주간동아 998

2015.07.27

“스파이웨어 국내 기술로도 충분…왜 굳이 외국에 맡겼나”

인터뷰 | 해킹 프로그램 구매 최초 폭로한 IT 개발자 이준행

  • 김수빈 전 NK뉴스 한국 지국장 mail@subinkim.com

    입력2015-07-27 10:14:00

  • 글자크기 설정 닫기
    “스파이웨어 국내 기술로도 충분…왜 굳이 외국에 맡겼나”
    점입가경. 지금 대한민국을 뒤흔들고 있는 ‘국가정보원 해킹사건’을 처음으로 수면 위로 끌어올린 인물은 기자가 아니었다. 그가 이용한 매체 또한 전통적인 언론이 아니었다. 이슈가 소셜네트워크서비스(SNS)의 거미줄을 타고 활활 타오르기 시작한 후에야 한국 언론사들은 이를 뒤쫓기 시작했다. 언론 전체가 ‘물먹은’ 셈이다. 7월 9일 처음 인터넷상에서 이 문제를 제기한 IT(정보기술) 개발자 이준행 씨(사진)를 만나 국정원 해킹 프로그램 도입의 기술적, 사회적 문제와 이후 소용돌이에 대해 이야기를 나눴다.

    ▼ 처음 이 사안을 인터넷 블로그에 올리기로 마음먹은 이유가 무엇인지 궁금하다.

    “7월 6일부터 외신에 이탈리아 ‘해킹팀’사 관련 기사가 뜨기 시작했다. 고객 명단에 한국도 포함돼 있다는 보도를 읽고 곧 국내 언론에도 관련 기사가 실리리라 생각했지만, 7월 9일 새벽까지 주요 언론에서 아무런 보도가 없었다. 나는 웹사이트를 개발하는 사람이다. 해킹 같은 인터넷 보안 문제가 나오면 계속 주시할 수밖에 없다. 어쩔 수 없이 유출된 자료를 내려받아 살펴봤더니, 한국이 상당히 오랫동안 거래해온 것으로 확인되더라. 해킹팀이 판매하는 기술이 국내에 적용될 경우 굉장히 무서운 일이 되리라 우려해 그날 새벽 3시 개인 블로그에 글을 쓰고 같은 글을 인터넷매체 ‘미스핏츠’에도 보냈다.”

    7월 9일 이전에도 몇몇 IT 전문매체가 한국이 고객 명단에 있다는 외신보도를 인용한 바 있지만, 유출된 해킹팀 내부 자료를 직접 확인해 이 구매자가 ‘국군 5163부대’, 국정원이라는 사실을 밝혀낸 것은 이씨가 처음이었다. 이튿날인 10일부터 관련 보도가 쏟아지기 시작했다.

    “방어용을 뒤집으면 공격용”



    “스파이웨어 국내 기술로도 충분…왜 굳이 외국에 맡겼나”
    ▼ 최초 제기자로서 이후 경과를 보며 느낀 바가 컸을 것 같다.

    “처음 쓴 글에서 ‘이미 외신에 보도가 된 지 사흘이 지났는데도 국내 언론에서 일언반구가 없는 것은 기자들이 내용을 잘 모르거나 또는 알면서도 보도를 못 하거나 둘 중 하나일 것’이라고 적었다. 결과적으로는 둘 다였다. 잘 모르는 사람도 있었지만, ‘국정원 발표가 나오기 전에는 보도하지 못한다’고 자기검열을 하는 기자들도 있었고, 기사를 썼지만 데스크에서 반려됐다는 사례도 들었다.

    (이후 상황 추이를 지켜보며) 사회적 이슈를 형성하는 무게추가 더는 주요 언론사에 있지 않다고 느꼈다. 온라인에서 파문이 커질 대로 커진 이후에도 상당 기간 지상파 TV 채널에서는 이 문제를 전혀 다루지 않았지만, 그럼에도 사안은 국가적 이슈가 됐다. 한 방송사 관계자가 그렇게 이야기하더라. 자신들이 보도하지 않아도 국민 모두가 알게 되는 사건이 생겨버렸다고. 언론사가 자괴감을 느껴야 할 상황이 아니냐는 자문이었다.”

    ▼ 기술적 부분에 대해 얘기해보자. 문제가 된 해킹팀의 RCS(Remote Control System) 프로그램의 기술 수준에 대해 어떻게 평가하나.

    “특별한 기술은 아니라고 본다. 우리 기업들이 많이 사용하는 보안용 관제 시스템 역시 사실상 이와 동일한 기능을 갖추고 있다. 나도 과거에 비슷한 시스템을 운용해본 경험이 있다. 2013년 3·20 전산대란 때도 관제 시스템이 감염되면서 (연동된) 컴퓨터들이 일제히 종료되는 일이 벌어지지 않았나. 같은 기능을 가진 프로그램이 목적에 따라 기업보안용이 될 수도, 해킹용이 될 수도 있다는 뜻이다.”

    ▼ 그렇다면 국정원은 이를 왜 굳이 외국 회사에 의뢰한 것일까. 국내 업체들도 개발역량이 충분할 것으로 보이는데….

    “국내 업체에 외주를 주면 안 되는 이유가 있었으리라 생각한다. 국내 업체의 개발 기술이 뒤떨어진다고 판단할 근거가 없기 때문이다. 심지어 국정원도 자체 관제 시스템을 운용 중인 것으로 안다. 직원들에게 배부하는 스마트폰에 설치돼 있고, 스마트폰이 위험에 노출됐다 싶으면 그 안에 담긴 콘텐츠를 원격으로 완전 삭제하는 식의 기능을 갖춘 것으로 알고 있다. 정부 각 기관의 보안 취약성 검증도 국정원이 수행하는 업무 중 하나다.

    이러한 방어 목적 기술을 뒤집으면 그대로 공격용으로 사용할 수 있다. 인터넷에 연결돼 있지 않은 군 전산망에서 작동 가능한 스파이웨어가 발견된 사례가 국내에서도 2008년부터 보고됐다. 국군기무사령부와 국정원이 해당 사례들을 조사해 그 작동 방식을 면밀히 파악하기도 했다. 요컨대 RCS의 기반이 되는 기술 전반에 대해 모두 알고 있었던 셈이다. 정말로 이 프로그램을 북한을 겨냥해 운용했다면 국내 업체에 맡겨도 충분하지 않았을까. 개발자들도 국가안보에 공헌한다는 긍지를 갖고 만들었을 것이다.”

    통신비밀보호법 우려하는 이유

    ▼ 논란이 커지면서 ‘의심스러운 링크는 클릭하지 말라’는 등의 대비책이 소개되고 있다. 그 정도로도 해킹을 막는 데 도움이 될까.

    “그렇지 않다. 개인 차원에서 막기 위한 노력도 필요하지만 제도적 감시와 통제 메커니즘이 더욱 필수적이다. 이번에 해킹팀 내부 자료를 살펴보니 프로그램을 주문한 고객들에게 ‘ISP(인터넷 서비스 공급자 KT, LG유플러스 등 인터넷 회선 제공업체) 차원에서 감청을 실시하라’고 조언하고 있더라. 그 순간 통신비밀보호법 개정안이 떠올랐다.”

    현재 국회에 계류 중인 통신비밀보호법 개정안은 인터넷 및 이동통신 사업자에게 감청 설비 구비를 의무화하고 있다.

    “(ISP 차원에서 감청을 실시하면) 악성 링크를 클릭하지 않아도 주인도 모르는 새 개인용 컴퓨터(PC)나 스마트폰에 스파이웨어를 설치하는 게 가능해진다. 이를테면 윈도나 안드로이드, iOS(애플 운영체제) 업데이트를 할 때 업데이트 파일의 위치를 변조해 스파이웨어가 섞여 있는 업데이트 파일을 설치하게 만들 수도 있다. 이런 경우에는 개인이 아무리 조심해도 피할 수가 없다.”

    이씨는 인터뷰 말미에 4월부터 청소년 스마트폰에 설치가 의무화된 유해물 차단 애플리케이션(앱) 사례를 들었다. 유해물 차단은 물론, 스마트폰 이용을 통제하는 일도 가능한 이 앱을 삭제하려고 많은 청소년이 ‘루팅(rooting)’이라는 편법을 쓰고 있는데, 이렇게 되면 악성코드에 쉽게 무력해질 위험성이 더 높다는 것. 이씨는 국가의 전방위적 감청이 합법화될 경우 마찬가지로 사회적 신뢰가 무너져 더 큰 사회적 비용을 초래할 수 있다면서 통신비밀보호법 개정안에 대해 우려를 표했다.



    댓글 0
    닫기