[TF기획 ② 국정원 해킹 의혹] "메르스처럼 약이 없다"

"해킹 의혹, 진상규명 가능해" 지난 17일 출범한 새정치민주연합의 국민정보지키기위원회에 정보보안전문가로 합류한 권석철 큐브피아 대표는 22일 경기 성남시 분당구 판교디지털센터 내 큐브피아에서 '더팩트' 취재진과 만나 "국정원의 해킹 의혹은 장기전으로 흐르겠지만, 진상규명이 가능할 것으로 본다"고 밝혔다./판교디지털센터=배정한 기자

'국가정보원 해킹 의혹'이 정치권의 '블랙홀'로 떠올랐다. 최근 국정원이 이탈리아 해킹팀의 해킹 프로그램 구입을 시인했고, 업무를 담당한 임모 과장이 자살했다. 때문에 '국가 안보냐, 민간인 사찰이냐'를 놓고 '진실게임'이 벌어지고 있다. <더팩트>는 해킹 정의와 유형 및 예방책, 정보보안전문가 인터뷰, 시연 영상 등을 조명한다. <편집자 주>

2000년대 초반 토종 백신업계의 쌍두마차였던 안철수(53) 새정치민주연합 의원과 권석철(45, 국민정보지키기위원회 위원) 큐브피아 대표가 10년 만에 여의도에서 다시 만났다. 새정치민주연합은 지난 17일 국가정보원 해킹 관련 불법 사찰 의혹 진상조사를 할 '국민정보지키기위원회'를 꾸렸다. 안 의원은 위원장을 맡았고, 권 대표는 외부 전문가로 참여해 손을 잡았다. 서로 다른 명함을 지녔지만 안 의원과 권 대표는 한 곳을 바라본다.

국정원과 정치권이 얽힌 만큼 민간 정보보안업체로서 쉽지 않은 결정이었다. 하지만 권 대표는 "(국정원 해킹 의혹과 관련해) 심증과 물증은 충분하다"면서 "조각난 흔적들의 연결고리를 찾아 어떻게 묶어가느냐가 관건이고, 이것이 내가 해야 할 일"이라고 자신있게 말한다. <더팩트>는 22일 경기 성남시 분당구 판교디지털센터에 자리 잡은 큐브피아에서 권 대표를 만나 '국정원 해킹 의혹'과 관련해 궁금증을 풀어봤다.

◆ "안철수, 선의의 경쟁 관계"

"안 의원 만나니 묘했다" 10년 만에 다시 안 의원을 만난 심경을 묻자 권 대표가 "선의의 경쟁 관계였고, 기분이 묘했다"고 말하고 있다./배정한 기자

-안 의원이 직접 '국민정보지키기' 위원회 합류를 권했나. 그동안 한 번도 연락한 적 없나.

안 의원 의원실에서 연락이 와서 함께하게 됐다. 안 의원과는 20년 인연이다. 인하공전 전산과를 다녔던 1990년대 '바이러스'가 처음으로 세상에 나왔다. 보안 관련 학문에 열의가 있어 배우고 싶었지만 학교에서는 별다른 관심이 없었다. 당시 우리나라에선 안 의원만 바이러스 관련 연구를 하고 있었고, 마침 제자를 구한다고 해 제가 찾아가 조언을 구했다. '안철수컴퓨터바이러스연구소'가 만들어지기 직전인 1995년 회사에서 전산원으로 잠깐 일했지만 이후 의기투합하자는 멤버들이 생겨 따로 나와 '하우리'를 차렸다. '하우리'에서 개발한 바이러스 방어 프로그램인 '바이로봇'이 CIH(체르노빌) 바이러스를 만나면서 급격히 성장했다.

-10년 만에 만났을 때 어떤 생각이 들었나. 두 사람의 관계를 정의한다면.

안철수연구소의 'V3'와 선의의 경쟁을 하며 보안업계 '양대산맥'이 됐다. 그렇게 한참 달리다가 2005년 3월 각자 다른 이유로 업계를 떠났다. 안 의원은 미국으로 유학을 갔고 저는 사기사건에 연루가 돼 업계를 떠났다. 10년 뒤 만나니 기분이 묘했다. 같은 분야에 있다가 저는 해킹 전문가로 안 의원은 국회의원으로 돌아왔다.

-국정원과 정치권이 얽힌 만큼 합류하는데 고민은 없었나. 위원회에서 맡은 역할은 무엇인가.

부담스럽고 조심스러운 것이 사실이다. 하지만 제가 할 일이 있다고 생각했다. 이 사건이 밝혀지면 보안시장이 소용돌이칠 것 같다. 지금까지는 문제를 해결할 수 있는 수준의 해킹이었지만, 이번 '해킹팀'의 방법은 막을 수 없는 즉 알려지지 않은 악성코드가 쏟아져 나오고 있다. 분명한 것은 사용한 흔적들이 남아 있기 때문에 우리는 찾아낼 수 있다고 믿는다. 조각조각 있는 흔적들의 연관성을 찾아 어떻게 묶어느냐가 중요하고, 이 부분이 우리(국민정보지키기위원회)가 해야 할 일이다.

◆ "흩어진 흔적들 연결고리를 찾아야"

"연관성 찾는 게 관건" 국정원의 해킹 의혹은 "조각난 단서의 연관성을 찾는 게 관건"이라고 강조하는 권 대표. 지난 16일 권 대표가 새정치민주연합 당 대표 회의실에서 문재인(왼쪽) 대표와 이종걸 원내대표의 휴대전화 악성코드 감염검사를 실시했고, 해킹된 후대전화를 들고 있는 안철수(오른쪽) 위원장의 얼굴이 모니터에 잡히고 있다./국회=서민지 기자

-보안전문가로서 이번 '국가정보원 해킹 의혹'을 어떻게 보나.

엔지니어의 시선으로 볼 때 (해킹을) 했다는 정황은 있지만 아직 속단하기는 이르다. 심증과 물증은 모두 충분하다. 물증을 잇는 연결고리를 찾는 게 관건이다. 우리가 실시간으로 확인을 못 했기 때문이다. 자동차가 사고가 났는데 누군가가 뒤에서 들이받았는지, 스키드마크가 예전 것인지 지금 난 것인지, 자살인지 타살인지 급발진인지 등 실제 상황을 못 봤기 때문에 알 수 없다. 정확한 물증이 없어 (국정원이 해킹했다고) 확답하면 정쟁밖에 안 되는 꼴이다.

-이탈리아 해킹팀이 해킹당한 400GB 파일을 일부 분석해 보도되고 있는데, 믿을 만한 정보인가.

보도 내용 자체는 사실이다. 하지만 400GB를 일일이 해석하기보다 연관성을 찾아내는 작업들을 해야 한다. 예를 들어 연예인 전지현이 결혼한 사진이 보도됐다. 하지만 그 사진이 드라마 속에서 찍은 건지, 실제 결혼식에서 찍은 건지, 몰카인지 구분할 수 없다. 하지만 어쨌든 그 장면 자체는 결혼식장에서 찍은 사진이 맞다. 이처럼 해석의 여지가 여러 가지인데, 이번 사건을 해석하려면 전문가의 분석을 통해 공격자(해킹팀) 쪽에서 사안을 바라보고 결론을 도출해야 한다. 국회나 언론은 의혹을 끊임없이 던지고, 연관성을 찾아내는 기술적인 부분은 전문가에게 맡겨야 한다.

◆ "로그기록 복원, 삭제 방식에 달려"

"로그기록 자료 방대해" 권 대표는 국정원의 로그기록(접속기록)을 복원하다고 해도 분석과 종합하는 데 오랜 시간이 걸릴 것으로 내다봤다. 그가 취재진에게 공격자의 사용자 PC 해킹 장면을 시연하고 있다./배정한 기자

-조각난 단서의 연관성을 찾아야 한다면, 국정원의 한국 인터넷프로토콜(IP) 접속 흔적을 발견한 것도 민간인 사찰의 직접 증거가 될 수 없다는 얘기인가.

증거가 될 수 있다. 하지만 IP 흔적 자체만으로는 단정짓긴 어렵다. 흔적들을 짜 맞춰 증거를 만드는 작업이 필요하다. 우리는 해커들이 눈에 보이는 공격을 할 것으로 생각하는데 공격자(해킹팀) 측면에서 보면 들키지 않기 위해 위장을 해야 하지 않겠나. 보안 제품들도 공격자인지 사용자인지 구분을 못하게 접근한다. 심지어 OS(운영체제)조차 해커가 공격자인지 사용자인지 구분을 못한다. 해커들은 사용자가 눈치채지 못하도록 공간 안에서 함께 움직이고 있다. 흔적 하나만 가지고 '귀에 걸면 귀걸이 코에 걸면 코걸이' 식으로 해석할 수 있다.

-그렇다면 안 의원이 '핵심 단서'로 꼽은 로그기록 분석 역시 같은 의미로 받아들이면 되나.

같은 맥락이다. 로그파일 발견보다 연결된 것을 어떻게 묶느냐가 문제다. 로그파일은 누가 언제 이곳에 접속해서 어떤 일을 해 놨다는 기록들을 남긴 자료다. 로그기록은 PC, 스마트폰, 노트북 등 여러 기계에 남는데 이것을 모두 파악해서 지운다는 것은 쉬운 일이 아니다. 기록이 얼마나 퍼져있고, 지운 방법이 무엇이었느냐에 따라 복원 가능 여부를 알 수 있을 것 같다.

-야당에선 자살한 임 과장이 20년 보안전문가이기에 디가우징(Degaussing, 자기장을 가해 하드디스크를 훼손하는 방법)으로 로그기록을 훼손했을 것으로 본다.

그분이 정말 전문가라면 했을 것이다. 디가우저 방식으로 했다면 로그기록 복원은 불가능하다. 야당이 출력된 유인물이 아닌 원본 파일을 요구하는 것도 이 때문이다. 아니면 파일을 바꿨을 가능성도 있다. 데이터가 있다고 해서 진짜인지 가짜인지는 알 수 없다. 국정원이 이달 안에 삭제된 기록을 복원하겠다는 것은 그동안 보관하고 있었던 로그 기록을 수집해 정보위원들에게 전달하는 것을 의미한다. 문제는 그 이후다. 받은 방대한 자료들을 실제로 분석하고 연결고리를 찾는 작업들이 필요하다.

◆ "장기전으로 흐를 가능성도 있다"

"메르처럼 약이 없다" 국정원이 구입한 RCS는 "제로데이(취약점, 해킹 공격에 따른 방어와 치료 백신을 개발하는 기간)에 기반했기 때문에 현재로선 메르스(MERS, 중동호흡기증후군)처럼 약이 없다"고 설명하는 권 대표./배정한 기자

-로그기록을 복원한다면 분석에 최소 얼마나 걸릴까.

보안업계에서 한 사건을 맡으면 최소 6개월은 걸린다. 해킹팀의 400GB 파일은 다 분석할 수도 없고, 굳이 수치화한다면 최소 5년은 걸릴 것이다.

-국정원이 구입한 RCS(Remote Control System, 원격조정시스템) 툴의 백신은 없나.

제로데이(취약점, 해킹 공격에 따른 방어와 치료 백신을 개발하는 기간)에 기반했기 때문에 현재로선 없다. 메르스(MERS, 중동호흡기증후군)처럼 약이 없다. 다만 저희 업체에선 PC에서 실시간으로 공격(해킹)을 탐지하는 프로그램을 개발해 보유하고 있다. 시중화되진 않았다.

-정치권의 이슈가 이슈를 덮는 상황에서 이번 사건이 어떤 결론을 낼 수 있을 것으로 보나.

장기전으로 흐를 가능성이 있다. 하지만 앞서 말했듯 심증과 물증이 충분하기에 끝내 어떤 결론에 도달하지 않겠나.

◆ "정보보안시장, 연구 투자 늘려야"

"정보보안 시장 600억 원" 권 대표가 "국내 정보보안 시장이 600~700억 규모지만 연구시장에 대한 투자 지원을 늘려야 한다"고 강조하고 있다./배정한 기자

-해킹 조직(블랙 및 화이트 해커) 외 정보보안업체 시장 규모는?

국내는 현재 600~700억 원 정도 된다. 인프라가 잘 갖춰져 있는 편이다. 하지만 턱없이 부족한 실정이다. 사람들이 '백신은 공짜'라는 인식이 있어 보안 프로그램은 늘 가격이 낮다. 새롭게 물건을 만들려면 연구를 해야 하는데 그럴 비용이 없다. 즉 판매시장만 있고 연구시장은 없는 셈이다. 이 문제와 더불어 대부분(기업이나 정부)은 '보안성' 때문에 가격이 비싸더라도 비밀이 유지될 수 있는 외국 제품을 산다. 외국에서 주로 신제품을 들여오고, 우리나라 업체는 제품에 딸려오는 개념을 연구하며 따라가기 바쁘다. 항상 뒤처질 수밖에 없는 구조다.

[더팩트 | 판교디지털센터=오경희·서민지 기자 mj79@tf.co.kr]