국정원-해킹팀, 무슨 대화 오갔나…e메일 들여다보니

가 +
가 -

사건은 예상하지 못한 곳에서 발생했다. 이탈리아의 한 소프트웨어 전문 업체의 사업 내용이 해킹으로 유출된 것이다. 보안 업체의 이름은 ‘해킹팀(Hacking Team)’. 해킹팀은 감시∙도청 및 감청용 스파이웨어를 개발한 업체다. 이 업체와 거래한 내역이 있는 국가와 단체가 낱낱이 세상에 까발려져, 국제 사회가 난리를 겪기도 했다. 지난 7월8일의 일이다.

국내에서 주목할만한 점은 해킹팀과 거래한 곳 중에서는 국내 단체도 있다는 점이다. 이준행 개발자가 해킹팀으로부터 유출된 자료를 들춰 자신의 블로그에 올린 자료를 보자. 해킹팀의 사업 파트너 중 한국의 ‘5163부대’가 등장하는 것을 쉽게 확인할 수 있다. 해킹팀의 매출 전표에는 5163부대가 2012년부터 2014년까지 총 68만6400유로를 지불한 것으로 기록돼 있음은 물론이다. 소프트웨어 라이선스 도입을 위한 비용과 유지 및 관리에 필요한 비용이 해킹팀으로 전달된 것이다.

key_800

5163부대는 어디?

5163부대가 등장한 옛 기사를 살펴보자. 지난 2006년 경향신문은 ‘“김영주 의원 “1990년대도 공작원 북파”‘ 기사에 다음과 같이 썼다.

김 의원은 특히 “북파 공작원의 소속이 모두 국정원의 제5163 부대인 점과 ‘5163 부대 실종자 처리지침’을 볼 때 국정원이 조직적이고 체계적으로 공작원을 북파했던 것으로 판단된다”[…]라고 주장했다.

국회 정무위원회 소속이었던 김영주 당시 열린우리당 의원이 한국에서 북한으로 북파공작원을 파견했다는 것을 문제 삼았다는 내용의 기사다. 김영주 의원은 당시 5163부대를 국정원으로 지목했다.

국정원과 5163부대 사이에 고리를 연결하는 일은 어렵지 않다. 5163 부대의 구매내역을 기록한 해킹팀의 청구서에는 청구서 수령 대상인 5163부대의 주소가 ‘서초구 사서함 200번지’로 나와 있다. 국정원 홈페이지에 기록된 정보공개 접수창구와 같은 주소다. 5163부대를 국정원으로 보기에 충분한 증거다.

더 읽어보세요!

2010년 첫 접촉, 길게 이어진 국정원의 문의

국정원과 해킹팀의 접촉은 대부분 e메일로 이루어졌다. 국정원은 해킹팀과 직접 연락하지 않았다. 나나테크라는 업체가 이 둘 사이의 거래를 중개했다. 폭로 전문 사이트 ‘위키리크스’는 해킹팀의 사업 내용이 유출된 이후 400GB에 달하는 방대한 자료 중 e메일 정보만 따로 정리해 홈페이지에 올렸다. 누구나 접속해 해킹팀이 보유하고 있던 업무 e메일을 찾아볼 수 있다. 편리하게 검색해볼 수 있도록 검색 기능까지 마련해뒀다.

다음은 위키리크스의 e메일 아카이빙에서 검색 키워드를 ‘nanatech’라고 입력해 얻은 결과다. 총 967건의 e메일이 검색됐지만, 이는 ‘nanatech’ 키워드에 해당하는 결과값이라는 점을 유념하자. 국정원이나 나나테크를 비롯해 국내에서 또 다른 이들이 해킹팀과 연락을 주고받았을 가능성도 배제할 수 없다는 얘기다. 현재 해킹팀으로부터 스파이웨어를 구입했다는 혐의 중 상당부분이 사실로 드러난 나나테크와 해킹팀의 첫 접촉은 2010년 8월로 거슬러 올라간다.

hack_2_800

유출된 e메일 중 나나테크와 해킹팀이 주고 받은 첫 번째 e메일

☞ 2010년 8월6일 해킹팀 → 나나테크

박씨에게

우리 회사의 솔류션에 관심을 가져 주셔서 고맙습니다. 정보를 전달할 수 있다는게 기쁘군요. ‘리모트 컨트롤 시스템(RCS)’는 PC와 스마트폰을 은밀하게 공격하고, 감염시키거나 모니터링 할 수 있도록 설계된 소프트웨어입니다. 지원하는 PC 플랫폼은 ‘윈도우 XP’와 ‘윈도우 비스타’, ‘윈도우7’과 ‘맥’ 입니다. 지원하는 스마트폰 플랫폼은 ‘윈도우 모바일’과 ‘아이폰’, ‘심비안(노키아)’과 ‘블랙베리’입니다.

RCS가 한번 대상에 감염되면, 많은 정보를 얻을 수 있습니다. 스카이프 트래픽(VoIP, 채팅)과 MSN 트래픽(VoIP, 채팅), 키스트로크(입력한 키 값을 뜻함), 파일, 스크린샷, 마이크로 엿들을 수 있는 데이터, 카메라, 전화, GPS 위치 등이죠.

각종 방어 시스템(백신, 스파이웨어 검출 소프트웨어 등)을 피해 은밀히 침투할 수 있는 기능까지 갖추고 있습니다.

박씨는 나나테크에서 국제사업 업무를 담당한 인물이다. 박씨에게 e메일을 보낸 이는 해킹팀의 마르코 베티니 판매담당이다. 마르코 베티니가 e메일로 박씨에게 설명한 것만 보면, RCS는 맥을 포한한 PC와 스마트폰 등 거의 모든 장비를 감시할 수 있는 강력한 스파이웨어인 것으로 보인다. 박씨와 마르코 베티니의 대화가 2010년 8월 내내 이어졌다. 이후 마르코 베티니의 대화는 해킹팀의 마시밀리아노 루피 계정담당이 이어받게 된다. 박씨는 해킹팀과 나나테크, 국정원의 대부분의 e메일로 중개했다.

☞ 2010년 9월1일 나나테크 → 헤킹팀

루피씨에게

혹시 시험해 볼 수 있는 CD나 파일이 있나요? 혹은 시연해주실 수 있으신지요. 우리의 ‘고객’이 시연과 관련해 문의해보라고 했거든요. 내일이나 모래쯤 고객이 결정할 겁니다.

가격 정보를 전달해주실 수 있으신지요. 그리고 스카이프 솔루션과 더불어 우리는 WCDMA나 TETRA도 감청할 수 있는 솔류션이 필요합니다. 혹시 가능할까요?

☞ 2010년 9월1일 해킹팀 → 나나테크

좋은아침입니다.

우리는 당신이 조작법을 상상해볼 수 있도록 AVI나 플래시 파일을 보내드릴 수 있어요. 오디오는 없지만요. 이것으로도 가능할까요?

가격에 대해서는 하드웨어 없이 고려해봐야 해요. 요청하신 솔루션에 대해서는 우리는 갖고 있지 않습니다.

나나테크가 e메일에서 말한 ‘고객’은 5163 부대, 즉 국정원인 것으로 추정된다. 국정원은 해킹팀의 감시 소프트웨어가 WCDMA 등 이동통신네트워크에도 활용할 수 있는지를 물어보기도 했다. 나나테크의 e메일에서 고객은 매우 자주 언급된다. 나나테크는 고객, 즉 국정원의 요구와 질문을 해킹팀에 전달하기에 여념이 없었던 것으로 보인다.

첫 번째 미팅 불발, 서울로 이어진 만남

RCS의 성능을 e메일로 설명하려는 해킹팀의 노력은 다음 단계로 이어진다. 나나테크의 고객인 국정원은 해킹팀이 개발한 RCS의 성능을 눈으로 직접 보길 원했던 것으로 보인다. 직접 만나 성능 시험과 시연을 해 줄 것을 문의했다. 첫 번째 만나의 장소로 거론된 곳은 2010년 12월 말레이시아다.

hack_4_800

국정원은 서울에서 해킹팀과 처음으로 만났다.

☞ 2010년 10월25일 나나테크 → 해킹팀

안녕하세요. 루피씨

우리 고객(국정원)과 의논을 했어요. 그들이 말하길 다음 단계로 가기 전에 직접 눈으로 성능을 봐야겠다는군요. 하지만 당신들(해킹팀)과 그들(국정원)은 매우 바빠요. 그곳에 직접 가는 것도 고랴해봤는데, 어렵겠다고 하더라고요. 게다가 연말도 가까워지고 있고요. 그래서 우리 고객은 당신들이 직접 이곳으로 와서 시연해주길 원해요. 어떻게 생각해요?

물론, 당신들도 역시 연말까지 바쁘겠죠. 하지만 내년 초에 가능하다면, 미룰 수는 있을 것 같아요. 고객은 빠를 수록 좋겠다고는 했지만요.

사실, 몇 개의 업체가 고객에게 제안을 했어요. 지금은 가능한 선택을 미루고 있는 중입니다. 당신들의 솔루션이 경쟁력있다고 믿기 때문이고요.

의견을 알고 싶어요. 답변 기다릴게요.

☞ 2010년 10월26일 해킹팀 → 나나테크

좋은 아침이에요, 박씨

우선, 우리의 의견을 말할 수 있도록 기회를 주신 것에 대해 감사해요. 하지만 우리는 연말까지 매우 바빠요. 내년 초(1월)라면 좀 더 쉬울 것 같네요. 생각하신것처럼 회계연도 말이라 12월까지 해야할 일이 많아요.

아무튼 당신의 고객이 이 같은 기술에 매우 관심이 많다는 것은 이해했어요. 솔직히 말하면, 우리는 이런 기회를 놓치고싶지 않아요.(후략)

☞ 2010년 11월2일 나나테크 → 해킹팀

답변이 늦어서 미안해요 루피씨. 잠시 도시에서 떨어져 있느라 인터넷을 사용할 수 없었어요.

음, 당신들이 2010년(2011년의 오기로 추정됨 – 편집자) 1월에 이곳에 확실히 올 수 있을지 궁금해요. 만약 그렇다면, 우리가 고객을 설득해 볼게요.

☞ 2010년 11월2일 해킹팀 → 나나테크

좋은 아침이에요.

우리가 제안할 수 있는 것은 다음과 같아요.

쿠알라룸푸르에서 열리는 ISS 기간(12월 9일, 10일) 동안 프라이빗 고객 미팅을 할 수 있어요. 이것은 고객들에게 아주 좋은 기회에요. 우리가 시연을 위한 장비를 ISS에 들고 가서 우리 솔루션이 가진 모든 가능성을 보여줄 수 있거든요.

만일 이 제안이 불가능하다면, ISS가 시작되기 전에(12월 이전에) 우리가 직접 한국을 방문할 수도 있어요. 이 경우에는 우리의 모든 장비를 갖고 갈 수 없어요. 몇몇 장비는 쿠알라룸푸르로 직접 보내야 하거든요.

이 두 가지 제안을 어떻게 생각해요?

☞ 2010년 11월3일 나나테크 → 해킹팀

루피씨에게

당신의 제안은 이해했어요. 하지만 우리의 고객에게는 여러가지 국내 사정이 있어요. 쿠알라룸푸르에는 갈 수 없어요. 그럼에도 불구하고 시연은 보고 싶어 해요.

따라서 우리 고객은 쿠알라룸푸르에서 ISS가 끝난 이후 당신들이 한국을 방문할 수 있는지 궁금해해요. 가능할까요? 답변 기다릴게요.

☞ 2010년 11월4일 나나테크 → 해킹팀

우리의 고객은 ISS 이전에 만나는 것을 좋아하지 않아요. 당신이 말한 것처럼 장비 문제 때문이죠. 우리 고객은 정말 시연을 보고 싶어 해요. ISS 전에 그게 가능하면 좋겠어요.

제가 ISS 홈페이지를 봤는데, 매우 엄격하게 참여를 통제하고 있는 것처럼 보이더군요. 별도의 등록 없이 참여할 수 있을까요?

해킹팀은 나나테크에 말레이시아에서의 미팅을 제안했으나 불발됐다. 국정원과 나나테크는 해킹팀에 말레이시아 일정 직전 한국을 방문하길 요청하기에 이른다. 제안이 받아들여졌고, 해킹팀은 말레이시에로 떠나기 전인 2010년 12월7일 한국 방문을 결정한다. 이후 나나테크와 해킹팀의 대화는 호텔 예약과 시연에 필요한 장비를 의논하는 등 첫 번째 만남을 위한 사소한 논의로 이어졌다.

첫 번째 만남은 2010년 12월7일 오전 9시 삼성동 그랜드인터콘티넨탈호텔 3층에서 이루어졌다. 2010년 12월7일 진행된 해킹팀의 제품 설명에 국정원은 만족한 눈치다. 해킹팀의 한국 방문 일정이 끝난 후 나나테크가 2010년 12월9일 해킹팀에 보낸 e메일에 감정이 드러나 있다.

☞ 2010년 12월9일 나나테크 → 해킹팀

루피씨에게

안녕하세요.

우리의 고객이 프레젠테이션과 설명을 듣고 매우 기뻐했어요. 프레젠테이션 보고를 기다리고 있어요. 프레젠테이션을 한번 더 보고 다음 단계로 진행할 계획입니다. 또 알려드릴 게 있으면 연락 드릴게요. 고마워요.

박씨 퇴장, 밀라노에서의 두 번째 만남

2010년 내내 해킹팀과 연락을 주고받은 박씨는 개인 사정으로 2011년 퇴사한다. 이후 업무는 새로 업무를 맡은 김씨와 허손구 나나테크 대표가 주로 이어갔다. 2011년 국정원은 RCS를 운용하는 방법에 관한 질문을 나나테크 쪽에 자주 요청한 것으로 보인다. e메일을 보면, 스마트폰을 감염시키는 방법을 비롯해 다양한 질문을 해킹팀에 해 온 것을 알 수 있다.

무엇보다 국정원은 모바일기기에 해킹팀의 솔루션을 도입하고 싶어 했다. 두 번째 만남이 이뤄졌다. 2011년 11월의 일이다. 이번엔 국정원에서 이탈리아로 직접 날아갔다. 목적은 해킹팀으로부터 RCS를 활용해 모바일기기를 감염시키는 방법을 보기 위함이다. 해킹팀은 직접 이탈리아를 방문하는 관계자들을 위해 밀라노 현지에서 그들이 진행할 일정도 꼼꼼히 챙겼다.

☞ 2011년 10월19일 해킹팀 → 나나테크

우리의 계획에 의견을 말해주세요.

첫째날:

– 해킹팀 소개

– RCS 프레젠테이션

– PC 실시간 데모

– 모바일 실시간 데모

– 설치 기술(직접설치와 무선설치)

둘째날:

– 고객 의견 청취

– 해킹팀이 어떻게 도울 수 있을 것인가(교육과 지원 등)

– 판매 논의

– 마무리

밀라노에서 진행되는 일정은 RCS에 어떤 기능이 있는지, 어떻게 제품이 끊임없이 발전하고, 우리가 도와줄 수 있는지에 관한 내용입니다.

☞ 2011년 10월24일 나나테크 → 해킹팀

마시밀리아노 루피 씨에게

우리의 고객이 11월21일 아침에 그곳에 도착할 예정이에요. 22일까지 머물 거고요. 그들로부터 메시지를 받으면 또 연락 드릴게요.

☞ 2011년 11월7일 나나테크 → 해킹팀

우리 고객의 이름을 알려드릴게요. 고객의 부서 이름은 ‘5163부대’입니다.

이탈리아 방문을 앞두고, 나나테크의 e메일에서 고객의 실제 이름이 처음으로 등장한다. 이 와중에 두 사람의 이름이 직접 등장한다. 이씨와 한씨다. 이탈리아 방문을 계획 중이었던 걸로 봐서 국정원 내부 관계자일 것으로 추정된다. 국정원의 이탈리아 방문은 2011년 11월 마지막 주에 이뤄진 것으로 보인다.

“그들이 카카오톡에 관해 물어봤어요”

2014년 3월 들어서 다니엘과 서지라는 이름의 해킹팀 관계자가 한국을 방문한 것으로 추정된다. 국정원과 만나기 위해서였다. 날짜는 2014년 3월24일로 보이는데, 해킹팀 직원이 출장 중 본사에 보고한 e메일에 국정원과의 만남을 요약하는 과정에서 날짜가 드러났다. 국정원에서는 해킹팀이 한국을 방문 중 ‘카카오톡’과 관련한 질문을 한 것으로 보인다.

hack_5_800

국정원이 해킹팀에 직접적으로 카카오톡에 관해 문의했음을 증명하는 e메일

☞ 2014년 3월24일 해킹팀(출장팀) → 해킹팀(본사)

다니엘과 저는 SKA(South Korea Army)와 MOACA(몽고 경찰)를 만나기 위해 출장중입니다. (중략) 그들은 카카오톡에 관한 진행 상황을 궁금해 했어요. 한국에서 보편적으로 쓰이는 것이라고 하더군요.

☞ 2014년 3월27일 해킹팀(본사) → 해킹팀(출장팀)

수고했어요. 이미 우리 개발팀에 카카오톡과 관련해 통보했어요. 우리 로드맵으로 추진되고 있고요. 비록 다른 기능 보다는 낮은 우선순위로 밀려 있지만요. 곧 개발자들로부터 명확한 결과를 받을 수 있을 겁니다. 가까운 시일 안에 안드로이드와 다른 플랫폼에 대한 원격 공격 기능이 포함되길 기대해야죠. 개발 과정에 대해 계속 알려줄게요.

실제 카카오톡을 감시할 수 있는 기능이 추가됐는지는 아직 불명확하다. 하지만 국정원의 요청으로 관련 기능이 개발 중이었다는 점만은 사실이다.

2015년 7월1일, 유출된 마지막 대화

길고 긴 국정원과 나나테크의 관계는 지극히 최근까지 이어졌다. 해킹팀으로부터 유출된 가장 최근 기록은 2015년 7월1일 주고받은 e메일이다. 국정원과 해킹팀은 당시 2016년의 유지보수에 관해 이야기를 나누고 있었다. 2015년 7월1일 e메일에서 국정원과 나나테크는 해킹팀과 프로그램 교육과 추가 지불에 관해 대화를 나눴다.

hack_3_800

유출된 e메일 중 마지막으로 남아 있는 기록

☞ 2015년 7월1일 나나테크 → 해킹팀

안녕하세요 다니엘,

어제 집에 돌아왔어요. 어떻게 지내요?

오늘 아침에 우리 고객과 교육에 관해 이야기를 나눴어요. 고객들은 10월에 만나길 원해요. 하지만 그들은 8월 말에 두 번째 대금을 치를 예정이에요. 10월 미팅에 문제 있나요?

☞ 2015년 7월1일 해킹팀 → 나나테크

대금 지불과 교육이라니 두 가지 모두 좋은 소식이네요. 그들이 언제 교육을 받길 원하는지 알려줬나요? 고마워요.

☞ 2015년 7월1일 나나테크 → 해킹팀

안녕 다니엘

아뇨. 아직 언제 교육을 진행하면 좋을지는 듣지 못했어요. 금방 다시 알려드릴게요. 고마워요.

이 대화가 앞으로도 계속 이어졌으리라 짐작할 수 있는 대목이다. 해킹팀의 자료가 해킹으로 유출되지 않았다면, 그로 인해 국정원과 나나테크의 행위가 밝혀지지 않았다면 말이다. 국정원의 추가적인 프로그램 교육은 영영 불가능해 보인다.

네티즌의견(총 1개)