터해서 회사경영진에게 보낸 이메일 상당수가 포함돼 있지만 ‘나나테크’가 들어간 이메일은 전체가 한국국정원의 장비구입과 관련된 이메일이므로 한국과 직접 연관된 이메일은 최소 967건이상 최대 2410건이하로 추산하는 것이 합리적이다.
삼성은 아이폰과 함께 세계 스마트폰업계의 양대 강자이므로 해킹팀이라는 업체가 스마트폰의 트렌드를 추적하면서 해킹툴을 개발했음을 감안하면 삼성에 대한 이메일은 주로 신상품 출시와 새 스마트폰 등의 정보를 담은 업무용이메일이 많았다. <선데이저널>은 이 사건을 취재하면서 이 업체의 해킹툴을 국정원에 중개한 서울 마포구에 소재한 ‘나나테크’라는 회사에 대한 중대한 제보를 받았다. 국정원의 한 전직 고위간부는 ‘나나테크는 국정원 특작업무 물자공급담당일 가능성이 크다’고 밝혔다. 이 고위간부가 말하는 특작업무란 ‘특수작전’을 이야기 하는 것이다.
즉 이 회사는 국정원이 극비로 수행하는 특수작전에 필요한 물자를 공급하던 업체인 셈이다. 이 간부는 ‘나나테크는 예전부터 해킹프로그램 등 특수한 기능을 수행하는 통신관련 소프트웨어를 중개하던 오퍼상’이라며 ‘소위 특작업무에 필요한 물자공급 혹은 중개를 하는 소기업들이 상당수 존재하나 일반인들이 모르는 것은 물론 심지어 수요자 조직 내에서도 극히 일부 직접 관련된 사람들만 그 존재를 알 수 있다’고 설명했다.
그렇다면 이 특작업무 물자공급담당인 ‘나나테크’는 과연 어떻게 해킹팀과 접촉했고 어떤 과정을 거쳐서 대리점권을 따낸 뒤 국정원에 감청장비와 서비스를 제공했을까? 그 모든 내역이 이번에 유출된 각종 서류에 낱낱이 기록돼 있고 그 과정은 마치 한편의 첩보영화를 방불케 한다.
국정원 해킹팀, 국가차원에서 접근
관련문서를 검토한 결과 해킹팀이 국내에 접근한 것이 아니라 ‘나나테크’가 해킹팀에 접근한 것으로 드러났다. nanatechp@paran.com 이란 아이디를 사용하는 ‘나나테크’의 박유진씨는 지난 2010년 8월초 해킹팀에 관련장비와 서비스에 대해 질문을 했고 8월 6일 해킹팀이 이에 대한 답변을 이메일로 보낸 것으로 밝혀졌다.
해킹팀은 이 이메일에서 RCS, 즉 원격통제시스템은 눈에 띄지 않게 목표 PC와 스마트폰을 공격하고 감염시키고 모니터 할 수 있게 한다고 밝혔으며 윈도우와 맥 등 모든 OS에 작동하고 아이폰, 심비안, 블랙베리 등 스마트폰에 작동하며 한번 RCS에 감염된 목표물은 스카이페는 물론 MSN 메신저등 VOIP를 통한 통화나 메세지교환, 파일교환, 스크릿샷, 카메라 작동, 전화 GPS 위치추적 등 모든 것이 가능하다고 설명했다. 특히 스마트폰 통화도청이 가능한 것이 가장 큰 특징이다. 바로 이 이메일교환을 통해 양측이 처음 연결된 것이다.
그 뒤 2010년 11월 5일 해킹팀은 12월7일 최종수요자와 미팅을 요청했고 ‘나나테크’의 박씨는 장비를 가지고 와서 시연해 줄 수 있는지를 문의했고 해킹팀은 가능하다고 답했다. 그 뒤 11월 19일 박씨는 ‘나나테크’의 인터내셔널 비지니스팀 소속이라고 밝히고 우리 클라이언트, 즉 국정원이 12월 7일 미팅을 갖자고 한다며 미팅일자가 확정됐음을 통보했다.
해킹팀은 각국 정부기관에만 해킹장비와 서비스를 판매하므로 ‘나나테크’측에 계속 최종소비자, 즉 엔드유저가 누구인지를 끈질기게 물었고 11월 23일 박씨는 엔드유저는 육군 조사팀, KINSTEL이라며 걱정하지 말라는 이메일을 보냈다. 그러면서 강남구 삼성동 인터콘티넨탈호텔에서 미팅을 가질 것이라며 몇 명이 참석하는지 여부와 서울에서 프로젝트 등 준비해야 할 물건이 무엇인지 이야기해 달라고 요청했다.
이에 따라 해킹팀은 3명이 참석하며 12월 6일 서울에 도착한 뒤 오후에 미팅장소에서 프리젠테이션 준비 등을 점검할 수 있도록 해달라고 부탁하기도 했다.
인터넷 사용내역, 위치 파악 시스템
마침내 12월 3일 박씨는 미팅장소가 그랜드인터콘티넬탈호텔 3층의 5번 컨퍼런스룸이며 12월 7일 오전 9시 로비에서 만나자며 자신의 핸드폰 번호 등을 통보했다. 이에 앞서 12월 1일 해킹팀에서 보낸 메일에는 수신인이 박유진씨지만 참조를 통해 ‘나나테크’의 또 다른 직원들에게도 메일이 발송됐음을 알 수 있다. 한용철, 허손구씨 등이다. 바로 이 허손구씨가 ‘나나테크’의 대표이사다.
특이한 것은 이들은 파란닷컴의 이메일을 사용하며 이메일주소도 ‘나나테크’란 글자를 쓴 뒤 자신의 성 첫 글자를 붙여서 사용했다.
허손구씨라면 나나테크에 H를 붙여 nanatechh@paran.com, 한용철씨는 나나테크에 han을 붙인 nanatechhan@paran.com, 박유진씨는 나나테크에 p를 붙인 nanatechp@paran.com을 사용한 것이다 12월 7일 해킹팀 3명이 ‘나나테크’와 국정원 직원들에게 프리젠테이션을 했고 그 결과는 대만족이었다.
해킹팀이 12월 8일 프리젠테이션에 대해 엔드유저가 어떤 반응을 보였고 앞으로 어떻게 진행할 것인지 주저 없이 이야기해달라고 하자 12월 9일 박씨는 답신을 통해 고객이 대단히 만족했다[QUITE HAPPY]고 밝혔다. 이를 통해 국정원이 너무 행복해 할 정도로 해킹툴이 제대로 작동했음을 짐작할 수 있는 것이다.
해킹팀의 RCS, 즉 원격통제시스템을 스마트폰에 사용할 때는 RMI [REMOTE MOBILE INFECTION]. 즉 대상스마트폰에 해킹툴을 자동으로 심음으로서 스마트폰 도청은 물론 아예 스마트폰주인처럼 작동할 수 있도록 한다. 2010년 12월 프리젠테이션이 성공리에 마무리된 뒤 해킹팀과 ‘나나테크’가 주고받은 이메일을 보면 국정원의 주관심이 스마트폰임을 잘 알 수 있다, 즉 스마트폰 주인 몰래 그 스마트폰에 스파이웨어를 심고 이를 통해 스마트폰의 통화는 물론 인터넷 사용내역, 위치까지 알아내는 시스템에 관심을 가진 것이다. 2011년 11월 4일에는 기존에 접촉했던 박유진씨가 아니라 김은정씨가 ‘나나테크’의 인터네셔널 비지니스팀 이라며 해킹팀에 메일을 보냈다. 우리 고객이 ‘노키아 X6’, ‘RIM9700’,’아이폰4’,’GT-19000’에 RMI, 이른바 몰래 스파이웨어를 심어서 작동시키는 테스트를 요구한다고 밝혔다. 특히 이들 스마트폰에서도 해킹팀장비가 작동한다는 것을 최소 2일정도 직접 보여달라고 요구하며 고객의 요구를 따라줬으면 좋겠다고 밝혔다. 국정원의 주된 관심이 스마트폰 도청임이 여실히 드러난 것이다. 특이한 것은 이들 스마트폰은 국내에서 일반인들은 잘 사용하지 않는 스마트폰이라는 것이다. 즉 이는 대상목표가 국내가 아닌 중국 등 외국이거나 혹은 국내에서 이 독특한 스마트폰을 사용하는 사람이었음을 시사한다. 만약 지금 국내에서 이 같은 종류의 스마트폰을 사용한 사람이 있다면 지금 오금이 저릴 정도로 놀랄 것이다.
해킹팀 계약자 ‘5163부대’는 박정희가 한강철교를 넘은 5월 16일 새벽 3시 숫자
‘나나테크’는 특작업무 물자공급업체답게 해킹팀과 첫 접촉이후부터 해킹팀의 끈질긴 요구에도 불구하고 1년여간 엔드유저의 정체를 철저히 비밀에 붙였다. 해킹팀이 물어보면, 정부기관이 틀림없으니 걱정하지 말라는 식으로 무마했다. 이 이메일에서도 각국 정부의 사법기관이라고 하면 군부대도 포함되는 것이 아니냐고 물어보기도 했다.
이에 대해 해킹팀은 11월4일 당일에 곧바로 허손구사장에게 답신을 보내 군부대도 사법기관에 포함된다고 답변했으며 11월 21일과 22일 시연을 보이겠다고 답했다. 그러나 마시밀라노 루피라는 해킹팀 고위관계자는 자신은 11월 22일 미팅에는 참석할 수 없으므로 11월 21일에 계약 등에 대해 논의했으면 좋겠다고 밝혔다. 이 이메일을 받은 ‘나나테크’는 11월 7일 엔드유저의 정체에 대해 이메일을 통해 공개했다.
‘우리의 엔드유저는 5163 군부대다’라고 밝힌 것이다. 이 5163군부대의 주소는 서울 서초구 서초동 사서함 200호, 국정원이 사용하는 사서함주소이며 5163이라는 명칭도 국정원이 사용하는 명칭이다. 이 같은 과정을 거쳐 ‘나나테크’는 2011년 12월 1일 판매 대리점계약에 서명한 뒤 해킹팀의 서명을 요청한 것으로 나타났다.
이 계약서에 따르면 해킹팀은 ‘나나테크’에 남한[south korea]내에서의 독점 판매권을 부여했다, 해당상품은 원격통제시스템인 RCS, 판매고객은 남한내의 모든 군부대 고객이라고 명시돼 있으며 ‘나나테크’의 CEO가 서명했음이 확인했다. 그리고 그 뒤 계약은 일사천리로 진행됐다.
장비구입 구매체결 대금 9억원 지급
12월 2일 ‘나나테크’가 마시밀라노 루피에게 보낸 문서에 따르면 국정원이 12월 20일까지 해당장비를 인도해주기를 요청한다고 밝혔다. 따라서 12월 8일까지 제작자 증명서, 목표대상 10명에 대한 도청계획이 적힌 제안서, 장비에 대한 모든 솔루션이 적힌 백서 등 문서작업을 마무리해달라고 요청했다.
이 문서작업이 완료되면 12월 13일 이행증권을 준비해 곧바로 계약서에 서명하고 12월 15일 신용장(L/C)을 오픈하고 12월 20일 선금을 지급하며 12월 23일 모든 장비인도를 마치자고 제안했다. 또 12월 1일 ‘나나테크’측이 서명한 판매 대리점 계약서에 대한 해킹팀의 서명도 요청했다. 엔드유저가 대리점 지위를 입증한 문서를 요구하고 있다는 것이다.
이 같은 과정을 거치면서 2012년 1월 5일 국정원은 5163부대 명의로 해킹장비 및 서비스 구매계약을 체결했고 27만3천유료를 지불했으며 1년에 2번에 걸쳐 유지비용을 냈고 가장 최근에는 지난 1월 9일 ‘2015년 메인터넌스계약’을 체결하고 1회 대금으로 3만3850유로를 지불하는 등 지금까지 최소 68만6410만유로, 우리 돈으로 8억6천만원을 지급한 것으로 확인됐다.
특히 지난 1월9일 체결한 계약에는 5163부대(박정희 쿠데타 한강철교를 넘은 5월 16일 새벽 3시에서 숫자), 즉 국정원을 대표해 서명한 서류가 고스란히 공개됐다. 이처럼 국정원이 인터넷과 스마트폰 도청프로그램을 구입, 운영한 것은 명백한 사실인 것이다.
‘나나테크’와 해킹팀이 가장 최근에 이메일을 교환한 것은 해킹팀 내부문서가 유출되기 불과 4일전인 이달 1일이었다. 이달 1일 허손구 ‘나나테크’ 대표는 해킹팀에 이메일을 보내서 ‘고객이 10월경에 만나고 2차 대금은 8월말에 지급하기를 원한다. 10월에 만나는 데 문제가 없느냐’고 물어보기도 했다. 2차대금이란 2015년 유지관리비용중 2차분 3만3850유로 지불을 의미하는 것이다.
이 이메일은 지난 6월 9일 해킹팀이 2015년 교육일정을 물은데 대한 답신이었다. 또 나나테크에 대한 답신은 아니지만 ‘나나테크’가 10월께 만나자고 제안함에 따라 해킹팀은 내부적으로 올해 10월 12일부터 16일까지 5일간 한국을 방문해 교육을 실시하기로 내부적인 방침을 정한 것으로 드러났다.
갤럭시 S3, 해킹 피할 수 있는 스마트폰
해킹팀은 내부 직원간 주고받은 이메일에서 10월 12일부터 16일까지 한국군부대에 대한 교육을 실시한다는 계획을 세웠다고 명시했다. 해킹팀 내부자료가 유출되지 않았다면 올해 10월에 국정원을 대상으로 재교육이 실시됐을 것이다.발신자는 알 수 없지만 고객전용 기술지원요청서도 발견됐다. 주로 삼성 스마트폰에 대한 내용이 많이 명시돼 있다. 일부 언론은 이를 국정원 관계자가 보낸 기술지원요청서라고 보도했지만 그 문서 어디에도 국정원이라고 명시되거나 국정원을 암시하는 단어는 없었다.
하지만 해당 스마트폰 기종이 한국에서만 판매되는 기종이어서 국정원이 요청했을 가능성이 크다. 2012년 8월 14일 해킹팀에 접수된 기술지원요청서는 삼성스마트폰 캘럭시 S2인 SHW-M시리즈 250S와 250K는 통화가 녹음되지 않는다고 기술지원을 요청했다, 이에 대해 해킹팀은 해당 기종이 한국에 판매된 제품이므로 스마트폰을 보내주면 지원을 하겠다고 밝혔다.
또 2013년 2월 15일 기술지원요청서에는 한국의 안드로이드폰 몇개를 이탈리아로 보냈다며 음성녹음을 할 수 없으니 개발해달라고 요구했고 일주일 뒤인 2월 12일 해킹팀은 유감스럽게도 갤럭시 S3는 RCS모듈과 호환되지 않는다고 답했다. 말하자면 갤럭시 S3는 2013년 2월 당시만 해도 해킹팀의 해킹을 피할 수 있는 스마트폰이었던 것이다.
또 올해 5월에는 삼성갤럭시 노트3 등 신제품의 취약점을 알고 싶다며 삼성을 해킹할 수 있도록 지원한다고 했는데 어떻게 돼 가느냐고 묻고 있다. 이는 2015년 현재도 해킹팀의 스마트폰해킹장비가 국정원의 핵심장비중 하나임을 시사하는 것이다.
또 지난해 2월 캐나다의 시티즌랩이 해킹팀의 감시프로그램을 추적해 한국 등 21개국이 이 해킹팀의 해킹툴을 사용하고 있을 가능성이 크다는 사실을 공개하자 한때 해킹팀의 해킹장비사용 중단을 검토하기도 한 것으로 드러났다. 당시 시티즌랩은 해킹팀 장비를 사용한 아이피가 211.51.14.129로 한국이며 2012년 8월 26일 처음 포착된 이래 2014년 1월 7일까지 포착됐다고 주장했다. 이 시기는 국정원이 해킹랩을 사용했던 시기와 일치했고 시티즌랩의 추정은 정확했다는 사실이 해킹랩 내부문서를 통해 입증된 것이다.
허술한 암호 관리체계가 불행 초래
해킹랩은 2014년 3월 27일자 내부메일에서 지난 3월 24일 우리 고객인 ‘한국군부대’의 파트너인 ‘나나테크’가 중요한 사실을 전해왔다고 밝혔다. 불행하게도 시티즌랩이 아이피 추적내용을 공개하면서 국정원 고위간부들이 해킹팀 해킹툴이 추후에 노출될 가능성이 없는지 심각한 우려를 제기했다는 것이다,
이는 이 같은 내용이 추후 다시 노출될 가능성이 조금이라도 있다면 사실상 사용을 중지하라는 의미로 해석된다고 밝혔다, 우리는 한국측에 안정성을 다시한번 강조하는 한편 노출을 막아서 보호할 수 있도록 철저히 대비해야 한다고 강조했다. 특히 한국의 문화적 특성까지 강조하며 심각성을 전했다. ‘한국은 사람의 면전에서 직설적으로 진실을 말하는 스타일이 아니다. 우려를 표시했다는 것은 사실상 그만두라는 의미로 해석할 수 있으니 더욱 잘 하자’라는 내용이었다,
국정원이 이처럼 캐나다의 비영리단체가 제기한 의혹에도 화들짝 놀라서 해킹중단을 검토할 정도로 심각하게 반응했음은 이 장비의 가공할 만한 위험성을 너무나도 잘 보여주는 것이 아닐 수 없다.
한 가지 재미난 것은 해킹팀 내부의 보안상태다. 한국과 관련한 문서 중 일부 문서파일은 암호가 설정돼 있었다. 그러나 그 암호는 너무나 손쉽게 풀렸다. ‘아무개야 이것을 열어라’ 하는 것의 영문이 바로 그 암호였다. 좀처럼 풀리지 않을 것 같은 암호였지만 바로 그 영문을 넣으니 모든 문서가 풀렸다. 한국관련 문서에 걸린 암호는 모두 동일했다. ‘아무개야 열어라’의 8자 영어문자였던 것이다. 앞서 언급된 문서중 상당부분이 바로 이 암호를 통해 오픈한 문서들이다.
국정원 스마트폰 감시대상자는 누구
지난 2011년 12월 2일 물품 인도절차 등을 제안한 문서인. SK PROCEDURE라는 제목의 파일도 바로 이 암호를 통해 풀렸으며 청구서나 제안서까지도 모두 이 암호를 통해서 열렸다. 해킹팀은 자신들의 가장 중요한 자산인 고객들과의 문서에도 암호를 걸었다, 그러나 그 암호가 너무나 단순했고 그래서 해커들에게 모두 털렸다는 것이 보안전문가들의 지적이다. 이들이 사용한 암호는 ‘P4ssword’, ‘wolverine’, ‘universo’ 등이었다.
이외에 해킹팀이 사용한 암호는 PASSWORD라는 단어의 순서를 바꾸거나 한 글자정도를 바꾸는 암호였던 것으로 드러났다. 웃음이 나오지 않을 수 없다. 문자와 숫자의 조합도 아니고 문자와 특수기호, 숫자의 조합은 더더욱 아니었다. 이처럼 단순한 암호가 해킹팀의 붕괴를 자초한 것이다.
지금까지 밝혀진 해킹팀의 고객은 모두 70군데, 미국 FBI, 국방부, 마약단속국이 주고객이었으며 이탈리아, 스페인, 헝가리, 모로코, 말레이시아, 사우디아라비아, 룩셈부르크, 체코, 이집트, 오만 , 파나마, 터키, UAE 우즈베키스탄, 이디오피아 수단, 카자흐스탄, 아제르바이잔, 태국, 브라질, 베트남, 그리고 한국 등이다.
모두 각 나라의 사법기관이 고객들이었다, 그러나 일본이나 러시아 등은 없었고 미국의 이른바 FIVE EYE로 꼽히는 영국, 캐나다, 호주, 뉴질랜드등도 고객명단에는 없었다.
국정원이 사용한 해킹팀의 인터넷감시 및 스마트폰 도청장비, 과연 누구를 감시한 것일까, 이번 해킹은 예전에 또 다른 도청장비업체인 감마인터내셔널을 해킹한 ‘피네즈피셔’라는 해커가 해킹한 것으로 알려져 있다. 해킹을 통해 국정원이 스마트폰을 감청했다는 사실이 밝혀진 만큼 이제 그 감시대상이 누구인지, 그리고 그 재발을 막는 것은 바로 국민과 언론의 몫이다.
선데이 저널 USA 박우진 기자 http://www.sundayjournalusa.com/
| |||||||||||||||||||||||||||||||||||
CONTACT US
World Clock
Saturday, July 18, 2015
국정원 해킹 프로그램 구입 목적은...'朴근혜대통령 만들기' 해킹팀 계약자 ‘5163부대’는 박정희가 한강철교를 넘은 5월 16일 새벽 3시 숫자
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment