국가정보원이 이탈리아 해킹 업체 '해킹팀'으로부터 구입한 해킹 프로그램 내역을 놓고 국회 정보위원회에서 밝힌 사실이 거짓으로 드러났다. 이병호 국정원장은 정보위에 출석해 해킹 프로그램 등을 구입한 사실은 인정했지만, 수량에 대해서는 "2012년 1월과 7월, 이탈리아 해킹팀 사(社)로부터 총 20명분의 RCS 프로그램을 구입했다"고 했었다.

그러나 국정원은 총선 한 달 전인 같은 해 3월 14일과 대선 10여 일 전인 12월 6일에도 30개 이상의 해킹 프로그램 계정을 구입한 사실이 유출된 해킹팀 이메일에서 드러났다. 또 같은 해 9월에도 4개의 '어노니마이저(추적을 따돌리는 기능의 프로그램)' 라이센스가 주문됐다.

국정원 '20개만 샀다'더니…

국정원의 해킹 프로그램 구매 대행 또는 중개를 한 중소 무역 업체 '나나테크'는 2012년 3월 14일 해킹팀 측에 '새 주문(대량)'이라는 제목의 메일을 보낸다. (☞메일 보기) 이후 해킹팀과 나나테크 사이에 메일로 오간 대화를 보면, 나나테크는 35개의 라이센스를 추가 주문했고 총 11만 유로를 가격으로 지불하는 것으로 돼 있다.

나나테크는 같은 해 9월 10일에도 "고객으로부터 '어노니마이저' 소프트웨어 라이센스 추가 주문이 있다"며 "그(고객)는 4개의 소프트웨어 라이센스를 필요로 한다"는 메일을 보냈다. (☞메일 보기) 나나테크는 "귀사가 소프트웨어 라이센스 2개에 1만5000유로라는 가격을 제시했는데, 고객은 할인을 원한다"며 가격 흥정을 시도했다.

'어노니마이저'란 해킹팀의 해킹 프로그램 'RCS(리모트 컨트롤 시스템)'의 일부로 보인다. 해킹팀이 다른 손님들과 주고받은 이메일 등을 참조하면 RCS는 RCS-어노니마이저(RCS-ANM)와 RCS-원격감염(RCS-RMI. Remote Mobile Infection) 등으로 나뉘어 거래되기도 했다.

또 나나테크는 2012년 12월 19일 대선을 13일 앞둔 같은 달 6일에도 '새 주문(긴급)'이라는 메일을 해킹팀에 보낸다. (☞메일 보기) 이에 대한 해킹팀의 답신과 나나테크의 재답신 등을 보면, 나나테크는 30개의 라이센스를 추가 주문하면서 '한 달만 임시로 사용하는 것도 가능한가'라고 묻기도 했고, "고객이 30개의 타깃을 올해 예산으로 구입하고 싶어한다"며 유지 보수 비용을 15%로 해달라고 요구하기도 했다. (☞메일 보기)

이같은 2012년 3월, 9월, 12월의 프로그램 구입은 이병호 국정원장의 정보위에서의 발언에 정면 배치되는 것이어서, 여야 의원들로부터 '거짓 보고' 논란이 일 가능성이 있다. 당시 이 원장은 프로그램 구입 사실을 인정하면서 '원장이 아니면 이런 일을 허가하기 어렵다'고 사실상 전임자인 원세훈 전 원장이 이를 허가했을 것이라는 취지로 말한 것으로 알려졌으나, 수감 중인 원 전 원장은 지난 14일 측근과 만나 "나는 잘 모르는 일"이라고 말했다고 <동아일보>가 전했다.

또 나나테크 외에도 최소 3곳 이상의 한국 기업이 해킹팀과 접촉했고, 이 과정에서 한 업체가 "나는 한국 정부의 보안 담당자와 매우 가깝게 일해 왔다"고 밝히기도 한 점(☞메일 보기)으로 미루어 추가 프로그램 구입 시도나 실제 구입 정황이 추가로 나올 가능성도 없지 않다.

이 업체는 지난해 12월 보낸 이메일에서 "귀사도 알다시피, 우리(한국)는 끔찍한 해킹 공격을 받았고 핵발전소 인근 주민들은 불안해하고 있다. (그러나) 한국 정부는 아직 누가 해킹을 했는지, 지금 어떤 일들이 일어나고 있는지 모른다"며 "귀사가 해결 방안이 있다면 알려 달라"고 요청했다.

'서울공대 동창회' 파일에 천안함 이의제기한 재미 과학자 이름 나와

한편, 국정원이 악성코드를 설치하는 클릭을 유도할 목적으로 감시 대상자에게 보낼 '미끼 파일'이었던 '서울대 공과대학 동창회' 파일을 전날 <시사IN>이 IT 전문가의 도움을 받아 복원한 결과, 이 명부는 실제 동창회 명부가 맞았던 것으로 알려졌다.

특히 이 명부에는 천안함 사태에 대한 한국 정부의 설명에 의혹을 제기한 재미 과학자 안수명 박사의 이름도 올라 있었다. 국정원이 '미끼 파일'의 제작을 의뢰한 시점은 영화 <천안함 프로젝트> 개봉 한 달 후였고, 안 박사는 영화가 제기하는 의혹을 뒷받침하는 가설을 제공한 이들 중 하나였다.

이에 따라 처음부터 국정원이 안 박사를 노리고 이 파일을 만든 게 아니겠냐는 의심도 나온다. 앞서 <미디어오늘> 기자를 사칭해 '최근 촬영된 1번 어뢰의 사진에 대해 박사님의 의견을 듣고 싶다'는 내용의 가짜 파일도 국정원에 의해 제작된 것이 밝혀진 바 있다. 단, 안 박사는 지난 14일 <미디어오늘> 인터뷰에서 "'조현우'에게서 받은 (문제의) 이메일은 없다"며 "기자 사칭 행위라고 생각되는 이메일을 받아보지 않았다"고 밝혔다.

위키리크스 "한국 국정원이 변호사 해킹" vs 국정원 "우리와 무관"

유출 이메일을 인터넷에 공개하고 있는 단체 '위키리크스'는 15일 새벽 트위터를 통해 "'타깃은 변호사다.' 한국군 정보부서(SKA)가 한 변호사의 컴퓨터를 해킹하는 것을 해킹팀이 도왔다"라는 글과 함께 이와 유사한 내용이 담긴 이메일의 웹주소를 공개(☞메일 보기)했으나, 국정원은 이를 부인했다.

해당 메일의 제목은 '한국군(SKA)와 MOACA 관련 현안' 정도의 의미인데, 해킹팀의 다른 이메일을 보면 MOACA는 몽골 경찰 혹은 정보기관으로 보인다. 해킹팀이 한국과 몽골을 다녀와 작성한 '출장 보고서'(☞메일 보기)를 보면 울란바토르 등지에서 MOACA와 접촉했다는 내용이 있다. 이 메일은 국정원이 2014년 3월 해킹 프로그램 구입 사실이 노출될까 우려하는 반응을 보였다는 내용도 같이 담고 있다.

국정원 관계자는 "이것은 우리가 부인할 필요도 없는 '번역 오류'"라며 "이 이메일에 나온 '변호사'는 몽골 측 MOACA의 타깃이고, 우리와는 관계없다"고 설명했다. 실제로 해당 이메일에는 목표물인 변호사의 국적 등은 나오지 않는다.