전체메뉴

닫기

'국정원 해킹 파문' 5163부대 극비임무

'2012년 비밀지령 내렸다'

[일요시사 사회팀] 강현석 기자 = 국가정보원(이하 국정원)이 지난 2012년 대선을 앞두고 실시간 감청프로그램을 구입한 것으로 확인돼 파문이 확산되고 있다. 지난 14일 국정원은 "프로그램을 국민에게 사용하지 않았다"라고 밝혔지만 해명을 뒤집는 정황이 속속 드러나 사찰 의혹은 더해지고 있다. 특히 '5163부대'란 이름으로 가장한 국정원은 대다수 국민이 즐겨 쓰는 스마트폰인 삼성 갤럭시, 채팅 어플리케이션인 카카오톡, 모바일 게임인 애니팡 등을 겨냥해 전방위 해킹을 시도한 것으로 밝혀졌다. 더불어 해킹의 숨은 대상으로 정치권이 지목되는 등 파장은 점차 확대될 조짐이다.

사건은 이탈리아에서 시작됐다. 현지시간 5일 밤 밀라노에 본사를 둔 IT기업 '해킹팀'은 메인컴퓨터를 탈취당해 400기가바이트(GB)에 이르는 내부 자료를 유출시켰다. 관련 자료는 국가 비밀문서 폭로사이트인 위키리크스 등에 공유됐다. 해킹팀이 각국 정보기관과 주고받은 이메일, 음성파일, 해킹프로그램 소스코드(프로그램 설계도)는 온라인을 통해 그대로 노출됐다.

400GB 자료유출
국정원 거래확인

해킹팀의 주요 고객 가운데는 한국에 주소지를 둔 '5163부대'가 있었다. 공개된 이메일에서 5163부대의 주소지는 국정원이 사용해 온 우편함 번호와 일치했다. 국내에서 국가 정보기관의 해킹 의혹이 처음 불거진 날은 지난 7∼8일이다. <보안뉴스>, <전자신문> 등 IT전문지가 중심이 돼 보도했다.

각 일간지도 취재에 나섰다. 10일을 전후해 이들 언론은 '국정원 해킹 파문'을 주요 의제로 다뤘다. 10∼14일 쏟아진 기사의 내용은 국정원이 일반 국민을 상대로 불법 감청을 했다는 의혹과 연결됐다. 논란이 커지자 국정원은 닫혀있던 입을 열었다.

14일 국회 정보위원회(이하 정보위)에 출석한 이병호 국정원장은 "프로그램을 구입한 사실은 있으나 북한이 대상"이라고 사찰 의혹을 부인했다. 현재까지 국정원이 인정한 부분은 '5163부대란 이름으로 이탈리아 해킹팀으로부터 20개의 해킹 프로그램을 구입했다는 것'이다. 그렇지만 국정원이 어떤 이유로 실시간 감청이 가능한 프로그램을 구입했는지는 여전히 의문으로 남아 있다.

국정원 위장조직 해킹프로그램 구매 확인
국내 정치권 겨냥…무차별 정보수집 했나


국정원이 관련 거래에서 신분을 감추기 위해 사용한 이름은 5163부대다. 5163부대의 어원은 박정희 전 대통령의 군사쿠데타로 알려져 있다. 박정희 당시 소장이 쿠데타를 위해 한강철교를 넘은 시각인 5월16일 새벽 3시를 기릴 목적으로 작명됐다는 설이 유력하다.

위장이름 쓴
5163부대 들통

<한겨레>에 따르면 5163부대는 해킹팀과 모두 6번 거래했다. 총 거래대금은 10억2172만원이다. 이 원장은 정보위에서 "2012년 1월과 7월 각각 10명씩 20명분의 원격제어시스템(RCS)을 구입했다"라고 해명했다. 그렇지만 위키리크스 등에 공개된 자료를 살피면 5163부대(SKA란 이름도 혼용)는 2014년에도 해킹팀과 거래했다.

RCS는 해킹을 하고자 하는 상대방의 이메일이나 스마트폰에 링크(혹은 파일)를 보낸 뒤 상대가 이를 클릭하면 '스파이웨어'에 감염되는 방식을 가리킨다. 원리는 보이스피싱 업체가 즐겨 사용하는 '스미싱'과 유사하다. RCS에 공격당하면 해킹을 한 당사자는 상대의 통화내역, 메시지, 사진, 위치정보, 은행거래내역 등 거의 모든 정보에 접근할 수 있다. 휴대폰 전원을 끄지 않는 한 일거수일투족이 감시된다.

그런데 5163부대는 이 원장이 밝힌 2012년 1월과 7월은 물론 같은해 3월과 12월에도 이메일을 통해 수십개의 '해킹 회선 사용권' 구입을 시도했다. 3월은 총선을 앞둔 시기이며, 12월은 대선을 목전에 둔 때이다. 이 가운데 12월6일 보낸 메일 제목에는 '긴급'이란 문구가 선명하다. 메일 발신자이자 국정원의 해킹 프로그램을 구매 대행한 무역업체 나나테크는 "30개의 회선 사용권을 한 달간 임시로 사용하게 해 달라"라고 해킹팀에 주문했다.

또 나나테크는 2012년 9월 국정원을 대신해 '어노니마이저(ANM)'라는 프로그램을 구매한 것으로 드러났다. 해킹팀은 자신의 고객들에게 ANM을 RCS에 딸린 보조 프로그램이라고 설명했다. 국정원 관계자로 알려진 아이디 'devilangel1004@gmail.com'(이하 데빌엔젤)은 이외에도 2014년부터 해킹팀과 수시로 이메일을 주고받았다.

데빌엔젤이 지난해 11월 구입한 해킹 프로그램은 'RAS'로 기존 RCS와는 다른 형태의 스파이웨어다. 당시 이메일에서 데빌엔젤은 RAS가 안드로이드 폰(삼성 갤럭시 등)을 해킹할 수 있는지를 물었다. 또 "상대가 해킹을 눈치채선 안 된다"라고 당부했다.


데빌엔젤은 지난해 3월 일부 외신을 통해 '해킹팀의 고객 중 한국이 있다'는 사실이 알려지자 "보안이 생명"이라며 "(추적이 불가능한) 가상사설서버(VPS)로 프로그램을 옮겨야 한다"라고 주장했다. 해킹팀은 내부 이메일에서 "SKA(한국)가 우리에게 중요한 고객"이라고 언급했다.

며칠 뒤 해킹팀은 나나테크로 이메일을 보냈다. 자체 개발한 해킹프로그램인 TNI를 무료로 테스트해보라는 내용이었다. TNI는 해킹 상대방이 와이파이에 접속하면 악성코드가 설치되는 프로그램으로 알려졌다. 국정원은 해당 프로그램을 2014년 5월부터 사용하다가 같은해 7월께 반납했다. 공교롭게도 5월과 7월 사이엔 6·4지방선거가 있었다.

현재까지 알려진 내용을 종합하면 국정원은 중요한 선거가 있을 때마다 감청 프로그램을 돌렸다. 감청 대상은 내국인으로 의심됐다. 위키리크스는 지난 15일 트위터를 통해 "해킹팀이 한국 정보기관(국정원)을 도와 변호사를 타깃으로 감청 프로그램을 사용했다"라고 폭로했다.

카톡도 감시
국정원 타깃은?

그러나 국정원은 일부 언론과의 접촉에서 "감청 대상은 대공 혐의가 있는 외국인이며, 위키리크스의 주장은 사실과 다르다"라고 말했다. 또 국정원은 "감청당한 변호사의 국적이 몽골"이라고 주장했다. 지난 주말을 기점으로 국정원의 해명은 일관되게 북한을 지목하고 있다. 하지만 오고간 이메일 내용을 살피면 국내 감시용 쪽으로 무게추가 기운다.

먼저 국정원은 삼성 갤럭시 모델 해킹에 수차례 관심을 보였다. 새 모델이 출시될 때마다 감청이 가능한지를 해킹팀에 구체적으로 질의했다. 물론 북한 간첩이 갤럭시를 쓰고 있을 확률을 배제할 수 없다. 문제는 국정원이 갤럭시와 함께 카카오톡 서버 해킹(검열)에 대해서도 문의했다는 것이다.

데빌엔젤은 개별 감시 대상자에 대한 해킹뿐 아니라 카카오톡 자체에 대한 해킹 연구 진행상황을 물었다. 사실상 1대1 감시가 아닌 불특정 다수에 대한 검열이 가능한지 물은 것이다. 뿐만 아니라 6·4지방선거를 3개월 앞둔 시점에는 '안드로이드 폰'에 대한 공격을 요청했다.

이와 관련 한 가지 의미 있는 사실은 '나나테크 외에도 국정원의 구매 대행사가 3곳 더 있었다'는 해킹팀의 언급이다. 국정원이 '특정시기' 각 업체를 동원해 동시다발적인 공격을 시도했다면 증거가 남아있을 확률이 높다는 분석이다.

이 원장은 이번 해킹 프로그램의 구입 배경과 관련해 "원장이 아니면 이런 일을 하기 어렵다"라고 말한 것으로 전해졌다. 구매시점(2012년 1월~12월) 당시 책임자인 원세훈 전 국정원장에게 책임을 돌린 셈이다. 반면 원 전 원장은 자신의 측근을 통해 "나는 모르는 일"이라고 밝힌 것으로 전해졌다. 이 원장과 원 전 원장, 둘 중 한 명은 거짓말을 하고 있는 상황이다.

이번 정부 들어 국정원은 해킹팀 쪽에 '악성코드를 심어 달라'라며 링크(URL)를 건넸다. 데빌엔젤은 '떡볶이 맛집 소개' '금천구 벚꽃축제' '메르스 Q&A' 등 자국민들이 관심을 가질 법한 주제를 사용해 스파이웨어 링크를 만들어달라고 요구했다. 뿐만 아니라 국정원은 '포르노 사이트'를 링크로 걸어 스마트폰 해킹을 시도했다. <오마이뉴스>는 지난해 12월부터 약 7개월간 블랙엔젤이 주문한 가짜 URL이 195개에 달했다고 전했다.

박정희 5·16 쿠데타서 유래
총·대선 때 감청·사찰 의혹

이와 별도로 국정원은 국내 이동통신가입자들의 스마트폰 해킹을 시도했다. 국정원은 지난 2012년 8월 SK텔레콤에 가입된 갤럭시 한 모델을 특정해 해킹을 해 달라고 업체 측에 의뢰했다. 또 기자로 사칭한 5163부대 관계자는 천안함 사건 의혹을 제기한 재미 연구자의 컴퓨터에 접근, 해킹을 시도한 것으로 알려졌다. 같은 시기 국정원은 해킹팀과 접촉해 '서울대 공대 동창회 명부'라는 워드 파일에 악성코드를 심어달라고 요구했다. 앞서 언급한 재미 연구자는 서울대 공대 출신이다.


아울러 국정원은 미국 스마트폰 메신저인 바이버에 대한 해킹도 해킹팀에 의뢰했다. 바이버는 '사이버 검열'을 피해 주로 야당 정치인들이 쓰고 있는 메신저로 알려졌다. 국내 유력 인사를 겨냥한 불법 감청 의혹이 제기되는 대목이다.

대북용이라는 국정원의 해명이 궁색해지는 증거는 모바일 게임을 대상으로 한 해킹 실험이다. 해킹팀은 SKA의 의뢰로 국내 인기 게임인 '애니팡2' '모두의 마블' '드래곤 플라이트' 등에 대한 악성코드 생성에 성공했다고 밝혔다. 국정원의 해명대로라면 북한 간첩은 애니팡 서버에 접속해 국내 유저들에게 하트(게임 내 아이템)를 날리고 있는 것이다.

국정원의 해킹 대상으로 거론되는 유력 후보군 가운데는 야당 정치인, 학자, 언론인 등이 있다. 실제 정치인 A씨는 지난 대선을 앞두고 사정기관으로부터 사찰을 받았다는 풍문에 휩싸였다. A씨를 뒷조사한 여러 문건이 존재했고, 선거가 끝난 후 해당 문건이 소각됐다는 내용이다. 국정원이 직접 연관됐다는 증거는 없지만 이들이 대선개입을 시도한 만큼 '비밀지령(원장님 말씀)'의 이행 가능성도 있다는 주장이다.

국내 정치권
전방위 사찰?

지난 17일 새정치민주연합 국민정보지키기위원회 안철수 위원장은 국정원에게 RCS 사용내역 제출을 요청했다. 안 위원장은 이날 국회 최고위원회의에서 "악성코드를 보낸 아이피(IP) 주소나 휴대전화 번호 등 타깃의 식별정보가 남아있을 것"이라며 "국정원이 떳떳하다면 공개하지 못할 이유가 없다"라고 말했다.

그러나 국정원이 보안상의 이유로 해당 정보를 공개하지 않거나 사전 삭제했을 가능성 또한 제기된다. 공개된 문건에 따르면 해킹팀은 국방부 국방사이버TF팀 소속 중령의 연락처를 가져갔고, 경찰청으로 추정되는 국내 정보기관과도 접촉한 것으로 드러났다.

 


<angeli@ilyosisa.co.kr>

 

저작권자 ©일요시사 무단전재 및 재배포 금지

독자 여러분들의 제보가 세상을 바꿉니다. jebo@ilyosisa.co.kr

강현석 기자 의 전체기사 보기
배너

설문조사

진행중인 설문 항목이 없습니다.

많이 본 뉴스

댓글 많은 뉴스

일요시사 주요뉴스

헌재, 만장일치로 윤석열 파면⋯헌정사상 두 번째

헌재, 만장일치로 윤석열 파면⋯헌정사상 두 번째

[일요시사 취재2팀] 박정원 기자 = 헌법재판소가 4일, 윤석열 전 대통령에 대한 탄핵소추 심판 사건을 인용하면서 대한민국은 또다시 정치적 격변기를 맞게 됐다. 헌법재판소는 이날 오전 11시22분께 서울 종로구 대심판정서 재판관 만장일치 의견으로 윤 전 대통령의 파면을 결정했다. 이는 탄핵소추안 가결 111일 만이자, 탄핵 심판 변론 종결 38일 만에 내려진 결정이다. 이번 탄핵 심판은 지난해 12월 윤 전 대통령의 비상계엄 선포에 따른 것이었다. 헌재는 결정문에서 윤 전 대통령의 비상계엄 선포 행위가 헌법과 법률에 위배된다고 명시했다. 이날 차분한 목소리로 주문을 낭독한 문형배 헌재소장 권한대행은 “피청구인은 국회 권한 행사가 다수의 횡포라 판단했어도 헌법이 예정한 자구책을 통해 견제와 균형이 실현될 수 있게 했어야 한다”고 지적했다. 이어 “피청구인이 취임한지 2년 후 이뤄진 총선서 국정을 주도하도록 국민을 설득할 기회가 있었다”며 “결과가 피청구인 의도에 부합하지 않아도 야당을 지지한 국민들의 의사를 배제하려는 시도를 했으면 안 됐다”고 판단했다. 문 권한대행은 “그럼에도 불구하고 피청구인은 헌법과 법률을 위반하고 계엄을 선포해 국가긴급권을 남용하는 역사를 재현해 국민들을 충격에 빠트리고, 사회·정치·경제 전반에 혼란을 야기했다”며 “국민 모두의 대통령으로 자신을 지지하는 국민들을 초월해 사회 공동체를 통합시켜야 할 책무를 위반했다”고 지적했다. 이날 헌재의 탄핵 인용 결정에 따라 윤 전 대통령은 대통령직을 상실하고 일반인 신분이 됐다. 이에 따라 윤 전 대통령은 서울 용산구 한남동 관저에서도 퇴거해야 한다. 다만, 사저 경호 문제 등 정리할 시간이 필요하므로 즉시 관저를 비우지는 않을 것으로 보인다. 과거 박근혜 전 대통령의 경우에도 헌재 파면 결정 이틀 뒤에 청와대 관저를 나와 서울 강남구 삼성동 사저로 거처를 옮긴 바 있다. 이번 파면 결정으로 윤 전 대통령은 경호와 경비를 제외한 전직 대통령으로서의 예우도 대부분 박탈당했다. 대통령 등 경호에 관한 법률에 따르면 통상 최대 15년(10년+5년 연장)까지 경호를 받을 수 있으나, 임기만료 전 퇴임한 경우에는 최대 10년(5년+5년 연장)으로 줄어든다. 전직 대통령 예우 모두 박탈 정치권 ‘장미 대선’ 현실화 정상적으로 임기를 마쳤다면 받았을 대통령 연금 수령 자격도 상실됐다. 정상적으로 임기를 마친 전직 대통령은 대통령 보수연액(월급여의 8.85배)의 95%를 12개월로 나눠 받는다. 올해 윤 전 대통령 연봉은 약 2억6258만원(세전)이고, 이 기준에 따른 매월 연금액은 약 1533만원(연 기준 1억8397만원)이다. 이 밖에 기념사업 지원과 개인 사무실 및 보좌진 지원도 중단됐으며, 사후 국립묘지 안장 대상서도 제외된다. 공직 취임의 기회도 제한된다. 헌법재판소법 제54조 2항은 ‘탄핵 결정에 의해 파면된 사람은 결정 선고가 있은 날부터 5년이 지나지 아니하면 공무원이 될 수 없다’고 규정한다. 따라서 윤 전 대통령은 파면 결정이 선고된 날로부터 5년간 공무원으로 임용될 수 없다. 윤 전 대통령에게 남은 건 형사재판 절차 뿐이다. 형사재판은 탄핵 심판 결과와 별개로 그대로 진행되는데, ‘내란 우두머리’ 혐의로 재판에 넘겨진 윤 전 대통령은 오는 14일 첫 정식 공판을 받는다. 윤 전 대통령이 대통령직을 상실함에 따라 대한민국은 ‘장미 대선’ 국면으로 접어들게 됐다. 헌법 제68조는 대통령 궐위 시 60일 이내에 후임자를 선거하도록 규정하고 있다. 4일을 기준으로 하면 60일째 되는 날은 오는 6월3일이므로 이날까지 대선을 치러야 한다. 이에 따라 ‘오말육초’(5월 말에서 6월 초) 사이에 새로운 대통령을 선출하기 위한 조기 대선이 치러질 가능성이 높아졌다. 실제로 박 전 대통령은 2017년 3월10일 탄핵 결정으로 파면됐고, 정확히 60일째인 5월9일에 조기 대선이 실시된 바 있다. 정치권에서는 이 같은 선례에 따라, 윤 전 대통령의 파면으로 치러질 조기 대선도 60일째 되는 날인 6월3일에 치러질 가능성이 크다는 전망이 나온다. 다만, 대선 시점이 6월3일보다 앞당겨질 가능성도 있다. 일각에선 60일째 되는 날에서 가장 가까운 수요일인 5월28일이 조기 대선일로 유력하다는 예상도 나왔다. 어느 날짜에 선거가 치러지든, 정치권에서는 당분간 극심한 혼란이 예상된다. 헌재의 파면 결정으로 탄핵 정국이 조기 대선 정국으로 급변했고, 이제 차기 권력을 향한 대권 경쟁이 본격화될 수밖에 없기 때문이다. 이미 여야 잠룡들은 탄핵 정국 속에서도 조기 대선을 염두에 두고 물밑 경쟁을 벌여왔다. 여권에서는 한동훈 전 국민의힘 대표, 오세훈 서울시장, 홍준표 대구시장, 안철수 국민의힘 의원, 유승민 전 국민의힘 의원 등이 정권 재장출의 목표를 두고 출사표를 던질 것으로 보인다. 야권에서는 이재명 더불어민주당 대표가 유력한 후보로 거론되고 있다. 앞서 이 대표는 지난달 26일 공직선거법 위반 항소심서 무죄를 선고받으며 사법 리스크를 덜어내며 독주 체제를 굳힌 바 있다. 이 외에도 김동연 경기도지사, 김경수 전 경남도지사, 이준석 개혁신당 의원 등도 잠재적 대권주자로 꼽힌다. 조기 대선으로 선출되는 차기 대통령은 대통령직인수위원회 구성없이 당선 즉시 임기를 시작하게 된다. 한덕수 대통령 권한대행 겸 국무총리는 이날 “국가 안보와 외교에 공백이 없도록 굳건한 안보 태세를 유지하겠다”며 “주권자인 국민 여러분들의 뜻을 받들어 헌법과 법률에 따라 다음 정부가 차질없이 출범할 수 있도록 차기 대통령 선거 관리에 최선을 다할 것”이라고 말했다. <jungwon933@ilyosisa.co.kr>
기사 더보기 :