정치, 국제정세 칼럼
새정치, 우왕좌왕 끝에 ‘V3 안철수’ 부르다(국정원 사태)
일취월장7
2015. 7. 23. 11:05
우왕좌왕 끝에 ‘V3 안철수’ 부르다
국정원의 RCS 구입이 큰 파장을 일으켰으나 새정치민주연합의 대응은 느렸다. 의회가 국정원을 견제하기 어려운 구조 탓이 크다. 야당이 꺼내든 카드는 보안 전문가 출신 안철수 의원이지만, 해결해야 할 과제가 많다.
김동인 기자 | astoria@sisain.co.kr
|
[410호] 승인 2015.07.23 09:08:40 |
당 대표 회의실에 앉는 건 오랜만이었다. 7월15일 오후 3시, 새정치민주연합 안철수 전 대표가 ‘국정원 불법사찰의혹 조사위원장’이라는 직함을 들고 기자간담회장에 나타났다. 지난해 7·30 재보선 패배 이후 약 1년 만에 맡는 공식 당직이다. 정보 보안 이슈에 해당 분야 전문가 출신 정치인이 전면에 나선 것도 정치권으로서는 처음 있는 일이다.
안철수 전 대표가 조사위원장에 취임한 직후 마련한 첫 일정은 국회에서 직접 스마트폰 해킹을 시연하는 자리였다. 여론의 관심을 끌어들여, 이슈를 다시 키우려는 포석이다. 여론 지형을 확대할 경우, 안철수 전 대표 개인으로서도 나쁠 게 없다. 당 대표에서 물러난 지 약 1년 만에 야권 내에서 존재감을 보일 수 있는 기회이기 때문이다.
그런데 안 전 대표의 등판은 늑장 대응 끝에 꺼내든 카드였다. 국가정보원(국정원)이 해킹 솔루션 RCS(Remote Control System)를 구입한 것으로 확인된 지 1주일이 지나고서야, 당 차원의 대책위가 꾸려졌다. 새정치민주연합은 이번 RCS 해킹 국면에서 기회를 세 번이나 놓쳤다. 첫 번째 기회는 해킹팀의 내부 자료가 처음 유출된 7월6일부터 5일간이다. 이 기간 당 차원의 대응은 ‘제로’에 가까웠다. RCS 관련 소식이 화제를 모으기 시작한 7월9일에도 당 차원의 논평이나 움직임은 없었다. 다음 날 오후에야 김성수 대변인이 RCS 관련 언론 보도를 언급했을 뿐, 이때까지 당내에서는 혁신위원회의 2차 혁신안과 여당의 ‘유승민 후폭풍’에 관심이 집중되어 있었다.
 |
||
|
ⓒ시사IN 신선영 7월16일 새정치민주연합의 안철수 의원(국정원 불법사찰의혹 조사위원장·왼쪽에서 두 번째)이 직접 스마트폰 해킹을 시연했다. | ||
7월14일 정보위 전체회의는 세 번째이자, 마지막 초반 대응 기회였다. 주요 의혹을 추궁하고, 실마리가 될 법한 논리적 허점을 찾아야 했다. 그러나 이날 야당 정보위원들의 성과는 미미했다. 국정원이 준비한 두 가지 프레임에 얽혀들었다. “국정원이 구입한 RCS는 ‘20명분’에 불과하다”라는 논리와 “현장 방문을 할 수 있도록 양보하겠다”라는 것이다. 이날 야당 간사인 새정치민주연합 신경민 의원은 “현장 방문을 이끌어낸 것도 쉬운 일은 아니었다”라고 말했지만, 현장 방문으로 할 수 있는 일에 대해서는 “전문가와 상의해보겠다”라며 구체적인 답을 피했다. 제기된 의혹은 충분히 해소되지 못한 채 ‘해외용·연구용·소수용’이라는 국정원의 프레임만 언론에 노출했다는 비판이 쏟아졌다.
초반 대응에 미진한 것은 당 지도부의 판단 착오도 한몫했다. 주초인 7월13일, 새정치민주연합 주요 관계자들은 “정보위 성과를 지켜본 뒤 당 차원의 대응을 고려하겠다”라고 말했다. RCS 해킹 국면을 정보위 차원에서 충분히 커버할 수 있으리라 오판한 것이다. 결국 하루하루 RCS 해킹에 대한 새로운 증거가 발견되면서, ‘현장 방문’이라는 카드를 너무 쉽게 받아들였다는 기류가 감돌았다. 7월15일 아침 회의 끝에 안철수 전 대표를 불러낸 것도, 다소 고육지책 성격이 강하다. 그러나 아무리 전문가 출신을 전면에 포진하더라도, 이슈 주도권을 한 차례 놓친 것은 부인하기 어렵다.
참고할 만한 미국 상·하원과 CIA의 관계
정보위 관계자들도 할 말이 없는 것은 아니다. 국회에서 국정원을 상시 견제할 장치는 사실상 전무하기 때문이다. 자료 제출 요구에 대해 국가 기밀과 국정원법 위반이라는 이유로 회피하기 일쑤고, 정확한 예·결산마저 확인하기 어렵다. 국정원은 별도 집행 예산 외에도, 부처별로 예비비를 편성해서 추가로 예산을 확보한다. 예산 항목이 분산되어 있는 데다, 구체적 사용 내역을 확인하기 어려워 의회가 전혀 통제할 수 없다. 한 정보위 소속 의원 관계자도 “사실 정보위가 할 수 있는 게 그리 많지 않다. 어차피 자료를 요청해도 못 받기 때문에 자료 요청의 의미가 없다”라고 말했다.
야권 관계자들은 이 같은 상황에서 기댈 대상은 ‘제보’ 또는 내부 고발뿐이라고 하소연한다. 내부에서 핵심 자료나 정보가 직접 흘러나오지 않는 한 외곽에서 할 수 있는 일에는 한계가 있다는 설명이다. 그러나 제보에만 의존하는 태도는 만성적인 무기력으로 이어질 수 있다. 안철수 전 대표가 조사위원회를 이끌기 시작한 7월15일, 당내 한 관계자는 “결국 어디선가 제보가 튀어나오지 않는 이상 우리가 뭘 해도 이 사건이 크게 확대되긴 어려울 것”이라며 비관적인 전망을 내보였다.
2013년 국정원 댓글 사건의 경험도 일종의 트라우마로 남아 있다. 당시 일부 의원의 개인기와 제보를 통해 사실을 밝혔지만, 야당이 직접 진상 규명을 하기에는 한계가 많았다는 지적이다. 전문가에게 의존해야 하는 정보 기술 이슈의 특성상 당내 인력이 직접 나서서 조사와 분석을 통제하기 어렵다는 점도 주된 하소연 중 하나다.
부인과 모르쇠로 버티는 국정원에 매번 무기력한 야당으로서는 미국 상·하원과 중앙정보국(CIA)의 관계를 참고할 만하다. 미국 상·하원은 다른 행정부처와 마찬가지로 CIA의 예산편성 및 심의권을 쥐고 있다. 의회가 CIA의 세부 활동을 견제할 수 있는 핵심 동력인 셈이다. 지난해 12월 미국 상원이 테러 용의자에 대한 CIA의 고문 기록이 담긴 ‘CIA 고문 보고서’를 발표한 것도 이러한 구조 덕분에 가능했다. 테러 이슈에 민감한 미국 역시 정보기관에 대한 감시는 어렵지만, 최소한의 견제 장치를 마련해둔 덕에 기록한 성과다. 예산 확보, 정보 제출 요구, 기관 감사 요구 등으로부터 거리낄 게 없는 국정원으로서는 맞닥뜨리고 싶지 않은 미래일 것이다.
원세훈 재임 시절의 댓글과 해킹 프로그램
대법원이 ‘원세훈 재판’에서 핵심 증거의 증거능력을 인정하지 않으며 2심 판결을 파기했다. 검찰과 피고인 측은 법정에서 다시 법적 공방을 벌이게 되었다. 원 전 원장은 해킹 프로그램 계약과 관련해 최근 주목받고 있다.
전혜원 기자
김 직원은 1심 법정에 두 차례 증인으로 출석했다. 네이버 메일은 본인만 사용하고 다른 사람과 공유하지 않았지만, 첨부파일에 대해서는 “기억나지 않는다” “내용이 생소하다”라고 반복해 진술했다. 이런 진술에도 2심 재판부는 검찰 진술, 업무 매뉴얼, 메일 작성 시간과 국정원 IP 등을 토대로 시큐리티 파일 등을 ‘업무상 필요에 의해 김 아무개 직원이 작성한 문서’로 보고 증거능력을 인정했다.
반면 대법원은 △두 파일 내용의 출처나 기재 경위, 업무상 활용 방법이 불분명하고 △다른 심리전단 직원들 메일에서는 이 같은 문서가 발견되지 않았으며 △파일 내용에 업무와 무관해 보이는 내용도 포함된 점 등을 들어 두 파일을 업무상 문서 등 ‘당연히 증거능력이 있는 문서’로 보기 어렵다고 했다. 이 파일을 근거로 추출한 269개 트위터 계정과 422개 트윗덱 연결 계정을 국정원 심리전단 직원이 사용했다고 본 2심의 사실 인정 자체가 잘못됐다고 보았다. 김 아무개 직원의 법정 진술을 들어 파일의 증거능력을 부정했던 1심 재판부 판단으로 되돌아온 셈이다.
대법원이 핵심 증거의 증거능력을 문제 삼아 유무죄 판단을 피하면서, 검찰과 피고인은 공직선거법과 국정원법 위반 혐의를 두고 법정에서 다시 공방을 벌이게 됐다. 일부 언론은 ‘선거법은 무죄’ ‘국정원법은 유죄’ 취지로 파기환송을 해석했지만, 검찰 내부에서는 선거법도 ‘일부 유죄’로 보기도 한다. 문제가 된 트윗 27만여 건 중 시큐리티 파일을 근거로 한 16만 건을 제외한 11만 건은 여전히 유죄를 입증하는 증거로 유효하다는 것이다. 수사 상황을 잘 아는 한 검찰 관계자는 “1000억원을 횡령했을 때 500억원에 대한 증거가 배척되고 나머지 500억원이 유죄라면 횡령죄는 성립한다”라고 말했다.
이날 원세훈 대신 재판에 출석한 이동명 변호사는 “예상까지는 아니어도 (파기환송을) 기대는 했다. 선거법 위반, 국정원법 위반 중 하나는 무죄로 판단해줄 줄 알았는데 판단을 미뤄 조금 섭섭하다. 대법원이 심판을 피해가는 것 같다”라고 말했다.
2012년 1월, 이탈리아 해킹팀과 RCS 계약
최근 국정원이 인정한 RCS 계약과 운영 과정에서 원세훈 전 원장의 역할이 다시 주목받고 있다. 국정원이 이탈리아 도·감청 솔루션 업체 해킹팀과 RCS를 계약한 때는 2012년 1월. 원세훈 전 국정원장 재임 시절이다. 원 전 원장은 2009년 2월 제30대 국정원장에 임명됐다. 2013년 3월까지 일했다. 해킹 프로그램 계약 당시 최종 결정권자였다.
원 전 원장은 취임 이후 지속적으로 국정원 심리전단 조직을 확대 개편했다. 2012년 2월 사이버 심리전을 수행하는 팀은 4개 팀 70여 명으로 늘어났다. 원 전 원장은 한 달에 한 번 전국의 국정원 간부들이 참석하는 전 부서장 회의에서 운영 방침을 밝히고 업무 지시를 했으며, 이 내용은 ‘원장님 지시·강조 말씀’으로 국정원 내부에 공유됐다.
여기서 원 전 원장은 사이버 심리전을 여러 차례 강조했다. “지금 인터넷을 보시면 아시겠지만 인터넷 자체가 종북 좌파 세력들이 다 잡았는데 점령하다시피 보이는데, 여기에 대한 대책을 우리가 제대로 안 세우고 있었다. 전 직원이 어쨌든 간에 인터넷 자체를 청소한다, 그런 자세로 해서 그런 세력들을 끌어내야 됩니다”(2011년 10월21일 원장님 지시·강조 말씀). 선거를 앞둔 대비를 강조하는 대목도 있다. “지난 재보선에서도 알 수 있듯이 북한이 내년 총·대선을 겨냥하여 종북 좌파 등을 통한 국내 선거 개입 시도가 노골화될 가능성이 높으므로 우리가 사전에 확실히 대비해야 할 것임”(2011년 12월16일).
특히 북한뿐 아니라 국내 종북 세력에 대한 경계를 주문하는 대목이 여럿 발견된다. “진짜 금년 한 해가 여러분들 아시다시피 아주 중요한 한 해 아닙니까. 이제 총선도 있고 대선도 있고, 종북 좌파들은 북한과 연계해 가지고 어떻게 해든지 간에 다시 정권을 잡을라 그러고”(2012년 2월17일). 총선과 대선이 있는 2012년을 원세훈의 국정원이 어떻게 생각했는지 드러난다. “북한 문제를 해결하기 위해서는 북한뿐 아니라 국내 종북 좌파를 척결하는 것은 물론 그 동조 세력들도 면밀하게 점검해야 할 것임. 종북 좌파 세력들이 국회에 다수 진출하는 등 사회 제 분야에서 활개치고 있는 데 대해 우리 모두는 부끄럽게 생각하고 반성해야 함”(2012년 6월15일).
국정원은 정치 개입 의혹 등이 불거질 때마다 ‘1부 2물 3축’ 대응을 해왔다. 법조계에서 통하는 ‘1도 2부 3빽’(우선 도망가고 잡히면 부인하고 그래도 안 되면 힘 있는 배경을 내세우라)에 빗대면, 국정원은 무조건 ‘부인’하고, 그다음은 흔히 북한을 끌어들이는 ‘물타기’, 마지막으로 ‘축소하기’ 전략으로 일관해왔다. 해킹팀 자료가 유출되어 RCS 도입이 기정사실화되었는데도 국정원은 처음에는 “확인해줄 수 없다”라며 부인했다. 계약서와 중개 계약을 한 ㄴ사 관계자 인터뷰(<시사IN> 제409호 ‘국정원과 오래 거래했다’ 기사 참조)가 보도되자, 이번에도 “대북용이다”라거나 “방어용이다”라며 물타기 해명을 했다. 나아가 “20개만 감청할 수 있는 프로그램이다”며 감청 대상자를 축소했다.
‘1부 2물 3축’ 전략은 댓글 때도 똑같이 등장했다. 국정원 김하영 직원이 오피스텔에서 정치 댓글을 달고 있다는 의혹이 불거지자, 국정원은 처음에는 “전혀 사실무근이다”라며 부인했다. 오늘의유머 사이트에 정치적인 댓글을 단 사실이 들통나자, “댓글 작업은 대북 심리전 차원에서 이뤄졌다”라며 물타기 해명을 했다. 하지만 수사와 재판 과정에서 국정원 심리전단 안보3팀이 정치·선거와 관련해 1214회 찬반 클릭과 2125회 댓글·게시글 작성을 했을 뿐 아니라, 안보5팀은 트윗 수십만 건을 올린 사실이 드러났다. 의혹이 사실로 드러나는 국면마다 국정원은 ‘추천 반대 클릭은 하루 평균 1개도 안 되어 대선에 영향을 미치기엔 무리’ ‘공무원 개인의 정치적 견해’ 등 사건의 의미를 축소하기에 바빴다. 이번에도 국정원의 전략이 과연 통할 수 있을까?
지난 2월 항소심 판결에서 실형을 선고받고 법정 구속된 원세훈 전 국정원장이 다시 법의 심판을 받게 됐다. 대법원 전원합의체(주심 민일영 대법관)는 7월16일 원세훈 등 피고인 3명이 국정원법과 공직선거법을 모두 위반했다고 본 항소심 판결을 파기하고 사건을 서울고등법원으로 돌려보냈다.
대법원이 원심을 깬 것은 핵심 증거의 증거능력을 인정하지 않았기 때문이다. 검찰은 국정원 심리전단 김 아무개 직원의 네이버 이메일 ‘내게 쓴 메일함’에서 ‘425지논’과 ‘시큐리티’라는 제목의 텍스트 파일을 압수했다. A4 용지 420여 장 분량의 425지논 파일에는 2012년 4월25일부터 12월5일까지 국정운영 홍보 등 원 전 원장의 지시와 부합하는 것으로 보이는 특정 이슈와 논지가 정리돼 있었다. A4 용지 19장 분량의 시큐리티 파일에는 김 아무개 직원이 사용했다고 검찰에서 진술한 트위터 계정 30개와 비밀번호, 김씨의 활동 장소와 날짜, 심리전단 안보 5팀(트위터팀) 소속 직원 22명의 이름 앞 두 글자와 트위터 계정, 비밀번호 등이 상세히 담겨 있었다. 리트윗할 이른바 우파 논객의 트위터 계정과 팔로어 늘리는 방법도 포함돼 있었다. 특히 이 시큐리티 텍스트 파일은 검찰이 269개 트위터 계정과 422개 트윗덱 연결 계정을 추출한 출발점으로, 국정원 대선 개입 사건의 ‘X파일’이었다.
 |
||
|
ⓒ연합뉴스 원세훈씨(오른쪽)는 이명박 전 대통령의 측근으로 2009년 2월~2013년 3월 국정원장으로 일했다. 위는 2008년 행정안전부 장관 시절. | ||
반면 대법원은 △두 파일 내용의 출처나 기재 경위, 업무상 활용 방법이 불분명하고 △다른 심리전단 직원들 메일에서는 이 같은 문서가 발견되지 않았으며 △파일 내용에 업무와 무관해 보이는 내용도 포함된 점 등을 들어 두 파일을 업무상 문서 등 ‘당연히 증거능력이 있는 문서’로 보기 어렵다고 했다. 이 파일을 근거로 추출한 269개 트위터 계정과 422개 트윗덱 연결 계정을 국정원 심리전단 직원이 사용했다고 본 2심의 사실 인정 자체가 잘못됐다고 보았다. 김 아무개 직원의 법정 진술을 들어 파일의 증거능력을 부정했던 1심 재판부 판단으로 되돌아온 셈이다.
대법원이 핵심 증거의 증거능력을 문제 삼아 유무죄 판단을 피하면서, 검찰과 피고인은 공직선거법과 국정원법 위반 혐의를 두고 법정에서 다시 공방을 벌이게 됐다. 일부 언론은 ‘선거법은 무죄’ ‘국정원법은 유죄’ 취지로 파기환송을 해석했지만, 검찰 내부에서는 선거법도 ‘일부 유죄’로 보기도 한다. 문제가 된 트윗 27만여 건 중 시큐리티 파일을 근거로 한 16만 건을 제외한 11만 건은 여전히 유죄를 입증하는 증거로 유효하다는 것이다. 수사 상황을 잘 아는 한 검찰 관계자는 “1000억원을 횡령했을 때 500억원에 대한 증거가 배척되고 나머지 500억원이 유죄라면 횡령죄는 성립한다”라고 말했다.
이날 원세훈 대신 재판에 출석한 이동명 변호사는 “예상까지는 아니어도 (파기환송을) 기대는 했다. 선거법 위반, 국정원법 위반 중 하나는 무죄로 판단해줄 줄 알았는데 판단을 미뤄 조금 섭섭하다. 대법원이 심판을 피해가는 것 같다”라고 말했다.
 |
||
|
ⓒ시사IN 이명익 2013년 8월19일 국정원 댓글 의혹 사건과 관련해 국정조사 청문회가 국회에서 열렸다. | ||
최근 국정원이 인정한 RCS 계약과 운영 과정에서 원세훈 전 원장의 역할이 다시 주목받고 있다. 국정원이 이탈리아 도·감청 솔루션 업체 해킹팀과 RCS를 계약한 때는 2012년 1월. 원세훈 전 국정원장 재임 시절이다. 원 전 원장은 2009년 2월 제30대 국정원장에 임명됐다. 2013년 3월까지 일했다. 해킹 프로그램 계약 당시 최종 결정권자였다.
원 전 원장은 취임 이후 지속적으로 국정원 심리전단 조직을 확대 개편했다. 2012년 2월 사이버 심리전을 수행하는 팀은 4개 팀 70여 명으로 늘어났다. 원 전 원장은 한 달에 한 번 전국의 국정원 간부들이 참석하는 전 부서장 회의에서 운영 방침을 밝히고 업무 지시를 했으며, 이 내용은 ‘원장님 지시·강조 말씀’으로 국정원 내부에 공유됐다.
여기서 원 전 원장은 사이버 심리전을 여러 차례 강조했다. “지금 인터넷을 보시면 아시겠지만 인터넷 자체가 종북 좌파 세력들이 다 잡았는데 점령하다시피 보이는데, 여기에 대한 대책을 우리가 제대로 안 세우고 있었다. 전 직원이 어쨌든 간에 인터넷 자체를 청소한다, 그런 자세로 해서 그런 세력들을 끌어내야 됩니다”(2011년 10월21일 원장님 지시·강조 말씀). 선거를 앞둔 대비를 강조하는 대목도 있다. “지난 재보선에서도 알 수 있듯이 북한이 내년 총·대선을 겨냥하여 종북 좌파 등을 통한 국내 선거 개입 시도가 노골화될 가능성이 높으므로 우리가 사전에 확실히 대비해야 할 것임”(2011년 12월16일).
특히 북한뿐 아니라 국내 종북 세력에 대한 경계를 주문하는 대목이 여럿 발견된다. “진짜 금년 한 해가 여러분들 아시다시피 아주 중요한 한 해 아닙니까. 이제 총선도 있고 대선도 있고, 종북 좌파들은 북한과 연계해 가지고 어떻게 해든지 간에 다시 정권을 잡을라 그러고”(2012년 2월17일). 총선과 대선이 있는 2012년을 원세훈의 국정원이 어떻게 생각했는지 드러난다. “북한 문제를 해결하기 위해서는 북한뿐 아니라 국내 종북 좌파를 척결하는 것은 물론 그 동조 세력들도 면밀하게 점검해야 할 것임. 종북 좌파 세력들이 국회에 다수 진출하는 등 사회 제 분야에서 활개치고 있는 데 대해 우리 모두는 부끄럽게 생각하고 반성해야 함”(2012년 6월15일).
국정원은 정치 개입 의혹 등이 불거질 때마다 ‘1부 2물 3축’ 대응을 해왔다. 법조계에서 통하는 ‘1도 2부 3빽’(우선 도망가고 잡히면 부인하고 그래도 안 되면 힘 있는 배경을 내세우라)에 빗대면, 국정원은 무조건 ‘부인’하고, 그다음은 흔히 북한을 끌어들이는 ‘물타기’, 마지막으로 ‘축소하기’ 전략으로 일관해왔다. 해킹팀 자료가 유출되어 RCS 도입이 기정사실화되었는데도 국정원은 처음에는 “확인해줄 수 없다”라며 부인했다. 계약서와 중개 계약을 한 ㄴ사 관계자 인터뷰(<시사IN> 제409호 ‘국정원과 오래 거래했다’ 기사 참조)가 보도되자, 이번에도 “대북용이다”라거나 “방어용이다”라며 물타기 해명을 했다. 나아가 “20개만 감청할 수 있는 프로그램이다”며 감청 대상자를 축소했다.
‘1부 2물 3축’ 전략은 댓글 때도 똑같이 등장했다. 국정원 김하영 직원이 오피스텔에서 정치 댓글을 달고 있다는 의혹이 불거지자, 국정원은 처음에는 “전혀 사실무근이다”라며 부인했다. 오늘의유머 사이트에 정치적인 댓글을 단 사실이 들통나자, “댓글 작업은 대북 심리전 차원에서 이뤄졌다”라며 물타기 해명을 했다. 하지만 수사와 재판 과정에서 국정원 심리전단 안보3팀이 정치·선거와 관련해 1214회 찬반 클릭과 2125회 댓글·게시글 작성을 했을 뿐 아니라, 안보5팀은 트윗 수십만 건을 올린 사실이 드러났다. 의혹이 사실로 드러나는 국면마다 국정원은 ‘추천 반대 클릭은 하루 평균 1개도 안 되어 대선에 영향을 미치기엔 무리’ ‘공무원 개인의 정치적 견해’ 등 사건의 의미를 축소하기에 바빴다. 이번에도 국정원의 전략이 과연 통할 수 있을까?
시티즌 랩, “국정원 로그파일에 타깃 정보가 있다”고제규 김은지 신한슬 김연희 이상원 기자
미국의 UC버클리 박사과정을 밟고 있는 빌 마크잭은 캐나다 토론토대학 시티즌 랩(Citizen Lab)의 연구원이다. 캐나다 토론토 대학의 비영리 연구팀 ‘시티즌 랩’은 2014년 2월 이탈리아 해킹팀이 한국을 포함한 세계 21개국에 이 스파이웨어를 판매한 흔적을 찾았다고 발표한 적이 있다. 당시 <워싱턴 포스트>가 주요하게 보도했는데, 에티오피아 등 일부 국가가 해킹팀 스파이웨어를 구매해 인권활동가, 정치인, 기자들에게 사이버 공격을 가했다는 것이 주된 내용이었다. 당시 시티즌 랩은 전 세계 40억 개 IP를 역추적해 해킹팀 스파이웨어가 활동한 국가를 찾았는데, 그 결과 한국 KT IP(211.51.OOO.OOO)에서 스파이웨어가 구동한 흔적을 찾은 것이다.
“(시사IN의) 질문에 답하기 전에 먼저 국정원이 해킹팀 RCS를 어떻게 사용했는지 내가 알고 있는 것들을 요약하고 싶다. 먼저 위키리크스 트위터에서 국정원이 한국인 변호사를 타깃으로 삼았다는 내용은 사실이 아니다. 그들이 이메일을 잘못 읽었다. 한국 변호사가 아니라 몽골 정부가 몽골 변호사를 해킹한 것이 맞다. 우리(시티즌 랩)는 국정원이 해킹팀에 보낸 이메일을 통해 RCS로 카카오톡을 해킹할 수 있게 수정해 달라고 요청한 사실을 알고 있다. 왜냐하면 카카오톡이 “한국에서 널리 쓰이기 때문”이다. 같은 이메일에는 국정원이 RCS로 2014년 6월 휴대폰(아이폰, 안드로이드)을 도감청하고 싶어 했다는 내용도 있다. 이 이메일은 또한 국정원이 TNI를 샀다고 말하고 있다. TNI는 에이전트(RCS 프로그램)를 랜을 통해 심어서 그 랜을 사용하는 사람을 타깃으로 삼는 컴퓨터다. 또한 TNI를 통해 해킹 프로그램은 가짜 와이파이 핫스팟을 만들어 거기에 접속하는 사람을 감염시키거나, 타인의 와이파이를 해킹해 그들을 감염시킬 수 있다. 또 다른 이메일에서 국정원은 그들이 한국 안드로이드 휴대폰에서 RCS로 음성 녹음을 하려고 했지만 작동하지 않았다고 말한다. 그래서 그들은 한국 휴대폰의 샘플 몇 개를 해킹팀에 테스트하기 위해 보냈다. 이것은 국정원이 한국 안드로이드 휴대폰을 쓰는 사람을 타깃으로 하고 있다는 것을 알려준다.”
전체 인터넷 스캐닝을 통해 그것을 찾았다. 각각의 IP가 해킹팀 스파이웨어의 지문과 맞는지 확인했다. 다른 해킹팀 스파이웨어 샘플에 들어간 IP 주소를 검사해서 지문을 만들었다. 이런 종류의 분석은 컴퓨터 과학 전문가가 하는 것이 가장 좋다. 국정원은 북한 사이버 공격에 대한 방어용이었다고 해명하는데? 굉장히 의심스럽다. 자살한 국정원 직원이 RCS로 감시하던 사람에 대한 증거를 없앴다는 소식을 들었다. 그는 RCS로 북한 사람만 감시했고 국내에서는 사용하지 않았다고 주장했다. 만약 RCS로 수집한 증거가 그의 주장을 뒷받침하는 것이라면, 왜 증거를 파괴한단 말인가? 유출된 메일을 보면, 지난해 시티즌 랩의 연구발표 이후 국정원이 RCS 사용이 노출될까 봐 걱정하는 대목이 있다. 국정원이 과거에도 정치인이나 기자들의 휴대폰을 도·감청한 것으로 알고 있다. 그래서 국정원은 아마도 “국정원이 또다시 국내 한국인들을 도청했다”라고 사람들이 생각할까봐 걱정했을 것으로 보인다. 우리는 여전히 국정원이 RCS로 누구를 감시했는지 확실하게 알지는 못한다. 따라서 우리는 이제부터 스파이웨어의 오·남용이 있었는지 밝히는 작업을 해야 한다. 국정원이 스파이웨어를 이메일을 통해서 보냈던 만큼, 그 증거는 타깃의 이메일에 여전히 남아 있을 가능성이 있다. 최고의 전략은 최대한 많은 정보(국정원이 사용하던 웹사이트 주소, 파일 이름, 파일 내용 등)를 공개해 사람들이 자신의 이메일 계정에 이 파일이 있는지 검색해 보는 것이다. 해킹팀이 국정원에 공급한 RCS에 ‘WCOUQarb’라는 워터마크를 부여했는데, 이 워터마크를 통해 추가로 알 수 있는 정보는 무엇인가? 한국인 타깃들에게 보내진 RCS 스파이웨어를 찾는다면 도움이 될 수 있다. 우리가 그 스파이웨어에 이 워터마크가 있는 것을 발견하면, 다른 외국 정부가 아닌 국정원이 그 스파이웨어를 보냈다는 것을 증명할 수 있다. 만약 우리가 한국인 타깃에게 보내진 RCS 스파이웨어 샘플을 찾을 수 있다면 워터마크가 유용할 것이다. 최근 국정원이 국회의원들의 현장조사 참여에 동의했는데? 농담 따먹기 하는 것이나 마찬가지 소리다. 컴퓨터 전문가가 아닌 국회의원들이 국정원에 가면 3~4시간 동안 아무것도 찾아낼 수 없다. 진짜 조사라면 컴퓨터를 컴퓨터 포렌식 전문가에게 줘야 한다. 그리고 포렌식 전문가에게 보고서를 준비하라고 해야 한다. 안랩의 창업자이자 현직 국회의원인 안철수 의원이 국정원에 RCS 로그 파일을 요구했다. 많은 안티바이러스 회사들은 클라우드 기반 서비스를 하고 있다. 타깃 컴퓨터로부터 의심스러운 파일은 이 클라우드에 업로드되고, 어디서부터 업로드되었는지 기록된다. 안티바이러스 회사가 해킹팀의 RCS 샘플을 최근 몇 년 동안 봤을지도 모르지만, 그 스파이웨어가 RCS인지 알아내는 방법을 모를 수 있다. 만약 나를 한국의 안티바이러스 회사에 소개해 준다면, 나는 기술적인 정보(해시, IP 주소, 도메인 이름)를 줄 수 있다. 안티바이러스 회사가 바이러스 데이터베이스를 검색해 국정원의 한국 타깃이 있는지 밝혀낼 수 있을지도 모른다. 해킹팀의 RCS 매뉴얼을 읽어봤는데, 용량 때문에 한 달에 한 번씩 오래된 로그 파일을 지우라는 충고가 있었다. 그러면 조사할 로그 파일이 이미 삭제되었을 수도 있다는 얘기 아닌가? 만약 삭제되었다면 복구할 수 있는가? 아마 국정원이 다른 컴퓨터나 서버에 로그파일을 백업해 놓았을 수도 있다. 그렇지 않다면 모든 로그 파일을 복원할 수는 없을 것이다. 만약 컴퓨터 포렌식 전문가들이 국정원 컴퓨터를 조사할 수 있다면, 파일 일부는 복원할 수 있을지도 모른다. 당신이라면 타깃을 밝히기 위해 국정원으로부터 어떤 파일이나 정보를 요구하겠는가? 나라면 국정원이 해킹팀 RCS로 타깃을 감시했던 컴퓨터의 모든 하드 드라이브를 달라고 할 것이다. 이것이 진실을 확실하게 밝혀낼 수 있는 가장 좋은 방법이다. 다른 방법으로 국정원 컴퓨터에 대한 진지한 조사는 불가능하다. 국정원이 국가 기밀 등 보안상의 이유로 하드 드라이브를 넘기고 싶어 하지 않는다면, 나는 국회의원들이 3~4시간의 국정원 현장조사를 영상으로 녹화해야 한다고 생각한다. 국정원측이 컴퓨터 화면에 무엇을 띄워서 보여주는지 정확하게 녹화해야 한다. 또한 국회의원들이 모든 로그 파일들의 복사본을 달라고 해야 하며, 그 파일을 보안 전문가들과 공유해야 한다.
국정원이 매일, 혹은 매주 컴퓨터를 백업했을 수도 있고, 다른 어딘가에 정보를 백업해서 갖고 있을 수도 있다. 복구가 가능할 수도 있다. 하지만 자살한 국정원 직원이 해킹팀의 RCS를 사용하는 팀을 이끈 것으로 보이기 때문에, 그렇다면 나는 그가 회복이 불가능하도록 증거를 지우는 방법을 정확히 알고 있었을 거라고 의심한다. 한국에 와서 해킹팀에 대한 연구를 발표할 수 있나? 가능하다. 나는 기꺼이 한국을 방문해서 RCS와 국정원에 대해 이야기하겠다. 나아가 사람들과 만나서 그들의 G메일 계정과 컴퓨터와 휴대폰을 검사해 그들이 타깃이었다는 증거를 찾을 수도 있다. 나는 2015년 5월, 6월에 안드로이드 브라우저 피싱을 이용해 타깃이 되었거나 감염된 사람들에 대한 정보를 찾았다. 3개월 동안 3개의 타깃이 성공적으로 감염되었는데, 두 개는 한국이고 1개는 러시아였다. 국정원이 성공적으로 감염시킨 한국 타깃 가운데 하나만 공개하겠다. IP Address: 223.62.169.2 Country: Korea Referrer(the website that had the exploit on it): cdc-asia.org Date/time: Thu, 04 Jun 2015 15:33:24 (Korea Time) Phone language: Korean Phone: SHV-E250S(Galaxy Note 2 / Korean / SK Telecom Edition) Android Version: 4.3 이것은 한국에 있는 한국인 타깃이다. 이 타깃은 SKT 버전 갤럭시 노트2를 쓰고 있고, 이 휴대폰은 한국어를 쓰도록 설정되었고, 물리적으로도 한국에 있었다. | ||||||||||||||||||
