제로데이 약점 두고 벌어지는 국제 정보전

국가정보원이 이탈리아 해킹팀의 프로그램을 구입한 배경에는 ‘제로데이(0-day) 약점’을 확보하기 위한 세계적인 정보 전쟁이 놓여있다. 매년 신기술이 쏟아져 나오는 시대에 각국 정보기관은 신기술을 활용해 사이버 안보의 최전선을 구축한다. 다만 국정원의 경우 민간 사찰 의혹 등 사용방식에 대한 의혹이 제기된 만큼 투명한 사후관리 프로그램을 만들어야 한다는 지적이 나온다.

‘제로데이 약점’이란 새로운 프로그램에서 아직 발견되지 않았거나, 보안 조치가 이뤄지지 않은 약점을 의미한다. 예를 들어 마이크로소프트(MS)사의 ‘윈도우10’이 출시됐을 경우 MS도 미처 발견하지 못한 보안 취약점을 가리킨다. 이를 이용해 비밀리에 정보를 빼돌릴 수 있기 때문에 ‘블랙마켓(암시장)’에서 고가에 거래된다고 한다. 실제 국정원이 2012년 ‘리모트컨트롤서비스(RCS)’를 구입할 때 해킹팀에 지불한 비용만 44만8000유로(5억6400여만원)다.

각국 정보기관들은 이런 약점을 각자 수집해 연구·분석한다. 자체 확보하지 못한 약점은 해커 등에게 직접 구입하기도 한다. 해커들은 이런 취약점을 얼마나 가지고 있느냐에 따라 ‘등급’을 평가받는다. 35개국 97개 정보기관에게 RCS를 판매한 이탈리아 ‘해킹팀’은 최고 수준의 능력을 지닌 것으로 평가받는다.

김승주 고려대 정보보호대학원 교수는 19일 “세계의 모든 정보기관은 제로데이 취약점을 연구하고, 직접 구입도 한다. 만약 국정원이 이 일을 안했다면 오히려 직무유기”라고 말했다.

실제 이번 해킹팀의 유출 자료에 대한 각 국의 반응은 우리와 다소 온도차가 있다. 국정원과 같은 프로그램을 구입한 미국 연방수사국(FBI)은 “사이버안보 차원에서 잠재적 취약점에 대한 식별·평가·테스트는 상시 실시하고 있다”며 “범죄자들이 첨단 기술을 악용하고 있어 새로운 기술 역량을 보유해야 한다”고 밝혔다. 자국 ‘해킹팀’의 자료 유출 경위 수사에 착수한 이탈리아도 이탈리아안보부(AISI)와 체신경찰·군헌병 등 자국 정보기관이 해당 프로그램을 구매한 사실을 인정했다. 스위스는 마약·돈세탁 등을 방지하기 위해 이를 적극 사용해야 한다는 지적까지 나오고 있다.

이처럼 각 국이 정보전쟁의 필요성을 인정하고 있는데도 국정원이 비판받는 건 과거 정치 개입 등으로 국민 신뢰를 잃었기 때문이다. 김 교수는 “미국 등 선진국은 투명한 사후 관리 프로그램 덕분에 이런 사건이 터져도 자국 정보기관에 대한 신뢰를 잃지 않는다”며 “국정원이 과거의 의혹을 지우고 업무에 전념할 수 있도록 제도적 장치를 만들 필요가 있다”고 말했다.

강준구 기자 eyes@kmib.co.kr