국정원 해킹사찰 의심되는 IP 3개 추가 발견됐다

국정원 해킹사찰 의심되는 IP 3개 추가 발견됐다

국민정보지키기위원회, SKT IP 이어 KT IP도 공개…“검찰 고발한지 한 달, 소식이 없다”

새정치민주연합 국민정보지키기위원회가 국정원 해킹사건에 관련해 이탈리아 해킹팀에서 유출된 400GB의 자료에 대한 1차 분석 결과를 발표했다. 그 결과 국정원이 민간인 사찰을 했을 것으로 의심되는 IP 3개가 추가로 발견됐다.

안철수 국민정보지키기위원장은 19일 오후 기자간담회를 열고 국정원이 해킹프로그램을 설치했거나 시도한 것으로 확인된 국내용 PC의 IP 주소 3개를 공개했다. 안 의원은 “이 새로운 KT IP 3개는 국정원이 국내 KT 인터넷 사용자를 대상으로 개인용 컴퓨터에 해킹을 시도했다는 명백한 증거”라며 “1차, 2차 고발장에서 명시한 IP들과는 시기, 주소 모두 다른 새로운 국내 IP”라고 설명했다.

새로 발견된 첫 번째 IP 주소는 ‘121.160.164.186’로 2013년 7월 21일 국정원이 RCS 프로그램 설치를 시도했다. 두 번째 IP 주소는 ‘121.157.18.240’으로 이 IP 주소는 2013년 8월 20일 RCS를 통한 감염에 성공한 사례다. 

세 번째 IP는 ‘121.138.144.60’으로 이는 2013년 8월 20일 감염에 실패했다. 위원회는 국정원이 이탈리아 해킹팀에게 관련 IP의 감염 실패에 대해 문의하는 이메일도 발견했다고 밝혔다.

국민정보지키기위원회에 따르면 이 IP의 근거지는 각각 종로구 연건동, 분당, 양재다. KT 종로구 연건동 전화국, 분당전화국, 양재전화국에서 관리하는 IP라 볼 수 있다.

위원회 소속 정태명 성균관대학교 소프트웨어학과 교수는 “KT에 가입해서 인터넷을 사용하는 사용자들로, 이들이 누군지는 KT에 들어가서 장부를 펼쳐보기 전까지는 알 수 없다”고 말했다. 양재전화국에서 관리하는 IP의 경우 한 제약회사의 IP로 추정된다고 위원회는 밝혔다. 

안철수 위원장은 “국정원은 지난달 내국인 사찰의혹을 증폭시킨 국내 스마트폰 IP들에 대해 국정원 소유 스마트폰으로 실험용으로 사용했다고 해명했다. 이번 개인용 컴퓨터 IP에 대해 어떤 해명을 내놓을까”라며 “지금이라도 국정원은 몇 년 동안 무슨 목적으로 얼마나 많은 국내 개인용 컴퓨터와 스마트폰을 대상으로 해킹프로그램을 설치했는지 투명하게 밝혀야 한다. 그렇지 않으면 새로운 증거가 나올 때마다 궁지에 몰리게 될 것”이라고 강조했다.

위원회는 RCS를 테스트용으로 사용했다는 국정원의 해명도 반박했다. 위원회 소속 권석철 큐브피아 대표는 “테스트를 하면 보통 가상환경을 만들기에 IP가 특정 장소에 몰려 있는데, 이번에 발견된 IP들은 골고루 퍼져 있다”며 “또한 IP 중에 실제 감염사례가 있다. 해킹팀과 주고받은 메일에는 (관련 IP를 언급하며) 진짜 타겟(real target)이 감염되지 않는다는 내용도 있는 걸로 보아 테스트용이 아니었다고 추측된다”고 설명했다. 

정태명 교수는 “4년 동안 프로그램을 썼다면서 (2013년까지) 테스트를 계속 했겠나”며 “만약 테스트라면 테스트한 내용에 대해서는 말해줄 수 있지 않나. 테스트로 했다면 누굴 상대로 했는지가 국가안보와 관련이 없는 내용일 것 아닌가”라고 반박했다. 

위원회는 지지부진한 검찰수사를 비판했다. 위원회는 지난 7월 23일 원세훈 전 국정원장 등 국정원 관계자들과 국정원의 해킹프로그램  구매 대리자 (주)나나테크를 검찰에 고발했다. 이어 7월 31일 이병호 국정원장과 국정원 관계자들을 2차로 고발했다. 위원회는 고발장에서 해킹타겟으로 의심되는 IP 주소를 공개하며 검찰 수사를 통해 타겟이 누군지 밝혀달라고 요청했다.

그러나 고발한 지 한 달이 다 되어가는 오늘까지 검찰은 고발인 조사조차 하지 않고 있다. 안철수 위원장은 “위원회에서 지난 7월 23일 고발장에 포함한 SKT IP의 경우 해킹프로그램 설치날짜가 2015년 6월 3일, 4일, 17일이다. 2차 고발장에 포함된 SKT IP의 프로그램 설치날짜는 5월 19일, 21일”이라며 “통신사업자들은 로그기록을 보통 3~6개월 간 보존한다. 내국인 사찰 의혹 증거가 자동 소멸될 수 있다는 뜻으로, 지금이라도 당장 압수수색에 나서야 한다”고 강조했다.