새정치, 유출자료 분석 결과 "KTㆍ다음카카오ㆍ서울대 등 포함"
"최대 20명만 해킹할 수 있는 규모"… 국정원의 기존 해명과 전면 배치
광범위한 국내 사찰 시도 가능성
야당은 이탈리아 업체 ‘해킹팀’의 유출자료에서 발견한 국내 인터넷 IP 주소 138개를 근거로 국가정보원의 국내 사찰 의혹에 대한 공세를 이어갔다. 국정원과 여당은 즉각 “해킹팀에 대한 디도스 공격의 흔적일 뿐”이라며 IP 주소와 국정원이 무관하다고 반박했다.
새정치민주연합 국민정보지키기 위원회(위원장 안철수) 소속 신경민 의원은 19일 해킹팀 유출자료의 로그파일을 분석한 결과, 지난해 3월4일 오후 1시 4~5분, 같은 날 3시 44~45분 사이 해킹팀이 두 차례에 걸쳐 한국 IP 주소 138곳에서 특정 데이터를 전송 받았다는 기록을 확보했다. 해킹팀에 데이터를 전송한 IP는 KT와 다음카카오를 포함해, 서울대학교와 KBS와 같은 공공기관까지 포함된 것으로 확인됐다.
신 의원은 이 같은 IP 기록이 “최대 20명만 해킹할 수 있는 규모의 프로그램만 구매했다”, “해외, 북한 정보 수집용으로만 사용했다”는 기존 국정원의 해명과 정면으로 배치된다는 입장이다. 불과 몇 분 사이에 100곳이 넘는 국내 IP에서 자료를 전송 받은 점을 볼 때 ‘최대 20명’ 주장을 믿기 어렵고, 국민 정보 생활과 가장 밀접한 KT와 다음카카오가 포함된 점을 봐도 해외와 북한이 아니라 국내 사찰을 시도한 것이라는 논리다.
그러나 국정원과 새누리당은 “국내 IP의 자료 전송은 특정 해커가 해킹팀을 대상으로 디도스 공격을 벌일 때 사용한 것으로 추정된다”며 국내 사찰과 무관하다고 강조했다. 신 의원이 지적한 시간에 70개국의 4만4,718개 인터넷 IP 주소가 동시에 해킹팀으로 자료를 보낸 정황을 고려하면 전형적인 디도스 공격에 불과하다는 것이다. 이철우 새누리당 국회 정보위원회 간사는 “다음카카오 등이 (신 의원 기록에) 등장하는 것은 이들 IP가 해커들로부터 ‘좀비 피씨’로 사용됐기 때문”이라고 설명했다.
신 의원의 기록이 해킹팀 자체 중계서버 확보 작업의 결과물이라는 분석도 제기된다. 실제로 한국일보가 신 의원의 IP 리스트를 핑(Ping) 테스트를 실시해 TTL값을 확인한 결과, 요청시간이 만료된 경우를 제외하고 통신이 살아있는 IP 주소 대부분이 유닉스나 리눅스 계열의 서버나 장비인 것으로 추정됐다. 이는 국정원이 해킹팀에 “윈도우 PC와 휴대폰 안드로이드 운영체제에 악성코드를 심겠다”고 주문했던 것과 배치되는 결과다.
한 보안 전문가는 “국정원 주문에 충실히 따랐다면, 국내 모바일 시장의 50%를 차지하는 SK텔레콤 등도 포함됐어야 했지만 (신 의원) 기록엔 없다”고 지적했다. 정황상 의심은 되지만 기술적으론 국정원의 국내 사찰의 직접 증거가 되긴 어렵다는 것이다.
신 의원은 이에 대해 “IP 기록만으로는 어떤 데이터가 전송된 것인지 등의 이유까지 파악하긴 어렵다”며 지적을 일부 수긍하면서도 국정원에 대한 공세의 끈을 놓지 않았다. 신 의원 측은 “IP 주소 대부분이 KT나 대학교 등의 서버였다는 점이 중요하다”며 “이들 IP에 바이러스를 심어 일반 국민의 PC나 휴대폰으로 침투해 정보를 해킹했을 가능성은 오히려 높아졌다”고 주장했다. 발견된 IP 주소를 직접 해킹한 것이 아니라, 해당 주소를 새로운 ‘숙주’로 삼고 광범위한 사찰을 시도했다는 추론이 가능한 대목이란 얘기다.
최진주기자 pariscom@hankookilbo.com
정재호기자 next88@hankookilbo.com
기사 URL이 복사되었습니다.
댓글0