‘해킹팀’ 프로그램 개발자 인터뷰 “RCS가 목표물을 실제로 감염시킨 사례 직접 봤다”
국가정보원이 구매·사용한 이탈리아 ‘해킹팀’의 RCS(Remote Control System) 프로그램 개발자는 “RCS는 스마트폰이나 PC의 통화, 문자메시지, 저장된 데이터를 모두 해킹할 수 있다
"합법적으로 범죄자를 추적하는 수단이라고 생각하고 개발한 도구가 무고한 사람들을 억압하는 수단으로 사용됐다는 사실을 알고도 아무렇지 않을 사람은 없다.”
국가정보원이 구매·사용한 이탈리아 ‘해킹팀’의 RCS(Remote Control System) 프로그램 개발자는 “RCS는 스마트폰이나 PC의 통화, 문자메시지, 저장된 데이터를 모두 해킹할 수 있다”며 “이 프로그램을 사용해 목표물을 원격으로 실제 감염시킨 보고서를 본 적이 있다”고 밝혔다.
24일 경향신문과 e메일로 인터뷰한 그는 국정원이 구매한 RCS 갈릴레오 프로그램의 개발자이고, 지난해 3월 7년간 일하던 해킹팀을 나와 안티 스파이웨어 제조업체에서 근무하고 있다. 그의 요구에 따라 인터뷰는 익명으로 싣기로 하고 암호화된 e메일을 통해 이뤄졌다. 그는 “해킹팀의 RCS 프로그램이 일부 국가에서 인권을 억압하는 데 사용됐다는 사실이 알려진 후 더 이상 내가 옳은 일을 하고 있다는 확신이 없어 해킹팀을 떠났다”며 “국정원 직원의 죽음에 커다란 슬픔을 느낀다”고 말했다.
한국시민들은 이번 사건이 일어나기 전에는 RCS라는 말을 들어본 적도 없다. RCS는 어떤 프로그램인가. “RCS는 컴퓨터나 휴대폰을 감시할 수 있는 도구다. 유출된 문서에 나와 있듯, CS는 전화통화, 메신저 대화, 페이스북 채팅, 파일, 화면, 마이크, 사진, 키보드 조작 등 컴퓨터와 휴대폰에서 이뤄지는 거의 모든 작업을 포착할 수 있다.”
유출된 문서에서 ‘20개의 타깃을 주문했다’는 건 정확하게 어떤 의미인가?.“동시에 감청할 수 는 사람이 20명이라는 뜻이다. 내 기억이 정확하다면 하나의 장치에서 다른 장치로 감청 대상을 바꾸려면 기존 장치에서 에이전트(악성코드)를 완전히 제거해야 한다. 감염시킬 수 있는 장치의 수는 무한대이다. 그러나 라이선스(회선 사용 권한)와 동일한 숫자의 타깃에서만 동시에 데이터를 빼낼 수 있다.”
RCS 해킹을 위해서는 목표물의 PC나 휴대폰을 감염시켜야 한다. 감염 성공률은 어느 정도인가.“내가 직접 감염 작업을 한 적은 없다. 그건 정보기관이 하는 일이다. 그러나 미국 마약단속국(DEA)이 16개 장치 가운데 1개꼴로 원격으로 감염시켰다는 보고서는 읽은 적이 있다. 원격으로 감염시키려면 여러 가지 제약이 따르기 때문에 쉬운 일은 아니다.”
RCS를 사용해 해킹할 수 있는 장치들의 범위는 어디까지인가.?“ 안드로이드 스마트폰은 감염시킬 수 있다. 특정 환경에서는 아이폰도 가능하다. Mac OS, 리눅스, 윈도폰, 심비안도 가능하다. 일단 장치가 감염되면 모든 데이터가 위험에 처한다. 안전하다고 알려진 텔레그램도 대화 내용을 볼 수 있다. ”전화통화나 문자메시지 감청 이외에 PC나 스마트폰에 저장돼 있는 데이터를 훔치는 것도 가능한가?.
“가능하다고 믿는다.” RCS로 대규모 사찰을 하는 것이 가능한가?. “타깃을 해킹하는 게 쉽지 않고 성공적인 해킹을 하려면 많은 사전 정보가 필요해 대규모 사찰 수단으로 쓰기는 부적합하다.” - RCS 운용에 필요한 최소 인원은 몇 명인가. “RCS를 운용하는 조직의 기술력에 따라 최소 1명에서 10명 이상이다. 실제 감염을 담당하는 인력, 백도어(비밀 접근통로)를 구성하는 인력, 수집된 데이터를 분석하는 인력 등 크게 세 가지 역할로 나뉜다.”
해킹팀의 RCS 같은 프로그램을 만들 수 있는 기술력을 지닌 회사는 세계에 몇 개쯤 되나.“현재로서는 이 같은 기술을 소수 업체만 갖고 있는 것은 아니다. 몇 년 전에 비해 기술이 많이 공개돼 있다. 규모가 큰 회사들은 감청 프로그램을 만들 수 있다. 그러나 감청 프로그램은 유지·보수에 많은 노력이 필요하고 점점 발전하는 백신이나 사이버 보안 소프트웨어에 대응해야 한다.”
스스로 목숨을 끊은 국정원 직원은 유서에서 ‘자료를 삭제했다’고 했다. 국정원은 삭제한 자료를 100% 복구할 수 있다고 말한다. 100% 복구는 가능한가?. “국정원 직원의 죽음에 커다란 슬픔을 느낀다. 지금도 왜 그가 목숨을 끊었는지 이해할 수 없다. 그가 데이터베이스에서 증거자료를 내려받아 삭제했다면 데이터베이스에 데이터가 남아 있을 것이다. 데이터베이스 자체에서 자료를 삭제했다면 디지털포렌식(디지털 정보를 분석하는 과학수사 기법)으로 복구할 수 있는 가능성이 있다.
다만 이 경우에는 삭제 후 서버의 전원을 곧바로 내렸어야 한다. 그러나 분명히 하고 싶은 것은, 실제로 국정원 직원이 어떻게 삭제했는지 모르기 때문에 (복구 여부에 대해) 내가 분명하게 말할 수 없다는 점이다.” 경우에는 삭제 후 서버의 전원을 곧바로 내렸어야 한다. 그러나 분명히 하고 싶은 것은, 실제로 국정원 직원이 어떻게 삭제했는지 모르기 때문에 (복구 여부에 대해) 내가 분명하게 말할 수 없다는 점이다.”
국정원 서버에서 삭제된 데이터가 해킹팀 서버에 남아 있을 가능성은. “가능할 것이라고 생각하지 않는다. 해킹팀은 정보기관이 수행한 해킹 시도에 접근할 권한이 없었다. 국정원 서버의 데이터를 해킹팀에서 원격으로 삭제하는 것도 불가능하다.” RCS 프로그램은 흔적을 남기지 않는 걸로 알려져 있다. RCS로부터 PC나 휴대폰을 보호할 수 있는 방법은 뭔가.
“조금도 흔적을 남기지 않는 프로그램이 있다고 생각하지는 않는다. 그러나 컴퓨터를 완벽하게 보호할 수 있는 마술 지팡이는 없다. 강력한 백신 프로그램을 설치하는 게 좋다. 휴대폰 해킹이 쉽진 않지만 휴대폰을 보호할 수 있는 강력한 도구도 없다. 안드로이드폰은 정체를 알 수 없는 프로그램은 설치할 수 없도록 설정하고 iOS를 사용하는 휴대폰은 순정품으로 써야 한다. 그러나 그렇다 하더라도 100% 안전하진 않다.”
국경없는기자회는 해킹팀을 ‘인터넷의 적’으로 규정했다. 해킹팀이 RCS 프로그램을 인권을 억압하는 국가에 판매했다는 이유에서다. 해킹팀 내부에서는 이와 관련한 문제 제기가 없었나.“내가 모든 걸 알지는 못하지만 적어도 한 차례 이상 그 문제와 관련된 논쟁이 있었다. 합법적으로 범죄자를 추적하는 수단이라고 생각하고 개발한 도구가 무고한 사람들을 억압하는 수단으로 사용됐다는 사실을 알고도 아무렇지 않을 사람은 없다.”
해킹팀에서는 몇 년이나 일했나?. “7년간 일했다. 2년차 때부터는 모바일 연구·개발(R&D)팀의 책임자였다.” - 해킹팀은 왜 그만뒀나?. “회사 경영 방식이 마음에 들지 않았다. 팀 간 소통이 부족했다. 그리고 RCS가 인권을 억압하는 데 사용됐다는 사실이 알려진 다음에는 더 이상 내가 옳은 일을 하고 있다는 생각을 할 수 없었다.” <정원식 기자 bachwsik@kyunghyang.com>