박근혜 정부 국가정보원도 이탈리아 해킹 업체 '해킹팀'으로부터 새로운 해킹 프로그램을 구입하는가 하면, 다른 프로그램도 시험 도입해 사용법을 교육받는 등의 활동을 해온 것으로 17일 드러났다. 이병호 국가정보원장이 '2012년 1월과 7월 20개 계정을 구입했다'고 밝힌 것과 어긋나는 정황이어서 논란이 예상된다.

박근혜 정부 들어 새 프로그램 'RAS' 구입, TNI도 시험 도입

지난해 11월 18일 국정원 요원으로 추정되는 인물 '데빌엔젤(devilangel1004@gmail.com)'이 해킹팀에 보낸 이메일을 보면(☞메일 보기), 이 인물은 "만약 우리가 '원격 공격 벡터 서비스(Remote Attack Vector Service)'를 구입한다면 프록시 시스템을 빨리 구축할 수 있을까?"라고 물으면서 조언을 구한다.

올해 3월 해킹팀 직원들끼리 주고받은 이메일에서도 "(나나테크 사장) 허모 씨가 지난해 12월의 영수증에서 '원격 공격 서비스' 7만8000유로에 대해 우리가 착오를 일으킨 게 아닌지 언급했다"는 대목이 나온다. (☞메일 보기) 이날 <한겨레>도 2014년 11월 5일자 구매 영수증을 입수했다면서 "국정원은 '원격 공격 시스템(Remote Attack System)' 구매 비용으로 7만8000유로를 지급한 것으로 나온다"고 보도했다.

또 지난해 3월 31일 해킹팀 측은 국정원의 해킹 프로그램 구매를 대행 내지 중계한 업체 '나나테크'에 이메일을 보내 "우리는 고객(국정원 추정)에게 TNI 프로그램을 3달간 무료로 제공한다는 예외적 결정을 내렸다"며 프로그램 사용법 교육을 제안했다. 나나테크는 답신에서 "고객은 4월 마지막 주에 교육을 받기 원한다"고 했고, 교육은 4월 22일 오전 10시에 이뤄졌다. (☞메일 보기)

TNI란 '전략 네트워크 투입(Tactical Network Injector)'의 약자로, 감청 대상자가 무선 인터넷망에 접속만 해도 악성 코드를 심을 수 있는 프로그램으로 알려졌다. 앞의 원격 공격 서비스나 TNI는 모두 국정원이 기존 구입해 활용하던 RCS와는 다른 별개의 프로그램이다. 단, 나나테크는 3개월의 무료 사용 기간이 지날 때쯤인 같은해 7월 28일 "고객은 TNI를 구입하지 않을 것"이라고 통보한다. (☞메일 보기)

해킹팀, '애니팡2' 등 카카오 게임에 악성 코드 심는 방법 연구

이처럼 이병호 국정원장의 국회 정보위원회 보고에서 누락된 도입 및 시도 사실이 알려졌을 뿐 아니라, 내국인을 대상으로 해킹을 시도한 적 없다는 국정원의 설명에도 의혹이 제기될 만한 정황이 추가로 나왔다.

지난해 11월 해킹팀 직원들끼리 주고받은 이메일을 보면(☞메일 보기), 이 회사는 '앵그리버드-스타워즈' 게임과 아마존 킨들 등 국제적으로 유명한 스마트폰 애플리케이션에 악성 코드를 '드러나지 않게 심는(melt)' 시도를 했다. 결과는 146개를 대상으로 시도한 끝에 110개 성공, 11개 실패, 25개는 결과 불명이었다. 그런데 이들이 악성 코드를 심으려 한 애플리케이션 가운데는 한국인 사용자가 많은 게임인 '모두의 마블', '애니팡2', '드래곤플라이트' 등도 포함돼 있었다.

또 전날 <오마이뉴스>에 따르면, 올해 6월 4일과 17일 두 차례에 걸쳐 국내 이동통신사업자 SK텔레콤이 제공하는 무선 인터넷망 사용자가 해킹팀이 만든 악성 코드에 감염됐다. 이들이 감염된 경로는 놀랍게도 국정원이 해킹팀에 요청한 '미끼' 사이트였다. 즉, '국정원이 SK텔레콤 가입자의 휴대폰을 해킹했다'는 결론이 나와도 무리가 없는 상황이 된 것.

6월 4일 감염된 피해자는 메르스 정보를 담은 미 질병관리센터(CDC) 홈페이지를 '목적지 url'로 하는 가짜 주소에 의해, 17일 감염자는 포르노 사이트로 위장된 가짜 주소에 의해 감염됐다. 이는 모두 '데빌엔젤'의 의뢰에 의해 제작된 미끼 사이트였다. (☞관련 기사 : 국정원, 포르노·메르스로 해킹 타깃 유혹) 국정원이 해킹팀에 제작을 요청한 미끼 사이트의 수를 세어본 결과, 올해 상반기에만 최소 189건으로 드러났다고 이날 <경향신문>이 집계해 보도하기도 했다.

국정원 떳떳하다더니… "한국에선 증거 발견되면 안돼"

국정원은 해킹팀과 거래하는 과정에서 높은 수준의 보안을 유지했다. 지난해 3월 14일 '데빌엔젤'은 해킹팀에 보낸 메일에서(☞메일 보기) "귀사도 알다시피, 보안이 생명(security is the life)"이라며 "그러나 최근 (국제 시민단체 '시티즌랩'의) 폭로 이슈 때문에, 우리는 RCS의 현재 네트워크 환경을 바꾸기로 결정했다"고 전했다.

국정원은 그러면서 "가능하다면 우리는 RCS를 VPS(가상개인서버)로 옮기기를 희망한다"면서 "나는 RCS에 대한 증거가 한국이 아닌, 다른 나라에서 나오기를 원한다"고까지 했다. 국내에서는 절대 증거가 나와서는 안 된다는 말인데, 이는 보안을 강조해야 하는 정보 기관의 속성을 감안하더라도 다소 어색한 대목이다. 감시 대상이 북한이나 외국 첩보원 등이라면 '국내만 아니면 된다'고 해서는 곤란하기 때문.

국정원이 지난해 당시 '시티즌랩'의 폭로에 대해 큰 우려를 갖고 있었다는 것은 해킹팀의 내부 출장 보고서(☞메일 보기)에서도 드러난다. 지난해 3월 24일 서울을 다녀간 해킹팀 직원은 'SKA(South Korea Army. 한국군이라는 뜻으로 국정원 지칭)'와의 접촉 결과에 대해 "시티즌랩 보고서 때문에 (해킹팀과의 연관성이) 노출되지 않을까 우려를 받고 있다"면서 "한국 정부가 RCS를 이용해 자국 시민을 감시할 가능성을 한국 언론이 조명한 경우에 대한 그들의 우려에 대해 토의했다"고 썼다.

이에 대해 해킹팀은 자신들의 프로그램은 보안 우려가 없다고 설명했고, 한국 측은 이런 특성에 대해 이해와 감사를 표하면서도 "그들의 상급 관리자들로부터 압력을 받고 있는 탓에, RCS와 한국 사이에 어떤 연결고리가 발견되는 것을 방지하기 위해 해외로 (서버 등을) 재배치할 가능성도 고려하고 있다"고 적었다. 이 대화에서 국정원 측은 카카오톡 해킹 방법에 대한 진전 상황을 묻기도 했다.

또 대금 지불 과정에서도 국정원을 대행한 나나테크는 일단 '나나테크→해킹팀'으로 우선 지불하고 이후에 국정원으로부터 돈을 받겠다고 해킹팀에 보낸 이메일에서 밝혔는데, 이 과정에서 원 대금 지불자의 정보를 '군'이 아닌 '기타'로 해달라고 요구했다. 올해 2월 나나테크는 해킹팀에 메일을 보내(☞메일 보기) "고객명을 '군대(ARMY)'에서 '기타(OTHER)'로 바꿀 수 없느냐"고 물었다.

납품 물목을 '군 장비'가 아닌 '소프트웨어'로 해달라고 위장을 요구한 정황도 나타났다. 지난 2012년 1월 해킹팀이 나나테크에 보낸 메일에는 "우리 은행에 따르면, 은행 측은 거래 품목이 '무기 또는 기타 군사 장비'임을 배제하기 위해서 물품명세서가 필요하다고 한다"며 "귀사가 '고객'에게 상품 명세를 RCS소프트웨어로 명시해 달라고 해줄 수 없겠나. 만약 필요하다면 그들은 (RCS를) 포렌식이나 통신 간섭 소프트웨어로 명시해도 된다"는 대목이 나온다. (☞메일 보기)

한편, 이날 <조선일보>에 따르면, 여권 핵심 관계자는 이 신문과의 인터뷰에서 "감청 대상자는 해외에서 활동하는 외국 국적의 친북 인사들로 대공 혐의점이 있는 사람들"이라면서, 국정원이 구입한 20개 계정 가운데 2개는 연구용이라며 "(이를 제외한) 18명 명단을 확인한 결과 내국인은 없었다"고 했다고 한다. 2012년 3·9·12월과 2014년 추가 구입한 수량이 빠져 있는 점은 차치하더라도, 이 말대로라면 프로그램 구입·운용 사실을 이처럼 기를 쓰고 숨길 이유는 없어 보인다.