국가정보원의 해킹 프로그램 구입 논란이 확산되고 있는 가운데, 지난해 10월 불거졌던 ‘사이버 검열 논란’의 중심에 서 있었던 국내 최대 SNS(사회적 관계망 서비스) 애플리케이션(앱)인 카카오톡의 안전성 문제가 다시 도마에 오르고 있다. 국정원이 이탈리아 해킹업체인 ‘해킹팀’에서 구입한 감청 프로그램은 개인 PC, 스마트폰을 막론하고 해킹이 가능하다. 그런데 국정원이 SNS 앱 중 유독 카카오톡을 특정해 해킹을 시도하려고 한 정황이 속속 드러나고 있다.

국정원의 대외 기밀명인 ‘육군 5163부대’는 이탈리아 해킹업체 ‘해킹팀’에 카카오톡 해킹 기술을 요청한 것으로 드러났다. 2014년 3월 무렵 해킹팀 직원이 작성한 이메일에서는 국정원 측 관계자가 사전 요청했던 카카오톡 해킹 기술 개발에 대한 진행 상황을 재차 확인한 것으로 나와 있다. 해당 이메일에 답변한 다른 ‘해킹팀’ 직원은 카카오톡 해킹에 대한 빠른 일처리를 한국 측이 재촉하고 있다고 설명했다. 정황상 국정원이 카카오톡 해킹을 위한 연구를 ‘해킹팀’에 의뢰했고, 연구·개발에 상당히 신경을 쓴 것으로 보인다.

국정원이 카카오톡 해킹 기술 개발에 매달린 것은 카카오톡의 국내 위상을 보면 이해가 된다. 2014년 3분기 기준으로 국내 카카오톡 이용자는 3721만명에 달한다. 국민 10명 중 7명이 사용하는 셈이다.

“국정원, 카톡 앱 해킹 기술 개발 재촉”

국정원이 카카오톡을 해킹하는 기술을 이전받았는지, 그리고 실제 카카오톡을 해킹했는지는 아직 확인되지 않고 있다. 이병호 국정원장은 해킹 프로그램 구매는 공식 확인했지만, 카카오톡 해킹 기술은 갖고 있지 않다고 부인했다. 하지만 국정원이 카카오톡 해킹 기술 개발에 집착해온 정황을 볼 때 국정원 측의 설명을 곧이곧대로 믿기 힘들다. 더욱이 지난해 사이버 검열 논란 당시에도 카카오톡의 안전성 문제가 수면 위로 떠오른 적이 있다.

지난해 10월 초 세월호 집회와 관련해 수사를 받고 있던 정진우 노동당 부대표가 자신의 카카오톡이 압수수색을 당해 3000명가량의 지인들 사생활이 노출됐다는 의혹을 제기하면서 카카오톡에 대한 사이버 검열 논란이 촉발됐다. 검찰도 이보다 앞선 2014년 9월18일 포털업체와 SNS 관련 업체 관계자들이 참석한 가운데 유관 기관 대책회의를 가진 사실이 뒤늦게 알려지면서 논란을 키우기도 했다.

당시 앞뒤가 맞지 않은 카카오톡과 검찰의 해명 탓에 논란이 가중됐다. 초기에 카카오 측은 “중간 탈취를 통한 실시간 감시가 불가능하다” “서버에 3일 이내로 저장하기 때문에 안전하다”고 주장했다. 검찰도 “사이버 검열이나 사찰을 하고 있지 않고 할 수 있는 권한도 없으며 법률적·기술적으로도 불가능하다”고 밝혔다. 그러면서 사후 열람 과정에서 빚어질 수 있는 제3자의 사생활 침해 논란과 관련해 “영장 집행 과정에서 범죄 혐의와 관련 있는 부분에 대해 최소 한도의 범위 내에서 자료를 확보하도록 하겠다”고 말했다.

그러나 사이버 검열 논란은 쉽게 수그러들지 않았다. 김인성 전 한양대 컴퓨터공학부 교수는 국가보안법 위반 사건에 연루된 홍 아무개씨에 대한 국정원의 2012년 9월 집행조서를 근거로 카카오톡의 안전성 문제를 지적했다. 당시 김 전 교수가 문제 삼은 집행조서에 따르면 국정원은 2012년 8월16일 수원지방법원에서 통신 제한 조치 허가서를 발부받아 같은 해 8월18일부터 9월17일까지 1개월간 홍씨의 카카오톡 ID를 ‘위탁 의뢰 시 제공한 보안 메일로 수신’하는 방식으로 감청한 것으로 드러났다.

김 전 교수는 당시 “실시간 감청은 인터넷 네트워크 중간에 장비를 두고 실시간으로 주고받는 카톡을 들여다보는 것이 아니다”며 “실시간에 가까운 감시는 가능하고 지금까지 해왔다”고 말했다.

이에 따라 다음카카오 이석우 공동대표는 위법성 논란에도 “검찰 등 수사기관의 ‘감청 영장’ 집행에 응하지 않겠다”고 밝히기도 했다. 당시 감청 논란으로 카카오톡 이용자 수는 일시적으로 매주 5만~6만명씩 감소하는 추세를 보였고, 러시아 전문가가 개발한 SNS 앱인 텔레그램의 이용자 수는 논란이 시작된 후 일주일 만에 124만명에서 262만명으로 급증하는 등 이른바 ‘사이버 망명’ 사태를 촉발시켰다.

RCS 통해 카톡 대화 무방비 노출 가능성

국정원의 카카오톡 해킹 기술 의뢰와 관련해 다음카카오 측은 “해당 프로그램을 직접 보거나 만져보지 못했기 때문에 위험성 여부에 대해 언급하거나 설명하기 어렵다”며 “다음카카오는 보안에 최선을 다하고 있고 악성 코드 공격 여부는 확인이 어렵지만 지금까지 카카오톡 서버가 외부 공격에 뚫린 적은 없다”고 밝혔다. 카카오톡 이용자의 정보와 대화 내용이 담긴 중앙 서버가 안전한 만큼 외부 공격에 의해 유출됐을 가능성은 없다는 이야기다.

국정원의 해킹 프로그램 구입은 지난해 사이버 검열 논란과 다르다. 당시는 법원으로부터 감청 허가를 받는 상황을 전제로 한 것이라면, 이번 국정원 해킹 논란은 법적 규제의 틀을 벗어난 것이기 때문이다. 국정원이 이탈리아 해킹팀에서 구입한 RCS(리모트컨트롤 시스템)는 사용자의 컴퓨터·스마트폰 등에 악성 바이러스를 심은 후 사용 내역을 되받는 방식이다. RCS를 이용하면 PC의 문서파일과 이메일, 패스워드, 사진, 위치 정보, 통화 내역까지 전송받을 수 있다고 한다. 대다수 카카오톡 사용자가 대화 내용을 지우지 않고 그대로 방치하고 있는 만큼 정보기관의 해킹이 현실화될 경우 사용자의 대화 내용과 상대방의 정보가 무방비로 노출될 수 있는 것이다. 때문에 RCS 장비의 기능은 뭔지, 어디에 어떻게 쓰였는지가 명확하게 밝혀져야만 한다는 지적이 나온다.