국가정보원이 올해 6월 15일, 이탈리아 해킹업체 '해킹팀'에 출시 2달 된 삼성전자의 최신형 스마트폰 '갤럭시S6'과 '갤럭시S6 엣지'를 해킹하는 방법을 문의한 것으로 드러났다. 국정원의 위장 명칭으로 알려진 5163부대는 지난 2013년에도 당시 출시된 지 6개월여 지난 '갤럭시S3' 기종의 분석을 의뢰하기도 했다. 또 2013년 당시 해킹팀 관계자들은 한국 현지에서 프로그램 유지보수 교육(트레이닝)을 실시하기도 했다.

국정원이 이 업체로부터 구매한 해킹 프로그램을 국내에서 사용한 정황이 나온 데 이어(☞관련 기사 : 국정원, 해킹 87회 시도 정황…6월 29일 마지막), 국정원이 국내 사찰 목적으로 이 업체와 거래해온 것이라는 심증을 굳힌다. 국정원 측은 프로그램 구매 등의 이유에 대해 대북·해외정보 수집이라는 명분을 들고 있다.

"갤럭시S6은 음성통화 녹음 안 되던데…되게 해 달라"

14일 정보공개 전문 사이트 '위키리크스' 홈페이지에 따르면, 지난달 15일 국정원 요원으로 추정되는 '데빌엔젤'(devilangel1004@gmail.com)이라는 인물은 이 업체에 이메일을 보내 "내가 삼성 갤럭시S6엣지 모델(운영체제는 안드로이드 5.0 롤리팝)을 이용해 음성통화 녹음 기능을 시험해 봤는데, 녹음할 수 없었다"며 "S6이나 S6엣지에서는 음성녹음 기능이 지원 안 되나? 만약 그렇다면 이유를 알려주고, 이 기능을 곧 쓸 수 있게 해달라"고 일종의 '애프터서비스'를 요청했다. 갤럭시S6과 S6엣지 출시일은 올해 4월 10일이다.

데빌엔젤은 "이것은 우리에게 매우 중요한 기능"이라며 "당신이 전에 말했듯 안드로이드 4.1~4.4에서는 음성 녹음이 된다는 것을 나는알고 있는데, (운영체제만 맞으면) 대부분의 장비가 지원되는 것인가? 성공적인 녹음을 위한 필요 사항은 없나? 그럼 안드로이드 5.0 롤리팝은 어떤가? (감시 프로그램)'RCS'를 업데이트할 계획은 없나?" 등 구체적 질문을 했다.

국정원의 해킹 프로그램 구매를 대행한 중소 무역회사 '나나테크'와 해킹팀이 지난 2013년 2월 주고받은 이메일에서는, 나나테크가 "갤럭시S3를 보낼 테니 음성 녹음 기능이 가능한지 확인해 달라"고 요청하자 해킹팀이 "잘 받았다. 곧 시험하겠다"고 답했다.

2013년 3월 말에는 해킹팀이 한국으로 출장을 와 '고객'들에게 유지보수 교육을 시켜 주기도 했다. 이들은 '고객'에게 새로운 모바일 감염(infection) 방법과 RCS의 새로운 기능 등을 교육했다. 나나테크는 교육을 받을 '고객'의 상태에 대해 "RCS 프로그램을 1년 이상 운영해 RCS에 대해 매우 잘 안다(He has operated RCS for 1 year over so he know very well for RCS)"고 묘사했다. 이 '고객'을 국정원 요원으로 가정하면, 국정원이 총선·대선을 앞둔 2012년 2월 전후부터 RCS 프로그램을 운영했다는 뜻이 된다.

3월 26~27일 이틀에 걸친 교육이 끝난 후, 나나테크 측은 해킹팀에 'SEC'이라는 새 고객을 소개하기도 했다. 해킹팀은 2월말 나나테크 대표와 주고받은 이메일에서 "그런데 'SEC'가 무엇의 약자냐?"고 물었지만 나나테크 측은 답을 하지 않았다. 한국군 또는 정보기구 내의 보안(security) 관련 부서로 추정된다. 실제로 나나테크는 2012년 7월 경찰청을 '고객'으로 지칭하는 내용의 이메일을 보냈고, 국방부 산하 국방사이버정책 태스크포스 관계자도 지난 3월 해킹팀과 만난 적이 있는 것으로 알려졌다.

또 새정치민주연합 송호창 의원에 따르면, 국군기무사령부도 2012년 대선을 앞두고 21대의 음성·데이터 감청 장비를 구입한 것으로 드러났다. 송 의원은 14일 보도자료를 내어 "미래창조과학부 감청설비 인가대장에 따르면, 국내의 D업체가 2012년 10월 21대의 음성·데이터 감청장비를 인가받았다"며 "인가 목적은 국군 제1363부대 판매다. 국군 제1363부대는 기무사를 지칭하는 것"이라고 밝혔다.

'미끼 파일'은 천안함, 동창회명부, 떡볶이 맛집…정말 해외·북한정보 감시?

문제는 이들 정보기관이 구입한 컴퓨터·스마트폰 해킹 기술 및 프로그램이 어떤 목적으로 활용됐느냐다. 국정원은 국회에 비공식으로 한 답변에서 해외 및 대북 정보감시에 이들 기술을 활용했다고 한 것으로 전해졌다.

그러나 북한이 서울대 공대 동창회 명부에 관심을 보이거나 남파 간첩을 위해 국내 떡볶이 맛집 정보를 수집하려 할 가능성은 희박한데도 이같은 제목의 파일을 '미끼'로 활용한 것은 국정원 측의 설명을 곧이곧대로 믿을 수 없게 하는 대목이다. 또 천안함 관련 정보를 '미끼'로 활용한 것은, 천안함 사건에 대한 정부의 공식 설명에 의문을 품는 이들을 잠재적으로 북한 동조자 내지 적으로 인식하는 편협한 시각의 반영으로 보인다.

2013년 10월 해킹팀은 '천안함 문의(Cheonan-ham inquiry)'라는 제목의 파일을 만들어 '고객'에게 제공했다. 이 파일의 내용은 <미디어오늘> 기자를 사칭해 "박사님의 의견을 듣고 싶다"고 요청하는 것으로 '최근 촬영된, 부식이 상당히 진행된 천안함 1번 어뢰 사진'을 첨부하고 있다. 그러나 이는 미끼일 뿐으로, 메일을 받은 사람이 이 파일을 열게 되면 해당 기기(컴퓨터 또는 스마트폰)를 원격으로 들여다보고 감시하는 것이 가능해진다.

비슷한 시기 '5163부대'도 해킹팀에 '서울대 공과대학 동창회 명부'라는 한글 제목의 파일을 보내 악성코드를 심는 작업을 요청했고, 해킹팀은 13시간 후 작업을 완료하고 파일을 되돌려 보내면서 '본인 컴퓨터에서 열지 말라'는 말까지 덧붙였다.

또 올해 4월 1일 '데빌엔젤'이 해킹팀에 보낸 이메일을 보면, 이 인물은 "실제 목표(real targets)를 향해 2개의 인터넷주소(url)를 만들어 달라"며 '목적지 url'로 떡볶이 맛집 정보를 담은 한 블로그를 지정했다. '목적지 url'이란, 사용자에게 해킹 사실을 모르게 하기 위해, 일단 악성 코드를 설치한 후 실제로 이동하게 하는 웹사이트를 말한다.

나나테크 측은 이같은 프로그램을 구입하거나 활용하는 것이 한국 실정법에 위배된다는 것을 인지하고 있는 상태였다. 나나테크 측은 해킹팀에 보낸 이메일에서 "이런 종류의 프로그램은 한국에서는 불법이기 때문에 다른 고객을 찾기는 어렵다"고 쓰기도 했다.

앞서 지난 5일 이탈리아 해킹업체 '해킹팀'의 서버가 해킹당했고, 유출된 고객 명단 및 고객들과 주고받은 이메일 등의 자료가 8일부터 '위키리크스'를 통해 공개되는 일이 있었다.