국정원 직원 '죽음 직전 삭제한 자료'는 무엇일까?
2015년 07월 19일 20시 02분
국정원이 민간인 해킹 의혹을 풀 핵심 열쇠인 로그파일 공개를 계속 거부하고 있는 가운데, 보안 전문가들은 국정원 RCS 로그파일이 이미 위변조되었을 가능성도 있다는 견해를 밝혔다. 이에 따라 완전한 의혹 해소를 위해서는 로그파일만이 아니라 국정원 RCS의 운영체제, 즉 하드디스크까지 객관적으로 분석해 원본 파일에 조작이 있었는지 여부를 검증할 필요성이 제기되고 있다.
국정원 해킹 의혹의 본질이 국내 민간인에 대한 해킹 여부라는 것은 주지의 사실이다. 이를 판가름할 핵심 정보는 국정원 RCS 서버에 담긴 로그기록 속에 들어 있다.
이미 해킹팀 유출 자료 가운데 지난 5월과 6월 중 국정원이 요청한 악성코드의 활동이 담긴 로그기록이 26건이 확인된 바 있는데, 악성코드의 활동 일시, 접속 아이피, 단말기 모델 및 기종, 설정 언어, 미끼 URL, 감염 성공 여부까지를 확인할 수 있는 형식이었다. 이 가운데 2건은 내국인 해킹이 의심되는 기록이다.
※ 관련 데이터 : 해킹팀 서버 국정원 로그기록
사태 초기 야당은 국정원에 이 로그파일을 제출하라고 요구했다. 대국민 해킹이라는 휘발성 높은 의혹이 일었던 만큼 여당 역시 최대한 국정원이 자료를 공개하도록 협조하겠다는 입장이었다.
그러나 7월 18일 RCS 운영팀의 일원이었던 국정원 임 모 과장이 유서에 ‘일부 자료를 삭제했다’고 밝히며 스스로 목숨을 끊으면서 분위기가 바뀌었다. 야당이 자살 배경과 경위에 대한 석연치 않은 정황들을 이유로 공세를 강화하자 여당은 입장을 바꾼다. 로그파일 공개는 국가 기밀을 유출하라는 것이고 국가 안보를 무장해제하라는 것이어서, 북한만 이롭게 하는 행위라는 논리로 맞공세를 시작한 것이다.
7월 27일 국정원은 임 과장이 삭제한 자료를 10일 만에 모두 복원했다며 국회 정보위원들에게 보고한다. 모두 51건의 해킹 시도 기록 가운데 대북·대테러 용의자를 대상으로 10건은 성공, 10건은 실패한 자료였으며, 나머지 31건은 내부 실험용 기록이었다는 것이다. 그러면서 이병호 국정원장은 자신의 직을 걸고 국내 사찰은 없었다고 강변했다. 그러나 야당은 국정원이 이른바 ‘셀프 검증’으로 ‘셀프 면죄부’를 발부하고 있다며, 객관적이고 세부적인 자료 제출 없이는 믿을 수 없다고 반발했다.
국정원 해킹 의혹을 둘러싼 이 같은 여야 간 대치 정국을 국내외 보안 전문가들은 어떻게 바라보고 있을까. 뉴스타파가 접촉한 전문가들은 하나같이 의혹을 말끔히 해소하기 위해 필요한 것은 정치적 공방이 아니라 냉정한 기술적 접근이라고 조언했다.
우선 이들은 임 과장의 자료 삭제 문제는 큰 틀에서 볼 때 중요치 않을 수도 있다는 점을 언급했다. 내국인 사찰 여부를 가를 핵심은 어차피 로그파일인데, 해킹팀 자료 유출 이후 이미 20일 이상 흐른 시점에서 임 과장이 아닌 다른 국정원 직원이 로그파일에 손을 댔어도 이상할 것이 없기 때문이라는 것이다.
이탈리아 해킹팀의 RCS가 전세계 21개국에서 활동하고 있음을 지난해 폭로했던 토론토대학 시티즌랩 연구원 빌 마크잭은 뉴스타파와의 화상 인터뷰에서 “로그파일은 기본적으로 텍스트 파일 형태이므로 누구라도 쉽게 편집과 삭제와 추가 등의 조작이 가능하다”며 “이런 조작이 있었는지를 디지털 포렌식 전문가조차 알 수 없게 수행하는 것도 얼마든지 가능하다”고 밝혔다.
익명을 요구한 한 국내 디지털 포렌식 전문가는 “디지털 포렌식에도 ‘골든타임’이 존재한다”면서 “해킹팀의 자료 유출 직후 국정원 RCS 서버에 담긴 로그파일을 곧바로 확보하지 않은 이상, 지금 와선 그 파일에 이미 어떤 조작이 가해졌는지를 판단하긴 어렵다”고 말했다.
이런 상태에서는 야당이 요구하는 로그파일이 공개된다 해도 의혹을 해소하기는커녕 되레 논란을 증폭시킬 수 있다는 견해도 있었다. 김진국 플레인비트 대표는 “디지털 자료는 위변조가 너무나 용이하다. 따라서 어떤 디지털 데이터의 ‘원본’이라는 것은 특정 시점에서 데이터의 특정 상태에 관해 이해 당사자 간의 상호 인정이 있을 때, 혹은 객관적 인증 절차(전자지문 등)가 있었을 때 성립하는 개념이다. 바꿔 말하면 이런 절차 없이 제시되는 디지털 자료는 이해 관계에 따라 ‘원본’이라고 주장할 수도 있고 아니라고 주장할 수도 있게 되는 것”이라고 설명했다. 즉 지금 당장 로그파일이 공개됐을 때 문제되는 내용이 없으면 여당은 ‘원본’으로 야당은 ‘조작본’으로 규정할 것이며, 문제되는 내용이 나오면 그 반대 주장이 펼쳐질 것이라는 의미다.
전문가들은 이런 문제를 해결하기 위해선 로그파일만이 아니라 파일이 담겨 있던 국정원 RCS 서버의 운영체제를 모두 분석해 위변조 여부부터 판단해야 한다고 조언했다.
원리는 이렇다. 만약 누군가가 로그파일 일부를 변조했다면 파일을 열고, 내용을 수정하고, 저장하고, 파일을 닫는 일련의 과정을 거쳐야 하는데 각각의 단계마다 디지털 기호 형태의 흔적이 운영체제 어딘가에 남겨진다는 것이다. 혹은 파일을 열지 않은 채로 삭제하려면 이 기능을 수행하는 소프트웨어나 프로그램이 실행되어야 하는데 이 역시 운영체제 어딘가에 흔적을 남긴다. 이런 산재한 정보들을 모두 긁어모아 분석하면, 로그파일이 위변조되기 이전의 원 정보를 복원시킬 수는 없더라도 최소한 조작이 있었다는 사실은 확정할 수 있다는 것이다.
이 파일이 만약에 어떻게 수정이 되거나 사용자가 어떤 행위를 했다, 그러면 그 시스템, 우리가 윈도우즈 컴퓨터라고 하면 컴퓨터 자체, 서버면 서버 자체, 그 디스크 자체가 전체적으로 있으면 그 안에 있는 로그파일에 어떤 임의적인 조작을 가했다 안 했다(를 알 수 습니다.) 사실 이것도 시간이 지나면 밝혀내기가 어렵습니다. 그래도 어느 정도 파일 하나만 보고 판단하는 것보다는 신빙성 있게, 신뢰성 있게 판단할 수 있죠. - 김진국 플레인비트 대표
포렌식 분석을 제대로 하기 위해선 해킹팀의 소프트웨어가 실행됐던 국정원 컴퓨터의 원본 하드 드라이브를 확보해야 합니다. 만약 국정원이 로그파일만을 제공한다면 그것의 조작 여부를 확인할 확실한 방법은 없다고 봐야 하고요. - 빌 마크잭 토론토대학 시티즌랩 연구원
지난 29일 여야는 민간 추천 전문가와 국정원 기술진의 간담회 개최에 조건부 합의했다. 이때 야당은 국정원이 RCS 데이터가 담긴 하드디스크 원본 등 6개 자료가 제출되지 않으면 합의를 파기하겠다는 뜻을 밝혔다. 이는 디지털 보안과 포렌식 전문가들이 제시한 검증 방식의 틀에 부합하는 것이다.
마찬가지로 국정원도 민간인 사찰 의혹을 근본적으로 해소하는 데 필수인 디지털 증거를 제시하는 데 주력할 필요가 있다. 특히 국정원장 직을 걸겠다고 밝힐 정도로 자신이 있다면 전문가들이 인정하는 검증 방법을 마다할 이유가 없을 것이다. 그리고 그 결정은 빠를수록 좋다. 이미 대선 개입과 간첩 증거 조작으로 국민의 신뢰를 잃은 국정원이기에 더더욱 그렇다.
뉴스타파는 권력과 자본의 간섭을 받지 않고 진실만을 보도하기 위해, 광고나 협찬 없이 오직 후원회원들의 회비로만 제작됩니다. 월 1만원 후원으로 더 나은 세상을 만들어주세요.