대북 심리전 차원에서 이뤄졌으며 정당한 활동이었다.

국정원 댓글 사건이 터지자 원세훈 당시 국정원장이 내놓았던 변명이다. 하지만 검찰수사팀이 찾아낸 댓글은 수백 만 개. 채동욱 검찰총장과 윤석열 수사팀장이 찍혀 나가는 와중에서도 얻어낸 성과였으니 수사가 제대로 이뤄졌다면 ‘부정선거’의 전말이 밝혀졌을 지도 모를 일이었다.
거짓말을 했던 국정원이 또다시 변명을 늘어놓는다. 이탈리아 업체로부터 개인용 컴퓨터와 스마트폰을 사찰할 수 있은 해킹 프로그램을 구입해왔다는 의혹이 사실로 밝혀지자 이병호 국정원장은 국회에 나와 이렇게 말했다.

(스마트폰 해킹에 대해) 대북 정보전의 일환으로 정당한 활동이다.

그러면서 내국인을 사찰하기 위해서가 아니라, 대북 관련 정보와 국외 정보를 수집해 해외전략을 수립하기 위한 것이라고 주장했다. 국정원의 해명을 믿을 수 있을까? 믿기 어렵다. ‘국내 사찰용’이라고 볼 수밖에 없는 정황들이 속속 드러나고 있기 때문이다.


1. 맛집 블로그에 악성코드 심어...불특정 다수가 대상?

이탈리아 해킹팀은 국정원의 의뢰로 지난 3~4월 수 차례에 걸쳐 네이버 블로그 두 곳에 스마트폰을 해킹할 수 있는 ‘스파이웨어’를 심었다. 이 블로그에는 떡볶이 등 맛집 정보, 지자체 행사 홍보 등이 들어 있었다. 물론 사용된 언어는 한글. 불특정 다수를 상대로 해킹을 시도했다는 증거다.

2. 북한과 국외에서 잘 알려진 ‘5163’ 사용
5.16쿠데타에서 따온 5163. 한국의 정보기관이 50년 넘게 써온 명칭이다. 북한은 물론 해외 정보기관들 모두 5163이 '대한민국 국정원'이란 걸 잘 안다. 첩보 대상 국가가 단박에 알아차릴 수 있는 명칭으로 해킹장비 도입계약을 했다? 이건 ‘자살행위’나 마찬가지다. 이러니 ‘국내용’으로 볼 수밖에.

3. 해외첩보전에서는 안 먹힐 아마추어 수준
해킹 시스템 구매계약서에 기재된 ‘5163부대’의 주소는 ‘서울 서초동’. 국정원이 위치한 주소 그대로다. ‘대한민국 국정원’이 구입했다는 사실을 쉽게 알아차릴 수 있는 결정적 단서를 남겨놓았다. 왜 이런 바보짓을 했을까? 이따위 아마추어 솜씨로 '대북-해외' 첩보전? 어림없는 소리다.

4. ‘국외’에서는 거의 사용 불가능한 방법
악성코드를 심는 방법은 대체로 두 가지. 이동식 메모리에 담아 직접 꽂아 전파시키거나 통신망을 이용하는 방법 등이다. 후자의 경우가 많이 쓰이지만 국정원일지라도 외국의 통신망 서버에 접근하는 건 불가능에 가깝다. 반면 국내 통신망에 접근하는 건 어렵지 않다. ‘악성코드’를 활용한 RCS 해킹 시스템, 이건 국내에서나 써먹을 수 있는 방식인 것이다.

5. ‘국내 판매용 단말기’만 해킹?
2013년 1월 국정원은 삼성 갤럭시 S3에 대한 해킹 가능성을 문의했다. 지난달엔 S6에 대해서도 같은 요구를 한 것으로 알려졌다. 삼성 갤럭시 제품은 이탈리아 등 유럽에서도 얼마든지 구입이 가능하다. 그런데 왜 굳이 ‘국내판매용 갤럭시’를 해킹업체에 보내 분석을 의뢰했을까? 국내 시판 제품은 어플리케이션 등에서 외국 판매제품과 다르다는 이유 때문일까? 맞다면 국내에서 사용되는 갤럭시를 해킹하는 게 국정원의 목적이었다는 추정이 사실이 된다.

6. 안랩의 ‘V3 모바일2.0’을 뚫으려 했다. 왜?
지난 2월 국정원이 이탈리아 업체에게 보낸 메일에는 ‘V3 모바일2.0’이 해킹프로그램 설치를 방해한다며 이를 분석해 달라는 내용이 들어 있다. 해킹프로그램이 V3에 의해 차단돼 설치가 안 됐던 모양이다. 그러자 해킹업체는 “유럽에서는 그것(V3)를 구할 수 없으니 보내달라”고 요구했다. 해킹프로그램을 국내에서 사용했다는 명백한 증거다.

7. 진보매체 기자 사칭해 악성코드를 심으려 했다
‘미디어오늘’의 조현호 기자를 사칭했다. 국정원은 ‘미디어 오늘 조현우 기자’가 작성한 것처럼 꾸민 '천안함 ‘1번 어뢰’ 관련 문의사항'이라는 한글 파일에 악성코드를 심어달라고 업체에 주문을 넣었다. 천안함 관련 의혹을 제기하는 국내인사들의 폰을 해킹하려 했던 모양이다.

8. 동창회 명부에도 “악성코드 심어달라” 왜?

천안함 침몰과 관련한 문제를 제기한 재미 잠수함 전문가 안수명씨가 국정원의 해킹대상이라는 의혹이 짙다

한글 워드로 작성된 동창회 명부가 왜 ‘대북-해외첩보용'에 필요했을까? 이 명부에 악성코드를 심은 이유가 뭘까? 동창회 명부를 열어볼 누군가를 감시하기 위해서 그랬나. ‘미디어오늘’ 기자를 사칭한 시기와 일치한다는 점을 감안해 보면, 천안함과 관련해 무엇가를 해킹하려 한 것으로 짐작된다.

9. 포르노사이트를 ‘미끼’로 활용했다
‘오마이뉴스’는 국정원용 해킹 아이디로 추정되는 ‘데빌엔절(devilangel)’이 활용한 데스티네이션 유알엘(Destination URL / 피싱 URL을 통해 악성코드가 설치된 뒤 표시되는 사이트 주소)에 포르노 사이트 세 곳이 포함돼 있었다고 보도했다. 일반인을 피싱하기 위해서 그랬을 가능성이 높다.

10. 국내 거주 간첩이 대상? 그래도 불법
‘국내에서 활동하는 간첩을 감시하기 위해서.' 국정원이 이렇게 변명할 거다. 그래도 불법이다. 대공수사에도 영장이 있어야 감청이 가능하다. 악성코드를 심어 해킹하는 건 정보통신망이용촉진 및 정보보호 등에 관한 법률 위반에 해당된다. 당당하다면 법을 위반했을까?
댓글 대선 개입 사건을 놓고 ‘대북심리전’이라고 우겼던 국정원. 이번에도 수법이 똑같다. ‘국내용 사찰’이라고 볼 수 있는 정황과 증거가 나왔는데도 “대북 정보전의 일환”이라고 주장한다. 문제만 터지만 북한 뒤에 숨는다. 이번에도 북한 덕을 볼 수 있을까?