잠용의 타임머신... 영원한 시간 속에서 자세히보기

국정원 개혁

[국정원] 스마트폰 해킹 프로그램 伊서 구입 말썽

잠용(潛蓉) 2015. 7. 14. 17:10

"국정원 해킹 프로그램, 명백한 국내 민간인 사찰용" 

프레시안 ㅣ 이승선 기자 ㅣ 2015.07.14 16:41:19

 

시민단체 "신고만 하면 도·감청 가능한 국정원이 왜?"

국가정보원이 현행법상 불법인 해킹 프로그램을 몰래 구입했으며, 해킹 프로그램의 타깃 자체가 국내 스마트폰 운영 체제와 특정 단말기, 특정 모바일 메신저라는 점에서 명백하게 '국내 민간인 사찰용'이라는 주장이 제기됐다. 14일 민주사회를위한변호사모임, 진보네트워크, 천주교인권위원회, 참여연대, 한국진보연대 등 5개 시민단체는 국회 정문 앞에서 합동 기자 회견을 열고 "국가정보원의 감시 목표는 국내 스마트폰 이용자였던 것이 거의 확실하다"고 밝혔다.

 

그 근거로 시민단체들은 "국정원은 국내에서 가장 일반적으로 사용된다는 이유에서 '해킹팀'에 카카오톡 검열 기능을 요청했고, 국내에 새로운 스마트폰이 출시될 때마다 그 정확한 기종명을 적시해 보완을 요구했다"면서 "또한 국내에서 널리 쓰이는 모바일 백신을 회피할 방법을 문의하는 등 국내 스마트폰 이용자를 사찰하려는 목적이 뚜렷해 보인다"고 지적했다.

 

 

▲ 박근혜 대통령이 지난달 말 국가정보원을 비공개로 방문한 사실이 뒤늦게 확인됐다. 12일 여권 관계자들에 따르면 박 대통령은 지난달 30일 오후 언론에 알리지 않은 채 내곡동의 국정원 청사를 방문했다. 사진은 박 대통령과 이병호 국정원장. ⓒ연합뉴스

 

"몰래 구입 자체, 국정원도 불법 인식 드러낸 것'

이미 국가정보원이 문제의 해킹 프로그램을 구입한 것 자체가 실정법 위반이라는 것은 다른 사람도 아니고 강신명 경찰청장이 공개적으로 단언했다. 경찰청에 따르면, 국정원은 국회 정보위원회에 '통보'만으로도 감청 설비를 구매, 운영할 수 있는 유일한 수사 기관이다. 그럼에도 불구하고 국정원은 이탈리아 해킹 업체로부터, 그것도 '나나테크'라는 실체로 알려지지 않은 대행 업체를 통해 몰래 대금을 지불하고 문제의 해킹 프로그램을 구입했다.

 

그 이유는 해킹 대상인 스마트폰에 악성 코드를 몰래 심는 식으로 한 번 속이는 과정을 거치는 프로그램은 불법이기 때문이다. <노컷뉴스> 보도에 따르면, 14일 강신명 경찰청장은 "국가 안위에 명백하게 위험이 되는 사안이라 하더라도 법에서 규정한 도·감청이 아닌, 해킹을 통한 내사와 수사는 불법"이라며 "(대테러방지법 등) 관련 법이 통과되지 않는 한 사용할 수 없다"고 밝혔다. 민변 박주민 변호사는 "국정원은 '국외용'이라고 하지만 드러나는 여러 가지 정황은 그게 아니다. 카카오톡에 집중하는 모습, 삼성 핸드폰이 업그레이드돼 출시될 때마다 스파이웨어 업그레이드를 요청한 것, 언론사 기자를 사칭하고, 서울대 공과대 동창회 명단을 활용하려 했다는 점을 볼 때 국내에서 사용했을 가능성이 농후해 보인다"고 지적했다. 나아가 박주민 변호사는 "국정원은 통신비밀보호법, 개인정보보호법, 공직선거법, 국가정보원법을 위반했을 것으로 추정된다"고 강조했다.

 

진보네트워크 장여경 활동가는 "국정원은 국회 정보위원회에 통보하면 감청 장비를 보유할 수 있는데, 왜 나나테크라는 민간 회사로 우회해 이중삼중으로 어렵고 복잡하게 장비를 들여왔는지 그 이유를 추정할 수 있다"면서 "(이들 사이에서) 오고간 메일을 보면 국정원도 불법이라는 사실을 알고 있었다"고 말했다. 해킹 해프로그램 구매와 교육 그리고 프로젝트가 집중된 시기가 국정원이 대통령 선거에 개입했던 2012년이라는 점에서 국정원이 전방위로 여론 공작과 사찰을 주도한 것 아니냐는 의혹이 확산되고 있다.


시민단체 "국정원 해킹프로그램 이용 사찰여부 규명돼야" 
[뉴스토마토] 2015-07-14 오후 3:08:38  
 

 

국가정보원이 이탈리아 해킹팀으로부터 인터넷 감시프로그램을 구입해 불법감청을 시도했다는 의혹이 불거진 가운데 시민단체들이 진상규명과 함께 관련자들을 엄정 처벌할 것을 촉구했다. 민주사회를 위한 변호사 모임(민변)과 참여연대 등 5개 시민단체는 14일 오후 1시30분 국회 정문 앞에서 기자회견을 열고 "이제는 국정원을 믿을 수 없다"며 이같이 촉구했다.

 

시민단체들은 기자회견에서 "국정원이 해킹 프로그램을 한창 구입하기 시작했던 때가 바로 원세훈 전 국정원장의 선거개입과 국내정치개입 행위가 있었던 시기"라며 "원장 지시 하에 이루어진 국내정치 개입 과정에서 국정원이 이 프로그램을 전혀 쓰지 않았을지 의문"이라고 주장했다.

 

또 "과거에도 국정원은 "휴대폰은 감청이 안된다"고 국민을 속였지만 뒤로는 몰래 휴대전화 도청장비를 직접 개발하여 사용했던 전력이 있다"며 "진상을 밝히기 위해 오늘 열리는 국회 정보위원회 뿐 아니라 그 후로도 필요한 후속 조치가 모두 이루어져야 할 것"이라고 강조했다. 시민단체들은 특히 국정원이 해킹프로그램을 이용한 국내 민간인 사찰 유무가 명확히 밝혀져야 한다고 강조했다.

 

이들은 "보도들을 종합해보면 국정원은 국내에서 가장 일반적으로 사용된다는 이유로 해킹팀에 카카오톡 검열기능을 요청했고 새로운 기종의 스마트폰이 출시 될 때마다 정확한 기종명을 적시해 보완을 요구했다"며 "또 국내에서 널리 쓰이는 모바일 백신을 회피할 방법을 문의하는 등 국내 스마트폰 이용자를 사찰하려는 목적이 뚜렷해 보인다"고 주장했다. 시민단들은 또 국정원이 나나테크라는 민간회사를 통해 복잡한 경로로 해킹 프로그램을 은밀하게 구입했는지에 대해서도 규명되어야 한다고 지적했다.

 

시민단체들은 "통신비밀보호법상 국회 정보위원회에 통보하면 정보수사기관이 적법하게 감청설비를 도입할 수 있는데도 국정원은 정보위원회 감독조차 우회했고 나나테크 역시 감청설비 수입에 대한 미래부 인가를 받지 않은 것으로 알려져 있다"며 "프로그램이 국내 '시민 감시에 사용'했을 가능성이 노출되는 것을 뚜렷이 두려운, 도둑이 제발 저린 모습"이라고 꼬집었다.

 

시민단체들은 이어 "국정원과 같은 정보기관을 갖게 된 것은 우리 국민의 불행"이라며 "국정원은 해킹 프로그램 사용을 즉각 중단하고 국민 앞에 모든 진상을 밝혀라"고 촉구했다. 이날 기자회견에는 민변과 참여연대를 비롯해 진보네트워크센터, 천주교인권위원회, 한국진보연대 등 5개 시민단체가 참여했다.

 

국정원 해킹 프로그램 불법감청 의혹은 최근 우리나라 '육군 5163부대'가 이탈리아 해킹업체인 '해킹팀'에 카카오톡 해킹 기술에 대한 진전 상황을 물었다는 내용의 문서가 인터넷에 유출되면서 불거졌다. 이어 '육군 5163부대'는 국정원이 대외활동시 사용하는 이름이라는 의혹이 잇따르면서 논란이 커지고 있다. 민주사회를 위한 변호사 모임(민변) 등 시민단체들이 14일 오후 국회 정문 앞에서 기자회견을 갖고 국가정보원의 해킹프로그램을 이용한 민간인 사찰 의혹에 대한 규명을 촉구하고 있다. [사진/참여연대] 최기철 기자 ]

 

시민단체 "국정원 해킹프로그램 진상 철저히 조사하라"
연합뉴스 | 2015/07/14 14:42
 

(서울=연합뉴스) 이대희 기자 = 시민사회단체가 최근 불거진 국가정보원의 해킹 프로그램 구매·사용 의혹과 관련해 국회 정보위원회 등에 진상 조사를 촉구했다. 민주사회를위한변호사모임과 참여연대 등 시민사회단체는 14일 서울 여의도 국회 앞에서 기자회견을 열어 이같이 밝혔다. 이들은 "국정원이 이탈리아 해킹 프로그램 사용을 시인했지만 대북·해외 정보전 차원이었다는 변명을 덧붙였다"며 "하지만 선거와 국내 정치 개입 혐의를 받는 원세훈 전 국정원장 시절이 '문제'의 시기라 국정원을 믿을 수 없다"고 주장했다.
          

이어 "그간 휴대전화 감청을 위해 통신사마다 감청설비를 의무화해야 한다고 주장했던 곳은 국정원"이라며 "국정원은 과거에도 휴대전화는 감청이 안 된다고 국민을 속였지만 도청 장비를 직접 개발해 사용했던 전력이 있다"고 지적했다. 이들은 "오늘 열리는 국회 정보위원회뿐 아니라 후속 조치를 통해 국민들 앞에 국정원의 해킹 프로그램 사용을 둘러싼 모든 의혹을 명명백백하게 밝혀야 한다"고 덧붙였다.

 

우리나라 '육군 5163부대'가 이탈리아 해킹업체인 '해킹팀'에 카카오톡 해킹 기술에 대한 진전 상황을 물었다는 내용의 문서가 인터넷에 최근 유출됐고 이 부대가 국정원이 대외활동 시 사용하는 이름이라는 의혹이 제기됐다. 이와 관련해 국정원은 "확인해줄 수 없다"는 입장을 밝혔다. [2vs2@yna.co.kr]


스마트폰 해킹 프로그램 국정원, 구입 사실 인정

그러나 "시민 도·감청한 적 없다"

문화일보 | 인지현기자  | 입력 2015.07.14. 14:21

이병호 원장 정보위 출석

국가정보원이 논란이 되고 있는 해외 해킹 프로그램 구매과 관련된 의혹에 14일 "구매한 것은 사실"이라고 처음으로 공식 인정했다. 국정원 관계자는 이날 문화일보와의 전화통화에서 해킹 프로그램 구매 목적과 관련, "대북·해외 정보활동 및 선진 해킹 프로그램에 대한 연구에 한정했다"는 입장을 밝혔다. 일반 국민들을 상대로 한 도·감청은 없다는 점을 거듭 주장했다. 이병호 국정원장은 이날 국회 정보위원회 전체 회의에서 의원들에게 이 같은 내용을 보고한 것으로 전해졌다. 국정원이 2012년부터 '5163부대'라는 이름을 이용해 이탈리아 보안업체에서 스마트폰·PC 해킹 프로그램을 구입했다는 주장이 사실이라는 것을 확인한 셈이다.

 

최근 세계 각국에 인터넷프로그램을 판매해 온 이탈리아 업체 '해킹 팀'의 내부 비밀자료가 해킹으로 유출·공개되면서 국정원이 '5163부대'라는 위장 명칭을 사용해 'RCS(Remote Control System)'라는 프로그램을 사들였다는 의혹이 확산되는 상황이다. 위키리크스를 통해 온라인에 공개된 자료에 따르면 국정원은 국내 통신업체 '나나테크'를 통해 해킹 팀과 접촉하면서 39만 유로(약 5억8500만 원)를 들여 스마트폰·PC 해킹 프로그램을 구입했다.

 

국정원 관계자는 다만 프로그램 용처와 관련해서는 "해외 선진 정보기관들도 해킹 프로그램을 구매해서 연구 목적으로 활용하고 있다"면서 "북한에서 각종 첨단 감청 장비를 활용한 해킹 시도가 많은 만큼 국내에서도 대응 전략을 강화해야겠다는 취지로 구매한 것일 뿐"이라고 밝혔다. 국정원이 해킹 팀에 카카오톡 해킹 가능 여부 등을 문의하고 국내용 갤럭시폰 관련 해킹 의뢰도 한 것으로 미뤄보아 국내 사찰용이 의심된다는 의혹에 대해서는 "대북 정보 업무의 일환이었을 뿐"이라고 해명했다.

 

그러나 국정원이 '서울대 공과대 동창생 명부'라는 이름을 사용하거나 언론사 기자 명의를 사칭한 파일을 만들었다는 의혹이 여전히 해소되고 있지 않고 있어 논란은 쉽게 사그러들지 않을 것으로 보인다. 국정원은 또 이날 대북 동향에 대해 보고하면서 최근 김정은 국방위원회 제1위원장의 공포통치에 두려움을 느껴 고위급 간부들이 대거 탈북했다는 언론 보도에 대해 대부분은 근거가 미약한 첩보 수준의 내용으로 확인된 바 없다고 밝혔다. [인지현 기자 loveofall@munhwa.com]


“삼성갤럭시-카톡-네이버블로그, 모조리 국정원에 뚫렸다”
[아이엠피터] 2015.07.14 15:58  
 

“국정원, 대한민국 헌법 제17조 ‘위배’ 의혹 받기 충분”
국정원이 이탈리아 해킹팀의 지원과 서비스를 통해 최신 스마트폰과 네이버 라인, 카카오톡, 네이버 블로그 등을 감청과 감시를 했다는 의혹이 계속 제기되고 있습니다. 아이엠피터는 위키리크스가 공개한 이탈리아 해킹팀과 국정원이 주고받은 메일 2566개를 조사했습니다. 조사 결과, 국정원은 이탈리아 해킹팀에게 감청과 감시 등에 필요한 자문을 받았고, 직접 다양한 스파이웨어를 사용한 정황도 포착했습니다. 이탈리아 해킹팀과 국정원이 주고받은 메일 중 우리가 꼭 알아야 할 국정원의 해킹 활동 몇 가지를 공개합니다.

 

 

2015년 3월 19일, 국정원은 해킹팀에게 ‘삼성 갤럭시 노트3 SM-900L, SM-900K, SM-900S’를 공격하기 위한 자문을 구합니다.* 국정원은 단지 갤럭시 노트 시리즈뿐만 아니라, 삼성 갤럭시 S6와 LG 단말기 등에도 해킹 녹음을 할 수 있게 해달라는 메일을 여러차례 보냅니다. 국정원은 스마트폰의 통화 녹음이 되지 않는다며 해킹팀에 메일을 보냈고, 해킹팀은 ‘음성녹음이 모든 폰에서 가능하지 않다’면서 일부 가능한 기종을 알려주기도 했습니다.

 

국정원은 한국에서 새로운 기종의 스마트폰이 나올 때마다 해킹을 시도했고, 만약 자신들이 구입한 RSC (원격감시 해킹 프로그램)로 감청이나 녹음이 되지 않을 경우, 지원을 빨리해달라고 요청하기도 했습니다. 아마 요새 간첩들은 새로운 스마트폰이 출시될 때마다 기기 변경을 하고, 국정원도 이에 발맞춰 최신폰을 해킹해 대북 정보를 수집하려고 했나 봅니다.

 


[단독] 국정원, 2012년 총선·대선 직전 '해킹 회선' 긴급 주문
한겨레 | 입력 2015.07.16. 02:30 | 수정 2015.07.16. 02:40  
 

3월14일 35개, 12월6일 30개 '해킹 라이선스' 추가 요청
해킹업체 긍정 답변 거래 시사… 국정원 "20개 구입"과 달라
회선 1개로 표적 옮길 수 있어 사찰대상 대폭 확대 가능

국가정보원의 해킹 프로그램 구매 대행을 맡은 나나테크가 총선을 앞둔 2012년 3월14일, 35개의 해킹 회선 라이선스(감시할 수 있는 권한)를 이탈리아 '해킹팀'에 주문한 것으로 확인됐다. 나나테크는 또 대통령 선거를 눈앞에 둔 2012년 12월6일 "일단 한달만 사용할 수 있느냐"고 물으며 해킹 프로그램의 회선 라이선스 30개를 추가 주문한 것으로 드러났다.

 


이런 사실은 15일 <한겨레>가 해킹팀과 나나테크 직원들이 주고받은 이메일과 첨부파일을 분석한 결과 드러났다. 앞서 14일 열린 국회 정보위원회에서 이병호 국정원장은 "2012년 해킹팀한테서 두 차례(1월과 7월)에 걸쳐 휴대전화 감청이 가능한 해킹 프로그램을 각 10개 회선씩 (모두 20개 회선) 구입했다"고 밝혔다고 정보위원들이 전한 바 있다.

 

나나테크 직원이 해킹팀과 주고받은 이메일을 보면, 2012년 3월14일 해킹팀은 나나테크가 35개의 회선 라이선스를 추가 주문한 데 대해 동의의 뜻을 담은 답변서를 첨부했다. 첨부파일에는 10개 회선의 가격이 4만유로(약 5천만원), 25개 회선의 가격은 7만유로(8800만원)로 돼 있고, 연간 유지보수 비용으로 15%를 추가로 내는 것으로 돼 있다. 해킹팀이 나나테크가 서명한 주문서에 응하는 답변서 형식의 이 첨부파일에는 나나테크가 이미 이 가격조건을 받아들였다는 내용도 담겨 있다. 그 뒤 12월6일 나나테크는 해킹팀에 '새 주문(긴급)'이라는 제목의 전자우편을 보냈다. "30명의 타깃을 추가할 경우 얼마를 지불해야 하는지 알려달라"고 묻는 내용이었다. "좋은 소식"이라며 긴급 주문을 요청하는 나나테크의 이메일에는 "30개의 추가적인 타깃을 위한 라이선스를 한 달 동안만 우선 사용할 수 있느냐"는 질문이 포함돼 있다.

 

이런 긴급 주문에 따라, 이날 하루 동안 양쪽에서 여러 통의 이메일이 오갔다. 나나테크는 "고객(국정원)이 올해 예산으로 이 구매를 해야 한다"며 거래를 서두르는 모습을 보였다. 해킹팀은 "우리가 (협상 조건을 적어) 첨부하는 제안서에 직인(마크)을 찍으면 30일 동안의 추가 30개 라이선스에 대해 승인하겠다"고 밝혔다.

양쪽이 거래조건에 대해 주고받은 문서를 보면, 해킹 회선 라이선스의 특성도 드러난다. 문서에는 "한 사람의 감시가 끝나면 타깃의 백도어를 제거하고 또다른 타깃으로 옮겨 감시할 수 있다"는 내용이 담겨 있다. 이는 한 회선으로도 대상을 바꿔가며, 전체 감시 대상의 수를 늘려갈 수 있다는 의미다. 한 라이선스마다 다양한 기기(number of device)를 한번에 들여다볼 수 있게 해주는 기능 또한 언급됐다.

 

한편 이병호 국정원장이 밝힌 20회선의 거래내역도 이메일에는 담겨 있다. 2012년 1월 '육군 5163 부대'라는 위장 이름의 국정원을 대행해 해킹 프로그램을 구입한 나나테크는 5월15일 해킹팀에 "모든 타깃(10명)이 화면에서 사라졌으니 긴급 도움을 요청한다"며 "필요하다면 출장에 필요한 비행기 요금을 지불하겠다"고 밝혔다.

이어 2012년 7월16일에는 나나테크가 '연락(긴급)'이라는 전자우편을 보내 고객(국정원)이 '일시적인' 라이선스 10개를 구입할 수 있는지 묻는다. [임지선 권오성 조승현 기자 sun21@hani.co.kr]

 

[단독]국정원, 伊해킹팀 접촉 사실 2014년부터 은폐 시도

동아일보 | 입력 2015.07.17. 03:00 | 수정 2015.07.17. 04:38 

 

외신이 거래 폭로하자 "서버 옮겨라"... "해킹 증거 나와선 안된다" 메일

[동아일보] 국가정보원이 해킹 프로그램 구입 사실을 숨기기 위해 이탈리아 보안업체 ‘해킹팀’에 우회 서버 이용을 요구하거나 은행 서류에서 ‘군(Army)’이라는 표현을 지워 달라고 요청한 것으로 16일 확인됐다. 국정원 관계자의 계정으로 알려진 ‘데빌엔젤(devilangel1004)’이 해킹팀에 e메일을 보낸 것은 지난해 3월 14일. “한국을 포함해 21개국이 해킹팀과 거래했다”는 캐나다 토론토대 연구팀 ‘시티즌랩’의 발표 내용이 외신에 소개된 뒤였다.

 

데빌엔젤은 “보안이 생명인데 (시티즌랩의) 폭로 탓에 문제가 생겼다. 해킹 프로그램을 (어느 곳에서 공격했는지 드러나지 않는) 가상사설서버(VPS)로 옮기자”고 해킹팀에 제안했다. VPS는 프로그램이 설치된 장소와 해킹 공격지점이 바로 드러나지 않게 할 수 있어, 해커들이 추적을 피하기 위해 주로 사용한다. 데빌엔젤은 “다른 나라는 몰라도 한국에서 (해킹 프로그램 사용) 증거가 나와선 안 된다”는 말도 덧붙였다.

 

국정원 측은 대금 지불 과정에서도 높은 수준의 보안을 요구했다. 국정원에 해킹 프로그램 구입을 중개한 나나테크는 해킹팀에 올해 2월 유럽 중개은행에 보낼 서류에서 지불자의 분류를 ‘군’에서 ‘기타’로 바꿔 달라고 요구했다. 2012년엔 거래 품목을 ‘군 장비’가 아닌 ‘소프트웨어’라고 바꿔서 기재해 달라고 했다. 국정원의 해킹 프로그램 구입 사실을 숨기기 위한 의도였을 가능성이 있다.

 

해킹팀은 시티즌랩의 발표 이후엔 국내 온라인 매체에 게재된 시티즌랩 연구원의 인터뷰 기사까지 번역해 서로 e메일로 공유할 정도였다. 해킹팀 관계자들의 내부 e메일에선 “SKA(국정원의 위장 명칭)는 아시아태평양 지역에서 가장 중요한 고객”이라는 표현이 자주 등장한다.

 

국정원은 16일 각종 의혹에 대해 “우리가 회선을 연결해 해킹하는 게 아니라 대상자를 이탈리아 본사에 통보해 주면 그들이 해킹한다. 20명분을 구입했으면 그만큼만 가능하다”며 “이 프로그램은 카카오톡 수집 기능이 없고 대공 혐의점이 있는 사람에게만 사용했다”고 해명했다. 또 일부 언론이 제기한 ‘국내 변호사를 해킹 타깃으로 삼았다’는 의혹에 대해선 “몽골경찰(MOACA)이 몽골 변호사를 타깃으로 한 것인데, 위키리크스가 한국 것으로 잘못 분류해 놓은 것이다”라고 설명했다.

 

한편 황교안 국무총리는 이날 국회 예산결산특별위원회에 출석해 “국가기관이 도청을 한다든지 감청을 하는 부분이 있어선 안 된다”라며 “해킹 프로그램 구입 자체가 불법이라 생각되진 않지만 그것을 불법으로 이용하는 건 문제가 될 수 있다”고 밝혔다. [조건희 곽도영·윤완준 기자]

 

20명분 구매했다더니.. 올 상반기 감청 시도만 최소 189건

경향신문 | 정원식·김상범 기자  | 입력 2015.07.16. 22:25 | 수정 2015.07.16. 23:32 
 

국정원, 평균 3~4일에 한 번꼴 '피싱 URL' 제작 의뢰

'20명분' 사람 아닌 실시간 동시 감청 가능한 '라이선스'

국가정보원의 도·감청 대상은 이병호 국정원장이 밝힌 ‘20명’을 크게 웃도는 것으로 추정된다. 국정원에 해킹 프로그램을 판매한 이탈리아 ‘해킹팀’의 e메일 자료를 분석한 결과 국정원은 올 상반기에만 최소 189건의 감청 시도를 한 것으로 드러났다.

 

■ 상반기 감청 시도 최소 189건

16일 국정원의 e메일 아이디 ‘데블앤젤(devilangel1004)’이 해킹팀에 보낸 e메일을 보면 국정원은 올해 1월5일 “특정 사이트를 데스티네이션(목적지) URL로 하는 ‘피싱 URL’ 6개를 만들어달라”고 해킹팀에 주문했다. 감시 대상자가 PC나 스마트폰으로 전송된 피싱 URL을 누르면, 목적지 URL로 넘어가는 동안 스파이웨어에 몰래 감염된다.

 

국정원은 올해 1월5일부터 6월29일까지 64회에 걸쳐 매번 적게는 2개에서 많게는 6개까지 실제 목표를 대상으로 한 189개의 피싱 URL을 요구했다. 국정원의 잠재적인 감청 시도가 189건에 이를 수 있다는 의미다. 경향신문이 파악하지 못한 URL이 더 있을 수 있으므로 감청 시도 건수는 이보다 더 많을 것으로 예상된다. 2012~2014년에 이뤄진 감청 시도까지 합치면 수천, 수만건 또는 그 이상일 수도 있다. 국정원은 평균 3~4일에 한 번꼴로 피싱 URL 제작을 의뢰했다. 대부분 안드로이드 운영체제를 감염 대상으로 삼았다. 지난달 17일엔 하루 동안 3회에 걸쳐 12개의 URL을 주문했으며, 지난 3월30일과 4월1·8일엔 국내 지자체 벚꽃축제와 떡볶이 맛집을 소개하는 블로그 게시물을 감염 경로로 하는 피싱 URL을 총 12개 주문했다.

 

앞서 지난 14일 이병호 국정원장은 국회에서 열린 정보위원회 전체회의에 참석해 국정원이 이탈리아 해킹팀으로부터 해킹 프로그램을 구입한 사실을 시인하면서 ‘대북·외국 정보 연구·개발용’이라고 해명했다. 또 2012년 1월과 7월 이탈리아 업체로부터 각각 10인용씩 총 20인분의 RCS 프로그램을 구입했다고 밝혔다. 이 원장의 이 같은 발언은 ‘20인분의 소량이어서 국민 다수를 대상으로 한 해킹은 불가능하다’는 의미로 풀이됐다.

 

■ 사람 바꿔가며 동시에 20명 감시

국정원의 ‘20인분’이라는 표현에는 진실을 감추기 위한 의도도 깔려 있다. 마치 20명만 감시할 수 있다는 의미로 읽히기 때문이다. 그러나 정보기술(IT) 보안 전문가들은 국정원이 밝힌 ‘20명’이 공격 대상의 수가 아니라 ‘실시간 동시 감청’이 가능한 대상의 수를 뜻한다고 설명했다. 즉, 많은 대상자 중에서 필요에 따라 사람을 바꿔가며 동시에 감시할 수 있는 대상이 20명이라는 의미인 것이다.

 

전문가들에 따르면 RCS 프로그램은 문자메시지, 메신저, e메일 등을 스마트폰이나 PC로 보내 해킹 공격 대상이 이를 클릭하면 해당 기기에 악성코드가 장착되고, 그 뒤부터 공격자가 기기를 원격으로 조종하는 방식으로 작동한다. RCS 프로그램을 이용한 해킹에서 중요한 것은 공격 대상의 수가 아니라 한 번에 얼마나 많은 대상을 동시에 감시할 수 있느냐다. 한 민간 전문가는 “국정원이 해킹팀에서 구입한 ‘라이선스’는 동시 접속으로 감청할 수 있는 권한을 뜻한다”며 “실시간으로 볼 수 있는 사람이 20명일 뿐 악성코드는 4000만명에게 깔 수도 있다”고 말했다. RCS 프로그램 구매 비용의 대부분이 이 ‘라이선스’를 얻는 데 들어간다.

<정원식·김상범 기자 bachwsik@kyunghyang.com>