[단독]국정원, 伊해킹팀 접촉 사실 2014년부터 은폐 시도

외신이 거래 폭로하자 “서버 옮겨라”… “해킹 증거 나와선 안된다” 메일

국가정보원이 해킹 프로그램 구입 사실을 숨기기 위해 이탈리아 보안업체 ‘해킹팀’에 우회 서버 이용을 요구하거나 은행 서류에서 ‘군(Army)’이라는 표현을 지워 달라고 요청한 것으로 16일 확인됐다.

국정원 관계자의 계정으로 알려진 ‘데빌엔젤(devilangel1004)’이 해킹팀에 e메일을 보낸 것은 지난해 3월 14일. “한국을 포함해 21개국이 해킹팀과 거래했다”는 캐나다 토론토대 연구팀 ‘시티즌랩’의 발표 내용이 외신에 소개된 뒤였다. 데빌엔젤은 “보안이 생명인데 (시티즌랩의) 폭로 탓에 문제가 생겼다. 해킹 프로그램을 (어느 곳에서 공격했는지 드러나지 않는) 가상사설서버(VPS)로 옮기자”고 해킹팀에 제안했다. VPS는 프로그램이 설치된 장소와 해킹 공격지점이 바로 드러나지 않게 할 수 있어, 해커들이 추적을 피하기 위해 주로 사용한다. 데빌엔젤은 “다른 나라는 몰라도 한국에서 (해킹 프로그램 사용) 증거가 나와선 안 된다”는 말도 덧붙였다.

국정원 측은 대금 지불 과정에서도 높은 수준의 보안을 요구했다. 국정원에 해킹 프로그램 구입을 중개한 나나테크는 해킹팀에 올해 2월 유럽 중개은행에 보낼 서류에서 지불자의 분류를 ‘군’에서 ‘기타’로 바꿔 달라고 요구했다. 2012년엔 거래 품목을 ‘군 장비’가 아닌 ‘소프트웨어’라고 바꿔서 기재해 달라고 했다. 국정원의 해킹 프로그램 구입 사실을 숨기기 위한 의도였을 가능성이 있다.

해킹팀은 시티즌랩의 발표 이후엔 국내 온라인 매체에 게재된 시티즌랩 연구원의 인터뷰 기사까지 번역해 서로 e메일로 공유할 정도였다. 해킹팀 관계자들의 내부 e메일에선 “SKA(국정원의 위장 명칭)는 아시아태평양 지역에서 가장 중요한 고객”이라는 표현이 자주 등장한다.

국정원은 16일 각종 의혹에 대해 “우리가 회선을 연결해 해킹하는 게 아니라 대상자를 이탈리아 본사에 통보해 주면 그들이 해킹한다. 20명분을 구입했으면 그만큼만 가능하다”며 “이 프로그램은 카카오톡 수집 기능이 없고 대공 혐의점이 있는 사람에게만 사용했다”고 해명했다. 또 일부 언론이 제기한 ‘국내 변호사를 해킹 타깃으로 삼았다’는 의혹에 대해선 “몽골경찰(MOACA)이 몽골 변호사를 타깃으로 한 것인데, 위키리크스가 한국 것으로 잘못 분류해 놓은 것이다”라고 설명했다.

한편 황교안 국무총리는 이날 국회 예산결산특별위원회에 출석해 “국가기관이 도청을 한다든지 감청을 하는 부분이 있어선 안 된다”라며 “해킹 프로그램 구입 자체가 불법이라 생각되진 않지만 그것을 불법으로 이용하는 건 문제가 될 수 있다”고 밝혔다.

조건희 becom@donga.com·곽도영·윤완준 기자