Untitled-1

“국정원 추정 5163부대, 미디어오늘 기자 사칭 의혹”

취재빙자 이메일로 스파이웨어 발송, 천안함 전문가 해킹 시도 정황… 해킹팀에 “공격 파일로 바꿔달라 요청”

조현호 장슬기 기자 | wit@mediatoday.co.kr

국가정보원으로 추정되는 ‘육군 5163부대’가 본지(미디어오늘) 기자 문의를 사칭해 천안함 사건 관련 연구자의 컴퓨터에 스파이웨어를 심으려고 한 정황이 드러났다고 오마이뉴스가 보도했다. 본지 기자가 보낸 것처럼 작성된 파일과 관련해 미디어오늘은 그러한 내용이 담긴 메일을 누구에게도 보낸 사실이 없다.

12일 오마이뉴스는 “해킹을 당해 공개된 이탈리아 웹·모바일 감시용 스파이웨어 솔루션 개발업체 해킹팀의 내부자료를 오마이뉴스가 검토한 결과, 미디어오늘 기자를 사칭한 것으로 보이는 첨부 파일이 발견됐다”며 “정부가 천안함을 침몰시켰다고 발표한 ‘1번 어뢰’와 관련해 전문가에게 의견을 요청하는 것처럼 속여 전문가의 컴퓨터를 스파이웨어에 감염시키려고 한 것으로 보인다”고 보도했다.

이 이메일 자료는 이탈리아 해킹 프로그램 업체 ‘해킹팀(Hacking Team)’이 해킹을 당해 공개된 자료 가운데 일부로 고객 명단 가운데 한국의 5163부대가 8억6000만원 상당의 해킹 프로그램을 구매한 정황이 드러나 논란이 확산되고 있다. 5163부대가 국정원이 대외활동을 할 때 사용하는 가칭 가운데 하나로 알려져 이 해킹 프로그램의 용도를 놓고 의혹이 계속될 것으로 보인다. 국내법상 스파이웨어를 사용하는 건 설령 합법적인 용도라 하더라도 불법이다.

이들이 구입한 것으로 드러난 RCS(Remote Control System)라는 감시프로그램은 대상을 해킹하는 수법으로 데스크 톱과 모바일 기기를 모두 감시할 수 있고, g메일, 페이스북은 물론 SNS의 통신 내용까지 감시할 수 있는 것으로 알려져 있다. 국정원은 휴대전화에서 음성대화 모니터링 기능을 요구했고 관련 계약을 체결한 것으로 드러났다. 현재 소요 예산은 8억원이 넘는 것으로 추정되고 있다. 이 감시프로그램의 운용 부서는 2차장 산하 국내정치파트로 추정되며 올해인 2015년 7월 1일자의 이메일이 작성됐다.

오마이뉴스에 따르면 이른바 ‘해킹팀’의 한 ‘고객’(해킹 담당자-편집자주)이 지난 2013년 10월 4일 해킹팀에 하나의 MS 워드 파일을 보내 “익스플로이트 공격 doc 파일로 바꿀 원본 doc 파일을 첨부했다”고 한 정황이 드러났다. 해킹팀이 이 파일을 공격 파일로 바꿔주면, 감시 대상자에게 이 파일을 보내 열도록 하겠다는 것이라고 오마이뉴스는 전했다.

이 매체가 공개한 문제의 첨부파일은 1쪽짜리 문서파일로 돼 있으며 ‘천안함 1번 어뢰 부식사진 의문사항 문의(미디어 오늘 조현우 기자)’라는 제목의 문서이다. 수신자가 누구인지는 드러나 있지 않다.

이 문서에는 “안녕하세요 「미디어오늘」의 조현우 기자입니다. 천안함 침몰원인에 있어 의문사항이 있어 질의 드립니다”라며 “정부측에서 밝힌 어뢰에 쓰인 1번 글씨가 북한의 소행이라는 결정적인 증거라고 발표하였지만, 한국과 미국의 군사 전문가들로부터 많은 의문점을 제시하고 있는 상황”이라고 쓰여있다.

124026_150475_4715
▲ 12일 오마이뉴스가 공개한 미디어오늘 기자 사칭 이메일 첨부문서. 사진=오마이뉴스

 

또한 문서엔 “조사반인 애클스 단장에 의하면 ‘어뢰 폭발의 열기에도 어떻게 글씨가 없어지지 않는지 의문이다’라고 의견을 피력하였습니다”라며 “이와 관련하여 최근에 촬영된 1번어뢰(부식이 상당히 진행) 사진을 첨부하여 보내오니 의견을 회신하여 주시면 감사하겠습니다”라고 문의한 것으로 돼 있다.

문서는 천안함 1번 어뢰사진 3매를 제시한 뒤 “최근에 촬영된 위 사진에서 볼 때 1번이라고 쓰여진 부분이 완전히 없어졌으며 최초에 북한군에서 적은 것이라면 이렇게 쉽게 없어질 수가 있는지 의문이 있습니다”라며 “과연 과학적으로 이렇듯 글씨가 시간이 경과하면 없어질 수가 있는지 박사님의 의견을 듣고 싶습니다”라고 물었다.

이 문서의 작성자는 미디어오늘 조현우로 돼 있지만, 미디어오늘에서 천안함 관련 취재 보도를 해온 기자는 조현호 기자이다. 또한 기자는 지난 2013년 10월 4일 이 같은 내용의 이메일을 어떠한 ‘박사’에게도 보낸 일이 없으며, 다른 시기와 다른 취재원에게도 이러한 이메일을 보낸 적이 없다. 잠수함 전문가인 안수명 박사와 이승헌 미국 버지니아대 교수, 서재정 국제기독교대 교수(당시 미국 존스홉킨스대 교수) 등 재미 학자를 비롯해 국내의 어떤 (박사급) 학자들에게도 이 같은 메일을 보낸 사실이 없다. 또한 해당 파일에 적힌 글의 문장도 기자가 쓰는 방식과 크게 다르다. 조현호 기자가 ‘조현우’라고 이름을 실수로 적을 가능성도 거의 없고 미디어오늘 제호에 꺽쇠 표시가 된 것도 미디어오늘 표기 원칙과 다르다.

오마이뉴스는 이와 관련해 “천안함 관련 의혹을 제기하고 있는 연구자의 컴퓨터를 해킹 팀의 스파이웨어에 감염시키기 위한 시도였던 것으로 보인다”며 “조현호 미디어오늘 기자와 비슷한 이름으로 감시대상 연구자에게 문의 메일을 보내고 첨부 파일 열기를 유도한 게 아닌가 추정된다”고 분석했다.

오마이뉴스는 “이 같은 시도는 실패한 것으로 파악된다”며 “이 ‘고객’은 19일 뒤인 (그해) 10월 23일 같은 첨부 파일을 다시 보내면서 ‘먼젓번의 감염 시도는 실패한 것 같다, 다른 타깃에게 워드 파일 익스플로이트 공격을 하고자 하니 다시 작업해 달라’고 요청했다. 이후 반복된 시도가 성공했는지는 확인되지 않는다”고 전했다.

124026_150476_5017
▲ 천안함 1번 어뢰

 

해킹팀 ‘고객’의 실체에 대해 오마이뉴스는 “2012년 초부터 <해킹 팀>과 계약해 ‘Remote Control System'(아래 RCS)을 운용해온 ‘한국 육군 5163부대’의 일원으로 보인다”며 “이 부대 명칭은 국가정보원이 대외에 위장할 때 쓰는 것으로, 국가정보원 관련자일 가능성이 크다”고 설명했다.

이를 보도한 안홍기 오마이뉴스 기자는 12일 미디어오늘과 인터뷰에서 “위키리크스에서 이메일로 공개한 이메일 내용을 검색해서 찾은 것”이라며 “메일이 (실제로 어떤 박사에게 갔는지에 대한) 오고간 내역은 없고, 첨부파일만 있다”고 밝혔다.

안 기자는 해당 문서파일과 관련해 “해킹팀 내의 스파이웨어를 만드는 사람들끼리 서로 ‘일처리를 어떻게 할 것이냐, 한국 고객한테서 클레임이 있다’ 등의 이메일을 주고 받는 내용에 포함된 첨부파일이며, 해당 고객을 ‘사우스코리아아미’라고 거론했다”며 “해커팀의 한국 고객 명단 중에 ‘육군 5163 부대’가 포함돼 있어 국정원일 가능성이 있다고 본 것”이라고 말했다.

이에 대해 국정원 대변인은 여러차례 전화와 문자메시지 질의를 보냈으나 답변하지 않았다.