[디지털데일리 이유지기자] 국가정보원 해킹 논란이 여전히 정치권에서 계속되고 있다. 국정원이 ‘해킹팀’에서 사들인 감시 툴로 일반 국민을 사찰, 감시하는데 이용했는지 여부가 쟁점이다. 하지만 의혹을 입증하기도, 또 해소하기도 어려운 상황에서 시간만 지나가고 있는 형국이다.

이번 논란이 어떻게 결말을 맺을지 안갯속이다.

그러나 확실한 것 하나는 이제는 IT·보안 관련 직종 종사자가 아닌 일반인들도 상당수가 국가기관과 거래하고 있는 ‘해킹팀’이라는 업체와 RCS(원격제어시스템)란 도구의 존재를 알게 됐다는 점이다.

그런데 국정원 해킹 관련기사나 다양한 전문가들의 기고를 보면 해킹팀을 ‘보안업체’로 지칭하는 것을 흔히 볼 수 있다. ‘이탈리아 보안업체인 해킹팀’같은 표현이다.

그런데 해킹팀을 이렇게 보안업체로 보는 게 맞을까?

기자는 이 이슈가 불거진 초창기부터 이런 의구심이 떠나지 않았다. 그래서 기사를 작성할 때 ‘보안업체’란 표현은 극구 피했다. 이번 이슈를 접하기 전에는 사실 기자도 해킹팀이라는 업체를 전혀 알지 못했다.

그런 상황에서 누구나 얘기하는대로 별 생각없이 ‘보안업체’라고 규정하기엔 너무나 불편했다. 자칫 독자들에게 해킹팀의 사업이 정보보호, 사이버보안업체들이 영위하는 사업방식 가운데 한 종류처럼 여겨질 수 있다는 우려가 작용했다.

그 이유로는 우선 해킹팀의 사업방식 때문이다. 해킹팀이 해킹을 당해 공개된 내부자료를 보면 해킹팀은 PC나 스마트폰 등에 도감청과 정보유출이 가능한 프로그램인 RCS를 제공한다.

RCS를 사용자들에게 설치해야 그들의 ‘고객(국가기관)’이 목적을 달성할 수 있기 때문에 신규 제로데이 취약점을 이용한 공격수법(익스플로이트)을 사용했다. 블로그나 웹사이트, 문서 파일에 악성코드를 숨겨놓고 PC나 스마트폰을 감염시키는 방식을 사용했다.

‘고객’의 의뢰에 따라 하는 일이지만 사용자 모르게 악성코드를 감염시켜 RCS를 설치하도록 한다. 자칫하면 ‘타깃(대상)’이 아닌 불특정 다수가 악성코드 감염 피해를 입을 수 있다는 점에서 위험하다.

이런 방식은 여느 악의적인 공격자들과 같은 수법이다. 물론 이는 해킹팀이 직접 수행하는 것은 아니다. 자신들과 거래하는 정부 관련기관의 요구대로 만들어 제공한다.

스스로 ‘감시 툴’이라고 칭하는 스파이웨어, 해킹 툴을 만들고 제공하고 교육을 시켜주기도 한다.

물론 해킹 툴을 제공한다고 해서 보안업체가 아니라고 할 수는 없다. 이들이 자기들을 ‘오펜시브 시큐리티(Offensive Security)’ 업체라고 표현했던 이유도 비슷하다.

‘오펜시브 시큐리티’ 업체들은 선제적 보안 방안으로 해킹 툴을 이용하거나 취약점을 찾는다. 취약점 관련 익스플로잇을 개발해 사용하기도 한다. 내부 정보시스템을 대상으로 침투테스트를 벌이고 취약점을 찾을 수 있도록 지원하는 것이다. 실제 사이버공격을 해보면 어느 부분이 현재 취약한지 알고 조치할 수 있기 때문이다.

이 경우는 주로 기업이 자체 시스템이나 제공할 서비스 상품의 보안수준과 보안체계를 강화하는 용도로 구매한다. 일종의 보안테스트를 위한 방법이다.

또는 전문 보안컨설팅 기업이 이들로부터 툴을 사서 고객사를 대상으로 모의해킹이나 침투테스트를 벌이고 취약점을 찾는다. 이들이 제공하는 보안서비스는 고객의 승인 하에 한정된 시스템을 대상으로 이뤄진다.

기업이 화이트해커나 모의해커를 고용하는 이유와 비슷하다. 해킹팀은 기자가 알고 있던 여느 보안업체들과는 좀 다른 방식으로 사업을 영위해 왔다.

국내 여러 보안전문가들도 이들이 사용하는 방식이 전형적인 음지에 있는 자들이 악성코드를 감염시키는 수법과 같다는 점을 지적하기도 했다.

안랩 연구소장과 SK커뮤니케이션즈에서 최고정보보안책임자(CSO)를 지낸 강은성 CISO랩 대표는 “해킹팀은 보안업체가 아니다”는 견해를 내놓기도 했다.

강 대표는 “해킹팀은 악성코드 판매와 청부해킹같은 사이버범죄 행위를 사업화한 회사”라며 “자칫 국내에서 해킹팀과 같은 행위를 보안업체의 한 사업영역으로 인식할까 우려스럽다”고 지적했다.

다른 전문가 역시 “보안업체라기 보다는 오히려 ‘방산업체’나 ‘무기거래업체’라고 봐야할 것”이라고 말하기도 했다.

해킹팀의 사업방식에 대해 해외에서도 논란이 있는 것이 사실이다. 그동안 ‘국경없는 기자회’ 등 국제 인권단체들은 해킹팀을 ‘인터넷의 적’으로 지탄해왔다고 한다. 여러 나라에서 인권탄압과 시민감시에 그 프로그램이 악용되고 있다는 이유에서다.

여러 논란이 있는 탓에 해킹팀도 자신들이 합법적으로 사업을 벌이고 있다는 점을 강조한다. 더욱이 법집행기관의 수사관들이 범죄자나 테러리스트를 추적할 수 있도록 강력한 툴을 제공해왔다는 점을 강조하면서 사업 정당성을 확보하는데 노력을 기울이고 있다.

다비드 빈첸체티 최고경영자(CEO)는 영국의 인터내셔널비즈니스타임스(IBT)에 최근 기고한 글에서 “해킹팀의 기술은 항상 법 테두리 안에서 판매했다. 해킹팀의 감시 툴은 오직 법집행 용도로 제공됐으며, 개별 사업 용도나 개인에게 제공하지 않았다”고 밝혔다.

또 “해킹팀은 범죄자나 테러리즘 또는 다른 불법행위 용의자에 대해 감시행위를 하지 않는다. 이 업무는 법 집행기관의 일”이라며 “고객이 행한 조사 데이터는 고객의 컴퓨터 시스템에 저장돼 있다”고 강조했다.

더욱이 그는 “프라이버시 보호는 우리도 공유하고 있는 가치”라며 “프라이버시 보호 요구를 인식해 해킹팀은 몇년 전 감시기술 고객 행위에 대한 기준을 만들었고, 관련 법규제를 준수하고 있다”고 말했다.

그 일환으로 에디오피아, 수단, 러시아에 감시 툴을 판매하긴 했지만 이후 자신들의 의사에 따라 비즈니스 관계를 정리했다는 사실도 덧붙였다.

실제로 해킹팀은 주로 국가기관을 대상으로 거래해 왔다. 국정원같은 정보기관도 있지만 대부분은 법집행기관이다.

그럼에도 여전히 기자는 해킹팀을 일반적인 ‘사이버보안업체’라고 볼 수는 없다는 생각이다. 별 뜻 없이 사용하는 말이 잘못된 사회적 인식과 문화를 만들 수 있다. 그렇기 때문에 신중해야 한다.

이번에 불거진 국정원 민간 사찰 의혹과 논란을 계기로 앞으로 다양한 논의가 필요하다는 생각이다.

IT업계에서 ‘오펜시브 시큐리티’에 대한 정의와 범위, 방식은 물론이고 해킹팀처럼 자칫 관련업체가 사용하는 툴이나 침투를 위해 제작한 방법이 유출되거나 공개됐을 때 미치는 악영향까지 생각할 필요가 있다.

더욱이 해킹팀이 제공한 것과 같은 감시 툴을 국가안보나 범죄수사에 이용할 때 정보인권이나 사생활 침해로 인한 피해를 최소화할 수 있도록 현행 법체계에서 보완해야 할 점이 있는지 들여다봐야 한다.

지난달 30일 오픈넷과 진보네트워크센터, P2P재단코리아준비위원회 등 시민단체가 연 토론회에서 관련문제점이 제기되고 논의가 이뤄지긴 했지만 다른 정치 쟁점 때문에 가려진 측면이 있다.

<이유지 기자>yjlee@ddaily.co.kr

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지