이탈리아 ‘해킹팀’ 서울 체류기 “국정원이 오늘 까다롭네…”

2013년 3월 한국을 방문한 해킹팀의 싱가포르 지부장 다니엘 말리에타는 출장 업무 외 개인적 약속을 잡고 부인과 함께 시간을 보냈다. 그는 한국인 친구들과 식사를 하며 찍은 사진을 전자우편으로 주고받기도 했다. 해킹팀 유출 자료

[토요판] 특집 / 문서 추적; 해킹팀 인 코리아

▶ 몽땅 털려버린 이탈리아 ‘해킹팀’ 자료엔 정말 많은 기록이 있습니다. 전자우편이나 업무보고 및 출장증빙 같은 업무상 교신 내역은 물론, 개인적 통신 및 녹음과 가족·지인들의 사진도 있습니다. 제대로 분석하면 해킹팀 직원들의 몇년치 일상을 고스란히 재구성하는 것도 가능할 것 같습니다. 디지털 세상의 어둡고도 무서운 면을 다시금 느꼈습니다. 다만 우리의 관심은 국정원이라는 점을 분명히 해둡니다. 해킹팀은 왜 국정원을 만났고, 국정원은 왜 해킹팀을 만났는지 이외엔 모두 부차적인 것들입니다.

“안토넬라, 서지와 내가 4월21~23일 서울에 갈 예정이니 아래 둘 중 한 곳에 예약 좀 부탁해요. ㅋ호텔(여의도)은 우리가 평소 묵는 곳이고, ㅇ호텔(삼성동)은 우리가 회의를 할 곳과 아주 가까워요. 고마워요. 다니엘.”

이탈리아 보안업체 ‘해킹팀’의 싱가포르 지부장인 다니엘 말리에타는 지난해 4월16일 해킹팀 본사의 출장 담당에게 이런 전자우편(이메일)을 보냈다. 같은 날 말리에타는 21일 오후 2시55분 서울로 갔다가 23일 오후 4시40분에 돌아오는 ㅅ항공 왕복편의 이코노미석 두 자리를 자신과 이 회사 선임 보안컨설턴트 서지 운의 이름으로 예약했다.

말리에타와 운의 도착을 앞둔 21일 오전, 이 회사의 제품인 원격제어시스템(RCS)을 국가정보원에 판매할 수 있게 중개했던 나나테크의 허손구 대표는 “택시기사에게 보여주라”며 지도 스캔 파일을 첨부한 전자우편을 보냈다. 첨부한 지도엔 인쇄체로 “가능한 한 빨리 모시고 오시면 좋겠습니다”, 그리고 손글씨로 “기사님! 잘 부탁드립니다!!”라고 적혀 있다.

목적지는 서울 강남구 역삼동의 한 건물로, 이들이 묵기로 한 여의도 ㅋ호텔에선 12.6㎞, 24분 거리였다. 허 대표는 이튿날인 22일 이 건물에 입주한 공간임대업체의 회의실을 온종일 빌려놓은 상태였다. 이 업체 누리집(홈페이지)에 나온 기본 이용요금은 1인당 2시간 5000원, 추가 30분당 1250원으로, 만약 6명이 6시간 동안 사용한다면 요금은 모두 9만원이다. 인원은 그보다 적었을 가능성이 있다. 말리에타가 “매우 고맙다”고 회신하자, 허 대표는 “고객들은 내일 10시까지 오기로 했다”고 전했다. 국정원과의 만남이었다. 이번 만남의 목적은 새로운 해킹시스템의 전달과 관련 교육이었지만, 당시 해킹팀으로선 두달 앞서 터진 ‘시티즌랩 사태’에 대한 불만·불안을 무마하고, 동시에 한국 사업을 확장하는 ‘두 토끼 사냥’의 배경이 깔려 있었다.

데블에인절, 갑자기 누그러진 이유는?

말리에타와 운 두 사람이 국정원과의 접촉을 위해 한국을 방문한 것은 처음이 아니었다. 불과 한달 전인 2014년 3월에도 서울에서 국정원 관계자들을 만났다. 당시 분위기는 심각했다. 2월17일 캐나다 연구팀 ‘시티즌랩’이, 해킹팀이 한국 등 21개국에 해킹용 스파이웨어를 판매한 흔적을 확인했다고 발표한 데 따른 후속조처 차원에서 이뤄진 만남이었기 때문이다.

이 일로 인터넷 검열 반대 진영의 공적이 된 해킹팀은 디도스(DDoS) 공격을 받기도 했다. 해킹팀 최고경영자(CEO)인 다비드 빈첸체티는 3월5일 직원들에게 보낸 전자우편에서, “아직 디도스 공격을 받고 있다. 노력 중이다”라고 했다. 8일엔 “해킹팀닷컴(.com) 도메인은 그저께(6일)부터 정상 운영 중이며, 해킹팀닷아이티(.it) 도메인은 일부러 방어를 하지 않아 여전히 공격을 받고 있다”고 밝혔다. 신경민 새정치민주연합 의원이 지난 19일 “해킹팀 로그에 한국 아이피 138개가 확인됐다”고 한 것은, 국정원 해명대로 이때 디도스 공격과 관계가 있어 보인다.

사실 2월 시티즌랩 발표 직후만 해도 국정원 쪽은 상황 파악에 시간이 좀 걸리는 듯했다. 해킹팀은 즉각 고객들에게 “여러분이 사용 중인 아르시에스와 관련된 거라며 여러 아이피 주소가 제시된 보고서가 나왔다. 우리 지시에 따라 방화벽을 설정한 고객들은 신분이 노출될 위험이 없다”고 공지하면서, 관련 기기 및 프로그램 설정 내용을 확인해 알려달라고 요청했다. 다른 고객들은 설정 상황을 살펴보고 해킹팀의 요구에 맞는지를 살펴서 회신했다. 하지만 해킹팀과 꾸준히 접촉한 국정원 아이디 ‘데블에인절’(devilangel)은 “알다시피 보안상 이유로 우리 구조에 대한 상세한 정보를 줄 수 없다. 당신 쪽 정보를 주면 우리와 관계가 있는지 살펴보겠다”며 정보 제공을 거부했다.

이렇게나 침착했던 국정원은 21일부터 갑작스레 분통을 터뜨렸다. 데블에인절은 해킹팀에 보낸 전자우편에서 “(17일 보낸 첫번째) 메시지를 봤다”며 “추적을 따돌리기 위해 주기적으로 가상사설서버(VPS) 인터넷주소(IP)를 바꿨고, 나의 접속 아이피를 알려준 적이 없는데 어떻게 아이피를 알 수가 있느냐”고 따졌다. 시티즌랩 발표와 해킹팀의 첫 대응은 월요일(17일)이었는데, 금요일(21일)이 돼서야 상황이 좀 보이기 시작한 모양이었다. 주말이 지나고 월요일(24일) 발송된 데블에인절의 전자우편은 “충격적인 결과”라고 시작해서는, “당신네들이 고객을 위해 하는 게 뭐냐. 아르시에스를 유지할지 심각하게 고민되는 상황”이라고 해킹팀을 몰아세웠다.

이날 데블에인절이 “당신 회사가 시키는 보안 조처를 다 했는데, (시티즌)랩이 내 서버를 성공적으로 추적했다”고 한 것으로 보아, 시티즌랩이 거론한 아이피는 국정원의 것이 맞았던 것으로 보인다. 정보기관이 신분 노출의 위험에 처했다면서 계약 해지를 거론하는 상황에서도, 주말 사이 아무런 연락이 오가지 않았던 것은 의아스러운 부분이다. 데블에인절이 이날 향후 개선 등을 약속받고 즉각 누그러진 것도 그리 자연스러워 보이진 않는다. 이튿날인 25일 데블에인절은 아이피가 노출되더라도 국적이 밝혀지지 않도록 아르시에스를 국외에 설치하는 방안을 거론하며 검토해달라고 요청했다.

해킹팀과 국정원의 접촉 과정
나나테크가 어떻게 중개하는지
해킹팀 직원이 언제 한국에 와
어떻게 지내며 무엇을 노렸는지
400GB 자료 속을 들여다봤다

“시티즌랩에 서버 추적당했다”
데블에인절이 분통 터뜨리자
국정원과 긴급 면대면 접촉 추진
2014년 3월 당일치기로 방한
한달 뒤 긴 일정으로 다시 와

국정원쪽 “또 문제 생기면 RCS 이용 중단”

한국에서 국정원을 직접 상대하기로 해킹팀과 계약한 나나테크는 3월3일과 5일 ‘가장 긴급’(Top Urgent)이란 제목으로 두차례 해킹팀에 항의성 전자우편을 보냈다. 해킹팀은 7일 싱가포르 지부장인 말리에타 명의로 장문의 해명을 보내 △그동안 시티즌랩의 문제제기에 긍정도 부정도 하지 않았고 앞으로도 하지 않을 것이며 △시티즌랩 발표 뒤에도 아르시에스 시스템에는 문제가 없고 △관련 언론 보도는 모두 부정확해 보이지만 따로 대응하진 않겠다는 등의 입장을 밝혔다. 해킹팀 내부에서 이 회신의 문구를 조율하는 과정에선, 빈첸체티 대표가 “이번 사건은 순전히 그들이 시스템 운영에 대한 우리의 설명을 무시했고 방화벽 설정을 제대로 하지 않아서 일어난 것”이라고 지적하는 등 주된 책임이 국정원 쪽에 있다는 인식이 반영됐다.

다만 최고운영책임자(COO)인 잔카를로 루소가 “최대한 빨리 장소를 잡아서 면대면으로 고객을 만나라”라고 조언하면서, 같은 달 말에 말리에타가 한국을 직접 방문해 ‘고객’(국정원)을 만나기로 결정됐다.

해킹팀과 나나테크, 그리고 국정원은 조율을 거쳐 3월24일 역삼동 공간임대업체 회의실에서 만나기로 했다. 해킹팀 쪽이 ‘오전 8시40분 입국, 오후 7시40분 출국’의 빡빡한 당일치기 일정으로 오겠다고 하자, 나나테크 허손구 대표는 “월요일엔 교통이 혼잡해서 회의실엔 11시나 돼야 도착할 테고 오후 4시40분에는 공항으로 출발해야 (제시간에 비행기에 탑승)할 것”이라며 “4월 초로 일정을 다시 잡자”고 했다. 해킹팀은 마치 ‘일단 만나라’는 경영진의 지침을 확인하듯 “적어도 그동안 가져왔던 우려를 안심시키기 위해서라도 일단 고객을 만나는 게 좋겠다”며 “더 많은 주제를 다뤄야 할 필요가 있으면 내가 다시 서울에 오겠다”고 했다. 허손구 대표는 같은 지도 스캔 파일 및 자신의 휴대전화 번호와 함께 “월요일 회의실에서 보자”는 전자우편을 보냈다.

2014년 3월24일 새벽 1시30분에 말리에타는 운과 더불어 싱가포르 창이 공항에서 ㄷ항공 비행기에 올랐다. 두 사람은 오전 8시40분 인천공항에 도착해서는 9시20분쯤 공항 내 ㄷ도너츠 매장에서 커피와 빵을 구입했다. 공항에서 회의실까지의 택시비는 해킹팀 쪽 자료엔 나오지 않아, 허 대표가 치렀을 가능성도 있다. 말리에타와 운은 낮 12시14분 회의실 건물 1층의 샌드위치 전문점 ㄹ식당에서 샌드위치와 샐러드, 생수 2병 등을 1만100원에 샀다. 점심식사였던 것으로 보인다. 오후 3시37분엔 다시 ㄹ식당에 내려와 오렌지와 음료, 빵을 1만원어치 샀다. 만약 이때 회의가 끝난 거라면, 회의는 대략 4시간30분여 진행된 것으로 추정된다. 두 사람은 중형택시를 타고 오후 5시에 인천공항으로 돌아왔다. 그리고 공항 내 스시집에서 메밀국수와 소시지 등 4만2000원어치를 주문했다. 두 사람은 7시40분 ㄷ항공 비행기로 다음 출장지인 몽골로 향했다.

말리에타는 28일 제출한 출장보고서에서 24일 고객(국정원) 및 파트너(나나테크)와의 회의에 대해, “불행히도 그들은 시티즌랩 관련 보도 뒤, 앞으로는 보안에 유의해 절대 노출되지 않아야 한다며 ‘고위 경영진’(Senior Management)으로부터 추궁을 받았다고 한다”고 보고했다. 같은 문제가 또 생기면 안 되니 국정원 쪽에서 아르시에스 이용을 중단할 수 있다는 얘기도 있었다고 전했다. 말리에타는 “고객에게 우리의 지침에 주의를 기울여야 한다는 것과 우리 스스로도 고객 신분 보호에 만전을 기하고 있다는 것을 재확인시켰다”고도 보고했다. 그러면서 “한국 문화에선, 약간 일본과 비슷하게도, 겉으로 이야기하는 걸 곧이곧대로 받아들이면 안 되므로 지속적으로 그들을 재확신시키고 우리가 중요한 고객으로 여긴다고 느끼도록 만들어야 한다”고 덧붙였다.

이러한 태도는 결국 한달 뒤인 4월에 한국을 재방문하는 것으로 귀결됐다. 그리고 네트워크에 스파이웨어 침투 장비를 설치해 무차별로 감염시키는 택티컬네트워크인젝터(TNI)를 4월부터 석달 동안 무료로 시험 사용하도록 했다. 4월엔, 3월과 달리 약간은 여유가 있었는지, 종로의 유명 고깃집도 방문한 것으로 나타난다. 말리에타가 본사에 제출한 영수증에는 4만9000원짜리 꽃등심 1인분, 파전 1개, 된장찌개 2인분과 음료 등 8만원이 찍혀 있다. 아마도 운과 두 사람이 찾아가서는, 한국식 주문 방식을 따르진 않았던 것으로 보인다.

해킹팀은 한국에 수차례 방문하면서 고객을 관리했다. 해킹팀 직원들이 출장 중 식당에서 밥을 먹고 회사에 보고하면서 첨부한 영수증. 해킹팀 유출 자료

‘로맨스’ 엿볼 수 있는 기록도

해킹팀이 늘 이렇게 빡빡한 일정으로만 한국을 다녀간 건 아니었다. 국정원이 2011년 구입한 아르시에스의 설치를 위해 한국에 왔던 해킹팀의 기술자 ㅅ은 한국에서의 ‘로맨스’를 엿볼 수 있는 기록을 남겨놓기도 했다. 그가 회사 계정으로 한국 이름의 한 여성에게 전자우편을 보냈기 때문이다.

“안녕. 오늘밤 시간을 내서 나와 같이 보내줘서 정말 고마워. 언제든 같이 먹으러 가거나 마시러 가거나 하고 싶지만, 네가 시간이 없다는 것, 그리고 아마도 좋은 생각이 아니라는 것(네 남자친구 때문에), 난 잘 알아. 안타깝지만 난 토요일 아침 서울을 떠나. :( 하지만 어떤 경우에도, 아마 네 술집에 또 올 수 있을 거야. 잘 자. 넌 정말 예뻐. ;-) 난 호텔에서 영어 영화를 보려고 해.”

그는 2012년 1월13~21일 아르시에스 설치 작업을 담당하고 돌아갔으며, 반년 뒤 7월에도 사흘 동안 한국을 다녀갔다. 하지만 이 여성과 다시 연락을 주고받은 기록은 없다. 당시 그는 회사에 “7월9~11일 한국 고객 SKA에게 가 있을 것”이라며 “방문 및 기초교육 등 예정된 행사겠지만, 특별한 요청이 있으면 지원이 필요할 수도 있음. 이탈리아와는 7시간 차”라는 짧은 메모를 남겼다.

국정원 및 나나테크 쪽 영업을 주로 담당했던 싱가포르 지부장 말리에타도 마찬가지로 개인 용무를 본 기록이 남아 있다. 한국 초행길이었던 2013년 3월 서울 출장 당시, 그는 공식 출장 기간이었던 25~28일 외에 개인적 약속을 잡고 부인과 함께 시간을 보냈다. 물류업계에 종사하는 김아무개씨는 당시 그를 만나 저녁식사를 한차례 같이 했다. 김씨는 <한겨레>와의 통화에서 “과거 한국에 근무했던 외국인 지인이 자기 친구가 한국에 간다면서 여행 안내를 부탁해왔다. 그 친구가 말리에타”라며 “식사를 한번 같이 한 것뿐 그 뒤 특별히 연락을 주고받진 않았다. 말리에타가 정보기술(IT) 쪽 일을 한다고는 했는데 어떤 분야인지 자세히 기억나지 않는다”고 말했다. 김씨와 김씨의 직장 동료 이아무개씨, 그리고 이씨의 친구인 환경단체 팀장 장아무개씨 등 한국인 3명은 이날 말리에타 부부와의 식사 뒤, 가볼 만한 식당을 추천하는 전자우편을 보냈다. 말리에타도 “고맙다”는 인사를 했고, 그날 자리에서 찍은 사진이 오가기도 했다. 그 이상 연락을 주고받은 기록은 없다.

그러나 개인적 일정과는 무관하게, 말리에타의 이때 출장 보고를 보면 해킹팀 직원들이 계속 한국을 찾는 데는 꽤 분명한 이유가 있어 보인다. 박근혜 정부 출범 초기였던 이 시기는 북한의 위성 발사(2012년 12월)와 3차 핵실험(2013년 2월)으로 안보 불안감이 커지던 시기였다. 3월 한-미 연합군사훈련을 이유로 북한이 개성공단 폐쇄라는 초강수를 둔 것도 이즈음이었다. 말리에타는 출장보고서를 제출하면서 “이웃(북한)으로부터 지속적인 위협이 있은 직후라 한국을 방문하기에 아주 좋은 시기는 아니었지만, 비즈니스 차원에서는 분명히 훌륭한 시기였다”고 적었다.

실제로 그는 이 시기 아르시에스의 새로운 판로를 뚫어보려 시도했다. 말리에타는 출장을 한달가량 앞두고 일정 하루를 통째로 비워놓고는 나나테크 허 대표에게 “프레젠테이션을 해보일 만한 다른 고객을 알아봐달라”고 요청했다. 허 대표가 “(아르시에스 같은) 이런 프로그램은 한국에서 불법이라서 프레젠테이션을 또 하기가 어렵다”고 주저하자, 말리에타는 “대테러 기관 같은 곳은 시도해봤느냐”며 다시 압박했다. 결국 허 대표는 말리에타 도착 닷새 전 “에스이시(SEC)를 만날 수 있게 됐다”고 통보했다. 곧, 경기도 성남 지역에 있는 대북통신감청 부대인 이른바 ‘777(스리세븐)부대’가 잠재 고객이 된 셈이다.

한국의 정보기관은 이탈리아의 정보보안업체 ‘해킹팀’이 특별 관리하던 고객이었다. 사업 기회가 많다고 본 해킹팀은 한국 시장에 주의를 기울였다. 해킹팀에서 휴대전화 해킹프로그램인 ‘아르시에스’를 구입한 국가정보원의 서울 내곡동 청사. 이종근 기자 root2@hani.co.kr

해킹팀이 자주 오던 2014년 봄
북한 위성발사, 3차 핵실험 등
안보불안 곡선 상승하던 시기
한국에서 새 판로 뚫으려 시도
대북통신감청부대 소개받기도

빈첸체티 해킹팀 대표는
2014년 한국 한국수력원자력의
해킹사태로 원전자료 유출되자
“만약 사실이고 심각하다면
사업기회 될 수 있다” 글 올려

777부대에서 답은 왔을까

777부대는 존재 자체가 극비로, 신호정보(Signal)·전자(Electronic)·통신(Communication) 정보를 취합한다고 해서 ‘에스이시연구소’라는 명칭으로 운영되는 것으로 알려졌다. 부대에 붙은 번호를 모두 더하면 마지막 숫자가 7로 끝나기 때문에 777부대로 불린다는 설도 있다. 말리에타의 출장 보고를 보면, 이 프레젠테이션은 꽤 성공적이었던 듯하다. “출입이 허용되지 않아 입구 옆의 인터넷 연결이 안 되는 작은 방에서 아주 포괄적 시연을 했음. 중견급 장교 3명으로 시작했으나, 15분 뒤 그들 중 1명이 결정권자 2명을 초대함. 20분 이하로 예정됐던 회의가 1시간 이상 진행됨. 2명의 결정권자들이 기술 분야 관련 질문을 많이 함. 다음에 다시 서울에 와서 또다른 프레젠테이션을 해달라고 요청함. 국내 업체가 비슷한 프로그램을 만들고 있다는데, 오직 안드로이드 운영체제만 다룬다고 함. 우리 쪽(해킹팀)이 그쪽보다는 훨씬 완성도가 높다고 함.”

두달 뒤 말리에타는 허 대표에게 “프레젠테이션 이후 에스이시 쪽으로부터 들은 것 없는가”, “반응은 어떻던가” 등을 물었으나, 허 대표는 “검토 중이고 아직 미정이라 해서, 결정을 기다리고 있다”고 답했다. 이후 해킹팀 내부 자료에서 ‘에스이시’는 다시 언급되지 않았다.

정보보안업체인 해킹팀은 안보 문제에 대해 꾸준히 관심을 갖고 있었다. 특히 빈첸체티 대표는 자신이 주기적으로 보내는 전 직원 대상 전자우편에서 북한, 북핵 문제를 중요하게 다뤘다. 그는 2014년 12월 김정은 노동당 제1비서를 희화시킨 영화 <인터뷰> 논란 당시, 관련 기사를 첨부하며 “미국과 전세계에서 <인터뷰> 방영을 중단하는 등 북한의 오만함에 고개를 숙이는 것은 분명히 바보스러운, 겁쟁이들이나 하는 행동”이라는 코멘트를 달았다. 다음달 이와 관련해 소니 해킹 사건에 대한 미국 오바마 정부의 보복 방침에 대해선 “드디어 미국의 반응이 나왔다”며 환영했다. 미국 국방부 관리들의 말을 인용해 <월스트리트 저널>이 보도한 북한 핵미사일의 도달 범위 도표도 공유했다. “시험되지 않았지만 사거리가 5600㎞로 추정된다”며 서방 대부분을 영향권에 포함시킨 지도였다.

그러나 한국에 대한 관심이 안보에만 국한된 것은 아니었다. 지난해 한국수력원자력 해킹 사태로 원전 자료가 유출되자, 그는 관련 기사를 직원들에게 회람하며 “알고 있었나? 만약 사실이고 심각하다면 사업 기회가 될 수도 있겠어”라는 글을 보냈다. 삼성, 엘지 등 국내 전자업체의 동향도 예민한 관심거리였다. 올해 초 삼성 텔레비전이 인텔과 합작해 만든 자체 운영체제(OS) 타이젠을 탑재한다는 소식에, 그는 해킹팀의 마케팅 부문에 “삼성이 안드로이드 대체용으로 타이젠을 밀려고 한다. 연구를 해야 할 것”이라고 지시했다. 며칠 뒤 타이젠을 탑재한 삼성 스마트폰 모델이 인도에서 출시되자, 다시 마케팅 부문에 “뭘 해야 할지 알지?”라는 글을 보냈다.

“10월12~16일 국정원 교육 예정”

그리고 그는 꽤 분명한 자신의 정치적 성향을 감추지 않았다. 부시 행정부 시절 ‘네오콘’(강경보수파)의 대표적 인물인 딕 체니 전 부통령 관련 기사를 전하면서, “훌륭한 미국 대선 후보를 만나봅시다”라고 추어올렸다. 해킹팀을 필두로 한 스파이웨어 회사들과 관련해 우려의 목소리를 낸 미국 내 리버럴 성향 칼럼니스트에겐 “이 ‘사랑스런’ 강경좌파들”이라고 비꼬면서, “법을 준수하는 인터넷 이용자라면 해킹팀을 두려워할 게 없다. 법을 어기거나 테러에 연관됐다면 문제가 될 것”이라고 했다.

지난 7월5일 해킹팀 자료가 통째로 외부에 공개되기 불과 며칠 전까지, 해킹팀의 엔지니어들은 국정원이 꽤 까다로운 고객이라고 여겼다.

“안녕, 괴롭히기 싫은데, SKA가 오늘 좀 까다롭다. 해당 기종의 안드로이드 최신 버전에 대한 (해킹) 업데이트 과정이 어떻게 되는지 정보를 달라고 한다. 삼성 갤럭시 탭2, 삼성 GT-I9500, 삼성 SHV-E250S 등에 대한 해킹이 필요하다.”(7월1일)

“일부 장치가 사진을 제대로 전하지 못하고 있어 (SKA가) 유감이라고 한다.”(7월2일)

“메시지와 통화 내용을 엿볼 때, 연락처 목록에 있는 이름은 (번호가 아니라) 연락처상의 이름이 표시되도록 해줄 수 있는지를 물어왔다.”(6월30일)

“특정 해킹 툴로는 한번 목소리를 전하고 나면 통화 내역만 전달된다고 연락이 왔다.”(6월23일)

그리고 자세히 보면 머지않아 국정원을 상대로 한 교육도 예정돼 있었음을 알 수 있다. 해킹팀은 해킹 관련 프로그램 및 설비를 판매하고, 그 이용법을 가르치고, 업그레이드에 따른 추가 설비를 다시 판매하는 식으로 수익을 거둬가는 기업이다. 그리고 그 성공을 익명의 성과로 홍보하며, 다시 고객을 늘려가는 식으로 영업을 한다. 국정원 상대 교육에는 해킹팀의 누가 와서 무엇을 가르치기로 돼 있었을까? 국정원의 누가 가서 무엇을 배우기로 돼 있었을까? 설마, 오는 10월에 예정대로 교육을 진행하는 건 아닐까?

“10월12~16일 국정원(SKA) 교육.”(7월1일)

김외현 조승현 기자 oscar@hani.co.kr