시티즌랩 "국정원, 伊 업체에 '카톡 감청' 요청"

"북한이 구매한 증거는 없다"

RCS 잡는 '오픈백신', 오는 8월6일 배포

【서울=뉴시스】전혜정 기자 = 국가정보원이 카카오톡 감청을 할 수 있는 RCS(Remote control system·원격제어장치) 기능을 이탈리아 해킹팀에 추가해 달라고 요청한 사실이 30일 캐나다 연구팀에 의해 확인됐다.

통화를 엿들을 수 있는 실시간 감청 기능과 이동통신사를 이용한 통신 감청에 대해서도 문의했다는 의혹과 함께 이 같은 기능이 백신에 걸리지 않게 요구한 것으로 전해졌다.

'시티즌랩'의 빌 마크작(Bill Marczak) 연구원은 이날 '국정원 해킹 사태 해결을 위한 토론 및 백신 프로그램 발표회' 자리에서 새정치연합과 가진 화상통화를 통해 이 같은 증언을 내놓았다.

시티즌랩은 이탈리아 '해킹팀'사가 국정원에 해킹 프로그램을 판매했다고 처음 폭로했던 캐나다 토론토 대학의 연구팀이다.

빌 연구원은 "이메일 송수신 내용을 보면 해킹팀사 직원 한 명이 한국에서 국정원 측을 만나 면담을 진행했고 그 과정에서 국정원이 'RCS가 카카오톡을 대상으로 감청할 수 있는지, 그 기능을 더해주면 좋겠다'는 의견을 피력했다"고 말했다.

지난 27일 열린 정보위원회 현안보고에서 이병호 국정원장은 RCS로는 카카오톡 도청이 불가능하다고 일축한 바 있다.

빌 연구원도 "해킹팀사가 실제로 그 기능을 보유한 RCS를 만들어 공급했는지에 대한 정보는 없다"며 "분명한 것은 국정원이 RCS에 그런 기능을 추가할 의향이 있었음을 보여주는 단서는 있었다는 점이다"라고 지적했다.

이와 함께 빌 연구원은 "국정원이 RCS의 실시간 감청 기능에도 관심을 가진 것으로 보인다. 이 같은 기능은 실제 스카이프나 다른 기능으로 통화할 때 실시간으로 듣는 기능"이라며 "'SKT(SK텔레콤)사'가 이메일에 언급됐는데, 국정원이 이동통신사를 이용하는 통신의 감청 가능성에 대해 문의하는 내용도 있었던 것으로 안다"고 주장했다.

그러면서 "국정원이 대북용으로 북한이 사용하는 OS를 해킹할 수 있는 기능을 개발 해달라고 요청한 적은 없지만 SKT를 해킹해서 음성통화내용을 기록할 수 있는지 등은 문의했다"며 "국정원은 안랩(Ahn lab) 등에서 만든 백신에 걸리지 않게 프로그램을 수정해달라고 요구했다"고 설명했다.

이 같은 의혹에 대해 그는 "우리가 확보하고 있는 정보만으로는 실제로 국정원이 어느 정도까지 활동을 수행했는지 알 수 없다"며 "실제 유출된 자료는 극히 적은 양이고, 해킹팀사도 국정원이 취득한 정보에 접근할 수 없다"고 밝혔다.

다만 해킹팀사가 감청 대상에 대해 정보를 취득할 수 있는지 여부에 대해 "해킹팀이 감청 대상에 대한 정보를 취득할 수 있는 유일한 방법은 국정원이 보낸 워드와 파워포인트 파일, 웹사이트 내용을 보는 것"이라며 "해킹팀은 접근할 수 없고 국정원이 누구를 감청했는지 알 수 없다"고 설명했다.

아울러 그는 북한이 RCS 프로그램을 구입했는지에 대해 "북한이 구매했다는 증거는 없다"며 "해킹팀사는 국제적인 제재조치를 위배하지 않으려 하기 때문에 판매가 이루어지지는 않았을 것"이라고 말했다.

국정원이 삼성 스마트폰을 내부 실험용으로 해킹했다고 해명한 데 대해서는 "올해 5, 6월에 국정원이 3개의 안드로이드 스마트폰을 성공적으로 해킹했다. 영어와 필리핀 따갈로그어로 설정된 스마트폰이었다"며 "(실험용이었다는) 그 내용을 증명하기 위해서는 추가조사가 필요하다. 아직 아무 사실을 알 수가 없다"고 답했다.

빌 연구원은 "해킹팀사는 국정원의 요청에 의해 RCS를 심을 때 누가 심었는지에 대한 교신내역을 가지고 있지만 두 달만 보관하고 삭제한다. 6월 이전의 정보는 확보하지 않았을 가능성이 있다"며 "해킹팀사가 보유한 정보에서 알 수 있는 사실은 해킹 대상 스마트폰의 IP주소, 모델명, 이동통신사나 국내, 국제용인지 여부 정도"라고 덧붙였다.

이와 함께 전자개척자재단(EFF) 소속 네이트 카르도조(Nate Cardozo) 변호사는 이날 화상통화를 통해 정부의 민간인을 대상으로 하는 해킹은 금지할 필요가 있다고 주장했다. 그는 "강력한 통제수단이 마련돼야 한다. 정보기관과 수사기관만 아니라 판사, 검찰도 해킹의 위험에 대해 교육을 받아야 하고 처벌, 제재 방안도 만들어져야 한다"고 말했다.

한편 이 날 새정치연합과 오픈넷은 RCS가 스마트폰에 감염됐는지를 포착하고 치료할 수 있는 백신프로그램인 '오픈백신'을 공개했다. '오픈백신'은 시민들이 자발적으로 참여한 '국민 백신 프로젝트'를 통해 개발된 것으로, 버그와 오류 등을 검토한 뒤 오는 8월6일에 공식 배포하게 된다.

백신개발자는 이에 대해 "감염여부를 찾아내고 치료함으로써 RCS가 가진 문제를 찾아내는 데에 초점을 맞췄다"며 추후 자료를 수집해 공동대응에 나설 것임을 내비쳤다.

hye@newsis.com

• ★ 세상에 이런일이 - ´의붓딸 성추행´ 父, 일주일간 집에서…
• ★ 오늘의 핫 포토 - 2살 아들 살리고 죽은 엄마

<저작권자ⓒ 공감언론 뉴시스통신사. 무단전재-재배포 금지.>