전체메뉴

닫기

'국정원 해킹 파문' 5163부대 극비임무

'2012년 비밀지령 내렸다'

[일요시사 사회팀] 강현석 기자 = 국가정보원(이하 국정원)이 지난 2012년 대선을 앞두고 실시간 감청프로그램을 구입한 것으로 확인돼 파문이 확산되고 있다. 지난 14일 국정원은 "프로그램을 국민에게 사용하지 않았다"라고 밝혔지만 해명을 뒤집는 정황이 속속 드러나 사찰 의혹은 더해지고 있다. 특히 '5163부대'란 이름으로 가장한 국정원은 대다수 국민이 즐겨 쓰는 스마트폰인 삼성 갤럭시, 채팅 어플리케이션인 카카오톡, 모바일 게임인 애니팡 등을 겨냥해 전방위 해킹을 시도한 것으로 밝혀졌다. 더불어 해킹의 숨은 대상으로 정치권이 지목되는 등 파장은 점차 확대될 조짐이다.

사건은 이탈리아에서 시작됐다. 현지시간 5일 밤 밀라노에 본사를 둔 IT기업 '해킹팀'은 메인컴퓨터를 탈취당해 400기가바이트(GB)에 이르는 내부 자료를 유출시켰다. 관련 자료는 국가 비밀문서 폭로사이트인 위키리크스 등에 공유됐다. 해킹팀이 각국 정보기관과 주고받은 이메일, 음성파일, 해킹프로그램 소스코드(프로그램 설계도)는 온라인을 통해 그대로 노출됐다.

400GB 자료유출
국정원 거래확인

해킹팀의 주요 고객 가운데는 한국에 주소지를 둔 '5163부대'가 있었다. 공개된 이메일에서 5163부대의 주소지는 국정원이 사용해 온 우편함 번호와 일치했다. 국내에서 국가 정보기관의 해킹 의혹이 처음 불거진 날은 지난 7∼8일이다. <보안뉴스>, <전자신문> 등 IT전문지가 중심이 돼 보도했다.

각 일간지도 취재에 나섰다. 10일을 전후해 이들 언론은 '국정원 해킹 파문'을 주요 의제로 다뤘다. 10∼14일 쏟아진 기사의 내용은 국정원이 일반 국민을 상대로 불법 감청을 했다는 의혹과 연결됐다. 논란이 커지자 국정원은 닫혀있던 입을 열었다.

14일 국회 정보위원회(이하 정보위)에 출석한 이병호 국정원장은 "프로그램을 구입한 사실은 있으나 북한이 대상"이라고 사찰 의혹을 부인했다. 현재까지 국정원이 인정한 부분은 '5163부대란 이름으로 이탈리아 해킹팀으로부터 20개의 해킹 프로그램을 구입했다는 것'이다. 그렇지만 국정원이 어떤 이유로 실시간 감청이 가능한 프로그램을 구입했는지는 여전히 의문으로 남아 있다.

국정원 위장조직 해킹프로그램 구매 확인
국내 정치권 겨냥…무차별 정보수집 했나


국정원이 관련 거래에서 신분을 감추기 위해 사용한 이름은 5163부대다. 5163부대의 어원은 박정희 전 대통령의 군사쿠데타로 알려져 있다. 박정희 당시 소장이 쿠데타를 위해 한강철교를 넘은 시각인 5월16일 새벽 3시를 기릴 목적으로 작명됐다는 설이 유력하다.

위장이름 쓴
5163부대 들통

<한겨레>에 따르면 5163부대는 해킹팀과 모두 6번 거래했다. 총 거래대금은 10억2172만원이다. 이 원장은 정보위에서 "2012년 1월과 7월 각각 10명씩 20명분의 원격제어시스템(RCS)을 구입했다"라고 해명했다. 그렇지만 위키리크스 등에 공개된 자료를 살피면 5163부대(SKA란 이름도 혼용)는 2014년에도 해킹팀과 거래했다.

RCS는 해킹을 하고자 하는 상대방의 이메일이나 스마트폰에 링크(혹은 파일)를 보낸 뒤 상대가 이를 클릭하면 '스파이웨어'에 감염되는 방식을 가리킨다. 원리는 보이스피싱 업체가 즐겨 사용하는 '스미싱'과 유사하다. RCS에 공격당하면 해킹을 한 당사자는 상대의 통화내역, 메시지, 사진, 위치정보, 은행거래내역 등 거의 모든 정보에 접근할 수 있다. 휴대폰 전원을 끄지 않는 한 일거수일투족이 감시된다.

그런데 5163부대는 이 원장이 밝힌 2012년 1월과 7월은 물론 같은해 3월과 12월에도 이메일을 통해 수십개의 '해킹 회선 사용권' 구입을 시도했다. 3월은 총선을 앞둔 시기이며, 12월은 대선을 목전에 둔 때이다. 이 가운데 12월6일 보낸 메일 제목에는 '긴급'이란 문구가 선명하다. 메일 발신자이자 국정원의 해킹 프로그램을 구매 대행한 무역업체 나나테크는 "30개의 회선 사용권을 한 달간 임시로 사용하게 해 달라"라고 해킹팀에 주문했다.

또 나나테크는 2012년 9월 국정원을 대신해 '어노니마이저(ANM)'라는 프로그램을 구매한 것으로 드러났다. 해킹팀은 자신의 고객들에게 ANM을 RCS에 딸린 보조 프로그램이라고 설명했다. 국정원 관계자로 알려진 아이디 'devilangel1004@gmail.com'(이하 데빌엔젤)은 이외에도 2014년부터 해킹팀과 수시로 이메일을 주고받았다.

데빌엔젤이 지난해 11월 구입한 해킹 프로그램은 'RAS'로 기존 RCS와는 다른 형태의 스파이웨어다. 당시 이메일에서 데빌엔젤은 RAS가 안드로이드 폰(삼성 갤럭시 등)을 해킹할 수 있는지를 물었다. 또 "상대가 해킹을 눈치채선 안 된다"라고 당부했다.


데빌엔젤은 지난해 3월 일부 외신을 통해 '해킹팀의 고객 중 한국이 있다'는 사실이 알려지자 "보안이 생명"이라며 "(추적이 불가능한) 가상사설서버(VPS)로 프로그램을 옮겨야 한다"라고 주장했다. 해킹팀은 내부 이메일에서 "SKA(한국)가 우리에게 중요한 고객"이라고 언급했다.

며칠 뒤 해킹팀은 나나테크로 이메일을 보냈다. 자체 개발한 해킹프로그램인 TNI를 무료로 테스트해보라는 내용이었다. TNI는 해킹 상대방이 와이파이에 접속하면 악성코드가 설치되는 프로그램으로 알려졌다. 국정원은 해당 프로그램을 2014년 5월부터 사용하다가 같은해 7월께 반납했다. 공교롭게도 5월과 7월 사이엔 6·4지방선거가 있었다.

현재까지 알려진 내용을 종합하면 국정원은 중요한 선거가 있을 때마다 감청 프로그램을 돌렸다. 감청 대상은 내국인으로 의심됐다. 위키리크스는 지난 15일 트위터를 통해 "해킹팀이 한국 정보기관(국정원)을 도와 변호사를 타깃으로 감청 프로그램을 사용했다"라고 폭로했다.

카톡도 감시
국정원 타깃은?

그러나 국정원은 일부 언론과의 접촉에서 "감청 대상은 대공 혐의가 있는 외국인이며, 위키리크스의 주장은 사실과 다르다"라고 말했다. 또 국정원은 "감청당한 변호사의 국적이 몽골"이라고 주장했다. 지난 주말을 기점으로 국정원의 해명은 일관되게 북한을 지목하고 있다. 하지만 오고간 이메일 내용을 살피면 국내 감시용 쪽으로 무게추가 기운다.

먼저 국정원은 삼성 갤럭시 모델 해킹에 수차례 관심을 보였다. 새 모델이 출시될 때마다 감청이 가능한지를 해킹팀에 구체적으로 질의했다. 물론 북한 간첩이 갤럭시를 쓰고 있을 확률을 배제할 수 없다. 문제는 국정원이 갤럭시와 함께 카카오톡 서버 해킹(검열)에 대해서도 문의했다는 것이다.

데빌엔젤은 개별 감시 대상자에 대한 해킹뿐 아니라 카카오톡 자체에 대한 해킹 연구 진행상황을 물었다. 사실상 1대1 감시가 아닌 불특정 다수에 대한 검열이 가능한지 물은 것이다. 뿐만 아니라 6·4지방선거를 3개월 앞둔 시점에는 '안드로이드 폰'에 대한 공격을 요청했다.

이와 관련 한 가지 의미 있는 사실은 '나나테크 외에도 국정원의 구매 대행사가 3곳 더 있었다'는 해킹팀의 언급이다. 국정원이 '특정시기' 각 업체를 동원해 동시다발적인 공격을 시도했다면 증거가 남아있을 확률이 높다는 분석이다.

이 원장은 이번 해킹 프로그램의 구입 배경과 관련해 "원장이 아니면 이런 일을 하기 어렵다"라고 말한 것으로 전해졌다. 구매시점(2012년 1월~12월) 당시 책임자인 원세훈 전 국정원장에게 책임을 돌린 셈이다. 반면 원 전 원장은 자신의 측근을 통해 "나는 모르는 일"이라고 밝힌 것으로 전해졌다. 이 원장과 원 전 원장, 둘 중 한 명은 거짓말을 하고 있는 상황이다.

이번 정부 들어 국정원은 해킹팀 쪽에 '악성코드를 심어 달라'라며 링크(URL)를 건넸다. 데빌엔젤은 '떡볶이 맛집 소개' '금천구 벚꽃축제' '메르스 Q&A' 등 자국민들이 관심을 가질 법한 주제를 사용해 스파이웨어 링크를 만들어달라고 요구했다. 뿐만 아니라 국정원은 '포르노 사이트'를 링크로 걸어 스마트폰 해킹을 시도했다. <오마이뉴스>는 지난해 12월부터 약 7개월간 블랙엔젤이 주문한 가짜 URL이 195개에 달했다고 전했다.

박정희 5·16 쿠데타서 유래
총·대선 때 감청·사찰 의혹

이와 별도로 국정원은 국내 이동통신가입자들의 스마트폰 해킹을 시도했다. 국정원은 지난 2012년 8월 SK텔레콤에 가입된 갤럭시 한 모델을 특정해 해킹을 해 달라고 업체 측에 의뢰했다. 또 기자로 사칭한 5163부대 관계자는 천안함 사건 의혹을 제기한 재미 연구자의 컴퓨터에 접근, 해킹을 시도한 것으로 알려졌다. 같은 시기 국정원은 해킹팀과 접촉해 '서울대 공대 동창회 명부'라는 워드 파일에 악성코드를 심어달라고 요구했다. 앞서 언급한 재미 연구자는 서울대 공대 출신이다.


아울러 국정원은 미국 스마트폰 메신저인 바이버에 대한 해킹도 해킹팀에 의뢰했다. 바이버는 '사이버 검열'을 피해 주로 야당 정치인들이 쓰고 있는 메신저로 알려졌다. 국내 유력 인사를 겨냥한 불법 감청 의혹이 제기되는 대목이다.

대북용이라는 국정원의 해명이 궁색해지는 증거는 모바일 게임을 대상으로 한 해킹 실험이다. 해킹팀은 SKA의 의뢰로 국내 인기 게임인 '애니팡2' '모두의 마블' '드래곤 플라이트' 등에 대한 악성코드 생성에 성공했다고 밝혔다. 국정원의 해명대로라면 북한 간첩은 애니팡 서버에 접속해 국내 유저들에게 하트(게임 내 아이템)를 날리고 있는 것이다.

국정원의 해킹 대상으로 거론되는 유력 후보군 가운데는 야당 정치인, 학자, 언론인 등이 있다. 실제 정치인 A씨는 지난 대선을 앞두고 사정기관으로부터 사찰을 받았다는 풍문에 휩싸였다. A씨를 뒷조사한 여러 문건이 존재했고, 선거가 끝난 후 해당 문건이 소각됐다는 내용이다. 국정원이 직접 연관됐다는 증거는 없지만 이들이 대선개입을 시도한 만큼 '비밀지령(원장님 말씀)'의 이행 가능성도 있다는 주장이다.

국내 정치권
전방위 사찰?

지난 17일 새정치민주연합 국민정보지키기위원회 안철수 위원장은 국정원에게 RCS 사용내역 제출을 요청했다. 안 위원장은 이날 국회 최고위원회의에서 "악성코드를 보낸 아이피(IP) 주소나 휴대전화 번호 등 타깃의 식별정보가 남아있을 것"이라며 "국정원이 떳떳하다면 공개하지 못할 이유가 없다"라고 말했다.

그러나 국정원이 보안상의 이유로 해당 정보를 공개하지 않거나 사전 삭제했을 가능성 또한 제기된다. 공개된 문건에 따르면 해킹팀은 국방부 국방사이버TF팀 소속 중령의 연락처를 가져갔고, 경찰청으로 추정되는 국내 정보기관과도 접촉한 것으로 드러났다.

 


<angeli@ilyosisa.co.kr>

 

저작권자 ©일요시사 무단전재 및 재배포 금지

독자 여러분들의 제보가 세상을 바꿉니다. jebo@ilyosisa.co.kr

강현석 기자 의 전체기사 보기
배너

설문조사

진행중인 설문 항목이 없습니다.

많이 본 뉴스

일요시사 주요뉴스

<단독> ‘또다시 나타난 그때 그 사기꾼’ 케이삼흥은 왜 서울시 팔았나

[단독] ‘또다시 나타난 그때 그 사기꾼’ 케이삼흥은 왜 서울시 팔았나

[일요시사 취재1팀] 장지선 기자 = 케이삼흥 사태가 대국민 사기극으로 번질 조짐을 보이고 있다. 피해자가 최소 1000여명, 피해액은 수천억원에 이르는 등 실체가 드러날수록 피해가 눈덩이처럼 커지는 상황이다. 피해자들은 무엇에 홀려 돈을 넣었을까? 무엇이 그들에게 절대적인 믿음을 안겨줬을까? “징조도 없었어요. 2월까지는 돈이 잘 들어왔거든요. 3월25일하고 27일에 원금하고 배당금이 안 들어오면서 난리가 난 거죠.” <일요시사>와 연락이 닿은 한 케이삼흥 투자 피해자는 여전히 정신이 없는 듯했다. 이 피해자는 가족과 지인에게도 투자를 권유했다고 한다. 현재 원망 그 이상의 감정을 받고 있다고 토로했다. 2월까진 괜찮았다 최근 케이삼흥 사태가 일파만파로 번지고 있다. 2021년 설립된 부동산 투자플랫폼업체 케이삼흥은 월 최소 2% 수익을 보장하겠다며 투자자를 끌어모았다. 연 단위로 따지면 24%의 고수익 투자상품인 셈이다. 피해자는 ‘정부’ ‘지방자치단체’ ‘공공기관’ 등의 말에 현혹된 것으로 보인다. 케이삼흥은 정부나 지방자치단체가 개발 예정인 토지를 매입한 뒤 개발사업이 확정되면 소유권을 넘겨 보상금을 받는 방식으로 수익을 만들 수 있다고 홍보했다. ‘토지 보상 투자’라는 용어가 나왔다. 직급에 따라 수익금을 차등 지급하는 다단계 방식으로 업체를 운영해 전형적인 ‘다단계금융 사기’라는 의혹도 제기됐다. 이번 사태서 의문이 제기된 부분은 횡령 등의 혐의로 복역한 경험이 있는 김현재 케이삼흥 회장이 어떻게 또다시 수천명에 이르는 투자자를 끌어모았는지다. 김 회장은 ‘기획부동산’의 창시자로 불린다. 토지를 싼 가격에 사들인 뒤 개발 호재 등이 있다고 소문내 이를 쪼개 파는 방식으로 사기를 저질렀다. 이 과정서 투자금 200억원을 횡령한 혐의 등으로 2006년 징역 3년형을 선고받았다. 20여년이 지난 2021년 김 회장은 ‘케이삼흥’이라는 회사를 만들었다. 서울 등 전국에 7개 지점을 둔 케이삼흥은 언론 광고 등 공격적인 마케팅을 통해 투자자를 모았다. 한 케이삼흥 직원에 따르면, 7개 지점서 일하는 직원은 300~350명가량이었다. 직원들은 이른바 가족·지인 영업을 통해 투자자를 모집했다. 월 2% 수익 약속에 수천명 투자 20년 전과 과정도 결과도 같다? 대부분의 직원은 중·장년층으로 인터넷 기사 등을 통해 공개된 김 회장의 과거를 잘 알지 못했던 것으로 보인다. 김 회장의 사기 전과를 알고 있던 피해자 역시 “원래 무죄였다”거나 전직 대통령을 거론하는 김 회장의 말솜씨에 넘어갔다고 한다. 훈장, 공적비, 기부 기사 등은 김 회장의 주장에 힘을 실었다. 따박따박 통장에 찍히는 배당금은 김 회장에 대한 신뢰를 굳건하게 만들었다. 투자금의 1.5~2%에 이르는 배당금이 매달 입금되고 계약에 따라 만기가 되면 원금이 들어오는 구조였다. 예를 들어 1000만원을 투자하고 3개월 만기로 계약을 맺었다면 1060만원을 돌려받게 되는 셈이다. 요즘 같은 저금리 시대에 파격적인 수준이었다. 김 회장은 본인의 사재를 털어 부족한 부분을 메꾸고 있다고 직원들에게 말한 것으로 전해진다. 그러면서 직원들에게 더 열심히 일하라고(투자자를 모집하라고) 했다는 것이다. 피해자들에 따르면, 김 회장은 자신의 재산이 1조원에 달한다고 주장했다. 수익이 나기 전까지 자신의 돈으로 원금과 배당금을 일부 주고 있다고 여러 차례 강조했다고 덧붙였다. 꾸준히 원금과 배당금을 받은 대부분의 피해자는 더 많은 돈을 재투자했다. 피해액이 천문학적인 수준으로 불어난 이유다. 하지만 ‘윗돌 빼서 아랫돌 괴는’ 방식의 사업구조는 자금 순환이 막히면서 결국 무너져 버렸다. 피해자는 지난 2월까지 원금과 배당금을 정상적으로 받았기에 케이삼흥 사태를 예측하지 못한 것으로 보인다. 피해자 중장년층↑ 하지만 경고음은 분명히 존재했다. 회계법인은 케이삼흥에 대해 ‘감사 의견 거절’을 냈다. 감사 의견 거절은 ▲감사인이 감사보고서를 만드는 데 필요한 증거를 얻지 못해 재무제표 전체에 대한 의견 표명이 불가능할 때 ▲기업의 존립에 의문이 들 때 ▲감사인의 독립성 결여 등으로 회계 감사가 불가능한 상황에 제시한다. 기업 내부 사정이 심상찮다는 소리다. 케이삼흥의 경우 ‘회계연도의 현금흐름표 및 재무제표에 대한 주석을 받지 못했다’가 감사 의견 거절의 근거가 됐다. 그럼에도 수많은 피해자는 김 회장을 철석같이 믿었다. 오히려 정관계 인사를 잘 안다는 김 회장의 말이 피해자의 투자심리를 부추겼다. 과거에도 김 회장은 기획부동산 사기로 검찰 조사를 받던 시기에 정관계 로비 의혹을 받은 바 있다. 당시 김 회장이 횡령한 돈 일부가 정치자금으로 흘러 들어갔다는 의혹이 제기된 것이다. 정치권 등의 유력인사를 언급해 투자자의 믿음을 사는 김 회장의 수법은 이번 케이삼흥 사태서도 반복된 것으로 보인다. 한 피해자는 “(김 회장이)정치인 인맥이 많다는 말을 하곤 했다”고 말했다. 다양한 통로로 정보를 얻는 젊은 층에 비해 정보에 어두운 중‧장년층은 김 회장이 주장하는 인맥에 신뢰를 보냈다. 사기 전과 있는데도… <일요시사> 취재에 따르면 김 회장은 서울시 고위공무원과의 친분도 주장했다. 강연 과정서 서울시 고위공무원의 직책을 언급하면서 그를 통해 협조 약속을 받았다는 주장을 펼쳤다. 이 과정서 토지나 주택 등을 관리하는 공공기관의 이름도 등장한다. 투자자에게 수익금에 대한 확신을 심어주려는 의도로 파악된다. 김 회장은 “작년에는 부동산 경기 자체가 불투명하니까 1년 동안 거의 안했어요. 착공 들어가려면 제일 먼저 하는 게 보상 업무잖아요. 올해 작년 것까지 합쳐서 하고 있어요. 사업계획 세워놓은 것은 차질이 없다고 하니까”라고 말한다. 그러면서 공공기관, 서울시 고위공무원 직책을 말하면서 “(서울시 고위공무원 직책이)그걸 관장하고 있다”고 설명했다. 김 회장이 언급한 직책은 서울시서 주택, 재난안전 등을 관리하는 역할을 맡고 있다. 김 회장은 “(서울시 고위공무원을)만나서 사업이 진행되면 케이삼흥 것을 우선적으로 하겠다(는 약속을 받았다)”고 했다. 토지 보상을 하는 과정서 케이삼흥에 우선적으로 협조한다는 것으로 풀이된다. 김 회장은 ‘주진입도로’ 등을 언급하면서 “2단계든, 3단계든 관계없이 케이삼흥 것을 먼저 협조해주겠다고 그 약속까지 제가 다 받아냈으니까. 하반기에 보상 나오는 것은 확실합니다”라고 강조했다. 강연에 참석한 투자자들은 중간중간 호응하다가 김 회장의 말이 끝나자 박수를 치면서 환호했다. 정치인 인맥·훈장 자랑 당사자는 “처음 들었다” 서울시 관계자는 사실 확인을 요청하는 <일요시사>에 “개인적인 부분에 대해서는 확인을 해줄 수 없다”는 입장을 밝혔다. 김 회장이 언급한 직책의 인물은 지난 8일 <일요시사>와의 통화서 “김현재라는 이름은 지금 처음 듣는다”고 전했다. 케이삼흥이라는 회사명도 이날 처음 들었다고 주장했다. 김 회장과는 사적 친분은 물론이고 전혀 관계가 없다는 말이다. 현재 케이삼흥 사태는 서울경찰청 금융범죄수사대서 수사하고 있다. 김 회장 등 케이삼흥 경영진은 특정경제범죄가중처벌법(특경법)과 유사수신행위 규제법 위반 등의 혐의를 받는다. 지금까지 파악된 피해자와 피해액은 최소 규모로 시간이 가면 더 늘어날 가능성이 제기되고 있다. 특히 직원으로 불린 모집책이 가족이나 지인 등을 상대로 투자를 권유한 경우가 많아 가정이 파탄난 사례가 있는 것으로 알려졌다. 또 피해자 가운데 일부는 가족의 병원비 등을 투자금으로 넣은 경우도 있었다. 피해자들은 수사기관에 고소하거나 집회를 준비하는 등 개별적으로 대응하고 있는 것으로 알려졌다. 전문가들은 빠른 수사가 관건이라고 입을 모았다. 시간이 흐를수록 피해자가 받는 정신적 고통이 커지기 때문이다. 실제 케이삼흥 사태와 같은 대형 사건서 투자금을 돌려받지 못하거나 투자를 권유한 사람에게 독촉을 받던 피해자가 스스로 목숨을 끊는 사례를 심심찮게 볼 수 있다. 빠른 수사 피해 복구는? 한 피해자는 “가족과 지인 돈까지 다 끌어모아서 투자했다. 원금만이라도 제발 돌려받고 싶다. 가족과 지인들에게 얼굴을 들 수 없다”고 안타까워했다. 직원이면서 동시에 투자자인 이 피해자는 5억원 이상을 투자금으로 넣었다고 고백했다. 김 회장의 입장을 듣기 위해 문자메시지, 전화 등을 통해 연락을 취했지만 닿지 않았다. <jsjang@ilyosisa.co.kr>
기사 더보기 :