국정원 해킹이 문제? ‘大해커 시대’ 열리면 지옥!

지난 22일, ‘조선일보’는 보안업체 ‘하우리’ 등을 인용해 “최근 국내 탈북자 모임과 북한 관련 사이트 5곳이 해킹을 당했는데, 그 기법이 위키리크스에 공개된 이탈리아 ‘해킹팀’의 자료에서 배운 것으로 보인다”고 보도했다.

‘조선일보’는 당시 보도에서 “탈북자 사이트와 북한 관련 사이트를 공격한 것은 북한 해커로 보인다”는 보안 전문가들의 말도 인용했다.

현재 국내 언론들은 ‘국정원 해킹 의혹’에만 집중하고 있지만, 국내 보안전문가들은 이번 사건의 파장이 앞으로 심각해질 것이라는 우려를 하고 있다. 일부 보안전문가는 日애니메이션 ‘원피스’ 속 대사를 인용, “조만간 ‘大해커 시대’가 열리게 될 것”이라고 지적한다.

IT전문 매체만 관심 갖는 이탈리아 ‘해킹팀’ 사건

한국에서는 언론이나 정치권이나 모두 “국정원이 이탈리아 ‘해킹팀’의 RCS 프로그램으로 국민을 사찰했느냐 하지 않았느냐”에만 매달려 있다. 방송에 나와 이 문제에 대해 논하는 사람들도 대부분이 ‘정치평론가’다.

반면 IT 보안 관계자들은 이번 사태를 매우 심각하게 바라보고 있었다. 지난 22일, 경기도 모 처에서 만난 보안 전문 업체 관계자들의 설명은 현재 언론과 정치권이 ‘해킹팀 RCS 프로그램’ 사건을 보도하는 태도를 모조리 뒤집어엎어야 한다는 뜻이었다.

지난 7월 6일(현지시간), 폭로 전문사이트 ‘위키리크스’는 이탈리아 보안업체 ‘해킹팀’의 내부 기밀자료들을 제공받았다고 밝혔다. 이 소식을 들은 전 세계 언론들은 ‘위키리크스’ 사이트를 방문해 과연 어떤 자료인지 확인했다.

‘위키리크스’ 사이트에 가 봐도 해킹팀의 기밀자료를 다운로드 받을 수는 없었다. 대신 ‘위키리크스’의 사이트에서 필요한 자료를 검색해 볼 수 있도록 만들어 놓았다. 유출된 자료가 너무 방대해 이를 다운로드할 수 있도록 했다가는 ‘위키리크스’의 서버가 다운될 수 있기 때문에 취한 조치로 보였다.

우리가 일반적으로 인터넷 등에서 다운로드 받는 HD급 영화의 크기는 4Gb 내외. 이번에 이탈리아 ‘해킹팀’에서 유출된 자료는 ‘최소 400Gb’ 이상으로 ‘추정’된다. 이런 파일을 한꺼번에 수만 명이 다운로드 받을 경우 견뎌낼 수 있는 서버는 그리 흔하지 않다(물론 현재는 일부 해커가 이 자료를 모두 다운로드 받아 몇몇 사이트에 올려놓기도 한 상태다).

아무튼 ‘위키리크스’가 공개한 ‘기밀자료’에 전 세계 언론과 시민단체들이 달려들었다. 특히 좌익 성향 언론들이 큰 관심을 보였다. 한국 언론도 예외는 아니었다. 그 가운데서 SKA(한국 육군), 5163부대라는 단어를 찾아냈다. 2000년 초반까지 국정원을 의미하는 단어로 사용되던 5163부대라는 명칭이 나오자 한국 언론들은 “국정원이 ‘해킹팀’으로부터 RCS 프로그램을 사서 국민들을 해킹했다”는 논리를 폈다.

이 논리는 7월 중순부터 온라인과 SNS에서 급속히 퍼졌다. 결국 7월 14일 이병호 국정원장이 국회 정보위원회 전체회의에 출석해 ‘해킹팀’으로부터 RCS 프로그램을 구입했다는 사실을 시인했다.

이병호 국정원장은 “하지만 우리는 국민들이 아니라 대공용의점이 있는 외국인과 테러 용의자들을 추적했다”고 해명했다. 그러나 한국 정치권과 언론, 아무도 귀를 기울이지 않았다.

20일이 지난 지금까지도 한국 사회에서는 국정원의 이야기에 거의 귀를 기울이지 않고 있다. 새정치민주연합 소속 의원들과 좌익 성향 언론들이 내놓은 증거는 “국정원이 ‘해킹팀’으로부터 RCS 프로그램을 구입했다”는 것과 “68만 6,400유로를 도이체방크에 있는 국정원 계좌에서 ‘해킹팀’에 지불했다”는 것 정도다. RCS 프로그램으로 진짜 ‘민간인’의 휴대전화를 해킹했고, 사찰했는지를 보여주는 증거는 아직 하나도 나오지 않았다.

그럼에도 새민련 의원들과 일부 좌익성향 언론은 ‘해킹팀’의 RCS 프로그램이 뭔가 어마어마한 기술을 가진, 위험천만한 프로그램인양 설명하고 있다. 과연 그럴까.

현재 사용 중인 모든 PC에 깔려 있는 RCS

RCS는 ‘고유명사’가 아니다. Remote Control System, 즉 원격제어시스템의 줄임말이다. 여러분의 PC에도 이 RCS 프로그램이 깔려 있다. 바로 윈도우 내의 ‘원격지원 프로그램’이다. 뿐만 아니라 ‘팀뷰어’나 ‘쇼 마이 PC’ 등과 같은 ‘원격지원 프로그램’은 무료로 다운로드 받을 수 있다.

대부분의 ‘원격지원 프로그램’은 구매한 프로그램이나 PC에서 오작동이 일어났을 때 제조사 또는 컨설팅 업체로부터 기술지원을 받기 위해 사용한다. 이때 거의 모든 ‘원격지원 프로그램’은 제어 대상 PC의 사용자가 ‘승인’을 해줘야만 접속, 조종을 할 수 있다.

이처럼 흔한 프로그램 가운데 하나가 RCS이기 때문에 보안 전문가들은 모바일용 RCS를 만드는 것도 아주 어려운 일은 아니라고 지적한다. 한 보안 전문가는 “한국에도 이런 RCS를 만들 수 있는 기업이 수백 개는 넘을 것”이라고 지적했다.

물론 “이탈리아 ‘해킹팀’이 한국 국정원에 제공한 프로그램은 수준이 다르다”는 주장도 있을 것이다. 그렇기는 하다. ‘해킹팀’과 국정원 사이에 오고 간 메일 내용을 보면, 해킹팀 측은 “우리 RCS는 한 번 설치가 되면 백신으로 찾을 수도 없고, 공장 초기화를 해도 제거되지 않는다”며 자랑한 메일이 공개되기도 했다.

그런데 이런 ‘기술’이 엄청난 것은 아니라는 게 전문가들의 의견이다. 2010년 한국에서 본격적으로 스마트폰이 보급되기 시작할 때 유행했던 것이 바로 ‘루팅(Rooting)’이다. ‘루팅’이란 글자 그대로 ‘Root’ 권한을 폰으로부터 빼앗는 것이다. 불법은 아니지만 휴대전화에 문제가 생겼을 때는 AS를 받기 어렵다는 문제가 있다. 그럼에도 많은 사람들이 ‘루팅’에 빠졌던 것은 쓸모없는 번들 프로그램을 지울 수 있는데다 자기 마음대로 휴대전화의 설정을 변경하고, 프로그램을 설치할 수 있다는 매력 때문이었다.

특히 ‘오픈 소스’ 기반인 안드로이드 OS의 스마트폰은 ‘루팅’이 비교적 손쉬운 편이었다. iOS를 사용하는 애플 아이폰도 결국에는 ‘루팅’이 가능해졌다.

이 ‘루팅’에 ‘해킹팀’ 측이 자랑하는 비밀이 숨어 있었다는 것이 보안 전문가들의 지적이다. 즉 스마트폰 내의 ‘커널 파일’을 가짜와 바꿔치기하는 ‘루팅’과 같은 형식으로, RCS 프로그램을 전화 내의 필수적인 시스템 파일로 위장해 설치하면, 아무리 ‘공장초기화’를 해도 지워지지 않는다는 것이다.

즉 보안 전문가들이 보기에는 국정원이 ‘해킹팀’의 프로그램 구매가 중요한 게 아니라, 국정원이 어떻게 ‘사용대상자’가 모르게 스마트폰에 RCS 프로그램을 깔 수 있었는가가 중요하다는 지적이었다. 여기에는 ‘고도의 심리적 요소들’이 들어 있어야 하기 때문이라는 것이었다.

‘해킹팀’ RCS 구입보다 더 심각한 문제 ‘400Gb 유출자료’

보안 전문가들에게 ‘조선일보’가 보도한 ‘북한 추정 해커의 한국 사이트 공격’에 대해 이야기해주자 이런 말이 돌아왔다.

“지금 세계 보안 담당자들은 위키리크스가 공개한 ‘해킹팀’의 400Gb 자료를 뒤지느라 바쁘다. 여기서 유출된 자료 가운데 ‘해킹팀’이 만든 ‘갈릴레오’는 물론 해외 정보기관들에 팔았던 각종 프로그램의 원천 소스코드까지 다 포함돼 있다는 소문 때문이다.”

보안 전문가들은 “위키리크스가 공개한 ‘해킹팀’의 자료 때문에 시간이 지날수록 세상은 ‘지옥’에 가까워질 것”이라고 지적하기도 했다.

한 젊은 보안 전문가는 “日애니메이션 ‘원피스’에 나오는 대사처럼 ‘대해커 시대’가 열리게 된 것”이라고 말했다. 日애니메이션 ‘원피스’에서 에피소드를 시작할 때 보여주는 ‘대해적 시대’를 본 딴 말이었다.

보안 전문가들은 ‘조선일보’가 보도한 ‘취약점 공격’은 겨우 시작에 불과하다는 이야기도 했다. 북한 정찰총국 소속 해커들뿐만 아니라 테러조직 ISIS나 알카에다를 추종하는 해커, 中공산당, 러시아나 이란의 사이버 부대 등에서 ‘해킹팀’의 기밀자료를 본격적으로 분석, 응용하기 시작하면, 전 세계적으로 언제 어디서 누구에게 공격당했는지도 모르는 해킹 피해가 빈발하게 될 것이라는 이야기였다.

보안 전문가들의 우려는 일리가 있다. 90년대 후반 한국에서 ADSL이 급속히 보급되고, 동네마다 PC방이 들어설 때, 보안에 관심을 가진 어린 학생들은 해외 사이트에서 다운로드 받은 해킹 툴을 사용해 수많은 사이트를 공격했다. 이유는 ‘재미’였다. 수준 또한 정부가 막을 수 있는 정도였다. 

지금 세상은 15년 전에 비해 IT기술에 대한 의존성이 훨씬 높다. 적용 범위도 훨씬 넓다. 이런 상황에서 북한과 같은 ‘깡패국가’의 사이버 부대, 테러리스트를 지지하는 해커들, 또는 돈을 받고 해킹을 해주는 범죄자들이 ‘해킹팀’이 보유한 고급 해킹기술까지 배우게 되면 어떤 일이 벌어질까.

특히 북한 정찰총국 소속 7.000여 명의 해커들이 ‘해킹팀’의 자료를 모두 번역해 익히게 된다면, ‘조선일보’가 보도한 ‘취약점 공격’ 수준이 아니라, 다양한 기법을 동시다발적으로 사용하는 ‘막강한 해커’로 변신하게 된다. 그렇게 되면 한국은 물론 미국, 일본, 중국 등도 북한을 제재하기가 어렵게 될 것이다.

“그러게 왜 해외에다 ‘국가 사이버 안보’를 맡기나”

보안 전문가들은 지난 18일 숨진 채 발견된 국정원 직원 임 모 씨에 대해서도 20년 동안 사이버 안보 분야에서만 일했던 사람이 허망하게 떠났다며 안타까움을 나타냈다.

보안 전문가들은 이와 함께 국정원을 향해서도 아쉬움을 드러냈다. “그러게 왜 사이버 보안 프로그램을 직접 개발하지 않고, 해외에서 구매하려 하느냐”는 것이었다.

보안 전문가들에 따르면, 한국 안보기관들은 사이버 보안 분야가 생긴 이래 지금까지도 국내에서 만든 기술은 헐값에 사려고 깎고, 해외 제품은 고가라도 별 불평 없이 그냥 구매한다는 것이다. 전문가들은 그 이유를 “기밀유지 때문 아니겠느냐”고 말했다.

한국에서 안보기관이 사용할 프로그램을 납품하면, 납품업체들이 제대로 보안을 안 지키는 경우도 있고, 정부와 기업 간의 거래는 무조건 ‘입찰’에 붙여야 되기 때문에 ‘바깥’에서도 아무나 알 수 있다는 게 문제였다.

보안 전문가들은 국정원을 포함한 안보기관에 이런 충고를 했다.

“최근 국정원과 일부 기관에 해킹 기술이 매우 뛰어난 인재들이 입사한 것으로 알고 있다. 그런데 그런 인재들이 지금 뭘 하고 있느냐. 개발이나 공방(攻防) 담당이 아니라, 행정이나 구매업무를 보고 있다. 왜 한국 안보기관들은 사이버 안보기술을 직접 개발하려 시도하지 않느냐.”

이들의 지적은 설득력이 있었다. 이번에 문제가 된 이탈리아 ‘해킹팀’으로부터 RCS 프로그램 ‘갈릴레오’를 구매한 나라는 35개국, 정보기관과 수사기관은 97개나 된다. 이들 가운데 미국, 중국, 러시아, 이스라엘은 정보기관이 직접 ‘해킹 프로그램’을 개발하는 경우가 대부분이다. 때문에 이들 나라의 언론들은 ‘해킹팀’의 RCS 프로그램에 관한 기밀이 유출되었다 해도 별 다른 걱정을 하지 않고 있다.

하지만 한국은 사이버 안보 분야가 생긴지 30년이 다 되어 감에도 여전히 자체 개발보다는 외주 또는 구매를 통해 해당 분야를 지키고 있다. 한국 안보기관의 고위층들과 여야 정치인들은 현역 보안 전문가들의 충고를 귓등으로 흘려버린다.

지난 1월 23일, 고려대 정보보호대학원 임종인 교수가 청와대 사이버 안보특보로 임명됐다. 비록 무보수 명예직이라고 하나 ‘대통령 특별보좌관’이다. 그에게서라도 사이버 안보에 대한 충고를 들어야 하는 게 아닐까.

현역 보안 전문가들의 말대로라면, 앞으로 1~3년 이내에 전 세계적으로 해킹 공격이 심각해질 수 있다. 지금 한국 안보기관의 수준이라면, 앞으로 우리나라에서 ‘지옥문’이 열려도 막기 어려울 것이다.

한국 정부와 정치인들이 그 ‘지옥문’을 막을 생각이 있다면, 지금 당장 ‘국정원 해킹 의혹’이라는 쓸모없는 정쟁 따위는 집어치우고 이탈리아 ‘해킹팀’의 기밀유출에 대한 연구를 서둘러야 할 것으로 보인다.