[국정원 불법해킹 의혹] (1) 지난해 들통났을 때 왜 운용중단 안했나… 국정원의 세 가지 실수

국가정보원의 해킹 프로그램 구매 사실 자체는 논란의 여지가 크지 않다. 프로그램 사용처 조사 필요성을 제외하면 첨예한 국제 정보전 속에서 정보기관이 해야 할 일을 했다는 평가가 많기 때문이다.

하지만 이와는 별도로 프로그램의 구입·운용 과정에서 드러난 ‘아마추어’ 같은 실수는 반드시 짚어봐야 할 대목이다.

◇‘지난해 2월로 돌아갈 수 있다면…’=지난해 2월 17일 캐나다 토론토대 연구팀인 ‘시티즌랩(citizen lab)’은 자체 연구를 통해 이탈리아 해킹팀의 고객 국가를 밝혀냈다. 리모트컨트롤서비스(RCS)에 사용된 데이터들이 제3국의 서버를 경유했으며, 한국을 포함한 21개국이 이 프로그램을 사용한 사실을 알아낸 것이다. 한국에선 2012년 8월 26일부터 지난해 7월 1일까지 활동한 것으로 조사됐다. 국정원이 이 프로그램을 사들여 운용한 시기와 겹친다.

시티즌랩이 이런 내용의 ‘해킹팀의 스파이웨어 추적 결과’를 발표하자 국정원은 공개된 공작활동을 되돌리기 위해 해킹팀에 무리한 요구를 하기 시작한다. 기존에 작성한 계약서나 은행 제출 서류 등에서 ‘군(army)’이란 표현을 빼달라거나 사용 흔적을 지워 달라는 이메일을 여러 차례 발송했다. 후속 운용을 중단하고 ‘출구전략’을 마련해야 했지만 공개된 공작을 은폐하려다 완전히 실패한 셈이다.

◇공개된 비밀 연구기관=또 다른 실수는 ‘킨스텔(KINSTEL)’ 등 보안시설이 공개된 점이다. 국정원 산하 연구기관인 킨스텔은 명칭과 역할은 물론 존재 자체가 대외비다. 여기서 발주하는 특수 과제를 맡은 국내 연구팀은 내용은 물론 킨스텔 존재 자체를 발설하지 않도록 요구받는다.

그런데 국정원과 해킹팀의 거래를 중개한 ‘나나테크’는 이메일로 “이 프로그램의 엔드유저(최종 사용자)는 군 연구기관인 킨스텔”이라고 공공연히 밝혔다. 통상 암거래 시장을 이용하는 정보기관은 철저히 신분을 감추는데 국정원이 내세운 대리인은 되레 외국 해커그룹에 킨스텔 실체를 공개했다. 킨스텔과 특수 과제를 진행했던 한 대학 교수는 20일 “보안이 필요한 기관 정체 등이 외부에 노출된 건 국정원으로서 되돌릴 수 없는 실책”이라고 말했다.

◇고스란히 드러난 행적=대외 접촉 과정이 모두 공개된 것도 뼈아프다. 국정원은 RCS 구입 이전인 2010년 12월 7일 서울 삼성동 그랜드인터컨티넨탈호텔에서 해킹팀 인원 3명과 사전 미팅을 했다. RCS 능력을 시연하고 구매 여부를 결정하기 위해서였다. 이후 나나테크 관계자는 “통상 우리 고객은 제품을 경쟁 입찰로 구입하지만 독점계약은 단독으로 구입하기도 한다”고 밝히거나 “고객의 구매팀에서 15개 서류를 요청한다”며 서류 종류를 공개하기도 했다. 이탈리아 은행 출금 과정에서 ‘한서니(Sunny-Han)’와 ‘이세훈(Se-hun Lee)’ 등 국정원 추정 입금명도 등장한다. 국정원의 대외 접촉 승인 과정이 낱낱이 공개되면서 내부 의사결정 과정을 전면 재설계할 수밖에 없는 처지에 놓이게 됐다.

강준구 기자 eyes@kmib.co.kr

[관련기사 보기]