이탈리아의 인터넷 및 휴대폰 도청장비 서비스업체인 해킹팀의 내부정보가 인터넷에 유출되면서 전세계적으로 파문이 확산되는 가운데 국정원도 이 장비와 서비스를 구입, 사용한 것으로 드러나 논란이 일고 있다.
해킹팀의 내부정보가 인터넷에 유출된 사실이 알려진 것은 지난 5일. 해커는 해킹팀의 공식트위터 계정을 해킹 ‘지금부터 우리는 아무 것도 감추지 않는다, 우리는 이메일과 파일, 모든 소스 등을 공개한다’는 글을 올렸다.
장비판매 나나테크, 국정원 방계회사 인터넷에 유출된 해킹팀의 내부정보를 분석한 결과 ‘코리아’라는 단어가 들어간 이메일은 무려 2410건, 국정원에 이 장비를 소개한 ‘나나테크’라는 단어가 들어간 이메일은 967건, 삼성이라는 단어가 들어간 이메일은 무려 6142건에 달했다. 코리아가 들어간 단어의 이메일 중 일부는 그날그날의 뉴스를 모니터해서 회사경영진에게 보낸 이메일 상당수가 포함돼 있지만 ‘나나테크’가 들어간 이메일은 전체가 한국국정원의 장비구입과 관련된 이메일이므로 한국과 직접 연관된 이메일은 최소 967건이상 최대 2410건이하로 추산하는 것이 합리적이다. 삼성은 아이폰과 함께 세계 스마트폰업계의 양대 강자이므로 해킹팀이라는 업체가 스마트폰의 트렌드를 추적하면서 해킹툴을 개발했음을 감안하면 삼성에 대한 이메일은 주로 신상품 출시와 새 스마트폰 등의 정보를 담은 업무용이메일이 많았다.
<선데이저널>은 이 사건을 취재하면서 이 업체의 해킹툴을 국정원에 중개한 서울 마포구에 소재한 ‘나나테크’라는 회사에 대한 중대한 제보를 받았다. 국정원의 한 전직 고위간부는 ‘나나테크는 국정원 특작업무 물자공급담당일 가능성이 크다’고 밝혔다. 이 고위간부가 말하는 특작업무란 ‘특수작전’을 이야기 하는 것이다. 즉 이 회사는 국정원이 극비로 수행하는 특수작전에 필요한 물자를 공급하던 업체인 셈이다. 이 간부는 ‘나나테크는 예전부터 해킹프로그램 등 특수한 기능을 수행하는 통신관련 소프트웨어를 중개하던 오퍼상’이라며 ‘소위 특작업무에 필요한 물자공급 혹은 중개를 하는 소기업들이 상당수 존재하나 일반인들이 모르는 것은 물론 심지어 수요자 조직 내에서도 극히 일부 직접 관련된 사람들만 그 존재를 알 수 있다’고 설명했다. 국정원 해킹팀, 국가차원에서 접근 관련문서를 검토한 결과 해킹팀이 국내에 접근한 것이 아니라 ‘나나테크’가 해킹팀에 접근한 것으로 드러났다. [email protected] 이란 아이디를 사용하는 ‘나나테크’의 박유진씨는 지난 2010년 8월초 해킹팀에 관련장비와 서비스에 대해 질문을 했고 8월 6일 해킹팀이 이에 대한 답변을 이메일로 보낸 것으로 밝혀졌다. 해킹팀은 이 이메일에서 RCS, 즉 원격통제시스템은 눈에 띄지 않게 목표 PC와 스마트폰을 공격하고 감염시키고 모니터 할 수 있게 한다고 밝혔으며 윈도우와 맥 등 모든 OS에 작동하고 아이폰, 심비안, 블랙베리 등 스마트폰에 작동하며 한번 RCS에 감염된 목표물은 스카이페는 물론 MSN 메신저등 VOIP를 통한 통화나 메세지교환, 파일교환, 스크릿샷, 카메라 작동, 전화 GPS 위치추적 등 모든 것이 가능하다고 설명했다. 특히 스마트폰 통화도청이 가능한 것이 가장 큰 특징이다. 바로 이 이메일교환을 통해 양측이 처음 연결된 것이다. 그 뒤 2010년 11월 5일 해킹팀은 12월7일 최종수요자와 미팅을 요청했고 ‘나나테크’의 박씨는 장비를 가지고 와서 시연해 줄 수 있는지를 문의했고 해킹팀은 가능하다고 답했다. 그 뒤 11월 19일 박씨는 ‘나나테크’의 인터내셔널 비지니스팀 소속이라고 밝히고 우리 클라이언트, 즉 국정원이 12월 7일 미팅을 갖자고 한다며 미팅일자가 확정됐음을 통보했다.
해킹팀은 각국 정부기관에만 해킹장비와 서비스를 판매하므로 ‘나나테크’측에 계속 최종소비자, 즉 엔드유저가 누구인지를 끈질기게 물었고 11월 23일 박씨는 엔드유저는 육군 조사팀, KINSTEL이라며 걱정하지 말라는 이메일을 보냈다. 그러면서 강남구 삼성동 인터콘티넨탈호텔에서 미팅을 가질 것이라며 몇 명이 참석하는지 여부와 서울에서 프로젝트 등 준비해야 할 물건이 무엇인지 이야기해 달라고 요청했다. 이에 따라 해킹팀은 3명이 참석하며 12월 6일 서울에 도착한 뒤 오후에 미팅장소에서 프리젠테이션 준비 등을 점검할 수 있도록 해달라고 부탁하기도 했다. 인터넷 사용내역, 위치 파악 시스템 마침내 12월 3일 박씨는 미팅장소가 그랜드인터콘티넬탈호텔 3층의 5번 컨퍼런스룸이며 12월 7일 오전 9시 로비에서 만나자며 자신의 핸드폰 번호 등을 통보했다. 이에 앞서 12월 1일 해킹팀에서 보낸 메일에는 수신인이 박유진씨지만 참조를 통해 ‘나나테크’의 또 다른 직원들에게도 메일이 발송됐음을 알 수 있다. 한용철, 허손구씨 등이다. 바로 이 허손구씨가 ‘나나테크’의 대표이사다. 특이한 것은 이들은 파란닷컴의 이메일을 사용하며 이메일주소도 ‘나나테크’란 글자를 쓴 뒤 자신의 성 첫 글자를 붙여서 사용했다.
허손구씨라면 나나테크에 H를 붙여 [email protected], 한용철씨는 나나테크에 han을 붙인 [email protected], 박유진씨는 나나테크에 p를 붙인 [email protected]을 사용한 것이다 해킹팀의 RCS, 즉 원격통제시스템을 스마트폰에 사용할 때는 RMI [REMOTE MOBILE INFECTION]. 즉 대상스마트폰에 해킹툴을 자동으로 심음으로서 스마트폰 도청은 물론 아예 스마트폰주인처럼 작동할 수 있도록 한다. 2010년 12월 프리젠테이션이 성공리에 마무리된 뒤 해킹팀과 ‘나나테크’가 주고받은 이메일을 보면 국정원의 주관심이 스마트폰임을 잘 알 수 있다, 즉 스마트폰 주인 몰래 그 스마트폰에 스파이웨어를 심고 이를 통해 스마트폰의 통화는 물론 인터넷 사용내역, 위치까지 알아내는 시스템에 관심을 가진 것이다. 2011년 11월 4일에는 기존에 접촉했던 박유진씨가 아니라 김은정씨가 ‘나나테크’의 인터네셔널 비지니스팀 이라며 해킹팀에 메일을 보냈다. 우리 고객이 ‘노키아 X6’, ‘RIM9700’,’아이폰4’,’GT-19000’에 RMI, 이른바 몰래 스파이웨어를 심어서 작동시키는 테스트를 요구한다고 밝혔다. 특히 이들 스마트폰에서도 해킹팀장비가 작동한다는 것을 최소 2일정도 직접 보여달라고 요구하며 고객의 요구를 따라줬으면 좋겠다고 밝혔다. 국정원의 주된 관심이 스마트폰 도청임이 여실히 드러난 것이다. 특이한 것은 이들 스마트폰은 국내에서 일반인들은 잘 사용하지 않는 스마트폰이라는 것이다. 즉 이는 대상목표가 국내가 아닌 중국 등 외국이거나 혹은 국내에서 이 독특한 스마트폰을 사용하는 사람이었음을 시사한다. 만약 지금 국내에서 이 같은 종류의 스마트폰을 사용한 사람이 있다면 지금 오금이 저릴 정도로 놀랄 것이다.
‘나나테크’는 특작업무 물자공급업체답게 해킹팀과 첫 접촉이후부터 해킹팀의 끈질긴 요구에도 불구하고 1년여간 엔드유저의 정체를 철저히 비밀에 붙였다. 해킹팀이 물어보면, 정부기관이 틀림없으니 걱정하지 말라는 식으로 무마했다. 이 이메일에서도 각국 정부의 사법기관이라고 하면 군부대도 포함되는 것이 아니냐고 물어보기도 했다. 이에 대해 해킹팀은 11월4일 당일에 곧바로 허손구사장에게 답신을 보내 군부대도 사법기관에 포함된다고 답변했으며 11월 21일과 22일 시연을 보이겠다고 답했다. 그러나 마시밀라노 루피라는 해킹팀 고위관계자는 자신은 11월 22일 미팅에는 참석할 수 없으므로 11월 21일에 계약 등에 대해 논의했으면 좋겠다고 밝혔다. 이 이메일을 받은 ‘나나테크’는 11월 7일 엔드유저의 정체에 대해 이메일을 통해 공개했다.
‘우리의 엔드유저는 5163 군부대다’라고 밝힌 것이다. 이 5163군부대의 주소는 서울 서초구 서초동 사서함 200호, 국정원이 사용하는 사서함주소이며 5163이라는 명칭도 국정원이 사용하는 명칭이다. 장비구입 구매체결 대금 9억원 지급 12월 2일 ‘나나테크’가 마시밀라노 루피에게 보낸 문서에 따르면 국정원이 12월 20일까지 해당장비를 인도해주기를 요청한다고 밝혔다. 따라서 12월 8일까지 제작자 증명서, 목표대상 10명에 대한 도청계획이 적힌 제안서, 장비에 대한 모든 솔루션이 적힌 백서 등 문서작업을 마무리해달라고 요청했다. 이 문서작업이 완료되면 12월 13일 이행증권을 준비해 곧바로 계약서에 서명하고 12월 15일 신용장(L/C)을 오픈하고 12월 20일 선금을 지급하며 12월 23일 모든 장비인도를 마치자고 제안했다. 또 12월 1일 ‘나나테크’측이 서명한 판매 대리점 계약서에 대한 해킹팀의 서명도 요청했다. 엔드유저가 대리점 지위를 입증한 문서를 요구하고 있다는 것이다.
이 같은 과정을 거치면서 2012년 1월 5일 국정원은 5163부대 명의로 해킹장비 및 서비스 구매계약을 체결했고 27만3천유료를 지불했으며 1년에 2번에 걸쳐 유지비용을 냈고 가장 최근에는 지난 1월 9일 ‘2015년 메인터넌스계약’을 체결하고 1회 대금으로 3만3850유로를 지불하는 등 지금까지 최소 68만6410만유로, 우리 돈으로 8억6천만원을 지급한 것으로 확인됐다. ‘나나테크’와 해킹팀이 가장 최근에 이메일을 교환한 것은 해킹팀 내부문서가 유출되기 불과 4일전인 이달 1일이었다. 이달 1일 허손구 ‘나나테크’ 대표는 해킹팀에 이메일을 보내서 ‘고객이 10월경에 만나고 2차 대금은 8월말에 지급하기를 원한다. 10월에 만나는 데 문제가 없느냐’고 물어보기도 했다. 2차대금이란 2015년 유지관리비용중 2차분 3만3850유로 지불을 의미하는 것이다. 이 이메일은 지난 6월 9일 해킹팀이 2015년 교육일정을 물은데 대한 답신이었다. 갤럭시 S3, 해킹 피할 수 있는 스마트폰 해킹팀은 내부 직원간 주고받은 이메일에서 10월 12일부터 16일까지 한국군부대에 대한 교육을 실시한다는 계획을 세웠다고 명시했다. 해킹팀 내부자료가 유출되지 않았다면 올해 10월에 국정원을 대상으로 재교육이 실시됐을 것이다.발신자는 알 수 없지만 고객전용 기술지원요청서도 발견됐다. 주로 삼성 스마트폰에 대한 내용이 많이 명시돼 있다. 일부 언론은 이를 국정원 관계자가 보낸 기술지원요청서라고 보도했지만 그 문서 어디에도 국정원이라고 명시되거나 국정원을 암시하는 단어는 없었다.
하지만 해당 스마트폰 기종이 한국에서만 판매되는 기종이어서 국정원이 요청했을 가능성이 크다. 2012년 8월 14일 해킹팀에 접수된 기술지원요청서는 삼성스마트폰 캘럭시 S2인 SHW-M시리즈 250S와 250K는 통화가 녹음되지 않는다고 기술지원을 요청했다, 이에 대해 해킹팀은 해당 기종이 한국에 판매된 제품이므로 스마트폰을 보내주면 지원을 하겠다고 밝혔다. 또 2013년 2월 15일 기술지원요청서에는 한국의 안드로이드폰 몇개를 이탈리아로 보냈다며 음성녹음을 할 수 없으니 개발해달라고 요구했고 일주일 뒤인 2월 12일 해킹팀은 유감스럽게도 갤럭시 S3는 RCS모듈과 호환되지 않는다고 답했다. 말하자면 갤럭시 S3는 2013년 2월 당시만 해도 해킹팀의 해킹을 피할 수 있는 스마트폰이었던 것이다. 또 올해 5월에는 삼성갤럭시 노트3 등 신제품의 취약점을 알고 싶다며 삼성을 해킹할 수 있도록 지원한다고 했는데 어떻게 돼 가느냐고 묻고 있다. 이는 2015년 현재도 해킹팀의 스마트폰해킹장비가 국정원의 핵심장비중 하나임을 시사하는 것이다. 또 지난해 2월 캐나다의 시티즌랩이 해킹팀의 감시프로그램을 추적해 한국 등 21개국이 이 해킹팀의 해킹툴을 사용하고 있을 가능성이 크다는 사실을 공개하자 한때 해킹팀의 해킹장비사용 중단을 검토하기도 한 것으로 드러났다. 당시 시티즌랩은 해킹팀 장비를 사용한 아이피가 211.51.14.129로 한국이며 2012년 8월 26일 처음 포착된 이래 2014년 1월 7일까지 포착됐다고 주장했다. 이 시기는 국정원이 해킹랩을 사용했던 시기와 일치했고 시티즌랩의 추정은 정확했다는 사실이 해킹랩 내부문서를 통해 입증된 것이다. 허술한 암호 관리체계가 불행 초래 해킹랩은 2014년 3월 27일자 내부메일에서 지난 3월 24일 우리 고객인 ‘한국군부대’의 파트너인 ‘나나테크’가 중요한 사실을 전해왔다고 밝혔다. 불행하게도 시티즌랩이 아이피 추적내용을 공개하면서 국정원 고위간부들이 해킹팀 해킹툴이 추후에 노출될 가능성이 없는지 심각한 우려를 제기했다는 것이다, 이는 이 같은 내용이 추후 다시 노출될 가능성이 조금이라도 있다면 사실상 사용을 중지하라는 의미로 해석된다고 밝혔다, 우리는 한국측에 안정성을 다시한번 강조하는 한편 노출을 막아서 보호할 수 있도록 철저히 대비해야 한다고 강조했다. 특히 한국의 문화적 특성까지 강조하며 심각성을 전했다. ‘한국은 사람의 면전에서 직설적으로 진실을 말하는 스타일이 아니다. 우려를 표시했다는 것은 사실상 그만두라는 의미로 해석할 수 있으니 더욱 잘 하자’라는 내용이었다, 국정원이 이처럼 캐나다의 비영리단체가 제기한 의혹에도 화들짝 놀라서 해킹중단을 검토할 정도로 심각하게 반응했음은 이 장비의 가공할 만한 위험성을 너무나도 잘 보여주는 것이 아닐 수 없다.
한 가지 재미난 것은 해킹팀 내부의 보안상태다. 한국과 관련한 문서 중 일부 문서파일은 암호가 설정돼 있었다. 그러나 그 암호는 너무나 손쉽게 풀렸다. ‘아무개야 이것을 열어라’ 하는 것의 영문이 바로 그 암호였다. 좀처럼 풀리지 않을 것 같은 암호였지만 바로 그 영문을 넣으니 모든 문서가 풀렸다. 한국관련 문서에 걸린 암호는 모두 동일했다. ‘아무개야 열어라’의 8자 영어문자였던 것이다. 앞서 언급된 문서중 상당부분이 바로 이 암호를 통해 오픈한 문서들이다. 국정원 스마트폰 감시대상자는 누구 지난 2011년 12월 2일 물품 인도절차 등을 제안한 문서인. SK PROCEDURE라는 제목의 파일도 바로 이 암호를 통해 풀렸으며 청구서나 제안서까지도 모두 이 암호를 통해서 열렸다.
지금까지 밝혀진 해킹팀의 고객은 모두 70군데, 미국 FBI, 국방부, 마약단속국이 주고객이었으며 이탈리아, 스페인, 헝가리, 모로코, 말레이시아, 사우디아라비아, 룩셈부르크, 체코, 이집트, 오만 , 파나마, 터키, UAE 우즈베키스탄, 이디오피아 수단, 카자흐스탄, 아제르바이잔, 태국, 브라질, 베트남, 그리고 한국 등이다. 모두 각 나라의 사법기관이 고객들이었다, 그러나 일본이나 러시아 등은 없었고 미국의 이른바 FIVE EYE로 꼽히는 영국, 캐나다, 호주, 뉴질랜드등도 고객명단에는 없었다. 국정원이 사용한 해킹팀의 인터넷감시 및 스마트폰 도청장비, 과연 누구를 감시한 것일까, 이번 해킹은 예전에 또 다른 도청장비업체인 감마인터내셔널을 해킹한 ‘피네즈피셔’라는 해커가 해킹한 것으로 알려져 있다. 해킹을 통해 국정원이 스마트폰을 감청했다는 사실이 밝혀진 만큼 이제 그 감시대상이 누구인지, 그리고 그 재발을 막는 것은 바로 국민과 언론의 몫이다. |
<와이드특집3> 국정원 해킹팀 도감청 프로그램 구입 목적은 朴 대통령 …
이 뉴스를 공유하기
@SundayJournalUSA (www.sundayjournalusa.com), 무단 전재 및 재배포 금지
