국가정보원이 불특정 민간인을 해킹했을 수 있단 가능성이 제기되면서 사회적 불안감이 커지고 있다. 정부는 '내국인 사찰은 없었다'는 입장에서 한 발짝도 움직이지 않고 있는 가운데 시민사회단체이 시민들 스스로 자신의 컴퓨터와 핸드폰의 도감청 여부를 점검해볼 수 있는 오픈 백신 프로그램 제공에 나서기로 했다.

30일 (사)오픈넷과 새정치민주연합 이종걸 원내대표 공동주최로 국회에서 <국정원 해킹 사태 해결을 위한 토론 및 백신 프로그램 발표회>가 열렸다. 이 자리에서 (사)오픈넷과 진보네트워크센터, P2P재단코리아준비위 등은 안드로이드 모바일과 윈도우PC용 백신 프로그램 베타버전 ‘오픈백신’을 발표했다. 내달 6일 정식 배포할 예정이다.

“안드로이드 기기의 92% 정도 해킹 가능”

국정원이 구매해 사용한 것으로 드러난 이탈리아 해킹팀의 스파이웨어(이하 RCS) RCS 작동원리 및 오픈 백신 프로그램 발표를 맡은 P2P재단코리아준비위 한 연구원은 “RCS 프로그램은 해킹에 대한 기본적인 근거자료를 지울 수 있는 기능이 있기 때문에 해킹이 끝난 양상에서는 백신으로 찾기 어렵다”며 “다만, 해킹 프로그램이 깔려 있거나 설치는 안했으나 이메일 혹은 다운로드 폴더 등이 폰 등에 남아있는 경우에는 백신을 통해 이를 찾을 수 있다”고 밝혔다. 그는 “오픈백신은 해킹 프로그램이 깔려 있거나 폴더 등이 남아있는 문제를 찾아내고 치료하는 기능이 될 것”이라면서 “문제를 찾아내는 기능에 집중돼 있다. 문제가 걸린 경우, 공동으로 대응할 근거를 만드는 것이 목표이기 때문”이라고 설명했다.

오픈백신 대상에서 아이폰, iOS는 제외됐다. 이와 관련해 그는 “국정원이 해킹팀에 문의한 자료를 보면 100% 안드로이드였고 안드로이드 기기 중 92% 정도가 해킹이 가능하다”며 “반면, 아이폰의 기기 중에서는 7%만 가능하고 93%은 해킹이 불가능하기 때문”이라고 말했다. ‘해킹 가능한 안드로이드와 iOS 기기 차이’와 관련해 “아이폰도 초기에는 해킹에 취약했다”며 “그렇지만 업그레이드되면서 강화됐다. 하지만 안드로이드는 배포가 빨라지면서 소프트웨어에 대한 충분한 검증이 어려웠던 것”이라고 설명했다. 이들은 해킹 문제 예방을 위해 제조사 차원의 근본적인 보안 관련 투자가 필요하다는 지적했다. 사용자들 역시 ‘안전한 폰을 쓰고 싶다’는 의견을 충분히 피력해야 이번 사건의 본질적인 문제를 해결할 수 있다고 덧붙였다.

“범죄수사라 하더라도 통신기기 통제권 탈취까지 허용할 것인가”

고려대 법학전문대학원 박경신 교수((사)오픈넷 이사)는 ‘해킹’을 위해 악성코드를 심는 방법으로 △사회관계 이용(익숙한 발신자로 가장한 메일 송신), △웹페이지 감염(벚꽃놀이·떡볶이 사이트에 방문만으로도 감염), △중간자 공격(특정URL에 대한 중간 가로채 악성코드 감염), △직접 탈취(비밀리 기기 탈취 후 코드 심기) 등으로 구분했다. 그는 ‘웹페이지 감염’과 관련해 “국정원이 벚꽃축제 사이트를 구축했었는데 이 경우에는 방문만 해도 감염이 된다”며 “감시대상이 앙닌 사람들도 방문만으로 감염이 된다는 것을 의미한다. 감청보다 불특정 다수를 감염시킬 수 있다는 점에서 더 위험할 수 있다”고 강조했다. 박경신 교수는 해킹수사 허가요건(-Privacy International and Open Rights Group)으로 다음과 같은 내용을 제시했다.

1. 중대한 범죄나 국가안보에 대한 구체적 위험이 발생했거나 발생할 확률이 높은 경우에만.
2. 위 범죄나 안보위협의 증거가 해당기기 접근을 통해 취득될 확률이 높은 경우에만.
3. 정보수집은 위 2의 증거로만 한정되도록 하기 위한 조치 필요-영장 상의 명확한 적시 및 범위초과수집 시 수집된 증거 전체 무효화(최근 2015년 7월 27일 대법원 판결).
4. 다른 방식의 증거수집이 불가능할 때만.
5. 감염기기의 보안수준을 저하시키는 방식은 지양해야함.
6. 기간은 1개월 이상이 되어서는 안 되며 해킹종료 시 상대방에게 통지해야 함. 영장발부 판사가 진행상황에 대한 정기적인 검토.
7. 해킹활동에 대한 독립적인 감독기구 설립.
8. 상호법적지원협약(MLAT)절차를 우회하는 방식으로 이용되어서는 아니됨.
9. 취득된 정보는 영장이 적시한 목적으로만 이용되어야 함.
10. 전 세계의 부당한 해킹피해자의 손배청구권 보장-해킹대상에 대한 통지의 중요성.


박경신 교수는 ‘중대한 범죄나 국가안보에 대한 구체적 위험이 발생했거나 발생할 확률이 높은 경우에만’ 해킹을 허용하도록 한 미국 텍사스 연방지법 2013년 결정과 2008년 독일 연방헌법재판소판결을 거론하며 “감청보다 해킹이 더 높은 기준을 제시하고 있는 것”이라고 지적했다. 국정원이 '내국인 사찰은 없었다'고 주장하고 있는 것에 대해 박경신 교수는 “내국인과 외국인을 구분하는 것은 무의미하다”며 “외국인의 서버에 내국인의 정보가 포함될 수 있고 그로 인해 내국인의 정보가 탈취될 수 있기 때문에 동일한 기준이 적용돼야 한다”고 주장했다. 박경신 교수는 “외국인은 가능하다고 해킹에 대한 구멍을 뚫어주면 사실상 내국인에 대한 해킹도 이뤄질 수 있다”며 “이 문제를 해결하기 위해서는 최소한 외국인 감청에 대해서는 해외법적지원협약 절차를 거쳐야 한다”고 지적했다.

해킹팀 폭로한 시티즌랩, “국정원에서 (카톡)추가할 의향이 있었다는 것이 중요”

이날 토론회는 국정원에 RCS를 공급한 해킹팀을 해킹한 캐나다 토론토 대학의 비영리 연구팀 ‘시티즌랩’의 빌 마크작(Bill Marczak) 연구원을 화상으로 연결해 큰 주목을 받기도 했다. 마크작 연구원은 “RCS는 한국정부 뿐 아니라 다양한 국가들이 고객사였다”며 “그렇지만 이번 사건이 벌어졌을 때 한국만큼 사회적 반향을 일으킨 국가는 없다. 그 이유는 한국의 시민사회 참여가 높기 때문이 아닌가 생각돼 감명받았다”고 밝혔다. 국정원과 정부여당의 ‘한국에서만 유독 소란스럽다’라는 주장에 대한 반박이다.

마크작 연구원은 ‘국정원의 민간 사찰 의혹’에 대해 “국정원은 RCS가 카카오톡을 대상으로 감청할 수 있는 기능이 더해졌으면 한다는 의견을 피력한 것으로 드러났다”며 “해킹팀이 그 같은 기능을 보유한 RCS를 한국에 제공했는지 알 수는 없다. 하지만 국정원에서 (카톡)추가할 의향이 있었다는 것이 중요하다”고 강조했다. 그는 “국정원이 RCS의 휴대전화 실시간 감청 기능에도 관심을 가진 걸로 보인다”며 “SK텔레콤이 이메일에 언급돼 있는데, 통신사를 이용한 감청 가능성을 문의한 내용도 있던 것 아닌가”라는 의문을 제기했다. 마크작 연구원은 또한 국정원이 대북용으로 해킹프로그램을 주문했을 가능성에 대해 “국정원이 대북용으로 북한이 사용하는 운영체제(OS)를 해킹할 수 있는 기능을 개발해 달라고 요청한 적은 없었다”며 북한을 대상으로 해킹 프로그램을 구입했을 가능성은 낮게 봤다.

저작권자 © 미디어스 무단전재 및 재배포 금지