최근 국가정보원(이병호 국정원장, 아래 국정원)이 '육군 5163부대'라는 이름으로 이탈리아 해킹 스파이웨어 판매 업체와 거래한 사실이 뒤늦게 드러나 논란이 되고 있다. 그간 '불법 감청' 의혹에도 함구해온 국정원은, 14일 국회 정보위원회 회의에 출석해 프로그램 구매 사실을 시인하면서도 "북한이 대상"이라며 사찰 논란을 전면 부인했다.

그렇다면 국정원은 왜, 어떤 목적으로 이 스파이웨어를 사용하려던 것일까. 복잡하게 쏟아지고 있는 관련 뉴스 중 꼭 알아야 할 사실들을 모아 정리해봤다.

[누가] 국정원, 5·16 쿠데타에서 이름 딴 '5163부대'

큰사진보기
▲ '해킹프로그램구매 의혹' 이병호 국정원장 국회 출석 14일 오후 국회에서 열린 정보위원회 전체회의에 이병호 국정원장이 출석해 자리에 앉아 있다.
ⓒ 이희훈	관련사진보기

국정원이 대외용 위장 이름으로 '5163부대'를 쓴다는 건 2013년 <시사인> 취재로 이미 드러나 있었다. 이에 따르면 5163부대는 5·16 군사쿠데타 때 새벽 3시에 박정희 소장이 한강철교를 넘었다는 데서 따온 걸로 볼 수 있다. 국정원은 박정희 전 대통령의 최대 업적으로 꼽히는 7·4 남북공동성명에서 이름을 따와 '7452부대'란 위장 명칭으로도 활동했다.

애초 이탈리아 업체가 해킹을 당한 뒤 드러난 자료에 따르면, 5163부대(국정원)와 업체는 6번 거래했고 총 10억2172만 원의 돈이 지급됐다. 그러나 국정원 측은 14일 국회에서 "2012년 1월과 7월, 이탈리아 '해킹팀'으로부터 20명분의 RCS(Remote Control System·해킹 소프트웨어)를 구매했다"면서도 구매 목적은 '연구개발용'이라고 해명했다.

<오마이뉴스> '국정원 스파이웨어' 보도, 증거 나왔다

국정원 "해킹 프로 구입 인정"... 민간인 사찰은 부인

[무엇을] 개인 위치정보 통화내용까지 전송

이탈리아 업체가 판매하고 유지·보수 등의 서비스를 제공해온 RCS는, 목표가 되는 사용자가 모르는 사이 그의 컴퓨터·스마트폰 등을 감염시킨 뒤 이후 자세한 이용 내역을 RCS를 사용하는 '고객'에게 전송하는 방식으로 진행된다. 여기에 감염될 시 PC 문서파일과 이메일 등은 물론 패스워드와 사진, 위치정보, 통화내역까지 전송될 수 있다.

방법은 다양하다. 이메일에 스파이웨어를 심은 MS워드·PPSX(PPT)파일 등 첨부 파일을 보낸 뒤 상대방이 무심코 파일을 열면 컴퓨터가 감염된다. 유용한 정보를 주는 척하면서 가짜 URL을 클릭하게 한 뒤, 스마트폰에 스파이웨어가 설치되면 비로소 해당 정보가 있는 진짜 사이트(목적지 URL)가 열리도록 하는 방식도 있다. 후자의 경우 휴대전화가 잠시 느려지지만, 이내 관련 정보가 담긴 사이트가 떠 의심을 피하기 쉽다.

[어떻게] 기자 사칭·동창회 명부 등으로 악성 코드 심어

큰사진보기
▲ 안철수 '불법 해킹프로그램 시연' 새정치민주연합 안철수 국정원 불법사찰 의혹 조사위원장(가칭)이 16일 오전 서울 여의도 새정치민주연합 대표실에서 열린 국정원 불법 해킹프로그램 시연 및 악성코드 감염검사에서 자신의 스마트폰이 권석철 보안업체 큐브피아 대표로부터 원격조정 되는 것을 보여주고 있다.
ⓒ 유성호	관련사진보기

실제 '5163부대(국정원)'는 기자로 사칭해 천안함 사건 의혹을 제기한 연구자의 컴퓨터에 스파이웨어를 심으려 한 정황이 <오마이뉴스> 보도로 드러나 논란이 됐다. 국정원은 또 '서울대 공대 동창회 명부'라는 워드 파일에 해킹용 악성코드를 심었고, 이 명부엔 그간 정부의 천안함 폭침설을 반박해온 재미 과학자 안수명 박사도 있었다는 사실이 각각 <한겨레>와 <경향> 보도로 확인됐다. '자국민 사찰용'이라는 의혹이 짙어지는 대목이다.

가짜 URL을 이용해 스마트폰을 감염시키려는 시도도 잦았다. 국정원 RCS 사용자인 '데빌엔젤'은 지난 6월 3일, 해킹팀에 의뢰해 미국 질병통제센터의 누리집의 '메르스 F&Q(자주 나오는 질문과 답변)' 주소로 스파이웨어 URL을 만들었다. 그 외에도 '떡볶이 종류 소개', '금천 벚꽃축제' 등 정보성 내용이 담긴 네이버 블로그를 사용해 스파이웨어를 심으려고 했다.

국정원은 피싱 사기범들이 즐겨 쓰는 수법인 '포르노 사이트'를 미끼로 해킹을 시도하기도 했다. <오마이뉴스>가 전수조사한 바에 따르면, 국정원(데빌엔젤)은 지난해 12월 5일부터 약 7개월간 195개의 피싱 URL(테스트용 제외)을 주문했다. URL은 특정인 한 명에게만 사용 가능하므로, 이는 국정원이 스마트폰 해킹을 시도한 횟수가 최소 195건 이상이라는 뜻이 된다.

국내 이동통신가입자들의 스마트폰을 들여다보고자 했던 정황도 확인됐다. 앞서 <뉴스타파>에 따르면 국정원은 지난 2012년 8월 국내 스마트폰 모델들을 특정해 해킹 방법을 요구했고, 이어 국내 가입자가 대다수인 다음카카오의 '카카오톡', 안랩의 '브이3 모바일' 등에 대해 해킹을 의뢰했다. 국정원은 '국내 사용'을 부인했으나, 서버 분석 결과 감청 대상엔 SK텔레콤에 가입된 갤럭시 노트2 등 국내 이동통신망 가입자도 있었다. 

대북용 해킹이라더니... SKT 이용자는 왜 당했나
'메르스'와 떡볶이 URL, 국정원이 던진 '피싱' 미끼?
국정원 스마트폰 해킹 시도 '최소' 195건

[왜] 사용 목적 불분명... 2012년 총선·대선 전 긴급 주문한 이유는?

국정원이 해킹프로그램을 어떤 이유로 사용했는지는 정확히 확인되지 않고 있다. 국정원 측은 14일 구입 목적을 '북한 공작원 대상 사용' 등으로 밝혔으나 현재 드러난 내용을 볼 때 이는 거짓일 가능성이 크다. 국정원이 2012년 총선·대선 직전 '해킹 계정'을 긴급 주문한 사실이 16일 추가로 드러났기 때문이다.

국정원-해킹팀 간 거래를 중개한 업체의 한 직원은 <시사인>과 한 인터뷰에서 "5163부대를 국정원으로 말하는 것 자체가 보안 사항"이라며 "무슨 일을 하는지 알고 있어도 공개할 수 없다, 기사화하고 인용하면 취재하는 기자도 다친다"고 말했다.

<경향신문>은 앞서 국정원이 2013년 3월 말 이 회사 관계자들을 한국으로 불러 '유지보수' 훈련을 받았다고 보도했고, 16일자 <한겨레>는 국정원이 총선을 앞둔 2012년 3월 14일 중개업체를 통해 35개의 해킹 회선 사용권(감시 권한)을 주문했다고 밝혔다. 이 중개업체는 또 대통령 선거를 앞둔 2012년 12월 6일 "일단 한 달만 사용 가능한가"를 물으며 이 회선 사용권 30개를 추가 주문하기도 했다.

14일 시민단체 '민주주의국민행동'은 논평을 통해 "국정원이 불법 장비를 통해 대선 등 주요 시기마다 정치인과 민간인 등 광범위한 사찰을 했다"며 조사를 촉구했다. 국회 정보위원회 소속 여·야 의원들은 국정원의 해명이 사실인지를 확인하기 위해 다음주 국정원을 직접 방문할 예정이다.