'진짜 간첩' S소령 체포 위해 RCS 프로그램 사용 불법으로 몰아

7월 초순부터 시작된 ‘국정원의 민간인 해킹 의혹’이 갈수록 점입가경이다. 새정치민주연합(이하 새민련)과 일부 좌파 언론들은 위키리크스가 홈페이지에 개시한, 이탈리아 ‘해킹팀’ 사(社)의 자료를 검색한 결과를 내세워 “국정원이 RCS(Remote Control System, 원격조정장치) 프로그램으로 우리 국민을 무차별 해킹했다”고 주장한다.

이들의 주장을 들여다보면, ‘증거’라고 내세울 만한 것이 없다. ‘해킹팀’ 측과 국정원 관계자 간에 프로그램의 유지보수, 구매와 관련된 내용의 이메일을 주고받은 것이 전부다. 이게 어떻게 ‘국정원 범죄’의 증거가 될 수 있을까. 보안 전문가, ‘해킹팀’ 관계자와 인터뷰를 한 언론들의 보도를 종합해 보면, 지금 새민련과 좌파 언론들은 ‘자충수’를 넘어 ‘국정원 해체’를 위한 선동 공세를 펴고 있는 느낌을 지우기 힘들다.

   
▲ 이병호 국가정보원장이 14일 오후 국회에서 열린 정보위원회에 참석해 보고자료를 살펴보고 있다. /사진=연합뉴스
보안 전문가들이 지적하는 새민련 주장의 문제

보안전문가들은 지난 7월 14일 이후 새민련의 주장에 무리수가 있다고 지적한다. 우선 이탈리아 해킹팀이 국정원에 납품한 ‘RCS’ 프로그램과 거의 비슷한 기능을 가진 프로그램들이 이미 우리가 사용하는 PC와 스마트폰에도 깔려 있다고 한다. 바로 ‘원격지원 프로그램’이다. PC나 스마트폰에 문제가 있을 때 제조사, 컨설팅 업체들로부터 ‘원격’으로 지원 받아 고치는 프로그램을 말한다.

해킹팀이 국정원에 판매한 RCS 프로그램은 이를 보다 발전시킨 것으로, 스마트폰 사용자가 모르게 설치되도록 하는 것이다. 보안 전문가들은 “RCS 프로그램을 만드는 것보다 스마트폰 사용자가 이를 설치하지 않을 수 없도록 하는, 고도의 심리전 기법이 더욱 중요하다”고 입을 모았다.

해킹팀의 RCS 프로그램이 새민련과 좌파 언론의 “스마트폰의 카메라와 위치 추적 등 모든 기능을 제어할 수 있다” “스마트폰을 공장 초기화해도 RCS 프로그램은 남는다”는 주장은 맞다. 하지만 여기서 봐야 할 것은 이미 수많은 사람들이 이런 프로그램을 사용 중이라는 것이다.

2010년 아이폰을 시작으로 한국에서 스마트폰이 급속히 보급될 때 유행하던 것이 바로 ‘루팅(Rooting)’이다. ‘루트(Root, 최고 관리자를 의미)’ 권한을 얻어 스마트폰을 내 마음대로 바꿀 수 있다는 데 매력을 느낀 사람들이 주로 했다. ‘루팅’을 하려면, ‘커널 파일’을 기존의 것과 바꿔치기 해야 하는데, 이 ‘커널 파일’ 속에 RCS 프로그램을 설치하면, 아무리 스마트폰을 공장 초기화해도 사라지지 않는다고 한다.

또 스마트폰에서 많이 사용하는 지도, 실시간 교통정보, 이메일 앱(App) 등은 설치할 때 사용자에게 카메라, 위치추적, 데이터 등에 무제한 접근 권한이 있다. RCS 프로그램과 다른 점은 그 권한을 얻을 때 스마트폰 사용자의 동의를 얻느냐 얻지 않느냐 뿐이다.

해킹팀의 RCS 프로그램이 ‘모바일 백신’에 탐지되지 않는 것 정도는 발전된 기술이다. 하지만 이미 우리 국민 수만 명이 당한 피싱이나 스미싱, 파밍 등에도 이런 기술을 다양하게 사용됐다. 지금 이 시간에도 수많은 ‘탐지 불가능한 악성코드’가 만들어지고 있다.

‘백신’이 이런 프로그램을 찾을 수 있는 것은 보안 전문가들이 일일이 수작업을 통해 각종 악성코드나 해킹 프로그램을 조사해 분석하고, 대응할 수 있게 만들기 때문으로, 해킹팀이 만든 RCS 프로그램을 한국에서 주로 사용하는 모바일 백신으로 못찾았다 해도 이상할 것이 없다.

이처럼 RCS 프로그램 자체는 엄청난 ‘무기’가 아님에도 불구하고 새민련은 “국정원이 해킹팀으로부터 무시무시한 프로그램을 사서 국민들을 무차별 사찰했다”는 주장을 펴고 있다.

‘경향신문’ 보도에서 나타난 중요한 사실

정부를 의심하고 새민련을 지지하는, 또는 음모론을 좋아하는 일부 독자들은 이런 사실을 믿지 않을 수도 있다. 그렇다면 지난 7월 24일 경향신문의 단독 보도 내용을 보자. 경향신문은 이날 이탈리아 해킹팀에서 근무했던 전직 관계자와의 이메일 인터뷰를 보도했다. 그 가운데는 새민련과 좌파 언론들의 주장을 정면으로 반박하는 내용도 포함돼 있다.

경향신문 측은 전직 해킹팀 관계자에게 “유출된 문서에 ‘20개의 라이센스를 주문했다’는 것이 어떤 의미냐”고 물었다. 한국 내에서 쟁점이 되는 부분이다. 이에 대한 해킹팀 전직 관계자의 답변이다.

“동시에 감청할 수 있는 사람이 20명이라는 뜻이다. 내 기억이 정확하다면 하나의 장치에서 다른 장치로 감청 대상을 바꾸려면 기존 장치에서 에이전트(RCS 프로그램)를 완전히 제거해야 한다. 감염시킬 수 있는 장치의 수는 무한대다. 그러나 라이선스(회선 사용 권한)와 동일한 숫자의 목표(스마트폰)에서만 동시에 데이터를 빼낼 수 있다.”

이 말은 “RCS 프로그램으로 많은 사람을 사찰하려면, 기존에 감시하던 사람의 스마트폰에서 RCS를 모두 지운 뒤에 다른 사람에게 설치해야 한다”는 뜻이다. 중요한 점은 PC든 스마트폰이든 설치된 프로그램을 원격으로 함부로 지우기가 어렵다는 것이다.

경향신문은 “RCS로 대규모 사찰을 하는 것이 가능한가”라는 질문도 던졌다. 그러나 기대했던 것과는 다른 대답이 나왔다.

“타겟(스마트폰)을 해킹하는 게 쉽지 않고 성공적인 해킹을 하려면 많은 사전 정보가 필요해 대규모 사찰 수단으로 쓰기는 부적합하다.”

새민련 안철수 의원 등이 주장하는 ‘고도의 기술을 지닌 프로그램’이라는 데 대한 반대 지적도 있었다. “해킹팀의 RCS 같은 프로그램을 만들 수 있는 회사는 세계에 얼마나 있는가” 하는 질문에 전직 해킹팀 관계자는 이런 대답을 한다.

“현재 이런 기술을 소수 업체만 갖고 있는 것은 아니다. 몇 년 전에 비해 기술이 많이 공개돼 있다. 규모가 큰 보안 회사들은 감청 프로그램을 만들 수 있다. 그러나 감청 프로그램은 유지·보수에 많은 노력이 필요하고 점점 발전하는 백신이나 사이버 보안 소프트웨어에 대응해야 한다.”

쉽게 말해 해킹팀의 RCS 프로그램과 같은 것을 만드는 것은 큰 문제가 아니지만, 이를 계속 이용하는 것은 발전하는 보안 기술을 뛰어넘기 위해 수많은 인력과 노력을 동원해야 하는, ‘노가다 작업’이라는 것이다.

이 전직 해킹팀 관계자는, 새민련과 좌파 언론들이 주장하는 “해킹팀의 RCS 프로그램은 흔적을 남기지 않는다”는 주장에 대해서도 “(세상에) 조금도 흔적을 남기지 않는 프로그램이 있다고 생각하지는 않는다”고 답했다.

   
▲ 새정치민주연합 안철수 의원이 16일 국회에서 열린 '국정원 불법 해킹 프로그램 시연 및 악성코드 감염검사'에서 관련 발언을 하고 있다. 안 의원은 국정원의 스마트폰 해킹 의혹과 관련힌 당내 진상조사위원회의 위원장을 맡고 있다. /사진=연합뉴스
이병호 국정원장 “다 보여주겠다!” 했지만…

전직 해킹팀 관계자의 인터뷰 내용은 새민련 등의 주장보다 더 설득력이 있어 보인다. 국정원이 국회 정보위 의원들에게 “해킹팀의 RCS 프로그램과 관련된 내용을 모두 공개하겠다”고 밝힌 것도 ‘사실’이 이렇기 때문인 것으로 보인다.

실제 이번 ‘국정원 해킹 논란’이라는 문제에 대해 국정원은 2012년 말부터 현재까지 이어지고 있는 ‘국정원 댓글 논란’과는 전혀 다른 대응을 하고 있다. 지난 7월 14일 이병호 국정원장은 국회 정보위 전체회의에 직접 출석해 ‘해킹팀 RCS 프로그램’과 관련된 해명을 했다. 이때 재미있는 일이 벌어졌다.

당시 이병호 국정원장은 해킹팀으로부터 구입한 RCS 프로그램의 라이센스 타겟(스마트폰 해킹 대상자) 명단까지 인쇄해 들고 갔다고 한다. 실제 국정원의 공식 해명처럼 2개의 라이센스는 연구개발용이었고, 감시 대상자는 18명이었다고 한다.

이병호 원장은 국회의원들 앞에서 이 명단을 들고 흔들면서 “국민들을 무차별 사찰한 적은 절대 없다”고 해명했다. 이때 국회의원 가운데 누구도 “원장의 손에 든 게 뭐냐, 한 번 보자”거나 “RCS로 감시하는 대상자 명단을 보자”는 말을 하지 않았다고 한다. 이 명단만 보면 국회의원들의 ‘오해’가 단 번에 풀릴 것이라고 생각했던 이병호 국정원장은 의원들의 무관심 때문에 무안해졌고, 결국 그 명단을 가방에 넣어 도로 가져갔다고 한다.

이병호 원장이 이처럼 명단까지 지참하고 국회를 찾은 것, 7월 17일 국정원이 공식 보도자료를 배포한 것, 7월 18일 RCS 프로그램을 관리하던 국정원 직원 임 모 씨의 자살 이후 국정원 직원들이 공동성명을 낸 것 등은 국정원이 RCS 문제는 떳떳하다는 것을 보여주는 반증이라는 분석이 많다.

‘中간첩’ 기무사 S 소령에는 침묵하는 새민련·좌파 언론

일각에서는 ‘국정원 해킹 논란’과 대조되는 다른 사건으로, 새민련과 좌파 언론의 ‘의도’에 문제가 있다는 주장을 펼친다. 바로 ‘기무사 S 소령 사건’이다.

지난 7월 10일, 군 검찰은 국군기무사령부 소속 S 소령을 ‘군사기밀누설 혐의’로 구속기소했다. 군 검찰과 기무사 등에 따르면, S 소령은 2013년 2월부터 한미연합사, 한국군 관련 공개자료와 3급 기밀인 구축함 운용계획 등 27건의 군사자료를 중국 국가안전부 요원으로 의심되는 중국인에게 각종 향응을 받으며 제공했다고 한다.

S 소령은 2009년부터 2012년까지 중국인민대학교에서 위탁교육을 받았다. 이때 같은 과 동기로부터 “연구소에서 일한다”는 중국인 A 씨를 소개받아 친해졌다고 한다. A 씨와 S 소령이 급속히 친해지게 된 계기는 S 소령이 한 술집에서 중국인 종업원과 싸움을 벌인 뒤부터였다. S 소령에게 얻어맞은 중국인은 수천만 원의 금품을 합의금으로 요구했고, S 소령은 140만 원을 공탁금으로 걸었다. 하지만 중국인 종업원의 협박이 계속되자 S 소령은 중국인 A 씨에게 이 사실을 알렸고, A 씨는 중국인 종업원과 그의 편을 드는 공안 관계자를 침묵하게 만든 것은 물론 공탁금 140만 원까지 찾아와 S소령에게 돌려주었다.

이런 형태는 전형적인 ‘함정(Set up) 포섭’이다. 이후 A 씨는 S 소령을 자신의 고향에도 데려가고, S 소령 모친의 칠순 잔치 때 쓰라고 돈을 주는 등의 호의를 보였다고 한다. 기무사 소속 S 소령은 A 씨에게 금품을 받고 각종 군사정보를 제공했다. 심지어 자신의 후배가 가져다 준 구축함 운용계획은 손으로 베낀 것을 사진으로 찍어 SD 카드에 넣어 연락책에게 전달하는 등 간첩 행위를 했다고 한다.

한국 정보기관들은 중국인 A 씨가 근무한다는 연구소가 존재하지 않고, 그가 중국 공안을 좌지우지하고, 중국에서 S 소령의 편의를 봐주는 등의 행태로 보아 A 씨의 소속이 중국 국가안전부일 가능성이 높다고 보고 있다.

이처럼 S 소령은 간첩 행위를 했음에도 새민련과 좌파 언론들은 침묵한 채 “국정원이 S 소령에게도 해킹팀의 RCS 프로그램을 악용했다”는 주장을 펼치고 있다. ‘진짜 간첩’인 S 소령을 체포하기 위해 국정원이 RCS 프로그램을 사용한 것마저 ‘불법’이라는 논리다.

보안업계 “여야, 지금 더 큰 문제 터졌는데 싸울 시간 있나”

의혹 제기를 통한 새민련과 좌파 언론의 국정원 흔들기를 본 보안 전문가들은 “정치권은 지금 더 큰 문제가 터졌는데도 정신을 못 차린 것 같다”고 지적한다. 보안 전문가들은 위키리크스가 공개한 이탈리아 해킹팀의 ‘기밀자료’ 400Gb를 누구나 볼 수 있다는 것이 심각한 문제가 될 것이라고 예상한다. 35개국 97개 정보기관·수사기관이 프로그램을 구매할 정도로, 나름대로 상당한 실력을 갖춘 보안업체 ‘해킹팀’의 각종 프로그램 소스코드와 활용방법에 대한 자료가 모두 공개된 만큼 ‘전 세계의 악당’들이 이를 악용할 소지가 크다는 것이다.

조선일보는 7월 22일, 보안업체 ‘하우리’ 관계자를 인용, “북한으로 추정되는 해커가 ‘해킹팀’의 기밀자료에 있는 기술을 활용해 한국의 탈북자 사이트와 북한 정보 사이트를 공격했다”고 보도했다. 당시 ‘하우리’ 관계자는 “지금까지 북한 해커들이 사용하던 악성코드 공격과 달리 이번에는 ‘취약점 공격’ 기법을 사용했다”고 지적했다.

‘하우리’ 관계자가 지적한 ‘취약점 공격’은 현재 국내 사이트 대부분이 사용하고 있는 동영상·오디오 재생 프로그램에 있는 ‘빈 틈’을 파고들었다고 한다. 북한 해커들이 이런 기법을 더 많이 사용할 경우 한국의 온라인 환경은 ‘지옥’이 될 수도 있다는 것이 보안 전문가들의 지적이다.

보안 전문가들은 “해킹팀 기밀자료의 상당수가 이탈리아어로 되어 있어, 시간이 걸리기는 하겠지만, 전 세계의 해커들이 이 자료를 분석해 활용하면 보안 업계에게는 ‘지옥문’이 열리게 될 것”이라고 우려했다.

이런 상황에서 새민련과 좌파 언론들이 정황 증거만을 내세워 국정원의 사이버 안보 분야의 기밀을 모두 언론에 공개해야 한다고 말하는 것은 대놓고 무장해제를 하라는 말 아닐까.

국정원에 따르면, 지금 이 시간에도 한국 주요 사이트에 대한 사이버 공격이 시간당 평균 4만여 건에 달한다고 한다. 이런 현실에서 국정원의 사이버 분야 기밀을 모두 공개하는 것이 누구를 위한 일이 될 것인가. /전경웅 미래한국 객원기자 webmaster@futurekorea.co.kr 

(이 글은 미래한국 홈페이지에서도 볼 수 있습니다.)