국정원이 국회에서 한 여섯 가지 거짓말

국정원이 국회에서 한 여섯 가지 거짓말

[총정리] 국내 해킹용 아니다? 북한 공작원에 벚꽃축제·떡볶이 URL은 왜? 20명만 감시했다?

이탈리아 해킹업체 ‘해킹팀’의 내부 자료가 유출돼 국정원이 ‘해킹팀’으로부터 해킹 프로그램RCS(리모트컨트롤시스템) 을 구입했다는 사실이 드러난 지 9일 만에 국정원이 관련 사실을 인정했다. 국정원은 구입한 사실은 시인하면서도 국내에서 활용하지 않았다고 해명했으나 의혹은 여전히 남아 있다.

14일 국정원은 비공개로 열린 국회 정보위원회에 출석해 이탈리아 해킹 의혹에 대한 입장을 내놨다. 정보위 여야 간사인 새누리당 이철우 의원과 새정치민주연합 신경민 의원은 이병호 국정원장이 14일 국회 정보위에서 해킹 프로그램을 구입한 것은 맞으나 대북정보전을 위해 활용했을 뿐 국내에 활용하지 않았다고 해명했다고 전했다.

이철우 의원은 기자들과 백브리핑에서 “국정원은 2012년 1월과 7월 이태리 해킹사로부터 각각 10인용씩 총 20명분의 RCS를 구입했다. 구입 목적은 기술분석과 전략수립을 위한 연구개발용이었다”는 국정원의 입장을 전했다. 이 의원은 “국정원 보고에 의하면 35개 나라에서 97개 정보 수사기관이 이 프로그램이 구입한 것으로 드러났다”고 말했다.

이 의원은 또한 “최근 제기된 내국인 대상 활용 논란에 대해 국정원은 법을 철저히 준수하며, 법을 어겨가며 우리 국민을 대상으로 활용한 바 없고 활용할 이유도 없다고 했다. 국정원장은 언론에서 제기한 민간 사찰 등 선거활용 등 모든 의혹에 대해 사실이 아님을 분명히 했다”며 “연구개발용이지 이것을 가지고 국내인을 대상으로 해킹을 한다는 것은 있을 수 없고 오직 북한 공작 대상자에게 실험하는 것”이라는 점을 국정원이 강조했다고 밝혔다.

1. 대북용이었다? ‘국내용’ 갤럭시S3 해킹 의뢰한 이유는

몇몇 언론은 이러한 국정원의 해명을 부각하며 의혹이 끝났다는 식으로 보도하거나, 이 사안을 국정원과 야당 간의 논란으로 처리했다. 그러나 국정원의 해명에도 많은 의혹이 남는다. 첫 번째는 국내용으로 활용하지 않았다는 국정원의 주장이다.  

해킹팀 내부 메일에는 국정원이 해킹팀에 카카오톡 해킹 기능 개발에 대한 진행상황을 물었다는 내용이 있다. 국내에서 주로 사용되는 카카오톡을 해킹하려고 했다는 점으로 인해 국정원이 국내사찰을 하려 했다는 의혹이 제기됐다. 이에 대해 국정원은 정보위에서 “북한 공작원들이 카톡을 쓰고 있기 때문에 그에 대해 문의하고 이메일을 주고 받았다”고 해명했다고 한다.

그러나 해킹팀 직원들끼리 주고 받은 내부 메일에는 국정원이 “자국에서 가장 일반적으로 사용되는 카카오톡 (해킹 기술에 대한) 진행 상황에 대해 물었다”는 말이 등장한다. 국내 사찰용이라는 의심을 지울 수 없는 이유다. 

▲ 7월 15일자 조선일보 6면

카톡 외에도 국정원은 국내에서 사용되는 메신저나 안드로이드 폰에 대한 해킹을 지속적으로 요청했다. 국정원 요원으로 추정되는 데빌엔젤(devilangel1004@gmail.com)은 2014년 1월 17일 해킹 프로그램을 심어놓은 PC에 카카오톡과 ‘라인’이 설치되어 있다며 해킹팀에 메시지와 음성 녹음을 추출하는 기능이 없냐고 묻는다. 같은 해 3월 27일에는 국정원의 대리인 나나테크가 해킹팀에 보안메신저로 알려진 ‘바이버’의 해킹 기술을 문의했다.

관련 기사 : <안철수 쓴다던 보안 메신저 바이버도 뚫렸나>

국정원은 또한 올해 2월 해킹 프로그램이 국내 백신인 안랩에 포착됐다며 해킹팀과 해결책을 논의했다. 안랩은 국내 사용자들이 주로 사용하는 앱이다. 북한 공작원이 카카오톡을 쓰다 라인, 바이버로 갈아타고 휴대폰에 안랩까지 깔아뒀다는 걸까. 

더욱 수상한 점은 국정원이 갤럭시 등 스마트폰이 새로 출시될 때마다 해킹을 의뢰했다는 것이다. 국정원은 ‘갤럭시S3를 보낼 테니 음성 녹음이 가능한지 확인해 달라’는 요청하고 전 세계에서 판매되는 갤럭시S3를 굳이 국내에서 구입해 해킹팀에게 보낸다. ‘국내용’ 갤럭시S3가 대상이었음을 추정할 수 있는 대목이다. 삼성갤럭시 탭2, 삼성 GT-I9500, 삼성 SHV-E250S 등에 대한 해킹도 요청했다. 안드로이드 새 버전이 등장할 때마다 데빌엔젤은 해킹 지원이 가능한지 묻는다. 

2. 북한 공작원에게 ‘떡볶이 맛집’ 피싱URL 보냈나

국정원은 RCS를 감시 대상의 안드로이드 폰에 침투시키기 위해 87회 이상 피싱URL 제작을 해킹팀에 의뢰했다. 국정원은 블로그 포스팅 등 겉으로 보기엔 믄제없어보이는 사이트들을 'Destination URL’으로 지정해 감시대상에게 피싱URL를 보냈다. 감시대상이 문자로 온 피싱URL을 클릭하면 RCS가 자동으로 설치되고, 의심을 지우기 위해 미리 지정해둔 'Destination URL’로 이동하는 방식이다. 

이 과정에서 금천구 벚꽃축제, 요즘 핫한 떡볶이 맛집에 대한 블로그 포스팅부터 메르스 정보, 포르노사이트를 'Destination URL’로 이용했다. 감시대상 각각의 취향을 저격하는 맞춤형 피싱URL 제작을 한 셈이다. 북한 공작원의 휴대폰에 스파이웨어 프로그램을 심기 위해 금천구 벚꽃축제와 떡볶이 맛집에 대한 정보를 보냈을까.

▲ 김광진 의원실에서 소개한 피싱URL을 통한 해킹프로그램 설치 사례.

관련 기사 ① <국정원 추정 아이디 ‘데빌엔젤’을 잡아라>

관련 기사 ② <어제 본 “떡볶이 맛집”, 국정원 피싱 링크였을 수도 있다>

관련 기사 ③ <국정원, 감시대상에 따라 맞춤형 피싱 URL 주문>

유은혜 새정치민주연합 대변인은 15일 오전 현안브리핑에서 “국정원의 변명대로라면 북한 공작원이 떡볶이 맛 집을 찾아다닌다는 것인데, 이런 것을 사리에 맞는 해명이라고 생각하라는 것인가. 보이스피싱 범죄자들이나 쓰는 스미싱 수법으로 무슨 연구를 했다는 것인지도 묻지 않을 수 없다.”고 비판했다. 

또한 지난 14일 한겨레 보도에 따르면 국정원은 2013년 10월 2일 해킹팀에 ‘서울대 공과대학 동창회 명부’라는 한글 제목의 파일을 보냈다. 해킹팀은 이 파일에 악성코드를 심어 동창회 명부 파일을 다시 국정원에 보냈다. 감시대상이 북한 공작원이라면 왜 ‘서울대 공과대 동창회’ 명부에 악성코드를 심었을까. 서울대 공과대학에 북한 공작원이 숨어있다는 걸까.  

3. 선거에 활용 안 했다? 대선 직전 구입 늘었다

국정원은 이 해킹 프로그램을 선거에 활용한 것 아니냐는 의혹을 부인했다. 그러나 관련 정황이 속속 드러나고 있다. 경향신문은 15일 국정원이 대선을 코앞에 두고 해킹 프로그램을 주문했다고 보도했다. 해킹팀 내부 메일에 따르면 2012년 12월 6일, 18대 대통령 선거를 11일 앞두고 국정원은 해킹팀에 30개 목표물에 대한 해킹 프로그램을 추가로 주문했다.     

JTBC는 14일 2012 년 국회의원 총선거를 앞두고 국정원이 해킹팀에 집중적으로 감청 관련 문의를 했고 실제 총선을 전후로 감청프로그램을 작동시킨 정황이 드러났다고 보도했다. 19대 총선을 20여일 앞둔 2012년 3월 20일 해킹팀이 나나테크에 추가 감시 대상자 수가 10명인지, 25명인지 물었고 나나테크는 “얼마나 만족하지에 달려 있다”고 답한다. 이후 총선 보름 뒤인 4월 26일 국정원은 해킹팀에 전문적인 교육을 해달라고 처음 요청한다. 

4. 20개 샀으니 20명만 감시했다?

정보위원들에 따르면 국정원은 정보위에서 20명 분의 RCS를 구매했다는 점을 강조했다. 이철우 의원도 기자들에게 “국정원이 구입한 소프트웨어 수량이 소량 그러니 20명분이라는 점이 이를 입증한다며 국가안보를 위한 국정원의 진정성을 여러 차례 강조했다.”고 전했다.

그러나 국정원은 20개를 구입했다는 말과 20명을 감시했다는 말을 혼동해서 쓰고 있다. 국정원 사정에 밝은 한 관계자는 “프로그램 라이센스를 20명 분 샀다고 마치 20명에 대한 감시만 가능하는 것은 사안을 축소하는 것이다. 한 명을 감청하고 있다가 그 사람에 대한 감청을 끝낸다고 그 라이센스가 끝나는 게 아니다”며 “20명 분이라는 것은 동시에 20명 감시가 가능하다는 뜻일 뿐이다. 이를 마치 20명만 감시했다고 말하는 것은 눈속임”이라고 밝혔다. 

▲ 이탈리아 해킹업체 해킹팀 소개영상 갈무리.

5. 불법 아니다? “국정원 주장 100% 사실이라도 실정법 위반”

불법이 아니라면서 대행사인 나나테크를 통해 프로그램을 구입한 이유도 해명해야할 부분이다. 14일 정보위에서는 나나테크와 국정원 간의 관계가 다뤄지지 않았다. 국정원은 ‘법을 준수했다’는 입장이지만 나나테크 허모 대표는 2013년 2월 28일 해킹팀에 보낸 메일에서 “이런 종류의 프로그램은 한국에서는 불법”이라고 말한다. 

장여경 진보네트워크 활동가는 14일 국회 앞에서 열린 기자회견에서 “국정원이 국회에 통보하지 않고 나나테크라는 민간회사를 통해 은밀하게 구입한 것은 결국 불법임을 알고 있었다는 것”이라고 밝혔다.

이 기자회견에서 박주민 민주사회를위한변호사모임 변호사는 “국정원이 해킹프로그램을 국내에서 사용했을 가능성이 농후해 보인다”며 ”사실이라면 통신비밀보호법을 위반한 채 불법적으로 도·감청을 한 것이며, 해킹 타겟을 찾는데 전화번호나 이메일을 사용했다면 개인정보보호법 위반소지도 있다”고 지적했다. 

설사 국정원이 국내 거주하는 북한 공작원을 대상으로 해킹 프로그램을 사용했다 하더라도 불법 소지는 남아 있다. 대공수사에 사용하더라도 영장 발부를 받아야하기 때문이다. 문병호 새정치민주연합 의원은 15일 보도자료를 통해 “국정원의 주장이 100% 사실이라고 간주하더라도 이는 명백한 실정법 위반”이라고 주장했다.

「통신비밀보호법」 제7조 제1항 제2호는 ‘국가안전보장에 대한 상당한 위험이 예상되는 경우’에 한해 ‘적대국가, 반국가활동 혐의가 있는 외국기관 및 외국인, 북한이나 외국에 소재하는 산하단체 구성원의 통신’에 대해서만 법원의 영장 없이 대통령의 승인을 받아 감청 할 수 있도록 규정하고 있다. 

또한 「통신비밀보호법」 제10조의2 제2항은 국정원이 감청설비를 도입 할 때에는 국회 정보위원회에 통보하도록 하고 있다. 또, 시행령에선 정보위에 통보해야 하는 사항으로 ‘감청설비의 종류 및 명칭, 수량, 사용방법, 감청수용능력, 도입시기’ 등을 규정하고 있다.

문 의원은 “북한을 대상으로만 RCS를 사용했다 하더라도 개별 건마다 대통령의 승인을 서면으로 받아야 한다. 또, 대통령의 승인을 받았더라도 감청 대상자가 한국 국적의 내국인과 통신할 때에는 추가로 법원의 허가도 받아야 한다.”며 “국정원은 2012년에 RCS를 도입하면서 국회 정보위원회에 해당 사실을 통보하지 않았다. 이 역시 명백한 법률 위반”이라고 강조했다. 

▲ 문제의 미디어오늘 사칭 이메일 첨부파일.

6. 미디어오늘 기자 사칭해 대북첩보활동했다는 국정원

국정원이 미디어오늘 기자를 사칭해 천안함 사건 연구자의 컴퓨터에 이메일을 보내고, 이를 통해 해킹 프로그램을 심으려 한 사건에 대해서도 해명이 이루어지지 않았다. 14일 열린 정보위에서 이병호 국정원장과 김규석 국정원 3차장이 미디어오늘 기자를 사칭해 천안함 전문가에게 보내는 문의사항이 담긴 MS워드 문서를 작성했고 이를 이탈리아 해킹팀에 보낸 것을 인정했다고 한 정보위원이 미디어오늘에 밝혔다.

국정원은 ‘우리가 보낸 것이 맞는데, 받은 사람(target)은 중국에 있는 사람으로 국내 인사를 대상으로 한 사찰이나 천안함 전문가를 상대로 한 것은 아니다. 대북첩보라는 업무의 일환이었다’고 해명했다고 한다.

그러나 왜 중국에 있는 사람에게 천안함 관련 내용에 대해 물으며 그를 감시하려고 했는지, 왜 미디어오늘 기자를 사칭해 대북첩보활동를 했는지에 대한 설명이 필요하다. (관련 기사 : <국정원 “미디어오늘 사칭 이메일 보냈다” 시인>