국정원으로 추정되는 ‘육군5163’ 부대가 이탈리아 해킹프로그램 제작회사인 ‘해킹팀’으로부터 해킹프로그램을 구입해 이를 실제 사용한 정황이 드러나 파문이 일고 있다.

일부 언론에 따르면, 국정원은 국내 일부 정치인들이 해킹 피해를 우려해 사용했던 해외 메신저까지 모니터링할 수 있는지도 문의했던 것으로 알려졌다. 더욱이, 삼성전자의 스마트폰 단말기인 ‘갤럭시 S3’부터 ‘갤럭시 S6’까지 시리즈가 출시될 때마다 해킹을 의뢰해 왔던 것으로 드러나기도 했다.

대선개입 사건으로 온 나라를 발칵 뒤집어 놓았던 국정원이 또 다시 도마 위에 오르며 뜨거운 이슈로 부상하고 있다. 국회법 개정안 거부권 정국이 차츰 가라앉는 듯 하더니, 국정원 2라운드 이슈가 정국에 태풍을 몰고 오고 있는 분위기다.

◆해킹 수법 보니…Remote Control System
새정치민주연합 김광진 의원은 13일 보도자료를 통해 “인터넷에 공개된 ‘해킹팀’ 해킹자료를 분석한 결과, 국정원은 구입한 해킹프로그램인 ‘Remote Control System’을 감시대상자의 스마트폰 등에 침투시키기 위한 ‘피싱URL’ 제작을 최소 87회 이상 ‘해킹팀’에 의뢰한 것으로 나타났다”고 밝혔다.

김 의원은 “이 중 가장 최근 의뢰는 올해 6월29일에 한 것으로 불과 보름 전까지도 국정원이 해당 프로그램을 사용해 감시활동을 해온 것으로 판단된다”고 덧붙였다.

김 의원에 따르면, 국정원이 구입한 프로그램은 감시대상의 통신기기(스마트폰, PC)에 바이러스프로그램을 침투시켜야 작동하는 방식이다. 국정원은 주로 ‘피싱 URL’주소를 통해 에이전트를 침투시키는 수법을 사용한 것으로 추정됐다.

김 의원은 “추정되는 구체적인 수법은 바이러스를 심어둔 ‘피싱 URL’을 감시대상에게 보내고, 감시대상이 여기에 접속하면 감시대상 기기에 바이러스가 설치되고, 설치가 끝난 뒤 의심을 없애기 위해 미리 지정해둔 ‘Destination URL’에 연결되는 방식”이라고 설명했다.

이어, “이러한 피싱 URL 수법을 사용하려면 감시대상이 관심 있어 하는 분야에 적합한 ‘Destination URL’을 감시대상별로 따로 제작해야 한다”며 “공개된 자료를 보면 국정원은 이러한 방식으로 최소 87회에 걸쳐 ‘해킹팀’에 피싱URL 제작을 의뢰한 것”이라고 주장했다.

김 의원은 이에 대해 “국정원이 구입한 해킹프로그램을 이용하여 최근까지도 누군가를 감시해왔다는 정황을 보여주는 것”이라고 단정했다. 김 의원은 “국정원이 지난 대선개입사건 이후 하나도 변한 것이 없다는 것을 보여주는 것”이라며 “해당 프로그램을 통해 누구를, 왜 감시하려고 했는지 철저한 조사가 필요하다”고 강조했다.

◆2라운드 국정원 정국 오나? 
14일, 언론은 앞 다퉈 관련 내용에 대한 단독 보도를 쏟아냈다. 한겨레에 따르면, 국정원은 ‘육군 5163부대’라는 이름으로 위장해 해킹 프로그램을 구입했고, 2013년 1월 당시 삼성전자의 ‘갤럭시 S3’ 스마트폰을 ‘해킹팀’에 보내 분석을 의뢰했다. 특히, 지난달에도 ‘갤럭시 S6’에 대한 해킹을 문의했던 것으로 알려졌다.

국정원의 해킹 프로그램 구매를 대행한 ‘나나테크’는 2013년 당시 이메일을 통해 “갤럭시 S3를 보낼 테니 음성 녹음 기능이 가능한지 확인해 달라”고 요청했고, ‘해킹팀’은 “보내준 갤럭시 S3를 잘 받았다. 곧바로 테스트하겠다”는 답변을 보냈던 것으로 밝혀졌다.

보안전문가들은 전세계에서 판매되는 갤럭시 S3를 굳이 국내에서 구입해 보낸 것에 대해 ‘감시 대상이 정확히 국내용 스마트폰 분석에 있는 것으로 보인다’고 말했다. 국내에서 사용하는 제품에 깔려 있는 에플리케이션 등이 외국 판매분과 다를 수 있기 때문이라는 설명이다. 즉, 국정원이 들여다보고자 했던 것은 국내 인사일 가능성이 높다는 의미다.

한겨레는 “삼성의 최신 스마트폰과 다음카카오의 ‘카카오톡’, 안랩의 ‘브이3 모바일’에 대해 국정원이 이탈리아 해커들에게 해킹을 의뢰한 셈”이라며 “이탈리아 해커들에 의해 보안상 취약점이 파악된 이 제품들은 이번에 ‘해킹팀’이 해킹당하면서 공격 코드가 외부로 노출됐을 가능성을 배제할 수 없다”고 보도했다.

특히, 해킹팀의 공격기술을 이용한 국내 공격이 실제로 이루어진 정황도 속속 발견되고 있다. 국내 한 보안 전문가는 “해킹팀이 국정원에 판매한 ‘플래시 취약점 공격’과 같은 방식으로 누군가 악성 웹사이트를 만들어놓고 타깃이 해당 사이트에 접속해 악성코드를 내려받게 하는 방법을 사용해 지난 6월 15일과 7월 5일에 국내 사업자 회선을 사용하는 두 명의 한국인이 공격당한 사실이 확인됐다”고 밝혔다.

이날 <세계일보>도 국정원이 인터넷 도·감청 전문팀을 운영한 정황이 포착됐다고 보도했다. 지난 2010년 11월, 국정원 해킹 프로그램 구입을 중개한 ‘나나테크’가 해킹팀에 프로그램 구매 문의를 하자 해킹팀 관계자는 “우리는 각국 정부의 법적 기관에만 해킹프로그램을 제공한다”고 답했다.

그러자, 나나테크 관계자는 “그 부분에 대해 우려할 필요가 없다”고 했고, 또 다른 메일에서는 “우리의 고객은 킨스텔(‘육군의 조사팀 킨스텔’ research team of Army, named KINSTEL)이며 이것이 우리가 말할 수 있는 전부”라고 밝혔다.

이에 해킹팀은 그해 서울로 출장을 와 나나테크 관계자 등을 만났다. 양측은 서로 알게 된 내용을 발설하지 않는다는 비밀유지계약서(NDA)를 교환했다. 2012년 정식 계약서에서는 국정원의 위장 명칭인 ‘육군 5163부대’가 올해까지 사용됐던 것으로 드러났다.

이밖에도 2013년 당시에는 나나테크 관계자가 “우리는 지금 바이버 모니터링 시스템을 찾고 있다”고 문의를 보내기도 했다. 메신저 보안 문제로 인해 국내 인사들이 한동안 미국의 메신저인 ‘바이버’를 많이 사용했었을 때였다. 바이버까지 해킹해 내용을 엿볼 수 있는지 문의했던 것이다.

◆野 “원세훈 처벌받고 있음에도 국정원 바뀐 게 없다”
야당은 전면적으로 들고 일어날 조짐을 보이고 있다. 새정치민주연합 김영록 수석대변인은 이날 오전 브리핑에서 “언론보도를 통해 확인된 이탈리아 해킹업체의 내부 자료를 보건데 국정원의 해킹프로그램 구입은 기정사실로 간주할 수밖에 없다”며 “이제는 무차별적이고 무제한적인 민간인 사찰이 국정원에 의해 광범위하게 기획되고 진행되었다는 의혹이 매우 구체화되고 있다”고 맹비난했다.

김 대변인은 “더욱이 경찰, 군까지 나서서 해킹을 문의한 정황이 드러나는 등 국정원뿐 아니라 모든 정부 권력기관이 사찰을 시도한 정황이 드러나고 있다”며 “이 같은 충격적인 의혹사건에 국민의 의혹이 한 점 남지 않도록 진상을 밝히는 것이 시급하다”고 강조했다.

이어, “새정치민주연합은 관련자, 특히 해킹을 대행한 나나테크 관계자 등에 대한 출국금지와 신변확보에 나설 것을 사법당국에 촉구한다”고 덧붙였다.

아울러, “이 같은 중차대한 의혹에 대해서 일부 언론이 침묵하고 있어 유감을 표명하지 않을 수 없다”며 “언론은 사회를 감시하고 위험을 알리는 경보기인데 불법사찰의 의혹을 밝히는데 있어서 일부 언론이 작동불능의 상태에 빠진 것은 아닌지 우려스럽다. 언론 본연의 역할에 충실할 것을 촉구한다”고 말했다.

정의당 심상정 의원도 이날 논평을 내고 “국정원의 불법 도감청 의혹이 또 다시 불거졌다”며 “카카오톡, 라인 등 국내 해킹을 시도한 정황이 뚜렷하다. 총선 두 달을 앞둔 상황에서 해킹프로그램 구매가 이뤄졌다. 북한, 해외 정보 수집이 아니라, 정치사찰 목적으로 볼 수밖에 없다”고 강력한 의혹을 제기했다.

심 의원은 특히, “최근까지도 해킹프로그램을 의뢰하고 있었다니 원세훈 전 국정원장이 처벌받고 있음에도 국정원은 바뀐 것이 없다”며 “새누리당 정권에서 자행되는 정보기관의 음험한 작태가 민주헌정 근간을 위협하고 있다. 결코 용납할 수 없는 중대범죄”라고 맹비난했다.

그러면서 “5.16 쿠데타에서 따온 이름부터 섬뜩한 ‘5163부대’, ‘민주시대에서 일하고 독재시대를 지향한다’가 원훈이 된 것이 명백하다”며 “국정원 일탈이 한두 번도 아닌 이상, 국회에서 국정조사는 불가피하다. 책임자 처벌과 국내정치개입금지를 위한 국가정보원 전면 개혁을 서둘러야 한다. 그렇지 않다면 ‘고심 끝에 해체’ 수순을 밟게 될 것”이라고 엄중 경고했다.