벌써 1주일입니다. 지난 주 목요일 아침, 미스핏츠는 ‘5163 부대는 당신이 무엇을 하는 지 알고 있다’는 제목으로 5163 부대의 스파이웨어 구매 내역, 그리고 그 스파이웨어가 무엇을 할 수 있는 지에 대해 발빠르게 다뤘습니다.

'우리를 믿으라'던 이놈의 해킹팀은 400GB의 사내 데이터를 전 세계인들에게 던져줘 버렸다(...).

그리고 1주일이 지났습니다. 언론사들이 이제서야 앞다투어 [단독]과 [특종] 등의 말머리를 붙여 5163 부대, 즉 국정원의 스파이웨어 구매, 유지 보수, 사용 내역에 대해 추적하고 있습니다. 하지만 아쉽습니다. [단독]을 붙이면 역시 눈길이 더 가서일까요.1)저희도 맨 처음 보도에 [단독]이라도 붙일 걸 그랬나요? 토렌트에 처음 공개된 후, 위키리크스에 뒤이어 공유된 산더미같은 이메일 자료를 뒤져서 나온 개별 이메일, 혹은 몇 개의 이메일 내용들이 관련 취재원의 멘트 하나 없이도 대부분 기사화되고 있습니다. 그만큼 보도가치가 큰 사안이라 끊임없이 ‘단독’을 붙여 내보내는 걸 수도 있지만, 국민들이 사건을 종합적으로 이해하는 데에 이러한 ‘단독’기사들이 얼마나 도움이 되고 있는지는 의문입니다.

그래서 그동안 쏟아진 보도들을 모아 이번 ‘5163 부대-해킹 팀’의 스파이웨어 스캔들의 전말을 재구성해 봤습니다.

RCS에 국정원이 관심을 가진 것은 2010년

나나테크2)국정원과 해킹팀 사이를 중개한 업체이자, 국내의 KT, SKT, LG U+ 등  통신사들에게 통신 장비를 공급한 회사와 해킹팀 측은 2010년부터 계약을 위해 접촉해 왔으며, 2010년 12월 7일 강남 인터콘티넨탈 호텔에서 해킹팀이 직접 나나테크와 나나테크의 ‘고객님들’에게 RCS(Remote Control System, 해킹 팀의 스파이웨어 명. 버전별로 다빈치, 갈릴레오 등의 버전명도 있다) 를 시연했습니다. 노컷뉴스에 따르면, 2010년 12월 12일에 나나테크는 “당신들(해킹팀)이 만났던 우리 ‘고객’은 휴대폰을 담당하고 있다”고 이메일을 통해 밝히고, 2011년 12월에서야 그들이 ‘5163부대’임을 밝힙니다. 3)첫 시연 이후에도, 2013년 2월 26~27일에 해킹 팀 직원들이 출장을 가 국정원 직원(SKA) 관계자들을 만났음이 밝혀진 바 있습니다.

국정원은 해킹 팀으로부터 2012년에 스파이웨어를 구입했다

이병호 국정원장은 7월 14일 열린 국회 정보위원회에서 “2012년 1월과 7월 두 차례에 걸쳐 해킹 소프트웨어를 산 것은 맞다”고 말했습니다. 하지만 그 외의 의혹, 그러니까 카카오톡 등을 필두로 한 스마트폰 위주의 민간 사찰 의혹 등은 “만일 그러한 일이 있었다면 어떠한 처벌도 받겠다”고 강하게 부인했죠. 더불어, 해당 스파이웨어는 “대북/해외 정보전을 위한 연구, 개발용”이라고 목적을 밝혔고요.

하지만, 국정원 측에서 시인한 두 차례 말고도 스파이웨어를 구입한 정황은 해킹팀과 나나테크가 주고 받은 이메일에서 드러납니다. 경향신문의 단독 보도입니다. 2012년 12월 6일 나나테크 측은 “고객이 프로그램을 30명분 추가 주문하길 바란다”면서 “30일짜리 라이센스로 미리 설정이 돼 있는 파일을 보내달라”고 합니다. 4)이와 곁들여 자신의 고객님이 ‘대박 할인’을 바란다는 문구도 있습니다만, 사건의 전말에 중요한 디테일은 아니니까요. 그래도 웃고 넘어가시라고 주석으로 추가합니다.

사진/ 경향신문의 이메일 캡쳐

사진/ 경향신문의 이메일 캡쳐

기사에서는 주문한 시기만 놓고 ‘대선 정국에 활용된 것 같다. 수상하다”는 분석을 내 놓았지만 저는 “30일짜리 라이센스”라는 말에 더 눈길이 갑니다. JTBC의 단독 보도 역시 여기에 주목했습니다. 30일동안 잠깐 30명을 늘려서 추적한 다음엔, 그 30명분의 스파이웨어는 필요가 없어진다는 이야기니까요. 긴급하게 30명을 12월 초부터 1월 초까지 한 달만 감시해야 할 필요성이 그 때 뭐가 있었을까요? JTBC는 문재인 의원과 안철수 의원의 대선 후보 단일화 선언일이 2012년 12월 6일이었음에 주목하고 있습니다. 물론 정황만 정황이지, 실증은 아직 없습니다.

어떻게 작동하는가

한편, RCS를 만든 해킹 팀 측의 설명에 따르면 RCS가 거의 모든 것이 가능한 전지전능 수준의 스파이웨어일 뿐만 아니라, 그 동안 상대적으로 보안이 튼실하다고 알려진 iOS까지 침투할 수 있다고 합니다. 해킹팀 측의 주장이 전부 사실인 것으로 드러나진 않지만, 몇몇 언론의 보도와 달리 iOS에까지 RCS가 침투가 가능하다는 주장은 꾸준히 제기되는 중입니다. 5)Apple enterprise certificate, 즉 애플의 기업 인증서를 사용하면 스토어를 거치지 않고도 어플리케이션 설치가 가능합니다. 이 때 어플리케이션의 확장자는 .ipa입니다. 이 방식으로 얼마든지 해킹 팀의 스파이웨어가 침투할 수 있는 것으로 있다는 것은 확인된 바 있습니다. 아직 ‘아이폰만은 안전해!’라고 속단하기에는 이르다는 겁니다.

1436927215-32안드로이드에서 해킹팀의 스파이웨어가 어떻게 작동되는지는 한국일보의 기사가 잘 설명하고 있습니다. 보통의 스미싱 사기 팀이 쓰는 수법과 비슷합니다. 먼저 신뢰할 만한 것처럼 보이는  – 국정원의 경우, 이메일에서 주로 android나 samsung등이 들어간 URL을 만들어 사용했습니다 – URL 주소를 사용자에게 보냅니다. 해당 URL을 사용자가 클릭하면, 스파이웨어가 다운로드되기 시작합니다. 다운로드가 진행되는 동안 브라우저 창에는 ‘redirecting’ 혹은 국정원이 요구한 대로 ‘loading’ 등의 문구가 뜨니까, 사용자는 뭐가 다운로드 되는지 알 수가 없고요. 그리고는 도착지 URL(destination URL)이 멀쩡하게 뜨는 겁니다. 보도에서 드러난 떡볶이 관련 포스팅, 벚꽃축제 관련 포스팅, 메르스 관련 페이지 등이죠.

본격 국정원 직원이 기자 사칭하는 문서.docx

본격 국정원 직원이 기자 사칭하는 문서.docx

그 외에도, 동창회 명부나 천안함 문서 등을 만들어 보내고, 이를 열면 악성코드가 감염되도록 코드를 심어줄 것을 요청한 국정원과 해킹팀 측의 메일이 이미 확인된 상태입니다. 메일에 첨부된 위장용 동창회 명부는 시사IN 취재 결과 실제 서울대 공대의 동창회 명부로 확인됐고, 명부에는 천안함과 관련해 대 잠수함전 전문가로 알려진 안수명 박사도 포함돼 있습니다. 국정원이 ‘신원이 알려지지 않은 천안함 관련 전문가’에게 미디어오늘 기자를 사칭하며 악성 코드가 심어진 천안함 관련 워드 파일을 보낸 정황이 일찍이 확인된 가운데, 대체 이 ‘신원이 알려지지 않은 천안함 관련 전문가’가 누구일지 나날이 궁금해지는군요. 그리고 이렇게 세세한 타겟팅을 통해 스파이웨어를 침투시켜야만 했던 그 누군가가 국정원의 해명대로 ‘북한’과 관련된 누군가인지도요.

민간인 감찰 및 국내 사용 논란

YTN과의 라디오 인터뷰에서 국회 정보위원회 여당 간사 이철우 의원은 국정원의 RCS 사용이 “ 다 해외에 있는 사람들을 대상으로 했고, 국내에서는 단지 2개 회선을 사용하고 있다”고 밝혔습니다. 회선이 아니라 ‘타겟’을 말하신 것 같긴 합니다만. 6)만약 ‘회선’이라고 말한 게 사실이라면, 누구를 감찰했는가와는 아무런 연관이 없습니다. 인터넷은 국경, 국적이라는 개념이 적용되지 않습니다. 인터넷의 트래픽에 ‘국적’이 달려 있지 않은 것처럼요. 해외의 회선을 거쳐서도 얼마든지 국내 민간인 사찰은 가능합니다.

하지만, 민간인 사찰을 위해 RCS를 운용한 적이 없다는 국정원의 주장은 사실 여부가 불투명합니다. 첫째로, 국내가 아니라면 거의 쓰지 않는 카카오톡, 안랩 모바일 백신을 뚫을 수 있는 업그레이드를 주기적으로 요청했을 뿐만 아니라, 국내에서만 유통되는 갤럭시 모델7)전세계에 팔린다고 해서 똑같은 갤럭시가 아닙니다. 각 나라의 통신법 실정에 맞추어야 하니까요. 우리나라의 경우 전파인증을 받아야 하고, 통신사별로도 똑같은 기기의 세부 모델명이 다릅니다. 국정원은 바로 그 SKT, LG U+, KT에서 출시된 갤럭시 모델들을 뚫을 수 있게 해달라고 해킹팀에 요청했습니다.을 뚫어달라고 요청했기 때문입니다. 심지어, 갤럭시 S6 엣지를 포함해 최신 중국 스마트폰 등이 출시될 때마다 ‘왜 이 모델은 작동이 되지 않느냐’며 국정원이 개발 로드맵 등을 독촉한 정황도 드러났죠. 만약 이게 대북 방첩용 프로그램이라면 국정원을 상대로 활발한 간첩 활동을 벌이고 있는 북한의 간첩님들은 최신 스마트폰이 나올 때마다 스마트폰을 바꿀 짱짱한 재력을 갖춘 트렌드세터들입니다. 대단합니다.

(국정원의 주장대로라면) 새 갤럭시가 나올 때마다 제깍제깍 사는 간첩님들.jpg

(국정원의 주장대로라면) 새 갤럭시가 나올 때마다 바로바로 사야 직성이 풀리는 간첩님들.jpg

카톡 적용 문의 논란에 대해서 국정원 측은 “북한을 대상으로 공작원들이 카카오톡도 쓰기 때문에 그에 대해 문의하고 기술 개발을 위해 이메일을 주고받았다”고 해명했습니다만, 카카오톡을 쓰는 북한 공작원들에게 벚꽃축제나 떡볶이 맛집을 소개하는 블로그, 메르스 안내 등을 보내서 뭐한답니까?

둘째로, 민간인 사찰이 상당히 의심되는 메일들이 속속들이 드러나고 있기 때문입니다. 위키리크스에 공개된 메일을 추적한 결과, 오마이뉴스에 따르면 국정원은 안드로이드 OS의 스마트폰을 대상으로 최소 195회의 ‘real taget’, 즉 실험용이 아닌 실전 공격용 피싱 URL을 요청했습니다. 그리고 그 중에서는 국정원의 주장과 달리 민간인일 가능성이 아주 높은, ‘기술을 잘 알지 못하는 변호사’8)that the target is a lawyer and is not technichal 1명이 포함돼 있습니다.

셋째로,’정부 고위 관계자’ 등을 통해 민간인 사찰이 아니라고 제시된 근거가 터무니없습니다.  KBS는 ‘논란이 되고 있는 해킹 프로그램’이 대부분 북한과 관계된 인사의 IP에 사용됐다며, “정부 고위 관계자는 국정원이 지금까지 이 프로그램을 적용한 IP는 모두 87개라고 밝혔다”고 보도했는데요. 이는 IP 개념에 거의 무지한 수준의 보도입니다. KBS의 보도대로 밝혀진 87개의 IP가 북한과 관련이 있는 ‘인사’, 즉 한 사람 한 사람의 것이라고 말하려면 87개의 IP를 쓰는 ‘북한과 유관한 인사’들은 전부 VPN 한 번 안 쓰고, IP가 주기적으로 바뀌지 않고, 통신망 한 번 바꾸지 않은 채로, 한 대의 컴퓨터로 국정원의 감청 대상이 될 만큼 활발한 간첩 활동을 한 겁니다. 이쯤 되면 KBS도 국정원의 지능적 안티

국정원은 실정법을 위반했나?

국정원의 스파이웨어 구입 및 활용이 불법인지, 불법이 아닌지에 대해서는 의견이 꾸준히 엇갈리고 있습니다만, 혼동하지 말아야 할 것은 한 가지 있습니다. 합법과 불법의 여부가 논의되는 지점은 국정원의 대북 활동 및 연구개발용 스파이웨어 사용입니다. 민간인 사찰이 실제로 이뤄졌다면, 그것은 명백한 실정법 위반입니다. 강신명 경찰청장은 7월 14일 이미 “(문제가 되고 있는) 해킹 프로그램 사용은 영장을 받고 적법하게 수행하는 도ㆍ감청과 달리 실정법을 위반하는 것”이라고 기자들에게 입장을 밝힌 바 있습니다.

따라서, 실정법 위반 여부에 대한 논란을 정확한 워딩으로 풀자면, ‘국정원이 이 스파이웨어를 대북 방첩 및 연구개발용으로만 사용했을 경우 이것이 불법인가?’이 되겠습니다. 이에 대해 새정치민주연합 문병호 의원은 7월 15일 낸 브리핑 자료에서 “국정원 주장대로 북한을 상대로만 사용했더라도 대통령의 승인을 서면으로 받아야 하고, 대통령의 승인을 받았더라도 감청 대상자가 한국 국적의 내국인과 통신할 때에는 추가로 법원의 허가도 받아야 한다”며 해당 과정을 거치지 않고 국회에도 감청 장비로 스파이웨어의 보유 사실을 고지하지 않은 국정원의 스파이웨어 구입 및 사용은 명백한 실정법 위반이라고 주장했습니다.

이를 근거로 새정치민주연합측은 국회 법사위에서 검찰의 수사도 촉구하고 있는 상황입니다. 하지만 새누리당 김진태 의원은 “우리가 대북 정보를 알려고 할 때 (통신감청) 영장이 필요한 것은 아니다. 필요할 땐 해킹도 해야 하는 것“이라며 국정원의 활동을 옹호했습니다. 하지만 그의 옹호에 어떠한 법적인 근거가 있는 것은 아닙니다.


<3단 요약>

  1. 국정원 측은 2010년부터 해킹 팀의 스파이웨어 구매 의사가 있었고, 2012년에 최초로 계약을 맺은 후 자료가 유출되기 며칠 전 까지도 메일을 주고받으며 적극적으로 해당 소프트웨어를 사용해 왔다.
  2. 2012년 12월 말에 이미 구매한 20명에 30명을 추가해 총 50명을 한 달만 한시적으로 감시할 수 있는 양의 라이선스를 구매하려고 했다.
  3. 카카오톡이나 안랩 백신, 최신 안드로이드 스마트폰을 뚫어 달라는 주문 및 맛집 블로그를 가장한 스파이웨어 감염 시도, 천안함사건 관련 문서나 서울대 공대 동창명단 파일에 스파이웨어 설치 의뢰 등의 정황은 민간인 사찰이 아니라는 국정원의 해명과 상치된다.

볕 좀 쬐러 나가보시는 게 어떨까요

… 그럼 이제 기자라면 무엇을 해야 할까요? 여전히 위키리크스 안에서, 혹은 속도가 전혀 빨라지지 않는 토렌트 다운로드 창을 들여다보면서 답답해 할 시간에 바깥에 나가서 햇볕 좀 쬐는 것을 권장해 드리고 싶습니다. 해킹 팀은 만나 보셨나요? 국정원 측의 취재원은? 정부의 관계자는? 나나테크 관계자는? 메일로만 확인된 각종 정황에 대한 증거는 어디에 있나요?

볕 쬐러 내곡동에 산책이라도!

볕 쬐러 내곡동에 산책이라도!

인터넷 문서 바깥에 발로 뛰어 연결해야만 하는 몇몇 ‘미싱링크’들이 서서히 보이기 시작하고 있습니다. 이 미싱링크를 찾아, 사건의 전말을 육하원칙에 따라 완성하는 것이 기자의 의무라고 믿습니다. 기레기라는 호칭이 부끄럽다면, 벗어던질 기회가 다시 왔습니다. (물론 벗어던지기는 커녕 기레기 곱빼기 칭호를 얻을 기회이기도 합니다만…) 저는 그 동안 쌓아온 취재력과 취재망을 총동원해야 하는 이러한 사안에서야말로 제도권 언론, 혹은 소위 말하는 ‘메이저’ 언론이 그 힘을 발휘해야 한다고 봅니다. 사건의 전말을 상세히 밝히는 훌륭한 보도를 기다리고 있겠습니다. 부디.

   [ + ]

1. 저희도 맨 처음 보도에 [단독]이라도 붙일 걸 그랬나요?
2. 국정원과 해킹팀 사이를 중개한 업체이자, 국내의 KT, SKT, LG U+ 등  통신사들에게 통신 장비를 공급한 회사
3. 첫 시연 이후에도, 2013년 2월 26~27일에 해킹 팀 직원들이 출장을 가 국정원 직원(SKA) 관계자들을 만났음이 밝혀진 바 있습니다.
4. 이와 곁들여 자신의 고객님이 ‘대박 할인’을 바란다는 문구도 있습니다만, 사건의 전말에 중요한 디테일은 아니니까요. 그래도 웃고 넘어가시라고 주석으로 추가합니다.
5. Apple enterprise certificate, 즉 애플의 기업 인증서를 사용하면 스토어를 거치지 않고도 어플리케이션 설치가 가능합니다. 이 때 어플리케이션의 확장자는 .ipa입니다. 이 방식으로 얼마든지 해킹 팀의 스파이웨어가 침투할 수 있는 것으로 있다는 것은 확인된 바 있습니다.
6. 만약 ‘회선’이라고 말한 게 사실이라면, 누구를 감찰했는가와는 아무런 연관이 없습니다. 인터넷은 국경, 국적이라는 개념이 적용되지 않습니다. 인터넷의 트래픽에 ‘국적’이 달려 있지 않은 것처럼요. 해외의 회선을 거쳐서도 얼마든지 국내 민간인 사찰은 가능합니다.
7. 전세계에 팔린다고 해서 똑같은 갤럭시가 아닙니다. 각 나라의 통신법 실정에 맞추어야 하니까요. 우리나라의 경우 전파인증을 받아야 하고, 통신사별로도 똑같은 기기의 세부 모델명이 다릅니다. 국정원은 바로 그 SKT, LG U+, KT에서 출시된 갤럭시 모델들을 뚫을 수 있게 해달라고 해킹팀에 요청했습니다.
8. that the target is a lawyer and is not technichal