국정원 해명 또 거짓…"다른 목표물 감염 가능"
'해킹' 활용된 블로그 삭제, 나나테크 사장 출국…사라지는 증거들
2015.07.21 13:48:15
국정원 해명 또 거짓…"다른 목표물 감염 가능"
국가정보원이 '이탈리아 해킹 업체로부터 구입한 해킹 프로그램 RCS(리모트 컨트롤 시스템)로는 최대 20개의 목표물만 감시할 수 있다'는 취지의 해명을 한 것이 거짓으로 드러났다.

앞서 이병호 국정원장은 국회 정보위원회에 출석, 이탈리아 업체 '해킹팀'으로부터 RCS 라이센스 20개를 구입한 것을 '20명분'이라고 표현하며 "20명분이란 상대방 휴대전화를 가장 많이 해킹했을 경우 최대 20개의 휴대전화를 해킹할 수 있다는 의미"라고 했다.

그러나 이 원장의 답변에는 한 단어가 빠져 있었다. '동시에.' 즉 "최대 20개의 휴대전화를 '동시에' 해킹할 수 있다는 의미"라고 했어야 정확한 답이 됐던 것.

이는 지난 2012년 3월 해킹팀이 국정원의 프로그램 구입을 대행 또는 중개한 무역업체 '나나테크'에 보낸 제안서에서 밝혀졌다. 해킹팀은 제안서 앞부분에는 소프트웨어 라이센스의 가격을 제시했고, 뒷부분에는 이 '상품'을 구입해 사용할 때 유의할 점 등을 적어 놓았다. 제안서 뒷부분의 설명 일부를 보자.

○ '타깃'이란, 동시에 모니터할수 있는 장치(디바이스)의 수를 말한다.
○ 모든 동시 타깃 라이센스는 횟수 제한 없이(또는 시간 제한 없이. for an unlimited amount of times) 사용할 수 있다. 조사가 끝나고 백도어가 제거되면, 이는 다른 타깃을 감염시키는 데 사용될 수 있다.

▲이탈리아 해킹업체 '해킹팀' 사(社)가 나나테크 사에 보낸 RCS 프로그램 제안서 일부.


즉 국정원은 20개의 계정으로, 이 사람을 감시하다가 저 사람을 감시할 수도 있다는 말이 된다.

실제로 2013년 7월 국정원 직원으로 추정되는 '데빌엔젤(devilangel1004@gmail.com)'은 해킹팀에 이메일을 보내 "최근 3명의 타깃을 감염시켰는데, 이들은 시스템 대기열에 있다"며 "충분한 공간을 확보했는데도 이들을본 시스템으로 들어오게 할 수 없다. 그래서 그들을 대시보드에 추가할 수도, 설정을 할 수도 없다"고 문의했다. (☞메일 보기) 

그러자 해킹팀은 "혹시 네가 가진 라이센스가 허용하는 타깃 수를 초과한 것 아니냐"며 데이터베이스 로그 파일을 보내 보라고 한다. (☞메일 보기) '데빌엔젤'은 재답신에서 "그래서 이 3개의 (새로운) 타깃을 대기열에서 발견한 후에, 이미 감염된 3개의 타깃을 삭제했다"며 "그래도 안 된다"고 다시 애로사항을 말했다.(☞메일 보기)

그는 3시간 후에도 "아직도 요원들(agents)을 대기열에서 대시보드로 옮길 수 없다. 내가 뭘 체크해야 하나?"고 재차 물었다. (☞메일 보기) 또 "감염자를 위한 공간이 3명분이나 있음에도, 2명의 감염자들이 20시간째 대기열에 있다"고도 했다. (☞메일 보기)

즉 이들의 대화를 종합하면, 데빌엔젤은 2013년 여름부터 △이미 20개의 목표물을 감시하면서, △추가로 감시할 이들을 악성 코드로 감염시켜 '대기 목록'에 올려놓고, △이미 감시 중이었던 이들에 대한 감시 작업을 중단하면 바로 '대기 목록'에 있던 이들에 대한 감시가 이뤄지도록 하는 시스템을 운용했거나 구상했다는 말이 된다.

사라지는 사이트, 출국한 나나테크 사장

이처럼 국정원의 국내 사찰을 했을 의혹이 제기되고 있는 가운데, 국정원의 해킹에 활용됐던 인터넷 블로그들에 올라온 내용들이 모두 삭제됐다. 또 국정원과 해킹팀의 거래를 중개 내지 대행한 나나테크의 허모 사장은 캐나다로 출국한 것으로 전해졌다.

앞서 '데빌엔젤'과 같은 아이디를 쓰는 인물이 운영한 블로그에서 무료 영화 애플리케이션을 소개했는데, 이 애플리케이션에는 스파이웨어가 숨어 있었던 것으로 알려진 바 있다. (☞관련 기사 : "국정원, '영화천국' 무료 앱에 감청 스파이웨어")

그러나 21일 현재 이 블로그와, 이 블로그가 소개한 애플리케이션 다운로드 페이지는 모두 접속이 되지 않거나 게시물이 모두 삭제된 상태다.

▲데빌앤젤이 운영하던 블로그(위)와, 이 블로그가 소개한 애플리케이션 다운로드 페이지(아래). 위의 블로그에서 소개를 받아 아래 페이지로 이동해 영화 등 관련 애플리케이션을 다운받으면, 해당 기기에는 악성 스파이웨어가 설치된다.


또 이날자 <경향신문>은 허모 나나테크 사장이 지난 주말 캐나다에 살고 있는 딸의 출산을 이유로 캐나다로 출국했다고 보도했다. 허 사장은 국정원 해킹 의혹이 국내 언론에 보도된 이후 회사에 출근하지 않고 잠적해 왔다.

국정원이 '프로그램을 구입해 사용한 장본인'이라고 밝힌 국정원 직원 임모 씨도 지난 18일 스스로 목숨을 끊은 바 있다.

증거 자료는 사라지고, 사건의 전말을 자세히 아는 이들은 죽거나 해외로 출국한 모양새다.
이 기사의 구독료를 내고 싶습니다
일부 인터넷 환경에서는 결제가 원활히 진행되지 않을 수 있습니다.
국민은행 343601-04-082252 [예금주 프레시안협동조합(후원금)]으로 계좌이체도 가능합니다.
nowhere@pressian.com 다른 글 보기