국정원 추정 아이디 ‘데빌엔젤’을 잡아라

국정원 추정 아이디 ‘데빌엔젤’을 잡아라

[단독] '해킹팀' 업무 지시한 5163부대 실무 책임자로 추정… 안드로이드폰 공격 문의, 프로그램 구매 타진도 국가정보원이 2012년 ‘육군 5163 부대’라는 이름으로 이탈리아 해킹업체 ‘해킹팀’에서 해킹프로그램(RCSㆍ리모트컨트롤시스템)을 구입했다는 의혹이 일고 있다. 그리고 이러한 의혹의 중심에는 국정원 관계자로 추정되는 ‘devilangel(데빌엔젤, 악마천사)’이 있다.  미디어오늘이 지난 6일 외부의 해킹으로 인해 유출된 400GB의 해킹팀 내부 이메일을 검토한 결과, 이메일에 가장 많이 등장하는 인물 중 한 명은 ‘devilangel1004@gmail.com’라는 이메일을 사용하는, 국정원 관계자로 추정되는 인물이었다. 'devilangel'을 국정원 관계자로 추정할 수 있는 근거는 ‘해킹팀’ 내부 구성원들이 주고받은 이메일에 있다. 2012년 1월 20일 해킹팀 구성원들이 주고받은 메일에는 “Ciao, il contatto email da usare per SKA e` devilangel1004@gmail.com.”라고 나와 있다. 이 이탈리아어를 한국어로 번역하면 “SKA랑 연락하려면 이메일 devilangel1004@gmail.com로 연락하라”는 뜻이다.     ▲ devilangle이 국정원 관계자임이 드러난 해킹팀 내부 이메일.   SKA는 'South Korea Army'의 약자로 ‘육군 5163 부대’를 뜻하는 코드명이다. 육군 ‘5163 부대’는 국정원의 대외용 위장 명칭으로 알려져 있다. 시사IN은 2013년 11월 기사에서 ‘5163 부대’를 소개하며 “국정원 직원들이 은행 대출을 받거나 외부 기관에  재직증명서를 낼 때도 사용된 이름”이라며 “5·16 쿠데타 때 박정희 소장이 새벽 3시에 한강철교를 넘었다는 데서 숫자만 따온 것으로 알려졌다.”고 보도했다.  해킹팀 직원들이 주고받은 메일 속에는 'devilangel'의 수많은 공격 요청이 등장한다. 해킹팀의 고객들은 감시하고자 하는 대상의 보안 취약점을 공격하는 익스플로이트(Exploit) 공격을 가할 때 해킹팀의 도움을 받는다.  예컨대 올해 4월 8일 네이버 블로그 포스트를 공격 경로로 이용한 정황도 드러났다. 'devilangel'은 ‘안드로이드 익스플로이트’ 공격을 요청하면서 네이버 블로그 포스트를 최종 목적지(destination)로 설정해 줄 것을 요청했다. 안드로이드 폰으로 특정 링크를 클릭하면 자동으로 스파이웨어 프로그램이 설치되고 의심을 피하기 위해 평범한 내용의 네이버 블로그로 이동시킨 것으로 추정된다. 별다른 내용이 없는 블로그 포스트지만 한번 접속하고 나면 공격을 요청한 쪽에서는 핸드폰 사용자의 통화내역 등을 손바닥 들여다 보듯이 감시할 수 있게 된다. 'devilangel'은 해킹팀 직원과 메일을 주고받으며 각종 해킹 방법에 대해 논의한다. 'devilangel'은 지난해 11월 4일 해킹팀 ‘Serge’에게 보낸 메일에서 “새로운 안드로이드를 익스플로이트할 수 있는 장비가 무엇이냐, 이용 가능한 장비에 대한 정보를 달라”며 “기본 인터넷 브라우저나 크롬에서도 작동되냐”고 묻는다.  이에 해킹팀은 “안드로이드 4.0부터 4.3까지 원격으로 익스플로이트 할 수 있는 장비가 있다”며 “타겟이 링크를 누르기만 하면 RCS가 설치된다”며 “삼성이나 HTC 폰에는 작동하지 않지만 다음 달에 삼성이나 HTC 폰에도 적용되는 제품이 출시될 것”이라고 답변했다. 올해 5월 19일 'devilangel'은 해킹팀에 “RCS가 안드로이드 4.4 버전을 사용하는 최신 기종, 즉 삼성갤럭시S5나 노트3 등의 통화 녹음은 지원하는데 삼성갤럭시S3 같은 오래된 기종의 통화 녹음은 지원되지 않는다”고 문의했다.      ▲ devilangle이 해킹팀에게 보낸 이메일.   올해 6월 19일 해킹팀이 'devilangel'에게 보낸 메일 답변에는 “최근의 안드로이드 원격 익스플로이트는 안드로이드 4.4 미만 버전에만 영향을 미치도록 만들어졌다. 최근 안드로이드 버전에 침투할 수 있는 방법을 찾고 있다”는 내용이 있다. 'devilangel'은 이처럼 이탈리아 해킹팀과 수시로 연락을 주고받으며 안드로이드 해킹방법에 대해 논의하고, 관련 프로그램 구매 의사를 피력했다. 이탈리아 해킹팀의 메일에는 국정원이 해킹 프로그램을 구입한 과정에서 역할을 한 인물들의 실명이 등장한다. 프로그램 구매 과정에서 국정원의 대리인 역할을 한 중소기업 ‘나나테크’의 허모 대표와 한모 대표, 직원 김모씨와 담당자 박모씨, 그리고 이탈리아 해킹팀의 대표와 팀원들. 그런 가운데 유일하게 ‘이름’ 대신 이메일만 등장하는 인물이 국정원 관계자로 추정되는 'devilangel'다. 'devilangel'의 정체가 밝혀져야 미궁에 빠진 국정원 해킹 의혹의 실타래가 풀릴 것으로 보인다.