국정원, 지난달 SKT 이용자 3차례 해킹…‘타깃’은 누군가?

국정원이 답해야 할 의혹들

‘해킹팀’ 서버에 국내IP 138개 왜?
국민들 ‘스마트폰’ 무차별 노출?
선거 때마다 새기술 도입?

이탈리아 해킹팀 자료 유출 파문이 일파만파로 확산되는 도중에 국가정보원 직원 임아무개씨가 18일 숨진 채 발견되면서 국정원의 국내 민간인 사찰 의혹이 새로운 국면을 맞고 있다. 해킹은 ‘대북·대테러’ 목적이었을 뿐 국정원도 정보 유출의 피해자라는 항변에 일견 힘이 실린 듯하지만, 유서 내용 중 석연치 않은 부분도 적지 않아 되레 의구심을 키우는 것도 사실이다. 이런 논란을 근본적으로 해소하려면 그동안 제기된 의혹에 대해 국정원이 적극 나서 사실관계를 공개하고 해명해야 한다는 지적이 나온다.

■ ‘광범위한 해킹’ 있었나?

19일 새정치민주연합 ‘국민정보지키기위원회’(위원장 안철수)가 국정원이 해킹프로그램을 구매한 이탈리아 ‘해킹팀’ 유출 자료를 분석한 결과, 지난해 3월4일 오후 1시4~5분과 오후 3시44~45분 사이 해킹팀 본사 서버에 케이티(KT), 다음카카오, 서울대학교 등 한국 인터넷 아이피(IP) 주소 138개가 기록된 것으로 나타났다. 해킹팀 본사로 특정 데이터가 전송된 흔적으로 추정된다. 위원회 진상조사소위원장을 맡은 신경민 새정치연합 의원은 “유출된 자료에서 한국에 할당된 아이피가 대량으로 발견됨에 따라 국정원의 ‘해외·북한 정보 수집용’, ‘실험·연구용’으로만 썼다는 해명은 거짓말로 보인다”고 말했다.

이에 대해 국회 정보위원회 여당 간사인 이철우 새누리당 의원은 브리핑을 통해 “국정원 분석 결과 디도스 공격 등 외부 해킹을 막는 방화벽 로그파일로 추정된다”며 “디도스 공격의 주체는 아직 확인되지 않았다”고 말했다.

※ 클릭하면 확대됩니다.

■ 민간인 사찰 없었다?

국정원 직원 임씨는 유서에서 “내국인에 대한, 선거에 대한 사찰은 전혀 없었다”는 국정원의 기존 입장을 반복하면서도, “외부에 대한 파장보다 국정원의 위상이 중요하다고 판단하여 오해를 일으킨 자료를 삭제했다”고 밝혔다. 게다가 “지나친 욕심이 오늘의 사태를 일으킨 듯하다”고 한 내용은 그가 넘지 말아야 할 선을 넘었다는 사실을 고백한 것으로도 해석할 수 있다. 곧 임씨를 비롯해 그가 생전에 속했던 팀이 이탈리아 해킹 프로그램을 구매해 어떤 일을 했는지, 삭제된 자료는 무엇인지, 그가 말하는 ‘지나친 욕심’이 무엇을 의미하는지 등은 국정원의 추가 해명이 필요한 대목이다.

정보위 여당 간사인 이철우 의원은 “(국정원 직원 임씨는) 4일 동안 밤샘 작업을 하면서 공황 상태에서 착오로 대북·대테러 관련 인사 명단 등을 삭제한 것”이라며 “삭제된 자료는 100% 복구가 가능하다”고 밝혔다. 하지만 국회 등 외부 참여 없이 오롯이 국정원에만 복구 작업을 맡길 수 있느냐는 반론도 제기될 것으로 보인다.

무엇보다 국정원이 지난달까지도 국내 에스케이텔레콤(SKT) 사용자를 해킹한 사실에 대해선 최우선적으로 해명이 이뤄져야 한다. 유출된 해킹팀 내부 서버 기록을 보면, 지난달 4일 해킹팀이 에스케이텔레콤 이용자의 삼성 갤럭시 노트2(SHV-250S) 스마트폰에 특정 실행 파일을 보내 감염시키는 방식으로 해킹한 것이 확인된다. 국정원은 이에 앞서 이용자의 클릭을 유도하기 위해 해킹팀 쪽에 ‘인터넷 주소 감염’을 요청했고, 이 같은 일련의 작업은 지난달에만 세 차례 이뤄졌다. 민간인 사찰 의혹을 벗기 위해선 국정원이 해킹 타깃이 누구였는지와 그 의도를 밝혀야 한다는 지적이 나온다.

경기 용인의 한 야산에서 숨진 국정원 직원 임아무개씨의 주검이 임시 안치됐던 용인세브란스병원 장례식장 입구에서 19일 새벽 동료 직원으로 추정되는 이들이 착잡한 표정으로 이야기를 나누고 있다. 용인/김봉규 기자 bong9@hani.co.kr

■ “국민 불안 책임져야”

국정원의 행위 탓에 불특정 다수의 이용자들마저 해킹됐을 가능성이 제기된 이상, 국정원은 이로 인한 불안감을 해소하는 데 적극 나서야 한다는 지적도 나온다. ‘떡볶이 맛집’이나 ‘벚꽃축제’, ‘메르스 정보’ 등 대북·대테러와는 무관한 일상 정보를 해킹 경로로 활용하면서, 해당 주소에 접속한 이들이 무차별적으로 스파이웨어에 감염됐을 가능성이 있기 때문이다. 장여경 진보네트워크 정책활동가는 “국정원이 국민들의 2, 3차 피해를 막기 위해서라도 정보 공개에 나서야 한다”고 지적했다.

국정원이 2012년 두 차례의 전국단위 선거를 앞두고 새로운 기술을 들여온 배경에 대한 설명도 필요해 보인다. 국정원은 2012년 4월 총선을 한달 앞둔 시점에 원격제어시스템(RCS) 해킹 회선 라이선스를 추가 구매했고, 같은 해 12월 대선 직전에도 추가 주문을 했다. 정치적으로 민감한 시기에 의심을 살 만한 행동을 한 데 대해서는 정치권 등 외부로부터의 철저한 규명작업도 필요해 보인다.

김외현 이승준 허승 기자 oscar@hani.co.kr