인터넷에 유출된 이탈리아 해킹업체 '해킹팀' 내부 자료에서, 한국에 배당된 인터넷 주소(IP) 138개가 발견됐다. 이들 IP는 국내 언론, 대학교, 기업이 사용하고 있는 주소였다. 해킹팀이 왜 한국의 민간 법인에 대해 관심을 가졌는지와 관련, 해킹팀의 '고객'으로 밝혀진 국가정보원과의 연관성이 의심받고 있다.

국회 정보위원회 소속 새정치민주연합 신경민 의원은 19일 당 '국민정보지키기위원회' 명의 보도자료를 내어 "해킹팀 유출 자료를 분석한 결과, 한국 IP 주소가 총 138개 존재하는 것으로 나타났다"며 "파일에 등장하는 IP를 할당받은 기관을 확인한 결과 KT, 한국방송공사(KBS)와 같은 공공기관, 서울대학교와 같은 교육기관, 다음카카오와 같은 일반 기업들도 다수 있는 것으로 확인됐다"고 밝혔다. 신 의원실이 공개한 자료는, 정보공개 사이트 '투명성 도구 상자(Transparency Toolkit)'가 인터넷에 공개한 해킹팀 유출 자료 가운데 'log.csv'와 'log(2).csv'라는 2개의 파일에 담긴 정보다. (☞파일 다운로드 주소 가기)

신 의원은 이 파일에 담긴 내용에 대해 "지난 2014년 3월 4일 13시 4분~5분 사이와 15시 44~45분 사이, 전 세계 약 70개국 IP 주소로부터 해킹팀 본사로 특정 데이터가 전송된 결과"라며 "현재 두 파일 내용만으로는 어떤 데이터가 전송된 것인지, 왜 한국 IP가 나타난 것인지 등의 이유는 파악이 어렵다"고 밝혔다. 신 의원은 다만 "유출된 자료에서 한국 IP가 대량으로 발견됨에 따라, 국정원의 '해외·북한정보 수집용', '실험·연구용'으로만 썼다거나 '(감시 대상이) 고작 20명'이라는 해명은 거짓말일 가능성이 대단히 높다"고 의혹을 제기했다.

이 2개의 파일에 나온 IP 주소 가운데 국가 코드(Source Country) 항목에 'KR(한국)'으로 표시된 IP 주소를 신 의원실에서 분석한 결과, KT와 카카오(현 다음카카오), 티브로드, 한진정보통신, 세종텔레콤 등 정보통신업체가 사용 중인 IP가 가장 많았고, '장호원관광개발' 등 다른 업종의 기업도 나왔다. 특히 언론사인 KBS가 포함된 점은 눈길을 끈다. 대학교·대학 14곳(강원대, 건양대, 경북대, 경상대, 공주대, 단국대, 대진대, 목원대, 부산대, 서울대, 전남대, 전북대, 한밭대, 호남대, 안산1대학), 또 초·중등 교육기관인 아시아퍼시픽국제외국인학교가 사용하는 IP도 포함됐다.

이 IP 주소를 대상으로 해킹팀이 뭔가 작업을 시도한 것이 국정원의 의뢰에 의한 것이라는 증거는 없다. 다만 신 의원은 "해킹팀이 다른 한국 고객이 있다면 모르지만, 국정원이 유일한 고객이라면 국정원을 통해 (해킹을) 했을 가능성이 높다"고 주장했다. 그는 "KT가 가장 많은데, (이는) KT를 통해 KT 고객들의 컴퓨터를 해킹할 수도 있다는 얘기"라고 우려했다.

새정치연합 '국민정보지키기위원회' 위원장인 안철수 의원은, 신 의원이 공개한 자료에 대해 "(해킹팀이 해당 IP 주소를 쓰고 있는 기기에 대해) 취약점이 있는지를 검사해 보고, 만약 취약점이 있다면 침입하려고 하는 의도로 보인다"고 분석했다. 안 의원은 이 2개의 로그파일의 의미에 대해 "취약점 분석을 위해서 짧은 시간 내에 여러 사이트들을 검색한 로그 아닌가 싶다"며 "그렇다면 취약점이 발견됐는데 그냥 지나치겠나? 그 다음에 어떤 행동이 있었을 거라 추정할수 있다"고 말했다.

국정원, 총·대선 직전 '해킹 프로그램' 추가 구입? 영수증 등 거래증빙 없어

한편 국정원이 지난 총선 및 대선을 앞둔 2012년 3·9·12월에 추가로 해킹 프로그램을 추가 구입했던 정황이 앞서 유출된 이메일을 통해 드러난 바 있으나(☞관련 기사 : 국정원 거짓말, 2012년 '해킹 계정' 수십개 추가 구입), 정작 영수증이나 매출 현황 등 회계 관련 자료에서는 이같은 내역은 빠져 있는 것으로 나타났다. 즉 유출된 자료만을 놓고 보면, 국정원이 2012년 3·9·12월 당시 추가 구입 의사가 있었을지는 몰라도 실제로 구입 계약을 하거나 대금을 지불한 적은 없는 것으로 볼 수 있다.

'Transparency Toolkit'에 의해 공개된 해킹팀 유출 자료 가운데는 '고객 개황 목록(Client Overview list)'이라는 제목의 엑셀 파일들이 있다. 이 가운데 가장 최근 작성된 것은 올해 6월 3일 작성된 파일인데, 이 파일에는 한국 국정원의 위장 명칭인 5163부대가 자신들에게 지불한 총액이 68만6400유로로 기재돼 있다. 이는 다시 연도별로 지불한 총액과, 연도별 액수 가운데 신규 라이센스 구입 및 업그레이드 비용과 통상의 유지보수 비용으로 나뉘어 적혀 있다. (☞고객 개황 파일 목록 보기)

또 다른 자료는 영수증·청구서 목록인데, 여기에는 월별 구매 내역이 나와 있다. 5163부대 앞으로 발행된 청구서와 영수증은 2012년 1월에 27만3000유로와 11만7000유로, 같은해 8월 5만8000유로어치다. 2013년에는 2·8월 각각 2만9425유로, 2014년에도 2·8월 각 3만3850유로가 청구됐고, 같은해 12월에는 이와 별도로 7만8000유로가 청구됐다. 올해 1월에도 지난해 2·8월과 마찬가지 액수인 3만3850유로가 청구됐다. (☞청구서 파일 폴더 보기)

영수증·청구서 목록에서 5163부대 앞으로 발행된 것들의 총액과, 앞의 '고객 개황 목록' 엑셀파일을 비교하면 각각의 총 구매액이 68만4000유로로 일치한다. 다만 국정원이 구매 시기를 '2012년 7월'로 밝힌 5만8000유로가 2012년 8월에, 2014년 11월 5일 구입 계약을 맺은 것으로 알려진 7만8000유로가 그해 12월에 청구된 정도의 시간 차이는 존재한다. 이 2014년 겨울의 7만8000유로는 '2012년 1월과 7월 해킹팀으로부터 프로그램 10개씩을 구입했다'는 이병호 국정원장의 증언과 어긋나는 내역이기도 하다. (☞관련 기사 : 국정원, 2014년에도 '구매' 내역 드러나)