<와이드특집3> 국정원 해킹팀 도감청 프로그램 구입 목적은 朴 대통령 …

이 뉴스를 공유하기
 

이탈리아의 인터넷 및 휴대폰 도청장비 서비스업체인 해킹팀의 내부정보가 인터넷에 유출되면서 전세계적으로 파문이 확산되는 가운데 국정원도 이 장비와 서비스를 구입, 사용한 것으로 드러나 논란이 일고 있다.
이 과정에서 국정원이 ‘나나테크’라는 통신장비 오퍼상을 이용한 것으로 밝혀졌으며 이 업체의 정체에 대해서도 궁금증을 자아내고 있으나 본보취재결과 특작업무 물자공급업체일 가능성이 큰 것으로 보인다.
특히 국정원은 해킹팀으로 부터 오는 10월 12일부터 16일까지 해킹툴 교육을 받으려 했던 것으로 확인됐으며, 지난해 2월 캐나다 비영리단체 시티즌랩이 한국이 해킹팀 장비를 사용, 스마트폰을 감청한다는 의혹을 제기하자 국정원 고위간부들이 이 장비의 사용을 중단시키려 했던 것으로 밝혀졌다. 해커에 의한 국가정보원 해킹팀 내부정보 유출 파문의 진상을 <선데이저널>이 파헤쳐 보았다.
박우진(취재부기자)

  ⓒ2015 Sundayjournalusa

해킹팀의 내부정보가 인터넷에 유출된 사실이 알려진 것은 지난 5일. 해커는 해킹팀의 공식트위터 계정을 해킹 ‘지금부터 우리는 아무 것도 감추지 않는다, 우리는 이메일과 파일, 모든 소스 등을 공개한다’는 글을 올렸다.
해킹팀의 해킹툴을 이용해 온 세계 각국정부의 검은 얼굴이 드러나는 순간이었다. 해커들이 해킹팀에서 빼내서 공개한 정보는 무려 4백기가바이트, 회사의 1급비밀을 속속들이 빼냈다. 해킹팀은 특이하게도 반드시 세계각국의 정부기관에만 해킹툴을 팔아왔다. 이른바 사법당국에만 이를 판매함으로써 자신들은 기존 해커들처럼 불법을 일삼는 집단이 아니라는 점을 강조한 것이다. 유출된 정보는 각국 정보기관 등 고객들과 주고받은 이메일, 계약서, 대금청구서, 계약상품에 대한 설명서, 교육일정 및 업그레이드, 고객들의 서비스요청등 사실상 모든 정보가 공개됐고 토렌트등을 통해 급속히 확산됐다. 완전히 발가벗겨진 것이다.

장비판매 나나테크, 국정원 방계회사

인터넷에 유출된 해킹팀의 내부정보를 분석한 결과 ‘코리아’라는 단어가 들어간 이메일은 무려 2410건, 국정원에 이 장비를 소개한 ‘나나테크’라는 단어가 들어간 이메일은 967건, 삼성이라는 단어가 들어간 이메일은 무려 6142건에 달했다. 코리아가 들어간 단어의 이메일 중 일부는 그날그날의 뉴스를 모니터해서 회사경영진에게 보낸 이메일 상당수가 포함돼 있지만 ‘나나테크’가 들어간 이메일은 전체가 한국국정원의 장비구입과 관련된 이메일이므로 한국과 직접 연관된 이메일은 최소 967건이상 최대 2410건이하로 추산하는 것이 합리적이다.

삼성은 아이폰과 함께 세계 스마트폰업계의 양대 강자이므로 해킹팀이라는 업체가 스마트폰의 트렌드를 추적하면서 해킹툴을 개발했음을 감안하면 삼성에 대한 이메일은 주로 신상품 출시와 새 스마트폰 등의 정보를 담은 업무용이메일이 많았다.

<선데이저널>은 이 사건을 취재하면서 이 업체의 해킹툴을 국정원에 중개한 서울 마포구에 소재한 ‘나나테크’라는 회사에 대한 중대한 제보를 받았다. 국정원의 한 전직 고위간부는 ‘나나테크는 국정원 특작업무 물자공급담당일 가능성이 크다’고 밝혔다. 이 고위간부가 말하는 특작업무란 ‘특수작전’을 이야기 하는 것이다. 즉 이 회사는 국정원이 극비로 수행하는 특수작전에 필요한 물자를 공급하던 업체인 셈이다. 이 간부는 ‘나나테크는 예전부터 해킹프로그램 등 특수한 기능을 수행하는 통신관련 소프트웨어를 중개하던 오퍼상’이라며 ‘소위 특작업무에 필요한 물자공급 혹은 중개를 하는 소기업들이 상당수 존재하나 일반인들이 모르는 것은 물론 심지어 수요자 조직 내에서도 극히 일부 직접 관련된 사람들만 그 존재를 알 수 있다’고 설명했다.
그렇다면 이 특작업무 물자공급담당인 ‘나나테크’는 과연 어떻게 해킹팀과 접촉했고 어떤 과정을 거쳐서 대리점권을 따낸 뒤 국정원에 감청장비와 서비스를 제공했을까? 그 모든 내역이 이번에 유출된 각종 서류에 낱낱이 기록돼 있고 그 과정은 마치 한편의 첩보영화를 방불케 한다.

국정원 해킹팀, 국가차원에서 접근

관련문서를 검토한 결과 해킹팀이 국내에 접근한 것이 아니라 ‘나나테크’가 해킹팀에 접근한 것으로 드러났다. [email protected] 이란 아이디를 사용하는 ‘나나테크’의 박유진씨는 지난 2010년 8월초 해킹팀에 관련장비와 서비스에 대해 질문을 했고 8월 6일 해킹팀이 이에 대한 답변을 이메일로 보낸 것으로 밝혀졌다. 해킹팀은 이 이메일에서 RCS, 즉 원격통제시스템은 눈에 띄지 않게 목표 PC와 스마트폰을 공격하고 감염시키고 모니터 할 수 있게 한다고 밝혔으며 윈도우와 맥 등 모든 OS에 작동하고 아이폰, 심비안, 블랙베리 등 스마트폰에 작동하며 한번 RCS에 감염된 목표물은 스카이페는 물론 MSN 메신저등 VOIP를 통한 통화나 메세지교환, 파일교환, 스크릿샷, 카메라 작동, 전화 GPS 위치추적 등 모든 것이 가능하다고 설명했다. 특히 스마트폰 통화도청이 가능한 것이 가장 큰 특징이다. 바로 이 이메일교환을 통해 양측이 처음 연결된 것이다.

그 뒤 2010년 11월 5일 해킹팀은 12월7일 최종수요자와 미팅을 요청했고 ‘나나테크’의 박씨는 장비를 가지고 와서 시연해 줄 수 있는지를 문의했고 해킹팀은 가능하다고 답했다. 그 뒤 11월 19일 박씨는 ‘나나테크’의 인터내셔널 비지니스팀 소속이라고 밝히고 우리 클라이언트, 즉 국정원이 12월 7일 미팅을 갖자고 한다며 미팅일자가 확정됐음을 통보했다.

▲(왼쪽) 11월 19일 박씨는 나나테크의 인터내셔널 비지니스팀 소속이라고 밝히고 우리 클라이언트, 즉 국정원이 12월 7일 미팅을 갖자고 한다며 미팅일자가 확정됐음을 통보했다. ▲ (오른쪽) 12월 9일 박씨는 답신을 통해 고객이 대단히 만족했다[QUITE HAPPY]고 밝혔다. 이를 통해 국정원이 너무 행복해 할 정도로 해킹툴이 제대로 작동했음을 짐작할 수 있는 것이다.
ⓒ2015 Sundayjournalusa

해킹팀은 각국 정부기관에만 해킹장비와 서비스를 판매하므로 ‘나나테크’측에 계속 최종소비자, 즉 엔드유저가 누구인지를 끈질기게 물었고 11월 23일 박씨는 엔드유저는 육군 조사팀, KINSTEL이라며 걱정하지 말라는 이메일을 보냈다. 그러면서 강남구 삼성동 인터콘티넨탈호텔에서 미팅을 가질 것이라며 몇 명이 참석하는지 여부와 서울에서 프로젝트 등 준비해야 할 물건이 무엇인지 이야기해 달라고 요청했다. 이에 따라 해킹팀은 3명이 참석하며 12월 6일 서울에 도착한 뒤 오후에 미팅장소에서 프리젠테이션 준비 등을 점검할 수 있도록 해달라고 부탁하기도 했다.

인터넷 사용내역, 위치 파악 시스템

마침내 12월 3일 박씨는 미팅장소가 그랜드인터콘티넬탈호텔 3층의 5번 컨퍼런스룸이며 12월 7일 오전 9시 로비에서 만나자며 자신의 핸드폰 번호 등을 통보했다. 이에 앞서 12월 1일 해킹팀에서 보낸 메일에는 수신인이 박유진씨지만 참조를 통해 ‘나나테크’의 또 다른 직원들에게도 메일이 발송됐음을 알 수 있다. 한용철, 허손구씨 등이다. 바로 이 허손구씨가 ‘나나테크’의 대표이사다. 특이한 것은 이들은 파란닷컴의 이메일을 사용하며 이메일주소도 ‘나나테크’란 글자를 쓴 뒤 자신의 성 첫 글자를 붙여서 사용했다.

허손구씨라면 나나테크에 H를 붙여 [email protected], 한용철씨는 나나테크에 han을 붙인 [email protected], 박유진씨는 나나테크에 p를 붙인 [email protected]을 사용한 것이다
12월 7일 해킹팀 3명이 ‘나나테크’와 국정원 직원들에게 프리젠테이션을 했고 그 결과는 대만족이었다. 해킹팀이 12월 8일 프리젠테이션에 대해 엔드유저가 어떤 반응을 보였고 앞으로 어떻게 진행할 것인지 주저 없이 이야기해달라고 하자 12월 9일 박씨는 답신을 통해 고객이 대단히 만족했다[QUITE HAPPY]고 밝혔다. 이를 통해 국정원이 너무 행복해 할 정도로 해킹툴이 제대로 작동했음을 짐작할 수 있는 것이다.

해킹팀의 RCS, 즉 원격통제시스템을 스마트폰에 사용할 때는 RMI [REMOTE MOBILE INFECTION]. 즉 대상스마트폰에 해킹툴을 자동으로 심음으로서 스마트폰 도청은 물론 아예 스마트폰주인처럼 작동할 수 있도록 한다. 2010년 12월 프리젠테이션이 성공리에 마무리된 뒤 해킹팀과 ‘나나테크’가 주고받은 이메일을 보면 국정원의 주관심이 스마트폰임을 잘 알 수 있다, 즉 스마트폰 주인 몰래 그 스마트폰에 스파이웨어를 심고 이를 통해 스마트폰의 통화는 물론 인터넷 사용내역, 위치까지 알아내는 시스템에 관심을 가진 것이다.

2011년 11월 4일에는 기존에 접촉했던 박유진씨가 아니라 김은정씨가 ‘나나테크’의 인터네셔널 비지니스팀 이라며 해킹팀에 메일을 보냈다. 우리 고객이 ‘노키아 X6’, ‘RIM9700’,’아이폰4’,’GT-19000’에 RMI, 이른바 몰래 스파이웨어를 심어서 작동시키는 테스트를 요구한다고 밝혔다. 특히 이들 스마트폰에서도 해킹팀장비가 작동한다는 것을 최소 2일정도 직접 보여달라고 요구하며 고객의 요구를 따라줬으면 좋겠다고 밝혔다. 국정원의 주된 관심이 스마트폰 도청임이 여실히 드러난 것이다.

특이한 것은 이들 스마트폰은 국내에서 일반인들은 잘 사용하지 않는 스마트폰이라는 것이다. 즉 이는 대상목표가 국내가 아닌 중국 등 외국이거나 혹은 국내에서 이 독특한 스마트폰을 사용하는 사람이었음을 시사한다. 만약 지금 국내에서 이 같은 종류의 스마트폰을 사용한 사람이 있다면 지금 오금이 저릴 정도로 놀랄 것이다.


나나테크, 2011년 12월 판매 대리점계약

‘나나테크’는 특작업무 물자공급업체답게 해킹팀과 첫 접촉이후부터 해킹팀의 끈질긴 요구에도 불구하고 1년여간 엔드유저의 정체를 철저히 비밀에 붙였다. 해킹팀이 물어보면, 정부기관이 틀림없으니 걱정하지 말라는 식으로 무마했다. 이 이메일에서도 각국 정부의 사법기관이라고 하면 군부대도 포함되는 것이 아니냐고 물어보기도 했다. 이에 대해 해킹팀은 11월4일 당일에 곧바로 허손구사장에게 답신을 보내 군부대도 사법기관에 포함된다고 답변했으며 11월 21일과 22일 시연을 보이겠다고 답했다. 그러나 마시밀라노 루피라는 해킹팀 고위관계자는 자신은 11월 22일 미팅에는 참석할 수 없으므로 11월 21일에 계약 등에 대해 논의했으면 좋겠다고 밝혔다. 이 이메일을 받은 ‘나나테크’는 11월 7일 엔드유저의 정체에 대해 이메일을 통해 공개했다.

‘우리의 엔드유저는 5163 군부대다’라고 밝힌 것이다. 이 5163군부대의 주소는 서울 서초구 서초동 사서함 200호, 국정원이 사용하는 사서함주소이며 5163이라는 명칭도 국정원이 사용하는 명칭이다.
이 같은 과정을 거쳐 ‘나나테크’는 2011년 12월 1일 판매 대리점계약에 서명한 뒤 해킹팀의 서명을 요청한 것으로 나타났다. 이 계약서에 따르면 해킹팀은 ‘나나테크’에 남한[south korea]내에서의 독점 판매권을 부여했다, 해당상품은 원격통제시스템인 RCS, 판매고객은 남한내의 모든 군부대 고객이라고 명시돼 있으며 ‘나나테크’의 CEO가 서명했음이 확인했다.  그리고 그 뒤 계약은 일사천리로 진행됐다.

장비구입 구매체결 대금 9억원 지급

12월 2일 ‘나나테크’가 마시밀라노 루피에게 보낸 문서에 따르면 국정원이 12월 20일까지 해당장비를 인도해주기를 요청한다고 밝혔다. 따라서 12월 8일까지 제작자 증명서, 목표대상 10명에 대한 도청계획이 적힌 제안서, 장비에 대한 모든 솔루션이 적힌 백서 등 문서작업을 마무리해달라고 요청했다. 이 문서작업이 완료되면 12월 13일 이행증권을 준비해 곧바로 계약서에 서명하고 12월 15일 신용장(L/C)을 오픈하고 12월 20일 선금을 지급하며 12월 23일 모든 장비인도를 마치자고 제안했다. 또 12월 1일 ‘나나테크’측이 서명한 판매 대리점 계약서에 대한 해킹팀의 서명도 요청했다. 엔드유저가 대리점 지위를 입증한 문서를 요구하고 있다는 것이다.

▲ 나나테크는 11월 7일 엔드유저의 정체에 대해 이메일을 통해 공개했다. ‘우리의 엔드유저는 5163 군부대다’라고 밝힌 것이다.  계약자 5163부대는 박정희 소장이 5월 16일 새벽3시 서울로 진입한 쿠테타 일자를 의미한다. ⓒ2015 Sundayjournalusa

이 같은 과정을 거치면서 2012년 1월 5일 국정원은 5163부대 명의로 해킹장비 및 서비스 구매계약을 체결했고 27만3천유료를 지불했으며 1년에 2번에 걸쳐 유지비용을 냈고 가장 최근에는 지난 1월 9일 ‘2015년 메인터넌스계약’을 체결하고 1회 대금으로 3만3850유로를 지불하는 등 지금까지 최소 68만6410만유로, 우리 돈으로 8억6천만원을 지급한 것으로 확인됐다.
특히 지난 1월9일 체결한 계약에는 5163부대(박정희 쿠데타 한강철교를 넘은 5월 16일 새벽 3시에서 숫자), 즉 국정원을 대표해 서명한 서류가 고스란히 공개됐다. 이처럼 국정원이 인터넷과 스마트폰 도청프로그램을 구입, 운영한 것은 명백한 사실인 것이다.

‘나나테크’와 해킹팀이 가장 최근에 이메일을 교환한 것은 해킹팀 내부문서가 유출되기 불과 4일전인 이달 1일이었다. 이달 1일 허손구 ‘나나테크’ 대표는 해킹팀에 이메일을 보내서 ‘고객이 10월경에 만나고 2차 대금은 8월말에 지급하기를 원한다. 10월에 만나는 데 문제가 없느냐’고 물어보기도 했다. 2차대금이란 2015년 유지관리비용중 2차분 3만3850유로 지불을 의미하는 것이다. 이 이메일은 지난 6월 9일 해킹팀이 2015년 교육일정을 물은데 대한 답신이었다.
또 나나테크에 대한 답신은 아니지만 ‘나나테크’가 10월께 만나자고 제안함에 따라 해킹팀은 내부적으로 올해 10월 12일부터 16일까지 5일간 한국을 방문해 교육을 실시하기로 내부적인 방침을 정한 것으로 드러났다.

갤럭시 S3, 해킹 피할 수 있는 스마트폰

해킹팀은 내부 직원간 주고받은 이메일에서 10월 12일부터 16일까지 한국군부대에 대한 교육을 실시한다는 계획을 세웠다고 명시했다. 해킹팀 내부자료가 유출되지 않았다면 올해 10월에 국정원을 대상으로 재교육이 실시됐을 것이다.발신자는 알 수 없지만 고객전용 기술지원요청서도 발견됐다. 주로 삼성 스마트폰에 대한 내용이 많이 명시돼 있다. 일부 언론은 이를 국정원 관계자가 보낸 기술지원요청서라고 보도했지만 그 문서 어디에도 국정원이라고 명시되거나 국정원을 암시하는 단어는 없었다.

▲ 나나테크는 2011년 12월 1일 판매대리점계약에 서명한 뒤 해킹팀의 서명을 요청한 것으로 나타났다.이 계약서에 따르면 해킹팀은 나나테크에 남한[south korea]내에서의 독점 판매권을 부여했다.
ⓒ2015 Sundayjournalusa

하지만 해당 스마트폰 기종이 한국에서만 판매되는 기종이어서 국정원이 요청했을 가능성이 크다. 2012년 8월 14일 해킹팀에 접수된 기술지원요청서는 삼성스마트폰 캘럭시 S2인 SHW-M시리즈 250S와 250K는 통화가 녹음되지 않는다고 기술지원을 요청했다, 이에 대해 해킹팀은 해당 기종이 한국에 판매된 제품이므로 스마트폰을 보내주면 지원을 하겠다고 밝혔다.

또 2013년 2월 15일 기술지원요청서에는 한국의 안드로이드폰 몇개를 이탈리아로 보냈다며 음성녹음을 할 수 없으니 개발해달라고 요구했고 일주일 뒤인 2월 12일 해킹팀은 유감스럽게도 갤럭시 S3는 RCS모듈과 호환되지 않는다고 답했다. 말하자면 갤럭시 S3는 2013년 2월 당시만 해도 해킹팀의 해킹을 피할 수 있는 스마트폰이었던 것이다. 또 올해 5월에는 삼성갤럭시 노트3 등 신제품의 취약점을 알고 싶다며 삼성을 해킹할 수 있도록 지원한다고 했는데 어떻게 돼 가느냐고 묻고 있다. 이는 2015년 현재도 해킹팀의 스마트폰해킹장비가 국정원의 핵심장비중 하나임을 시사하는 것이다.

또 지난해 2월 캐나다의 시티즌랩이 해킹팀의 감시프로그램을 추적해 한국 등 21개국이 이 해킹팀의 해킹툴을 사용하고 있을 가능성이 크다는 사실을 공개하자 한때 해킹팀의 해킹장비사용 중단을 검토하기도 한 것으로 드러났다. 당시 시티즌랩은 해킹팀 장비를 사용한 아이피가 211.51.14.129로 한국이며 2012년 8월 26일 처음 포착된 이래 2014년 1월 7일까지 포착됐다고 주장했다. 이 시기는 국정원이 해킹랩을 사용했던 시기와 일치했고 시티즌랩의 추정은 정확했다는 사실이 해킹랩 내부문서를 통해 입증된 것이다.

허술한 암호 관리체계가 불행 초래

해킹랩은 2014년 3월 27일자 내부메일에서 지난 3월 24일 우리 고객인 ‘한국군부대’의 파트너인 ‘나나테크’가 중요한 사실을 전해왔다고 밝혔다. 불행하게도 시티즌랩이 아이피 추적내용을 공개하면서 국정원 고위간부들이 해킹팀 해킹툴이 추후에 노출될 가능성이 없는지 심각한 우려를 제기했다는 것이다, 이는 이 같은 내용이 추후 다시 노출될 가능성이 조금이라도 있다면 사실상 사용을 중지하라는 의미로 해석된다고 밝혔다, 우리는 한국측에 안정성을 다시한번 강조하는 한편 노출을 막아서 보호할 수 있도록 철저히 대비해야 한다고 강조했다. 특히 한국의 문화적 특성까지 강조하며 심각성을 전했다. ‘한국은 사람의 면전에서 직설적으로 진실을 말하는 스타일이 아니다. 우려를 표시했다는 것은 사실상 그만두라는 의미로 해석할 수 있으니 더욱 잘 하자’라는 내용이었다, 국정원이 이처럼 캐나다의 비영리단체가 제기한 의혹에도 화들짝 놀라서 해킹중단을 검토할 정도로 심각하게 반응했음은 이 장비의 가공할 만한 위험성을 너무나도 잘 보여주는 것이 아닐 수 없다.

한 가지 재미난 것은 해킹팀 내부의 보안상태다. 한국과 관련한 문서 중 일부 문서파일은 암호가 설정돼 있었다. 그러나 그 암호는 너무나 손쉽게 풀렸다. ‘아무개야 이것을 열어라’ 하는 것의 영문이 바로 그 암호였다. 좀처럼 풀리지 않을 것 같은 암호였지만 바로 그 영문을 넣으니 모든 문서가 풀렸다. 한국관련 문서에 걸린 암호는 모두 동일했다. ‘아무개야 열어라’의 8자 영어문자였던 것이다. 앞서 언급된 문서중 상당부분이 바로 이 암호를 통해 오픈한 문서들이다.

국정원 스마트폰 감시대상자는 누구

지난 2011년 12월 2일 물품 인도절차 등을 제안한 문서인. SK PROCEDURE라는 제목의 파일도 바로 이 암호를 통해 풀렸으며 청구서나 제안서까지도 모두 이 암호를 통해서 열렸다.
해킹팀은 자신들의 가장 중요한 자산인 고객들과의 문서에도 암호를 걸었다, 그러나 그 암호가 너무나 단순했고 그래서 해커들에게 모두 털렸다는 것이 보안전문가들의 지적이다. 이들이 사용한 암호는 ‘P4ssword’, ‘wolverine’, ‘universo’ 등이었다. 이외에 해킹팀이 사용한 암호는 PASSWORD라는 단어의 순서를 바꾸거나 한 글자정도를 바꾸는 암호였던 것으로 드러났다. 웃음이 나오지 않을 수 없다. 문자와 숫자의 조합도 아니고 문자와 특수기호, 숫자의 조합은 더더욱 아니었다. 이처럼 단순한 암호가 해킹팀의 붕괴를 자초한 것이다.

ⓒ2015 Sundayjournalusa

지금까지 밝혀진 해킹팀의 고객은 모두 70군데, 미국 FBI, 국방부, 마약단속국이 주고객이었으며 이탈리아, 스페인, 헝가리, 모로코, 말레이시아, 사우디아라비아, 룩셈부르크, 체코, 이집트, 오만 , 파나마, 터키, UAE 우즈베키스탄, 이디오피아 수단, 카자흐스탄, 아제르바이잔, 태국, 브라질, 베트남, 그리고 한국 등이다. 모두 각 나라의 사법기관이 고객들이었다, 그러나 일본이나 러시아 등은 없었고 미국의 이른바 FIVE EYE로 꼽히는 영국, 캐나다, 호주, 뉴질랜드등도 고객명단에는 없었다.

국정원이 사용한 해킹팀의 인터넷감시 및 스마트폰 도청장비, 과연 누구를 감시한 것일까, 이번 해킹은 예전에 또 다른 도청장비업체인 감마인터내셔널을 해킹한 ‘피네즈피셔’라는  해커가 해킹한 것으로 알려져 있다. 해킹을 통해 국정원이 스마트폰을 감청했다는 사실이 밝혀진 만큼 이제 그 감시대상이 누구인지, 그리고 그 재발을 막는 것은 바로 국민과 언론의 몫이다.

@SundayJournalUSA (www.sundayjournalusa.com), 무단 전재 및 재배포 금지
이 뉴스를 공유하기