이탈리아 해킹팀이 한국에 스파이웨어를 판매한 정황이 있다고 최초로 밝혔던 캐나다 시티즌랩의 연구원이 국가정보원이 국내 민간인을 대상으로 해킹을 했을 가능성이 있다고 밝혔다.

오픈넷과 새정치민주연합이 30일 국회에서 개최한 ‘국정원 해킹사태’ 토론회 때 화상연결을 통해 참석한 토론토대학의 비영리 연구팀 시티즌랩의 빌 마크작(Bill Marczak) 연구원은 이 같이 밝혔다.

빌 마크작 연구원은 “지난 5월과 6월, 국정원이 SK텔레콤의 3개의 안드로이드 폰을 성공적으로 해킹했다”고 말했다. 그는 해당 폰이 실험용이라는 국정원의 입장에 관해 “조사를 해봐야 알겠지만 분명한 건 국정원이 이탈리아 해킹팀에 보낸 메일에는 ‘실험용’과 ‘실제 타깃(real target)’이 구분 돼 있었고, 해당 폰에는 ‘실제 타깃’이라고 표현했다는 사실”이라고 말했다.

RCS는 주로 독재국가에서 운용하고 있는 것으로 보인다. 빌 마크작 연구원은 “조사 결과 21개 국가에서 RCS를 쓰고 있고, 그 중에는 우즈베키스탄, 에디오피아, 두바이 등이 있으며 한국도 포함 돼 있다”면서 “상당수는 국민을 억압하는 정부가 있는 것으로 알려져 있는 국가들”이라고 밝혔다.

   
▲ 캐나다 시티즌랩의 빌 마크작 연구원. 사진=금준경 기자.
 

시티즌랩은 2012년부터 RCS스파이웨어에 관해 조사하기 시작했다. 빌 마크작 연구원은 “두바이 민주화운동가의 PC에서 RCS스파이웨어를 찾은 후 연구를 시작하게 됐다” 면서 “전세계 IP를 대상으로 일종의 지문과 같은 RCS의 고유한 특징을 갖고 있는 IP주소를 모으는 식으로 조사했다”고 말했다.

다음은 기자 및 토론자들과 빌 마크작 연구원의 일문일답이다.

Q. 국정원과 여당은 해킹프로그램이 논란이 된 나라는 한국 뿐이라고 주장한다.
RCS를 구입한 고객은 한국 정부 뿐이 아니다. 다양한 정부가 있다. 해킹 프로그램 논란은 다른 나라 언론에서도 보도 됐다. 논란이 되자 당국이 해킹팀에 환불을 요청한 사례도 있다.

다만 이번 사건이 알려졌을 때 한국만큼 큰 사회적 반향을 일으킨 국가는 없었다. 시민단체들의 적극적인 활동이 사건을 이슈화하는 데 보탬이 된 것으로 보인다.

Q. 국내 민간인을 대상으로 감청했을 가능성이 크다고 보는가.
에디오피아, 모로코, 두바이 등에서 민주화운동가·인권활동가를 대상으로 RCS 프로그램이 사용된 사례가 있다. 한국은 RCS 구입 후 외부 감독이 굉장히 약하기 때문에 마음대로 사용했을 가능성이 크다. 오남용을 일으키지 않기 위해서는 국정원 감독이 가능해야 한다. RCS가 한국 민간인 사찰에 사용됐는지는 알 수 없지만 감독이 필요하다는 점은 분명하다.

Q. 국정원은 “카카오톡 감청이 불가능하다”는 입장이다.
이탈리아 해킹팀의 이메일 송수신 내역을 보면 해킹팀의 직원 한명이 한국에 출장을 가 국정원 직원을 만나 면담한 기록이 있다. 국정원 직원은 RCS로 카카오톡을 감청할 수 있는지 문의했다. 그 이후에 해킹팀이 카톡 감청기능을 보유한 RCS를 만들어 판매했는지는 알 수 없지만 이를 요구한 건 분명하다.

Q. 북한이 해킹팀과 거래한 흔적은?
북한이 구매해서 사용했다는 증거는 없다. 해킹팀은 북한과 거래하지 않았을 것이다. 북한이 무역제재 받고 있는 상황에서 해킹팀이 이를 위반하지 않으려고 노력을 했기 때문이다. 해킹팀은 북한, 이란, 시리아 등의 국가를 상대로 거래를 하지 않았다는 점을 스스로 강조해서 발표하고 있다.

Q. 해킹팀이 로그파일을 볼 수 있는가
교신내역은 해킹팀이 갖고 있다. 그러나 이 정보도 두 달 동안 보관한다. 6월 이전 데이터는 없을 가능성이 있다. 우리가 해킹팀의 자료를 통해 알아낼 수 있는 사실은 IP주소, 통신사, 기종 정도다. (박경신 고려대 법학전문대학원 교수의 보충설명: 해킹팀이 로그파일을 갖고 있을 가능성은 없다.)

Q. 국정원이 북한의 OS인 ‘붉은별’에 해킹에 대한 기술적 지원을 요청했는지 궁금하다
해킹팀이 국정원에 북한의 OS를 지원했는지 여부는 알 수 없다.

Q. 백신 프로그램 개발 상황은?
해킹팀은 세계적으로 개발되고 있는 다양한 백신 프로그램에 대해 정기적으로 테스트를 하고 있다. 국정원도 안철수연구소의 백신에 걸리지 않는 프로그램을 요청하기도 했다.

문제는 오히려 ‘백신 프로그램’이 악용될 가능성이 있다는 사실이다. 예를 들어 백신프로그램을 다운 받을 수 있는 가짜 웹 페이지를 통해 거꾸로 컴퓨터나 기기를 감염시키는 악성프로그램을 다운로드 받게 만든 사례도 있다.

저작권자 © 미디어오늘 무단전재 및 재배포 금지