[커버스토리]③창과 방패의 전쟁..'해킹 정보전과 화이트 해커'

[이데일리 김현아 기자] 이탈리아의 스파이웨어 개발업체 해킹팀( Hacking Team)이 외부 공격을 받아 사업내용이 인터넷에 유출되자 국제사회에 파문이 일고 있다. 이 회사와 거래한 35개국 97개 정보수사기관의 이름과 활동상이 인터넷에 공개된 것이다.

미국 연방수사국(FBI), 마약단속국(DEA), 호주 연방 경찰(AFP), 러시아 연방보안청(FSB) 등과 함께 국가정보원도 ‘5163부대’로 이름을 올렸다.

이병호 국정원장은 이 회사의 해킹 프로그램(원격조정시스템, RCS)을 도입한 사실을 인정했지만, “대북·해외정보전을 위한 것이며, 국민을 상대로 이런(해킹) 활동을 하는 것은 있을 수 없다. 만약 그렇다면 어떤 처벌도 받겠다”고 말했다.

국정원이 해킹 프로그램을 샀다는 사실은 특별한 것은 아니다. 해킹팀뿐 아니라, 유럽의 감마 인터내셔널과 핀피셔, 이스라엘 NSO 등 각국 정보수사기관이 고객인 스파이 프로그램 제작사들이 존재한다.

권석철 큐브피아 대표는 “각 나라 국가기관에 맞춤형 해킹 도구를 파는 회사들은 세계적으로 50여개가 있다”면서 “국정원이 대테러활동 등 국가안보를 위해 썼다면 문제가 안 되고, 민간인 사찰용이었다면 슬픈 역사가 된다”고 말했다.

왜 정보수사기관들은 해킹프로그램을 사갈까

각 국의 정보수사기관이 감시·도청·감청용 스파이웨어를 사는 이유는 정보 수집 영역이 PC나 스마트폰으로 쏠리기 때문이다. 하지만 유선통신과 달리 이동통신은 감청이 어렵다. 법원 영장이 있는 합법 감청도 마찬가지다. 이동통신망 암호가 유선보다 강력한 데다, 특정 회선을 분리하는 협조 설비가 없기 때문이다.

그래서 수사기관들은 스파이 프로그램을 구매해 특정인의 스마트폰에 심는 방법을 쓴다. 프로그램이 설치되면 음성통화나 문자뿐 아니라 카메라로 현장을 녹화해 전송한다.

김승주 고려대 정보보호대학원 교수는 “예전에는 각 나라 정부기관은 들키면 문제가 커지는 해킹까지는 고민을 안 했다”면서 “주로 암호화 해독에 집중했는데 이동통신사가 막히면서 스마트폰 해킹으로 가는 것”이라고 말했다.

숨을 자유를 돕는 화이트 해커들

국정원이 구입한 RCS는 세상에 알려지지 않은 취약점(제로데이 취약점)을 심어 공격하기 때문에 시중에서 파는 컴퓨터 프로그램 백신으로는 막을 수 없다.

하지만 제로데이 취약점은 해킹 프로그램 개발에만 이용되는 것은 아니다. 막는데도 활용된다. 지난 3월 한국의 화이트 해커는 미국 휴렛패커드(HP)가 주최한 세계적인 보안 대회 ‘폰투오운 2015’에서 구글 크롬, 마이크로소프트(MS) 익스플로러 11, 애플 사파리 등의 보안 취약점을 발견해 총 22만5000달러(약 2억5000만원)의 상금을 차지했다. 역대 최대규모였다. 주인공은 국내 보안업체 라온시큐어의 이정훈 연구원. 그는 총 7개의 보안 취약점을 통해 3개의 브라우저를 해킹하는데 성공했다.

HP 같은 글로벌 기업이나 각국 정부가 보얀 취약점 경진대회를 여는 것은 해킹기술을 가진 개발자들이 음지에서 해당 기술을 팔지 말고 양지로 들어오라는 의미다.

이들이 발견한 취약점은 운영체제(OS)나 웹브라우저 등을 안전하게 업데이트 하는데 기여하고, 외부 공격에 대한 노출을 줄여 숨을 수 있는 자유도 준다.