지난 7월 5일, 이탈리아 업체인 해킹팀(Hacking Team)이 해킹을 당해 400기가에 달하는 내부 자료가 유출되었다. 해킹팀은 정보, 수사기관에 스파이웨어를 통한 해킹 감시 소프트웨어를 판매해 온 업체인데, 이미 2012년부터 모로코, 아랍에미리트 등의 독재 정부가 기자나 인권 활동가를 감시하는 데 이용되었다는 비판을 받고 있었다. 그런데 이번 유출로  큰 논란이 벌어진 것은 한국의 국가정보원이 해킹팀의 감시 소프트웨어인 RCS를 사용했다는 것이 드러났기 때문이다. 또한, RCS를 시민을 감시하는 데 이용한 것이 아닌가 하는 정황과 의혹 또한 드러났다.

국정원에 대한 감독 강화 필요

국정원은 자체 테스트와 해외 정보 수집용으로 사용했을 뿐, 시민을 감시하는 데 사용한 바는 없다고 변명하면서도, 이를 뒷받침할 객관적 자료는 제공하지 않고 있다. 그러나 현재까지 확인된 사실만 보더라도, 현 상황은 시민의 정보 인권이 큰 위협 받을 수 있는 심각한 상황이다. 지금까지 확인된 사실부터 확인해보자.

첫째, RCS는 기존의 도·감청과 비교할 수 없을 정도로 인권 침해가 큰 감시 소프트웨어다. PC나 휴대 전화를 감염케 해 통화 내용이나 이메일, 메신저로 주고 받은 내용을 파악할 수 있고, 내부에 저장된 데이터에 접근할 수도 있으며, 심지어 원격으로 카메라나 녹음기를 작동할 수도 있다고 한다.

둘째, 국정원은 RCS를 구매해 사용했다. 이는 국정원도 인정한 사실이다. 셋째, 해킹팀의 자료가 유출될 때까지, 국정원이 RCS를 구매해서 사용했는지 아무도 몰랐다. 국정원을 감독하는 국회 정보위원회에서도 파악하지 못하고 있었으며, 이미 여러 정황이 드러난 상황에서도 국정원은 정보위원회에조차 검증에 필요한 자료를 제출하지 않고 있다.

넷째, 국정원은 기자, 정치인, 시민단체 관계자 등 정권 비판적인 인사들을 사찰해 온 과거가 있으며, 휴대 전화 감청을 기술적으로 할 수 없다고 거짓말했다가 나중에 들통이 난 적도 있다. 또한 지난 대선에서 댓글을 통한 여론 조작을 시도했고, 간첩 사건에서 증거를 조작한 사실이 드러나기도 했다.

정리하자면, 최근까지 국내 정치에 개입해 왔고, 증거를 조작하기도 했던 국정원이 감청보다 훨씬 인권 침해가 크고 데이터를 조작할 수도 있는 감시 소프트웨어인 RCS를 사용해 왔음에도, 국회 정보위원회 등 이를 감독할 수 있는 제도가 전혀 작동하지 않았다. 지금도 국정원을 통제할 수 있는 장치가 없다는 것이다.

국정원이 해킹팀의 RCS만을 사용했는지, 또 다른 감시 도구가 있었는지도 모르는 일이다. 과거에 RCS를 통해 시민 감시를 했을 수 있고, 향후에도 언제든지 감시 소프트웨어를 통해 감시할 가능성이 크다. 국정원이 자신의 권한을 남용하는 것에 대한 통제를 할 수 있는 장치가 없기 때문이다. 때문에 RCS를 시민 감시에 사용했느냐 여부를 떠나서, 이번 기회에 국정원에 대한 감독을 강화할 수 있는 제도 개선이 반드시 이뤄져야 한다.

오픈 백신 개발의 취지

물론 시민 감시 여부에 대한 진실 규명은 여전히 중요하다. 가장 좋은 방법은 국정원이 RCS를 어떻게 사용했는지, 또 다른 감시 도구는 없는지 검증할 수 있는 객관적인 자료를 제공하는 것이다.

그러나 국정원이 자료를 내놓지 않고 계속 버티는 상황에서 우리가 선택할 수 있는 방안은 직접 감염 여부를 확인하는 것일 수밖에 없다. 오픈 백신의 개발은 RCS의 감염 여부를 탐지하여 피해를 복구하기 위한 조치임과 동시에, 국정원의 불법적인 감시 활동 여부를 탐지하기 위한 것이다.

오픈 백신 개발을 위해 (사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는 '국민 백신 프로젝트'를 시작했다. 세 단체는 오픈 백신의 초기 개발을 지원하며, 프로그램의 소스 코드를 공개해 기술적 재능이 있는 누구나 오픈 백신 개발에 참여할 수 있도록 했다. 우선 해킹팀이 개발한 RCS 탐지에 초점을 맞추었지만, 향후에는 핀피셔(FinFisher)와 같이 정부의 시민 감시에 이용되는 다른 스파이웨어로 탐지 대상을 확대할 계획이다.

오픈 백신은 개발에 필요한 비용을 충당하기 위해, 현재 진보네트워크센터에서 운영하는 소셜 펀딩 플랫폼인 '소셜펀치'를 통해 누구나 후원할 수 있도록 하고 있다.

오픈 백신 사용법

지난 8월 8일, 드디어 안드로이드용 오픈 백신이 일반에 공개되었다. 오픈 백신은 각자의 안드로이드폰에 있는 플레이 스토어에서 '오픈 백신'으로 검색해 설치하면 된다. 애플을 실행하고, 검사 메뉴를 선택하면, RCS 탐지를 시작하는 데 기기에 따라 수 분이 소요될 수 있다. 검사가 완료되면 해킹팀의 감시 코드가 검출됐는지 여부를 알려준다.

검출되지 않았다고 해서, 휴대 전화가 확실히 안전하다거나 예전에 RCS의 공격 대상이 되지 않았다는 의미는 아니다. RCS가 아닌 다른 스파이웨어가 설치 되어 있을 수도 있고, 또 국정원에서 RCS 이용 사실이 폭로된 이후, 스마트폰의 감시 코드를 원격으로 삭제했을 수도 있기 때문이다. 만일 감시 코드가 검출되었다는 메시지가 나온다면, 스마트폰에 대한 보다 엄밀한 검사가 필요하다. '신고' 버튼을 클릭하면, 검사 결과를 제작팀에 발송할 수 있다.

오픈 백신은 플레이스토어에서만 다운받을 수 있다. 악의적인 누군가가 오픈 백신 자체를 감염시켜 스파이웨어를 심는 데 이용할 수도 있기 때문이다. 또한, 오픈 백신을 안드로이드용으로 만든 이유는 PC나 노트북에서 RCS를 탐지할 수 있는 소프트웨어가 이미 있기 때문이다. 이는 국제앰네스티 등 국제인권단체들이 개발한 디텍트(Detekt)라는 프로그램인데, 2015년 7월 30일 업그레이드된 디텍트 2.0은 2015년 7월 시점까지의 모든 RCS를 탐지할 수 있다고 한다.

디지털 보안에 관심을

컴퓨터와 스마트폰은 우리에게 편리한 도구고, 특히 사회 운동을 위해서도 중요한 도구이다. 그러나 RCS와 같은 감시 소프트웨어를 통해 국가의 시민 감시에 이용될 수도 있고, 악의적인 해커나 사기꾼들에 의해 피해를 당할 수도 있다. 이번 기회에 우리가 컴퓨터와 스마트폰을 이용하는 것에만 신경을 쓰고 우리의 자료와 인권을 지키기 위한 보안에는 소홀히 하지 않았는지 돌아볼 필요가 있다.

최근 진보넷은 디지털 환경에서 자신의 보안을 스스로 지키기 위한 가이드를 발간했다. RCS만이 문제가 아니기 때문에, 디지털 보안 가이드를 통해 자신의 PC와 스마트폰 보안을 전반적으로 점검해보자.