뉴스 트렌드 생활정보 International edition 매체

해킹 접속기록 삭제한듯… 국정원 “100% 복원해 공개”

입력 | 2015-07-20 03:00:00

[해킹담당 국정원 직원 자살]새국면 접어든 해킹의혹 쟁점




국가정보원 직원 임모 씨(45)가 18일 스스로 목숨을 끊은 채로 발견되면서 국정원의 해킹 프로그램 구입 논란이 새로운 국면을 맞고 있다. 일각에서는 민간인을 대상으로 한 광범위한 해킹 시도의 은폐 가능성을 주장하는 한편 다른 쪽에서는 과도한 의혹 제기가 정보요원의 죽음을 불러왔다며 비판하고 있다.

○ 로그 기록 복원이 의혹 증명의 열쇠?

경찰이 19일 공개한 임 씨의 유서를 보면 그는 “대(對)테러 대북 공작활동에 지원했던 오해를 일으킨 자료를 삭제했다”고 밝혔다. 보안 전문가들은 임 씨가 해킹 프로그램을 작동하는 데 연관된 로그(log) 기록을 삭제했을 것으로 추정한다.

로그란 각종 프로그램 등이 작동된 정보가 PC나 서버에 남겨진 기록을 말한다. 예컨대 언제, 어떤 웹 사이트에 접속했고 어느 프로그램을 열어서 어떤 작업을 했는지 등이 모두 기록돼 자동으로 컴퓨터 내부에 저장되는 것이다.

국정원이 이탈리아 보안업체 ‘해킹팀’에서 구매한 ‘RCS’(리모트 컨트롤 시스템)는 PC나 스마트폰을 원격조종 및 관리할 수 있는 프로그램이다. 국정원이 RCS로 누군가의 PC나 스마트폰을 해킹해 감시했다면 해당 기기에 접속한 시간, 날짜 등의 기록이나 휴대전화 종류 등의 각종 정보가 로그에 남아있을 수밖에 없다.

이 기록이 온전히 복원돼 분석할 수 있다면 야당과 언론 등이 제기해온 국정원의 민간인 사찰 여부가 드러날 가능성이 있다. 사실상 국정원의 해킹 프로그램 구입 논란의 핵심 증거로 볼 수 있는 셈이다. 새누리당 이철우 의원은 19일 “국정원이 ‘디지털포렌식(디지털 데이터 및 통화 기록, e메일 접속 기록 등의 정보를 과학적으로 수집, 분석하는 기법)으로 100% 복구가 가능하다’고 했다”고 말했다.

하지만 은폐 가능성도 제기된다. 앞서 국정원은 지난해 3월 해킹팀에 “해킹 프로그램을 (어느 곳에서 공격했는지 드러나지 않는) 가상사설서버(VPS)로 옮기자”고 제안하기도 했다. 당시 캐나다 토론토대 연구팀 ‘시티즌랩’이 “한국을 포함한 21개국이 해킹팀과 거래했다”는 내용의 보고서를 내자 국정원은 해킹 프로그램 구입 사실을 숨기기 위해 적절한 조치를 해킹팀에 요청한 것이다.

보안업계 관계자는 “임 씨가 국정원에서 해킹 프로그램 운용을 맡아온 전문가라면 간단히 복구할 수 있는 방법으로 자료를 삭제하지는 않았을 것”이라고 말했다. 임 씨가 자료 삭제 수단으로 이레이저(컴퓨터에 저장된 파일을 삭제하는 프로그램의 한 종류)를 썼다면 추후 복원이 가능하지만 디가우저(자기장을 활용해 하드디스크 등에 저장된 데이터를 완전히 삭제하는 장치)를 활용했다면 100% 복원은 거의 불가능하다. 과거 국무총리실 공직윤리지원관실은 민간인 사찰 관련 파일 등을 삭제하기 위해 디가우저를 활용한 바 있다.

○ 민간인 대상 광범위한 해킹 의혹 여전

국정원이 과연 누구를 해킹 대상으로 삼았는지도 계속 논란이 되고 있다. 국내 언론과 야당 등은 연일 “국정원이 민간인을 해킹하기 위해 프로그램을 구입한 것”이라는 주장을 하고 있다. 국정원이 해킹팀에 모바일 메신저 ‘카카오톡’ 검열 기능이나 스마트폰 ‘갤럭시’ 최신 제품의 해킹 가능 여부를 물은 것은 국내 거주자를 도·감청하려는 의도라는 것이다.

유출된 해킹팀 e메일에는 해킹 프로그램 구매를 주선한 ‘나나테크’가 대통령 선거를 앞둔 2012년 12월 해킹 프로그램 회선을 추가 주문하는 내용도 담겨 있다. 이를 토대로 “국정원이 불법적인 방법으로 선거에 관여하려 한 것”이라는 주장도 나온다.

국정원이 구매했다고 밝힌 해킹 프로그램은 총 20회선이다. 이는 20명의 PC나 스마트폰을 동시에 모니터링할 수 있는 물량이다. 하지만 해킹팀의 유출 자료를 보면 국정원은 스마트폰에서 맛집을 소개하는 블로그 등을 클릭하면 자동으로 해킹 프로그램이 설치되는 악성코드를 해킹팀에 요청한 바 있다.

박창규 kyu@donga.com·곽도영 기자

관련뉴스