유출된 이탈리아 해킹팀 자료에는 국정원을 비롯해 각국 정부기관들이 이탈리아 해킹팀과 나눈 대화가 적나라하게 공개돼 있다. 해킹팀과 연락을 주고받은 국정원 직원은 데블엔젤(devilangel)이다. 해킹팀에도 데블엔젤 담당자가 있었다. 이메일 계정 s.woon@hackingteam.com 을 쓰는 인물이었다.
국정원 직원 데블엔젤이 해킹하다 문제가 생기면 s.woon에게 묻고, s.woon이 해킹팀 내부의 기술자들에게 다시 문의해 문제를 처리하는 방식으로 일이 진행됐다. 국정원이 무엇을 어떻게 했는지 해킹팀 내부 직원 중에는 가장 잘 알고 있을 수밖에 없는 위치에 있던 사람이 s.woon인 셈이다.
● 데블엔젤의 파트너, S. Woon의 정체
s. woon이 누구일까? 몇 가지 방법을 동원해 정체를 파악할 수 있었다. s.woon의 이름은 Serge Wee Shuo Woon. 중국 글자로는 云惟0 라고 쓴다(마지막 글자는 표출 불가능). 거주지는 싱가포르. RMIT 대학에서 컴퓨터 시스템 엔지니어링을 전공하고, 런던 대학(University of London)에서 정보 보안 석사 학위를 취득했다. 이후 PCS Security Pte라는 회사에서 프로젝트 매니저로 근무한 뒤, BT라는 회사에서 선임 컨설턴트로 일한 것으로 나와있다.
Serge는 이탈리아 해킹팀에 2012년 합류했다. 국정원이 해킹팀과 계약한 직후다. 싱가포르에 거주하는 Serge Woon은 몽골 경찰이나 한국 국정원 등 아시아쪽 고객 관리를 맡았던 것으로 보인다. (해킹팀의 이메일 중에는 아시아쪽 기관의 요청에 대해 "비슷한 시간대에 살고 있는 Serge가 가장 신속히 대응할 수 있을 것"이라는 내용도 나온다.)
실제로 2014년 2월 컴퓨터 전문가 집단인 시티즌랩(Citizen Lab)이 한국을 포함한 21개국 정부 기관이 해킹팀의 RCS(Remote Controll System)를 사용한 것으로 보인다고 폭로한 직후, 한국으로 출장와서 앞으로 이런 일 없도록 철저한 대비하겠다고 국정원을 안심시킨 인물도 Serge Woon이다.
(해킹팀에서 국정원을 담당했던 Serge Woon의 사진 - 모자이크)
● 황당하고 씁쓸한 해킹팀과 Serge의 활약
Serge는 영업과 관련된 일에 깊숙히 관여한 것으로 추정된다. 유출된 해킹팀 자료에는 Serge가 어떻게 '영업 활동'을 했는지 보여주는 이메일도 남아 있다. Serge와 함께 한 고객을 대상으로 해킹 프로그램에 대한 프레젠테이션을 했던 직원이 본사에 보낸 메일이다. 무척 재미있는 내용이지만 우리나라 국정원이 해킹팀과 거액을 주고 계약을 맺었다는 사실을 아는 우리로서는 씁쓸한 기분을 느낄 수밖에 없다. 주요 내용은 이렇다.
(프레젠테이션을 위해 어떤 기기를 감염시켰는데) 첫 번째 감염 이후 OS가 다운됐고, 시스템을 계속 껐다 켰다 해야 했다. 그 뒤에는 (감염된 시스템과) 정보 동기화가 되지 않더라. 그래서 Serge가 고객의 주의를 분산시키는 사이 우리는 사일런트 인스톨러로 다시 (해킹 프로그램을) 깔았다.
(프레젠테이션 중 감염된 시스템 화면에) 트로이 목마 프로그램이 감지됐다는 팝업이 떴다. 나는 Serge가 빼낼 수 있는 정보에 대해 설명하는 것에 고객이 집중하는 동안 그 팝업을 닫아버렸다. 덕분에 고객은 그 팝업을 못 봤다.
감염된 스카우트가 로그온을 할 때마다, 동기화를 할 때마다 시스템에 깔려 있던 보안프로그램인 노턴 시큐리티에 감지됐다. Serge가 고객의 주의를 분산시키는 사이 내가 해킹프로그램의 scout를 노턴 프로그램의 화이트리스트[역자 주: 문제가 없는 프로그램이라고 백신 프로그램이 인식하도록 하는 리스트]에 등록했다. 그 이후로는 모든 것이 오케이였다.
- 해킹팀 직원의 이메일 중에서(클릭)
● 해킹팀과 갈라 선 '파트너'
이렇게 열심히 일했던 Serge Woon은 더 이상 해킹팀 직원이 아니다. 지금은 이탈리아 해킹팀과 대단히 험악한 관계를 유지하고 있다. 이유가 무엇일까?
Serge Woon은 2015년 2월 해킹팀을 떠나 새로운 회사를 차렸다. ReaQta 라는 보안 전문 업체였다. Serge 뿐 아니라 다른 해킹팀 동료 5명도 함께 했다. ReaQta는 사이버 공격을 감지하고 차단하는 솔루션을 제공하는 회사다. 이탈리아 해킹팀의 RCS 같은 프로그램을 막아주겠다고 선전하고 있는 것이다. 해킹팀은 가만히 있지 않았다. Serge를 포함해 전직 직원들이 회사의 기밀을 유출해 보안업체를 운영하고 있다며 소송을 제기했다. 소송은 지금도 진행 중이다.
(전직 해킹팀 직원들이 설립한 보안업체 REAQTA 홈페이지)
나는 해킹팀과 험악한 관계인, 그러나 국정원의 활동에 대해서는 비교적 소상한 정보를 알고 있을 것으로 여겨지는 Serge에게 접촉을 시도했다. 가능한 모든 통로를 이용했다. 그러나 솔직히 말하자면 답장을 받을 거라는 기대는 하지 않았다.
어느 날, 받은 메일함에 Serge가 보낸 이메일이 도착했다.
안녕, 찬종.
불행히도 지금 법적 소송이 진행 중이어서 나는 네 질문에 대답할 수 없어.
Serge
Hi, Chan-jong
Unfortunately there is currently legal proceedings going on so I cannot comment on your questions.
Regards,
Serge
또 다른 전직 해킹팀 직원에게도 접촉했다. Serge와 함께 해킹팀을 떠나 ReaQta를 함께 창립한 알베르토다. 알베르토 역시 답장을 보냈다.Serge의 편지보다는 조금 더 길었다.
찬종에게
제게 관심을 갖고 메일을 써줘서 고맙습니다.
불행히도 지금 상황에서 제가 큰 도움을 드릴 수 없습니다: 과거에 제가 맺은 계약 때문에 저는 당신이 정부기관들이 수행한 작전에 대해 파헤치는 걸 도울 수 없습니다.
또한, 당신이 위키리크스 등에 올라와 있는 서포트 포털 데이터에서 발견할 수 있는 것 이외에는, 우리(전직 해킹팀 직원들)는 진행중인 작전에 대해 아는 것이 없었다는 점을 명심해주세요.
다른 방식으로 당신에게 도움이 될 수 있다면 기꺼이 손을 빌려드리겠지만, 비밀로 보호받는 정보에 대한 문제라면 저는 어떠한 정보를 공개하는 것에도 응할 수 없습니다.
이해 바랍니다.
알베르토
Dear Chan-jong
thank you for writing me and for your interest.
Unfortunately in this context I cannot be extremely useful: my past contract ties me
to the secret so I am unable to help you dig through operations carried on by governmental agencies.
Also please keep in mind that, other than what you can find in the support portal data published
by wikileaks and similar, we (as ex-HT) didn’t have knowledge of ongoing operations.
If I can be helpful to you in other ways I’ll be happy to give you a hand, but for what
concerns information covered by secrecy I cannot answer disclose any information.
I hope you will understand,
my best regards,
Alberto
● 해킹팀은 국정원이 누구에게 공작하는지 알고 있었다
두 사람은 국정원과 관련해 어떤 정보도 공개할 수 없다고 답했다. 보안업계에서 현재 활동 중인 사람들이고, 해킹팀에게 소송까지 걸려있으니 어쩌면 당연한 이야기였다. 결과적으로 국정원이 대한민국 내에서 민간인을 사찰했는지에 대한 정보를 '국정원의 전직 파트너들'로부터 들을 수는 없었다.
그러나 S. Woon과 해킹팀의 활동에 대해 추적하면서 자연스럽게 생긴 의문이 있다: "과연 이런 외국 민간회사에 대한민국 최고 정보기관이 사이버 공작을 외주로 맡겨도 괜찮은 것일까?"
해킹팀 직원들이 고객과 프레젠테이션을 하면서 "주의를 분산시켜" 오류를 감춘 것은 한 번의 해프닝일 수도 있다. 그러나 해킹팀 유출 자료에는 각국 정부 기관의 움직임을 이들이 고객 몰래 들여다봤다는 이야기가 나온다. (국정원 또한 해킹팀에 어떻게 우리의 IP를 알아냈느냐고 항의한 적도 있다.)
더 큰 문제는 국정원이 외주 업체인 해킹팀과 일을 진행한 방식이다. 해킹팀 유출자료를 살펴보면 외국 민간 업체에 불과한 해킹팀이 국정원이 어디서 누구에게 공작을 하고 있는지 고스란히 알 수 있다는 사실이 확인된다.(※공작대상자의 ip와 사용 기기를 알 수 있었음)
(해킹팀과 함께 일한 국가정보원 건물 전경)
해킹팀 자료를 통해 확인된 국정원과 해킹팀의 작업 방식은 이렇다.
1) 국정원이 해킹팀으로부터 받은 URL을 감청대상자에게 보내 누르도록 유도한다.
2) 감청대상자가 URL을 누르면 화면에는 다른 사이트를 보고 있는 것처럼 표시되지만, 감청대상자의 기기는 이용자 몰래 이탈리아 해킹팀이 운영하는 프록시 서버에 접속한다. 사용자는 자신도 모르게 해킹팀 서버에서 국정원이 원격으로 감청대상자의 스마트폰이나 PC를 조종할 수 있도록 설계한 파일을 다운로드하게 된다.
3) 파일이 다운로드되면 이때부터 국정원은 감청대상자의 통화나 사진, 메시지 등을 받아볼 수 있다.
문제는 2번 과정에서 이탈리아 해킹팀 서버에 언제, 어떤 IP에서, 어떤 기기를 이용하고 있는 감청 대상자가 해킹 관련 프로그램을 다운로드 받았는지 저장된다는 것이다. 다시 말해 해킹팀은 우리나라 국정원의 감청 대상이 누구인지 식별할 수 있는 핵심정보와, 그리고 언제 공작을 시작했는지 모두 알고 있었다는 것이다.
● 사찰 의혹도 문제지만…국정원의 '민낯'은 충격적
이 정보가 우리나라의 적대국가에 넘어가면 어떻게 이용될까? 국정원이 이 프로그램을 북한 핵심 인사에게 사용했는데 북한이 이 정보를 입수하면 어떤 일이 벌어질까? 역공작에 사용될 가능성은 없을까? 이런 핵심 기밀을 외국 민간 업체가 보유하게 방치해도 괜찮을 것일까? 그 전에, 국정원은 해킹팀이 알고 있다는 사실은 인지하고 있었을까?
취재하는 과정에서 만난 한 보안 전문가는 유출된 해킹팀의 자료를 직접 살펴 보면서 충격을 받았다고 털어놓았다. 짐작은 하고 있었지만 국정원의 사이버 전쟁 능력이 고작 이 정도였다는 사실에 대단히 놀랐다고 말했다. 북한이 보면 비웃을 거라는 말도 덧붙였다.
국정원의 민간인 사찰 의혹은 아직 사실 여부가 명백히 드러나지 않았다. 그러나 이미 드러난 국정원의 민낯은, 그 자체로 사찰 의혹 못지 않게 충격적이다.
동영상 기사
동영상 기사
동영상 기사
동영상 기사