최근 수정 시각 : 2024-11-18 14:13:23

국정원 해킹 프로그램 도입 논란


주의. 사건·사고 관련 내용을 설명합니다.

사건 사고 관련 서술 규정을 유의하시기 바랍니다.

국가정보원 사건 사고
관련 문서: 국정원 게이트 · 국가정보원/문제점

1. 개요2. 상세
2.1. 해킹 프로그램의 성능
3. 전개
3.1. 국가정보원 직원의 자살
3.1.1. 2015년 7월 18일3.1.2. 7월 19일3.1.3. 7월 20일3.1.4. 7월 22일3.1.5. 7월 24일3.1.6. 7월 27일3.1.7. 8월 6일, 8월 11일3.1.8. 10월 20일3.1.9. 2017년 7월 11일 이후
4. 반응
4.1. 논란의 원인4.2. 국가정보원의 신뢰도 추락
5. 참고 자료

1. 개요

《대비와 우환(Safe and Sorry)[1] - 대중 감시》.
정부나 국정원이 무슨 말을 한들 국민이 믿겠느냐. 도청이 없어졌다고 주장하려면 국민이 믿을 수 있을 때까지 (국정원이) 스스로 증명해 보여야 한다.
박근혜 당시 국회의원 (2005년)#

이탈리아 밀라노에 본사를 둔 해킹 전문회사 '해킹팀'이 있었고[2] 다른 해커들이 이 해킹팀의 서버 내부자료를 해킹하여 인터넷에 공개했는데 이 과정 중에 해킹 전문회사의 고객 중에서 대한민국 국가정보원이 있음이 밝혀지면서 일어난 논란. 해킹을 통한 감시 대상이 누구였는지 등은 정확히 밝혀지지 않았으나 대한민국 국민을 대상으로 한 것으로 보이며 대한민국 국회에서 조사가 시작되었다.

2. 상세

  • 중개회사인 나나테크는 다양한 곳에 통신장비를 납품하는 회사다. 통신망 차원에서 정보를 가로챘을 수도 있다는 것이다.
  • 국가정보원에서는 해당 프로그램은 대북 첩보용 및 연구용이었다고 해명하였다. 뉴스
  • 해당 해킹 프로그램의 소스코드도 유출되었기 때문에 다른 해커들이 사용할 가능성이 있다.
  • 안철수 의원이 직접 해킹 프로그램을 시연했다(기사).
  • 문재인 의원이 왜 하필 선거전에 장비를 구입한 거냐고 의심하자 관계자가 이미 2006년에 반영된 계획에 따른 것이라고 밝혔다.
  • 국가정보원이 해킹 장비로 도청했다고 의혹을 제기한 새정치민주연합은 국회에서 해킹 프로그램을 시연하고 당직자들의 스마트폰악성코드에 감염됐는지 검사했지만 별다른 이상을 발견하지 못했다.뉴스
  • 국가정보원의 해킹 의혹 사건의 핵심 인물인 허손구 나나테크 대표(60)가 해외로 출국한 것으로 확인됐다. 국정원과 이탈리아 해킹업체 ‘해킹팀’을 연결해 온 허 대표는 지난 18일 국정원 임모 과장이 숨진 채 발견되기 전까지 이 사건에서 유일하게 신원이 공개된 인사였다. 정부와 수사당국이 미온적인 태도를 보이면서 핵심 참고인의 해외 도피를 사실상 방조한 셈이 되었다. 허 대표는 나나테크 지분 50%를 보유했으며 이 회사는 KT, SK텔레콤, LG유플러스 등 대한민국의 여러 통신사업자에게 통신설비를 공급하고 있다.

2.1. 해킹 프로그램의 성능

  • 탈옥iOS블랙베리, Windows MobileWindows Phone들은 대부분 오픈소스가 아니라 힘들 수 있으나 불가능하진 않다. 사실상 플랫폼을 가리지 않고 모든 운영체제에서 작동한다.
  • 전파 방식은 첨부 문서나 웹 페이지에 코드를 끼워넣는 방식이다. 감염된 doc 파일을 열어 보면 가짜 윈도우 업데이트 알림을 받으며 이것을 진짜로 오해하고 설치하면 그 PC가 감염된다. 다시말해 제로데이 취약점 기반이 아니라서 보안의식만 가지면 누워서도 막을 수 있다는 이야기다
  • 윈도우에선 업데이트로 위장해 설치된다. 국정원이 도입했던 초기의 버전이 V3 모바일 버전에서 감지되었던 것을 제외하면 백신에도 감지되지 않는다. Windows 10은 파일을 클릭하지 않아도 컴퓨터 기기번호만 알면 자동으로 업데이트를 통해 감염시킬 수 있다. 감염된 컴퓨터는 항상 초반에 파란색 사막에서 바위 사이로 지켜보는 윈도 배경화면이 뜨며 윈도를 시작할 때 자연환경과 함께 뜨는 시작문구를 모두 편집할 수 있다. 이런 기능은 사실상 자살시킬 때 활용되기도 한다.
  • 기본적으로 상대방의 모든 정보를 볼 수 있다. 화면과 카메라에 보이는 것은 물론 통화내용도 알아낼 수 있다고 한다.
  • 내국인인 한국인을 대상으로 한 근거로 보이는 부분으로 국정원은 해당 회사에 카카오톡과 카카오톡의 기능인 보이스톡의 내용을 알아낼 수 있는 기능을 요구했다. 또 삼성 갤럭시 시리즈를 주 타겟으로 삼아 새 기기나 OS 업데이트가 나올 때마다 집중적으로 가능한지에 대한 문의를 한 모양이다. 이외에도 페이스북이나 바이버, 텔레그램 등 외산 메신저에 대해서도 요청했다고 한다.[3]
  • 해킹 프로그램에 아동 포르노를 다운로드받도록 만드는 원격조정 기능이 포함된 것이 확인되었다는 내용의 기사가 나왔지만 이는 확인되지 않은 조작이다. 실제 소스코드를 보면 다운로드는커녕 단순히 조잡한 가짜 증거로그, 좀 더 자세히 설명하자면 '몇월 몇시 몇분에 어떤 프로세스로 C:\\Utenti\\pippo\\pedoporno.mpg 파일을 열음' 정도의 로그 파일을 생성하고자 하는 기능인데 사실 이마저도 해당 소스코드에서는 제대로 되지 않은 로그를 만들어낸다. 또 상식적으로 생각하더라도 정말 누명을 씌우고 싶다면 childporn.avi 같은 뻔한 이름을 사용하지 않을 것이고 스크린샷에서는 짤려 있지만 bomb_blueprints.pdf 등의 키워드도 같이 포함된 점, 해당 소스코드에서 이 기능을 불러오는 부분의 설명이 test인 점을 보아 그저 개발자들이 넣은 단순한 예시로 볼 수 있다. 즉, 이 해킹 프로그램으로 아동 포르노를 다운로드해서 누명을 씌울 수 있다는 것은 단순한 가설에 불과하다. 물론 사용 방법에 따라 악용될 여지가 있는 기능인 것은 분명하고 이 소스코드를 잘 수정하면 그럴듯한 가짜 증거로그도 만들 수 있겠지만, 사실 국정원 측에서 누군가를 아동 포르노로 누명 씌우고자 한다면 굳이 이런 허접한 소스코드를 사용하지 않더라도 충분히 해낼 수 있을 것이다(...). 실제로 카카오톡 사찰 논란과 관련해 정부의 요청을 거부하겠다고 한 다음카카오 대표가 카카오그룹 내에서 일어나는 음란물 유포를 방조한 죄로 입건된 적이 있는데 이를 국정원이 보복수사를 위해 증거를 조작한 것이라고 보는 시각도 있었다. 마찬가지로 국정원이 위 프로그램을 구매하였는지도 밝혀지지 않았다. 안타깝게도 pedoporn, childporn라는 단어를 보고 위 기사를 그대로 진실로 받아들인 사람이 많다. 또 다른 기사(영어)에 의하면 해당 파일은 github에서 내려진 상태이며 몇몇 전문가들은 해당 코드가 가짜라고 했다고 한다.
  • iOS도 해당 프로그램으로부터 안전지대가 아니라고 한다. 해당 기사에 따르면 스토어에 등록되어 있는 프로그램은 아니고 별도로 해당 프로그램을 다운로드받아서 '신뢰되지 않은 앱 개발자를 신뢰하겠는가?' 경고 창에서 신뢰를 누르는 경우 모든 기능이 동작한다고 설명한다. 해킹 팀이 애플로부터 Enterprise Certificate를 받았기 때문에 탈옥하지 않은 iOS 기기에서 별도의 설치 파일로 앱 설치가 가능하다고 한다. Enterprise Certificate의 원래 목적은 일반 사용자 대상이 아닌 특정 기업이나 단체의 인원에게 제공할 목적으로 개발한 프로그램을 배포할 때 리뷰를 생략하기 위해서로 보인다. 이런 특수 목적의 프로그램이 상점에 등록되는 것도 일반 사용자에게는 불필요한 앱이 검색되어 설치될 수 있기 때문이다. 예를 들면 기업용 솔루션들 EPR나 CRM을 위해 만들어진 시스템에 접근하는 앱들. 해당 프로그램을 한국에서 배포했다면 ActiveX나 다른 통신사 상점 등 매우 많은 경우 이런 경고 창에서 허용을 거의 습관적으로 눌러야 하기 때문에 강제 예스맨으로 있으나 마나한 절차가 되어 자신도 모르게 깔릴 수 있다.
  • 해킹 팀이 받은 이메일에 첨부된 한국 IP 138개를 분석한 결과 대형 빌딩의 공기 조절 시스템, CCTV 시스템이 포함된 것으로 밝혀졌다. 국정원은 해킹 팀이 디도스 공격을 받을 때 좀비 PC의 아이피라고 했던 것과는 모순된다. 스파이웨어를 전송하는 데 중계 서버로 사용된 것으로 추정된다. 한국일보 기사
  • 위키리크스에서 발표된 자료에 따르면 Windows 10을 해킹하는 데 성공했다고 한다. 메트로 프로그램 해킹과 키로깅을 할 수 있다고 한다.
  • 해킹팀의 안티 바이러스(백신) 프로그램 테스트 결과, 원출처

3. 전개

3.1. 국가정보원 직원의 자살

3.1.1. 2015년 7월 18일

한 국가정보원 직원(임 모 씨 45세)이 해킹 관련하여 유서를 남긴 채 용인시 이동면 화산리의 한 야산에서 자살한 상태로 발견되였다. 그는 3장의 유서를 남겼으며 국정원 해킹 관련 내용을 유서에 남겼다는 기사가 속보로 나왔고 유족이 유서의 내용 공개를 반대한다고 경찰이 밝혔다. 관련기사 그런데 조선일보에서 유서 3장중 한장의 내용 중 일부를 관계자를 통해 공개했다. 관련기사

임 씨의 가족들은 출근한 지 5시간이 지난 이날 오전 10시쯤 관할 소방서에 “임 씨가 오전 5시쯤 밖으로 나간 뒤 연락이 되지 않는다”고 신고했다. 소방서는 위치 추적을 통해 수색을 벌이던 중 2시간 만인 낮 12시에 숨진 임 씨를 발견하고 경찰에 신고했다.

3.1.2. 7월 19일

3장의 유서 중 한 장의 내용이 공개되었다. 관련기사

사건 특성상 SNS 등지에서 무수히 많은 의혹이 제기되었다. 관련 기사

국가정보원 직원의 자살을 둘러싼 여야간의 정쟁이 심화되고 SNS 상에 많은 의혹이 제기되자 국가정보원에서 국가정보원 직원의 명의로 성명을 발표했다. 관련 기사 성명의 내용은 고인은 업무에 대해 열정적인 정보 전문가였으며 국가정보원에 대한 부당한 공격이 마치 자신의 책임인 것처럼 노심초사했고 같은 프로그램을 35개국 97개 기관이 구입하였는데 유독 국가정보원만 추측성 비난을 받고 있으며 이번 의혹으로 정보역량이 크게 훼손되고 유능한 국가정보원 직원을 잃게 되었다면서 국가정보원과 국가정보원 직원의 죽음을 정치적으로 이용하는 걸 강하게 비판하면서 다시 한 번 민간인 사찰은 없었음을 주장하는 내용이다.

국회 정보위 여당 간사인 이철우 의원은 임모 과장에 대해 전산 기술자라고 밝혔다. 즉, 문제가 된 해킹 프로그램을 본인이 직접 구입하고 사용한 직원이지만 본인이 해킹 대상을 직접 선정하는 것이 아니라 대테러 담당 부서로부터 요청이 들어오면 이관하는 업무를 담당하는 사람이라는 것이다. 관련 기사

3.1.3. 7월 20일

유서의 나머지 내용도 공개되었다. 관련기사

국가정보원 직원 임 모 씨가 14일부터 숨진 18일 전날까지 국가정보원 내부의 강도 높은 특별감찰을 받았으며 18일 당일에도 오전 10시에 후속 감찰을 받기로 되어 있었다는 것이 확인되었다. 관련기사

또 기존에 알려진 것과는 달리 임 씨는 18일 당일 국가정보원에서 조사받기로 되어 있었는데 출석 시간에 나타나지 않았고 국가정보원이 이를 가족에게 알리면서 임씨의 행방을 찾기 시작한 것으로 드러났다. 관련 기사 이로써 국가정보원의 주장과는 다르게 임 모 씨가 스스로 목숨을 끊은 이유를 전면적으로 재조사해야 한다는 의견이 나왔다.

3.1.4. 7월 22일

국정원이 직원 임 모 씨의 실종 당시 가족에게 거짓 신고를 지시했다는 의혹이 제기되었다. 관련 기사

새정치민주연합 전병헌 최고위원이 국정원 임모 과장이 자살한 마티즈 차량에 대해 경찰이 발견해서 촬영한 번호판과 CCTV 속 번호판의 색깔이 다르다는 의혹을 제기했다. 전 의원은 “국정원 직원의 마티즈의 번호판이 초록색인데, 경찰 수사에서 나온 차량의 번호판은 흰색”이라며 “연봉이 1억원이 넘고 20년 이상 근속한 사람이 왜 보름 전에 10년 된 마티즈를 샀는지 (모르겠다)”라고 말했다.

이에 경찰 측은 이것이 음모론에 불과하다며 빛반사에 의해 색이 다르게 보인다고 해명했는데 전병헌 측은 빛반사로 그렇게 다르게 보일 수가 없다는 주장과 함께 안테나와 범퍼가드 등의 차이를 또 다른 근거로 제시했다.

3.1.5. 7월 24일

자살한 국가정보원 직원이 자료를 지울 때 별도의 작업을 하지 않고 그냥 Delete 키를 누르며 지워 자료 복구가 쉽다는 이야기가 나왔다. # 이에 컴퓨터를 어느정도 아는 사람이라면 자료를 삭제할 때 휴지통으로 간다고 자료가 지워지는 것이 아니라는 사실은 숙지하고 있는 데다 프로그램 운용을 주로 하는 전문가가 이 정도를 모를 리가 없었을 리가 없으며 만약 딜리트로 삭제되었다면 복구에 이렇게 시간이 걸리는 것은 더 이상한 것이 아니냐는 의견이 나왔다. #

이날 국과수에서 CCTV 속의 빨간 마티즈 차량의 번호판은 녹색 전국 번호판이 맞다고 확인했다. 국과수 관계자는 차량번호판 색상은 촬영 및 녹화 조건에 따라 다르게 관찰될 수 있다며 특히 차량번호가 구분되지 않을 정도의 낮은 해상도에서는 밝은 색 부분이 더 두드러진다는 점에서 녹색 번호판이 흰색 번호판으로 색상왜곡 현상이 나타날 수 있다고 설명했다. 그러나 이 정리에도 대중들이 납득하지 못한 부분이 국과수의 발표대로면 색상이 보다 밝게 보이는, 즉 희게 보이는 것은 설명이 되지만 반대로 흰색 글자가 검은색으로 보이는 것은 설명이 안 된다. 밝은 색이 더 두드러지므로 녹색은 흰색으로 보일 정도인데 정작 흰색은 검은색으로 보인다(?).

3.1.6. 7월 27일

국가정보원은 원격조정시스템(RCS)과 관련해 “RCS 관련 모든 일은 (숨진) 임 과장이 주도적으로 했고, 모든 책임을 졌다. 임 과장이 사망하면서 상당한 부분을 알 수 없게 되었다."고 발언했다. 앞서 7월 19일경 보도된 임 과장이 (단순)기술자라는 기사와 내용이 배치된다. 이에 대해 고인에게 모든 책임을 떠넘기는 것이 아니냐는 비판이 나왔다.

3.1.7. 8월 6일, 8월 11일

6일에 국가정보원 요원들이 사망 현장에 미리 와서 현장의 증거들을 조작했을 가능성이 제기되었다. 11일엔 요원들이 현장에 방문했음이 응급차의 블랙박스 내용으로 확인되었고 요원들이 뭔가 했을 40분간이 비어 있는 것으로 알려졌다. 국민안전처는 시동을 끄면 같이 꺼진다고 해명했으나 켜진 뒤엔 다른 장소여서 말이 안 되는 점이 있다고 한다.

3.1.8. 10월 20일

직원의 단순 자살로 수사가 종결되었다.

3.1.9. 2017년 7월 11일 이후

문재인 정부가 들어선 후 새로이 바뀐 국정원에서 적폐청산 TF를 통해 이전 정권에서 일어났던 각종 정치공작 사건들을 조사하겠다고 나서자(11일) 부친이 자신의 아들은 자살한 것이 아니라는 인터뷰를 하면서 단순 자살이라고 주장했던 경찰과 대립할 것으로 보였다. 심지어 자살했다는 직원의 얼굴에 상처가 많았다고...(13일)

4. 반응

4.1. 논란의 원인

민주주의 국가에서 국민은 국가의 행정력에 따르는 대신 그 행정력은 철저히 국민 사이의 사회적 합의에 의하여 행사되어야 한다. 이 사회적 합의를 넓은 의미에서 법이라는 명칭으로 부르며 따라서 국가의 모든 행위는 예외없이 법적 근거를 가지고 이루어져야 한다. 국가정보원도 예외는 아니어서 국가정보원법 및 국가정보원직원법과 그 시행령에 의해 설치되고 운영되는 기관이며 상위법으로 국가공무원법의 적용을 받는다. 관련 법령 어디에서도 국민의 스마트폰을 해킹할 수 있는 적법한 권리가 국가 정보원에 부여되지 않았으며 오히려 헌법에 의하여 국민의 통신 비밀은 보호되어야 한다.

국가정보원이 정보전의 목적으로 해외 해킹툴을 구매하는 것은 합법적인 행위지만 본 사안에서 지금까지 드러난 바에 따르면 구입한 툴을 통하여 대한민국에서 지배적인 점유율을 가지고 있는 카카오톡의 해킹을 요구하거나 단지 세월호에 대해 독자적인 의견을 낸 교수에게 이메일의 형태로 악성 코드를 배포하거나 피싱링크등을 통해 스니핑 앱을 배포하는 등 민간인 사찰의 가능성을 보이는 행동을 했다. 더구나 국가정보원법에 위배될 수 있는 여론조작 사건을 통해 이미 신뢰도가 떨어진 상태에서 이와 같은 행위는 위법 행위의 의심을 사기 충분한 행동이기 때문에 더욱더 비판을 받을 수 밖에 없었다.

그리고 이에 관해 다르게 보는 입장의 팟캐스트 방송에 따르면 상용 프로그램 구입은 국가정보원의 정보전 능력의 무능함이라는 의견도 있다. 그러나 위의 내용은 어불성설인 것이 한국에서 도청 프로그램을 구매한 곳은 미국 FBI, 미국 국방부 등 37개국의 97개 기관이 연루된 회사라 위 말을 따르자면 대부분의 선진국이 정보수집 능력이 없는 무능한 나라가 된다.

그리고 신경민 야당 간사의 인터뷰 내용에 의하면 국정원이 밝힌 해명 내용이 발표할 때마다 서로 앞뒤가 안 맞다고 지적했다. 이 또한 국가정보원에 대한 의심을 증폭시킬 수밖에 없었다. 국가정보원의 주장대로면 시스템 파일과 로그 파일을 지웠다고 최초에 국회 정보위원회에 제출했는데 내는 해명마다 "이전에 낸 해명내용과 안 맞잖습니까?"라고 반문할 수밖에 없는 구조라고 한다. 신경민 야당간사의 8월 2일 인터뷰 기사

4.2. 국가정보원의 신뢰도 추락

정보기관은 사회가 요구하는 도덕성 및 법적 근거와는 별개로 국가 안보와 사회 질서를 위해 비밀리에 정보수집을 해야 하는 경우가 존재한다. 9.11 테러 이후 자유주의 국가를 표명하는 미국이 국민의 사생활 침해라는 비판에도 불구하고 애국자법을 만드는 초강수를 두면서까지 정보 수집에 열을 올리게 된 것도 이러한 맥락일 것이다.[4] 하지만 미국에서도 이런 자국민에 대한 정보 수집이 극심한 비판을 받는다는 점을 생각해 보면 과연 국가 안보와 사회 질서를 명분으로 개인의 사생활이라는 인격적 영역을 침해할 수 있느냐는 점은 생각해 볼 만한 일이다. 미국은 이런 사생활 보호에 철저한 편인데 '라일리 사건'에서 연방 대법원 판결로 경찰이 체포 현장에서 용의자의 몸을 임의로 수색할 때 스마트폰을 압수수색하기 위해서는 반드시 수색영장을 첨부해야 한다고 선언했다. 스마트폰이 개인에 대해 이전까지와는 차원이 다른 정보를 저장하고 있다는 판단 하에서였다.

그러나 국가정보원은 이미 여론조작 사건을 비롯해 내부 인사 등 많은 부분에서 국민에게 실망감을 안겨주었으며 서울시 공무원 간첩 조작 사건을 통해 자신들의 공적과 공안정국을 위해 조작까지 했음이 점이 드러나 신뢰도는 바닥을 기게 되었다.

덧붙여서 마티즈라는 차량에 대한 드립이 만들어졌다. 이전까지의 국정원 드립이 ‘우리 집/회사에 찾아와 밖에서 문을 두들기는’ 맨인블랙식의 느낌이었다면 “마티즈가 배달되었다”는 드립은 국정원에서 자살을 종용받는 상황이라는 식의 비아냥이 된 것.

5. 참고 자료

팩트체크-내 휴대폰도?..국정원 '감청프로그램' 궁금증 5가지(JTBC)
당신이 궁금했던 ‘국정원 해킹사건’ 핵심만 추렸습니다(한겨레)
국정원 해킹프로그램 파문 - 나나테크, 불법 알면서도 국정원·'해킹팀' 거래 중개 진행(경향신문)
나나테크는 어떤 회사?..SKT·KT·LGU+에 통신설비 공급업체(한겨레)
국정원이 구입한 해킹프로그램 3대 미스터리(국민일보)
간첩의 휴대전화 감청 못하는 국정원, 정보기관 맞나?(미래한국)
하태경, "재미 과학자 안수명씨 대북 용의점 있어…민간인 사찰 아니다"(조선일보)
"국정원 해킹대상 18명, 모두 해외 從北인사"(조선일보)
국정원 "해킹프로그램 사용기록 공개…민간사찰 없어"(연합뉴스)
국정원 직원 '해킹 관련' 유서 남기고 숨진 채 발견(연합뉴스)
국정원 문제, 노무현과 박근혜는 이렇게 달랐다.(아이엠피터 - 정치 블로거)
신경민 "국정원, 자료 안 주고 말도 바꿨다"(오마이뉴스)
당신 스마트폰은 철벽일까요, 좀비일까요?(오마이뉴스)
국정원 "해킹관련 모든 일 임과장이 주도"(이데일리)
국정원 해킹프로그램 구매 논란…'내 귀에 도청장치'(JTBC)
[1] 이는 영어의 관용적 표현 Better safe than sorry(유비무환)에서 따온 것으로 보인다. 한글 번역의 경우 유비무환의 "비" 와 "환" 을 살려서 번역함.[2] 말 그대로 Hacking Team이며 사용 프로그램은 RCS였다.[3] 다만 국내 고정간첩은 사실상 내국인과 구분되지 않는 일상생활을 영위하므로 이 사실만을 가지고 내국인 사찰의 결정적 증거로 보기는 어렵다.[4] 물론 이것이 본 항목의 사건을 정당화시킬 수는 없다.