본문 바로가기

[배명복 칼럼] 해킹, 그 치명적 유혹에 대하여

중앙일보 2015.07.21 00:03 종합 31면 지면보기
배명복
논설위원·순회특파원
정보통신기술(ICT) 시대에 최적화된 토털 해킹 솔루션. 유럽에서 활동 중인 한 사이버 보안 전문가가 이탈리아 해킹팀사(社)의 주력 제품인 ‘원격통제시스템(RCS·일명 갈릴레오)’에 대해 한 말이다. 하나하나 뜯어놓고 보면 그다지 새로울 것도 없는 기술이지만 그것들을 정교하게 결합해 ‘종합 해킹 툴(도구)’로 만든 패키징 능력은 평가할 만하다는 것이다.



 그는 ICT 강국인 한국도 못 만들 것은 없지만 문제는 경제성이었을 것으로 짐작한다. 돈과 시간을 들여 직접 개발하는 것보다 시장에 나와 있는 완제품을 구입하는 것이 훨씬 빠르고 경제적이라고 판단했을 가능성이 크다는 것이다. 2012년 해킹팀의 고객이 된 한국-‘5163부대’로 위장한 국가정보원-은 지금까지 RCS를 포함해 총 68만6400유로(약 8억5000만원)어치의 해킹 프로그램과 서비스를 구매했다. 2003년 설립 이후 해킹팀은 전 세계 35개국, 68개 정보·수사기관에 다양한 해킹 솔루션을 판매했다. 고객 명단에는 미국 국방부와 연방수사국(FBI)·마약수사국(DEA)도 들어 있다.



 밀라노에 본사를 둔 해킹팀이 지난 5일 해킹을 당해 서버에 저장돼 있던 온갖 자료와 정보가 유출됐다. 인터넷에 공개된 400기가바이트 분량의 방대한 파일에는 그동안 비밀로 해 온 거래처 명단은 물론이고, 이들과 주고받은 e메일과 계약서·청구서가 들어 있다. 해킹 프로그램의 소스코드까지 다 공개됐다. 수단·에티오피아·이집트·우즈베키스탄 같은 인권탄압국의 정보기관과 거래하고 있다는 의혹이 사실로 드러났고, 미국·스페인·스위스·룩셈부르크 같은 선진국 정보·수사기관도 거래 대상에 포함된 것으로 밝혀졌다.



 각국 언론과 시민단체가 경쟁하듯 달려들어 유출된 자료더미를 파헤치면서 연일 기사가 쏟아지고 있다. 해킹팀을 검색어로 구글링하면 약 580만 건(20일 기준)의 기사가 검색된다. 그중 약 20만 건이 해킹팀의 최대 고객인 멕시코 관련 기사다. FBI 관련 기사는 5만4000건, 러시아 관련 기사는 11만3000건이다. 이집트는 4만2000건이다. 그에 비해 한국 관련 기사는 169만 건으로 압도적으로 많다. 다른 나라는 조용한데 한국만 난리법석이라는 국정원 측 주장이 어느 정도는 사실인 셈이다.



 해킹팀의 설명에 따르면 RCS는 대상자(타깃)의 PC나 휴대전화에 악성코드를 침투시켜 음성통화 내역, 통신 기록, 메신저, 문자, e메일, 저장 파일, 연락처, 캘린더, 노트, 앱 리스트, 인터넷 검색 기록 등을 몰래 빼내 오는 프로그램이다. 원격으로 PC나 휴대전화를 작동시켜 녹음을 하고, 사진을 찍어 전송할 수도 있다. 타깃의 인적 관계를 일목요연하게 보여주는 관계도 작성 기능도 있다. 미 중앙정보국(CIA) 요원이었던 에드워드 스노든이 폭로한 국가안보국(NSA)의 도·감청 프로그램인 프리즘보다 한 수 위란 평가도 있다. 통신회사의 협조로 가동되는 프리즘이 그물을 던져 무작위로 정보를 건져올리는 방식이라면 RCS는 타깃을 미끼로 유인해 필요한 정보를 정확하게 낚아올리는 방식이다.



 간첩과 테러범을 추적하고, 흉악범을 잡아야 하는 정보·수사기관들로서는 탐나는 도구가 아닐 수 없다. 문제는 RCS가 전형적인 이중 용도 품목이란 점이다. 잘 쓰면 무기가 되지만 잘못 쓰면 흉기가 된다. 반(反)국가사범을 잡는다는 구실로 반정부 성향의 시민을 억압하는 도구로 악용될 수 있다. 실제로 일부 국가에서 그런 일이 벌어지고 있기 때문에 해킹팀을 가리켜 인터넷 시대의 ‘적(敵)’이니, ‘검은 상인’이니 하는 비판의 목소리가 나오는 것이다.



 기술환경의 변화에 맞춰 국정원이 제때 RCS를 도입한 것은 평가할 일이지 비난할 일이 아니다. 그럼에도 의혹을 제기하는 기사가 유독 한국에 많은 것은 그동안 국정원이 해온 짓 때문이다. 억울해도 자업자득이다. RCS를 국가가 시민을 사찰하는 도구로 쓰지 않을 것이란 믿음이 있기에 선진국은 조용한 것이고, 인권탄압국은 언론 통제 때문에 조용한 것이다. 한 점 의혹 없이 정당하게 사용한 게 맞는다면 국정원 담당 직원은 훈장을 요구해야지 데이터는 왜 지우고, 자살은 왜 한단 말인가.



 이미 세상은 빅브러더가 지배하는 세상이 됐다. 일개 기업체 회장도 “네가 주고받는 카톡을 다 볼 수 있다”고 협박하는 세상이다. 하물며 국가는 못할 게 없다. 국가 앞에서 개인은 무력하다. 낯선 문자를 안 열고, 함부로 클릭하지 않는다고 피할 수 있는 문제가 아니다. 기술 변화에 맞춰 법을 정비하고, 그 법을 제대로 지키는 정부를 시민이 쟁취하는 수밖에 없다.



배명복 논설위원·순회특파원
공유하기
광고 닫기