이탈리아에는 '해킹팀(HackingTeam)'이라는 회사가 있다. 이 회사는 남의 컴퓨터에 침입해 개인정보를 빼가는 데 사용되는 소프트웨어인 '스파이웨어'를 제작해 각국 정부에 판매하는 것으로 알려져 있다. 이 회사 홈페이지에 올라온 광고 동영상에는 이런 내용이 나온다.

"우리 프로그램을 이용하면 아무 흔적 없이 상대방의 이메일, 스카이프, 컴퓨터, 메신저, 스마트폰 등을 해킹 할 수 있습니다."

캐나다 토론토 대학 사이버 연구팀 '시티즌랩(Citizen Lab)'은 지난 2월 이탈리아 해킹팀이 그동안 한국을 포함 세계 21개국에 이 스파이웨어를 판매한 흔적을 찾았다고 발표했다. 이 내용은 지난 2월 12일과 23일 <워싱턴포스트> <보이스 오브 아메리카> 등 해외언론에는 보도되었지만 한국 언론에는 거의 보도되지 않았다.

<워싱턴포스트>는 관련 기사에서 스파이웨어로 인해 과거 미·중·러 등 엘리트 스파이 기관들의 전유물이었던 해킹·사이버공격이 다른 국가에서도 벌어지고 있고 일부 국가들은 인권 관련 운동가들에게 사이버 공격을 가하기도 한다고 비판했다.

시티즌랩은 지난 달 사이버 스파이와 인터넷 검열에 관한 사실을 폭로한 공로를 인정받아 맥아더재단으로부터 미화 백만 달러를 상금으로 받았다.

큰사진보기
▲  시티즌랩의 연구결과, 이탈리아 해킹팀의 소프트웨어를 구입한 나라들.
ⓒ 시티즌랩	관련사진보기

미국 버클리 대학에서 컴퓨터 박사과정을 밟고 있는 빌 마크젝(Bill Marczak)은 '시티즌랩' 연구팀의 일원으로 이탈리아 '해킹팀'의 스파이웨어 활동에 대한 연구를 하고 있다. 빌과 '시티즌랩'의 연구결과에 따르면 그동안 한국을 포함 21개 국가(아제르바이잔, 콜롬비아, 이집트, 에티오피아, 헝가리, 이탈리아, 카자흐스탄, 대한민국, 말레이시아, 멕시코, 모로코, 나이지리아, 오만, 파나마, 폴란드, 사우디아라비아, 수단, 태국, 터키, 아랍에미리트 연합국. 우즈베키스탄)에서 '해킹팀'의 스파이웨어를 구입한 것으로 추정된다.

해킹팀 스파이웨어 구입 국가 명단에 한국 포함

빌은 한국을 포함한 21개국에서 이 스파이웨어를 이용해 언론인이나 인권운동가들의 정보를 해킹하고 있다고 추정했다. 그는 해킹팀의 스파이웨어를 이용하는 것으로 확인된 한국 내 IP가 KT의 것임은 확인했지만 그 이상의 추적은 불가능했다고 밝혔다. 또 해당 IP 주소는 프록시(proxy : 데이터를 가져올 때 해당 사이트에서 바로 자신의 PC로 가져오는 것이 아니라 임시 저장소를 거쳐서 가져오는 것)가 아니라 앤드포인트(endpoint : 종료점)임을 확인했다고 덧붙였다.

시티즌랩 연구팀은 이탈리아 해킹팀이 스파이웨어 프로그램을 정부에만 판매한다고 인정했기 때문에, 한국 정부가 언론인이나 인권운동가들의 활동을 감시하는데 이 프로그램을 사용하고 있을 것이라고 추정했다. 이들 주장에 따르면, 다른 나라의 경우 특별히 정부에 비판적인 언론인과 인권운동가들을 감시하는데 사용된다.

지난해 국내 언론에도 이탈리아 해킹팀을 다룬 기사가 게재됐다.

"이탈리아의 감청 소프트웨어 개발사 '해킹팀'의 원격 스파이웨어가 메신저 등의 암호화된 통신도 뚫을 수 있어 경찰이 웹캠을 감시하는 데도 쓸모가 있다." - <경향신문> 7월 19일자 <'빅브러더' 미국, 실리콘 밸리와 100여년간 은밀한 '정보 공조'>

"이탈리아 스파이웨어 업체인 해킹팀도 대표적인 사례다. 경찰이 범죄 타깃을 모니터링 하는 데 사용하는 공식적이고 합법적인 프로그램 '다빈치'를 판매한다. 프라이버시 인터내셔널에서 일하는 매트 라이스는 다빈치가 원래 목적과 달리 감시 활동에 사용된 게 명백하다고 말했다. 다빈치는 핀피셔와 마찬가지로 사용자 PC를 감염시키는 프로그램이다. 라이스는 '이런 기술은 인간의 사생활 보호와 자유 표출의 권리를 침해할 가능성이 크다'." - <전자신문> 2013년 11월 25일자 <프라이버시 인터내셔널, 산업 스파이 활동 추적한다>

결국 '해킹팀'의 스파이웨어를 이용하면 정부가 메신저와 웹캠 등을 통해 언론인과 인권운동가 등에 대한 감시활동을 벌이는 게 가능하다는 이야기다. 이와 관련 지난 몇 주간 '시티즌랩' 연구원인 빌과 해킹팀 스파이웨어 프로그램에 대한 심층 인터뷰를 진행했다.

언론인과 인권운동가 감시에 사용되는 스파이웨어

큰사진보기
▲  '시티즌랩' 연구팀의 일원인 빌 마크젝(Bill Marczak)은 미국 버클리 대학에서 컴퓨터 박사과정을 밟고 있다.
ⓒ 빌 마크젝	관련사진보기

다음은 빌과 한 인터뷰를 정리한 것이다.

- 우선 '시티즌랩'의 이탈리아 해킹팀 스파이웨어 연구팀 구성원을 소개해 달라. 
"모두 4명이다. 나는 미국 버클리 대학에서 컴퓨터공학 박사과정을 하고 있다. 팀원 클리우디오(Claudio Guarnieri)는 컴퓨터 보안 전문가다. 팀원 모간(Morgan Marquis-Boire)은 '시티즌랩' 연구원으로 캐나다 토론토 대학에서 근무하고 있으며 또 구글을 위해 일한다. 마지막으로 존(John Scott-Railton) 역시 시티즌랩' 연구원으로 캐나다 토론토 대학에서 근무하고 있다.

- 이탈리아 해킹팀은 어떤 회사인가? 어떤 제품을 만들고 누구에게 판매하나?
"해킹팀은 지난 2003년 설립됐고 이 회사의 주제품은 '원격조정장치(Remote Control System, RCS)'라는 해킹 스파이웨어로 오직 각국 정부에만 판매한다. 이 프로그램을 구매한 정부는 스마트폰과 컴퓨터를 감염시킨 후 그 사람의 메일, 메시지, 전화내용, 스카이프 등을 해킹할 수 있다. 감염만 한 번 시키면 어떤 파일이나 패스워드도 알아낼 수 있다. 또  사용자의 마이크와 웹캠을 이용해 컴퓨터와 전화통화 내용을 다 보고 들을 수 있다."

- '해킹팀' 스파이웨어를 구입한 정부에서 언론인들과 인권운동가들을 감시한다고 했는데 증거가 있나?
"증거가 있다, 지난 2012년 해킹팀의 스파이웨어가 아랍에미리트연합국의 인권운동가 아메드 만수어(Ahmed Mansoor)의 이메일을 해킹하여 활동을 감시하는 데 사용됐다. 지난 2012년 7월 만수어의 컴퓨터가 해킹팀 스파이웨어에 감염되었고 그의 지메일 패스워드가 도난당했다.

해킹팀에서 범죄감시를 위해 정부에만 이 스파이웨어를 판매한다고 밝힌 상황이라, 그의 이메일은 아랍정부에서 해킹했다고 추정할 수 있다. 자기 컴퓨터가 정부에 의해 의도적으로 감염됐고 정부요원이 수시로 자기 이메일에 로그인해서 읽는 것을 피해자가 파악하기는 아주 어렵다.

또 지난해 12월 미국에 거주하고 있는 반정부 에티오피아 언론인들의 컴퓨터를 에티오피아 정부가 해킹해 스카이프와 메시지를 감청한 사실이 드러났다. 지난 2012년 8월에는 정권에 비판적인 모로코 언론인들의 이메일을 모로코 정부가 해킹한 사건이 있었다. 지난 2006년 4월엔 터키의 교육제도에 문제를 제기한 미국 활동가조차 터키정부로부터 이메일을 해킹당했다. 위 사례는 단지 대표적인 몇몇 사례일 뿐이다."

- 해킹팀에서 스파이웨어를 구입한 21개 국가에 한국정부도 포함된다고 했다.
"시티즌랩이 아랍에미리트 연합국에서 자국 인권운동가 아메드 만수어의 이메일을 감시하고 있다는 사실을 찾던 중에 우연히 발견했다. 우리는 아랍에미리트 연합국 서버와 다른 서버들을 프로브(probe: 초음파 탐상기를 사용할 때 피검사물에 접촉시켜서 초음파의 송수를 하는 것)했는데 그 결과 이 서버들이 '해킹팀' 스파이웨어와 일치하는 것을 발견했다. 우리는 이 서버들이 어떻게 우리 프로브에 반응하는가를 기록했다. 그 후 같은 프로브를 우리가 찾아낸 약 40억 개의 모든 인터넷 IP 주소에 보냈다. 그 IP 주소 중 우리 반응과 일치하는 것이 해킹팀 원격조정장치(Remote Control System: RCS) 스파이웨어 서버라는 것을 알 수 있었다."

"KT 아이피 주소, 해킹팀 스파이웨어와 일치"

- 한국의 경우 KT IP(아이피) 주소가 이탈리아 '해킹팀' 스파이웨어와 일치한다고 했다.
"그렇다. 하지만 안타깝게도 그 이상은 추적이 불가능하다. 그리고 KT의 그 IP 주소는 프록시(proxy: 데이터를 가져올 때 해당 사이트에서 바로 자신의 PC로 가져오는 것이 아니라 임시 저장소를 거쳐서 가져오는 것)가 아니고 앤드포인드(endpoint: 종착점)임을 확인했다.

KT 서버가 앤드포인트이고 '해킹팀'에서 스파이웨어 프로그램을 정부에만 판매하기 때문에 우리는 한국정부가 '해킹팀' 스파이웨어 프로그램을 한국 언론인이나 인권운동가 등의 활동을 감시하기 위해 사용하고 있을 것으로 추정한다. 다른 나라의 경우 '해킹팀'의 스파이웨어가 특별히 정부에 비판적인 언론인과 인권운동가 등을 감시하는데 사용되었기 때문이다."

- 한국정부가 이탈리아 '해킹팀' 스파이웨어를 구입했다는 구체적 증거가 있나?
"물론 우리에겐 한국정부와 이탈리아 '해킹팀' 회사 사이의 스파이웨어 매매계약서 같은 증거는 없다. 우리는 컴퓨터 관련 전공 연구자들이다. 우리 연구 결과는 우리 연구팀이 발견한 컴퓨터 기술 분석 결과에 기초하고 있다.

<오마이뉴스>나 시민단체에서 한국정부에 이탈리아 해킹팀 스파이웨어를 구입했는지를 물어야 할 것이다. 그리고 정부에만 판매하는 해킹팀 스파이웨어가 왜 KT의 IP 주소에서 감지되는지도 물어야 할 것이다. 또 KT는 통신회사에 왜 해킹용 스파이웨어가 필요한지도 대답해야 할 것이다.

만약 한국정부가 국민의 세금으로 이탈리아 해킹팀 스파이웨어를 구입했다면, 정보공개법을 통해서라도 왜, 어떤 목적으로, 얼마를 주고 그것을 산 것인지 물어야 하고 또 한국정부는 답변할 의무가 있다."

- 이탈리아 해킹팀이 각국 정부에만 스파이웨어를 판매한다고 했는데, 증거가 있나. 
"지난해 3월 13일 해킹팀의 언론부장이 영국언론인 <인터내셔널 비즈니스 타임스>와 인터뷰를 하면서 '우리는 해킹 스파이웨어 프로그램을 개인이나 기업이 아닌 정부에만 판매한다'고 직접 말한 바 있다. 앞서 말했듯이 해킹팀의 스파이웨어는 컴퓨터에서 패스워드, 파일등에 관한 정보를 다 가져올 수 있다. 우리가 발견한 한국 KT 서버가 앤드포인트라는 것은 곧 해킹한 정보가 다른 나라가 아닌 한국에 있는 KT에 저장되어 있다는 것을 의미한다."

큰사진보기
▲  빌은 한국은 포함한 21개국에서 이 스파이웨어를 이용해 언론인이나 인권운동가들의 정보를 해킹하고 있다고 추정했다.
ⓒ sxc	관련사진보기

- 스파이웨어나 해킹 프로그램으로부터 내 컴퓨터나 스마트폰을 보호할 수 있는 방법은 없나?
"이 스파이웨어는 어떤 안티 바이러스나 안티 스파이웨어 프로그램으로도 감지가 안 된다. 그 이유는 제작사인 해킹팀이 인기가 있는 안티 바이러스나 안티 스파이웨어 프로그램으로 자기 스파이웨어를 매일 테스트하고 있기 때문이다. 만약 자기 스파이웨어가 감지되는 것을 발견하면, 감지가 안 될 때까지 스파이웨어 프로그램을 변경한다. 그 후 해킹팀은 변경된 프로그램으로 스파이웨어를 업데이트하고 그 업데이트 한 스파이웨어 프로그램을 구매 고객들에게 보내준다. 그 후 그 프로그램을 받은 정부가 감염된 컴퓨터를 업데이트하면, 감염된 사실이 감지되지 않는다.

이 스파이웨어에서 보호 받을 수 있는 길은 내 컴퓨터가 이미 해킹 되었다고 생각하는 것이다. 특히 링크나 첨부 파일을 조심해야 한다. 의심스런 링크나 첨부파일은 절대 클릭하거나 열어서는 안 된다. 이런 링크나 파일을 받으면 전문가, 예를 들면 '시티즌랩'에게 보내라. 특히 이 글을 읽고 있는 당신이 인권운동가이거나 정부를 비판하는 언론인이라면 이미 이 스파이웨어의 목표물일 것이다. 특별히 조심하라."

KT 관계자 "고객 IP... 이름 들어본 적 없는 일반회사"

- '해킹팀' 스파이웨어 프로그램을 연구하는 이유가 뭔가?
"지난 2012년 4월 영국에 살고 있는 바레인 인권운동가를 만난 적이 있다. 어느 날 그녀는 의심스러운 첨부문서가 붙은 이메일이 오기 시작했다고 말했다. 나는 그녀의 이메일을 분석하다 첨부 문서에 핀피셔란 스파이웨어가 첨부돼 있는 것을 발견했다.

당시 이 사건을 계기로 난 블룸버그와 인터뷰를 하게 되었고, 내 인터뷰 기사를 본 아랍에미레이트 연합국 인권운동가 아메드 만수어씨가 연락해왔다. 그도 자기가 받은 의심스런 이메일을 내게 보내왔다. 나와 시티즌랩 연구팀은 그의 이메일을 분석했고 '해킹팀'의 스파이웨어가 담겨있다는 것을 찾아냈다. 그때부터 나는 해킹팀의 스파이웨어를 연구하게 되었다."

- 이 일을 하면서 가장 어려웠던 적은 언제인가.
"해킹팀과 그와 유사한 회사의 스파이웨어를 추적할 때가 가장 힘들다. 이들은 항상 스파이웨어와 서버를 변경하고 업데이트한다. 업데이트는 항상 전체가 아닌 부분적으로 이뤄진다. 그래서 우리 연구팀은 종종 두 조각의 스파이웨어를 발견한다. 우리는 2개 스파이웨어의 공통점을 해킹팀 프로그램과 비교한다. 이때 시간이 많이 걸리고 극도의 주의 깊은 조사과정이 필요하다."

시티즌랩 연구소가 제기한 의혹에 대해 KT 관계자는 17일 <오마이뉴스> 기자와 한 통화에서 "해당 IP는 우리 회사에서 관리하는 건 맞지만 사내망으로 쓰는 건 아니고 고객이 쓰는 IP"라면서 "해당 고객이 누구인지는 전기통신사업법에 따라 수사기관 요청이 없으면 공개할 수 없다"고 밝혔다. 다만 "정부기관은 아니고 이름을 들어본 적이 없는 일반 회사"라고 귀띔했다.