국정원 해킹 프로그램 도입 나나테크, 인가 안 받아..처벌 불가능

[이데일리 김현아 기자] 국가정보원의 요구로 스마트폰 해킹 프로그램을 구매하는데 관여한 나나테크는 미래창조과학부로부터 감청설비 인가를 받지 않은 것으로 확인됐다. 하지만 현행 통신비밀보호법(통비법)으로 처벌할 수 없는 것으로 드러나, 법에 구멍이 뚫린 것 아니냐는 비판이 일고 있다.

나나테크는 이탈리아의 해킹 프로그램 개발업체 해킹팀으로부터 국정원을 대신해 스마트폰 스파이웨어 프로그램 아르시에스(RCS)를 구매한 것으로 알려졌다. 이는 해킹팀이 외부 해킹공격을 받은 뒤 유출된 내부 문서 고객 리스트에 국정원과 같은 주소를 쓰는 5163부대가 포함됐고, 일부 언론을 통해 나나테크가 해킹팀과 주고 받은 이메일이 공개되면서 확인됐다.

▲이탈리아 해킹 프로그램 개발업체 해킹팀의 고객 리스트(출처: 허핑턴포스트코리아)

통비법에 따르면 기업이나 개인이 감청설비를 제조·수입·판매·소비사용하거나 이를 위한 광고를 하려면 미래부 장관의 인가를 받아야 하지만, 나나테크는 인가받은 사실이 없는 것이다.

미래부 관계자는 13일 “나나테크로부터 인가신청을 받은 바 없다”면서 “현재 신청되는 감청설비는 대부분 국내 기업이 개발한 유선통신에 대한 것으로 1년에 한번도 안 된다”고 말했다.

민간이 인가받지 않은 감청설비를 도입하면 5년이하의 징역이나 3천만원 이하의 벌금을 받는다. 하지만 나나테크의 경우 처벌이 불가능하다.

미래부 관계자는 “통비법상 감청설비의 정의 조항에는 소프트웨어가 포함돼 있지 않다”면서 “RCS를 감청설비로 보기 어렵다”고 말했다.해당 법에서는 감청설비를 ‘대화 또는 전기통신의 감청에 사용될 수 있는 전자장치·기계장치 기타 설비’로 정의하는데, 이는 하드웨어가 포함된 개념으로 RCS와는 다르다는 얘기다.

그러나 나나테크가 이탈리아 해킹팀으로부터 RCS를 도입해 직접 서버에 장착했다면 얘기가 달라진다. 이 경우 국내에서 감청설비를 제조한 것으로 판단돼 처벌할 수 있다.

경실련 경제정의센터 김보라미 변호사는 “통비법은 만들어진지 20년이 돼 예전의 유선통신 시절에 맞춰 감청설비 조항이 만들어졌다. 미래부의 법해석이 틀렸다고는 볼수 없다”면서도 “하지만 서버에 해당 프로그램을 설치하는 순간 감청설비 제조가 되는데, 만약 이 작업을 나나테크가 했다면 통비법 위반이 된다”고 말했다.

문제는 미래부로선 해당 해킹프로그램을 서버에 장착한 곳이 나나테크인지, 국정원인지 확인할 길이 없다는 점이다.

통비법에 따르면 정보수사기관(국정원)이 감청설비를 도입할 경우에는 미래부 장관의 인가를 받을 필요가 없지만, 매 반기별로 그 제원 및 성능 등을 국회 정보위원회에 통보해야 한다.

국정원이 이 설비로 국민을 감청하려면 작전 등 군용전기통신이 아닌 경우라면 고등법원 수석부장판사의 허가를 득해야 하고, 감청대상자가 외국인의 경우에는 서면으로 대통령의 승인을 얻어야 한다.

보안업계 전문가는 “나나테크가 해당 해킹 프로그램을 직접 서버에 장착했는지, 국정원이 했는지 여부를 미래부가 확인하기는 어려울 것”이라면서 “이런 상황에서 미래부 장관이 민간의 감청설비를 제대로 관리할 수 있을지 의문”이라고 말했다.

통신사 관계자는 “나나테크로부터 통신장비를 도입받지만 해당 프로그램의 장착에 대해서는 어떤 얘기도 들어본 적이 없다”고 말했다.