-20개 장치로 표적 바꿔가며 해킹 가능
-로그기록으로 전화모델, 지역 유추 가능
-디가우징은 자료 지우는 완벽한 방법
-3~4시간으로 현장조사? 석연치 않아
■ 방송 : CBS 라디오 <박재홍의 뉴스쇼=""> FM 98.1 (07:30~09:00)
■ 진행 : 박재홍 앵커
■ 대담 : 권석철 (큐브피아 대표)
현 정국의 뜨거운 감자인 국가정보원 해킹 의혹 사건. 어제는 여권 관계자의 말을 빌려 숨진 국정원 직원이 디가우징 방법이 아니라 ‘딜리트’키로 자료를 삭제했기 때문에 복구가 가능하다는 보도가 있었죠. 과연 그럴까요? 주요 쟁점이 되고 있는 해킹 내용과 현 상황을 전문가로부터 들어보겠습니다. 새정치민주연합의 국민정보지키기위원회 정보보안 전문가로 합류한 권석철 큐브피아 대표가 연결되어 있습니다. 대표님, 안녕하세요.
◆ 권석철> 안녕하십니까?
◇ 박재홍> 먼저 이 국정원이 이탈리아 해킹업체로부터 구입한 RCS라는 시스템, 어떤 프로그램인가요?
◆ 권석철> 리모트컨트롤시스템이라고 해서요. 원격으로 제어를 할 수 있는 시스템입니다. RCS라는 프로그램은 일반적으로 기술지원을 할 때 정상적으로 잘 쓰고 있는 프로그램인데, 이번에는 상대방 몰래 스마트폰에 악성코드가 들어가면서 위험하게 된 것이죠.
◇ 박재홍> 그런데 국정원장이 RCS 프로그램의 실체를 인정하면서 '해외용, 연구용으로 썼고 20개만 소량으로 구매했다'고 밝혔잖아요. 궁금한 것은 이 RCS 20개라는 게 동시에 해킹할 수 있는 스마트폰이나 PC가 20개라는 의미입니까?
◆ 권석철> 일반적으로는 보통 ‘20개’ 이렇게 돼 있으면 스마트폰하고 윈도우를 동시에 20개를 해킹할 수 있도록 되어 있는 걸로 확인이 됩니다. 그런데 이제 스마트폰에서 RCS를 몇 개를 빼면 다른 스마트폰을 할 수 있는 것으로 메일에 나오고 있기 때문에 좀 더 확인이 필요할 것 같습니다.
◇ 박재홍> 그러면 일단 해킹 프로그램은 전 국민을 대상으로 심을 수 있는 것이고. 이제 해킹 대상을 PC나 스마트폰으로 20개로 좁혀서 표적 조사할 수 있다고 이해하면 됩니까?
◆ 권석철> 문제는 그것을 무차별적으로 확산할 수 있느냐, 없느냐에 대한 문제거든요. 일부 해킹팀과 주고받은 메일에서 그 3개 악성코드를 정리해서 빼면 다른 3개를 다시 할 수 있게 해 달라는 요청들이 있습니다. 20에서 3개를 빼면 17개가 되잖아요. 그러면 다시 그 3개에 대해서 다른 스마트폰으로 다시 하게 되는 것이죠.
◇ 박재홍> 그러니까 대상을 옮겨서 할 수 있는지 그 여부가 확실하지 않은 것 같다는 말씀이시네요.
◆ 권석철> 네, 맞습니다.
◇ 박재홍> 이 사건의 또 다른 쟁점이 로그기록이라는 것인데, 새누리당에서는 이 로그기록만 잘 살피면 내국인 사찰용으로 썼는지, 대북 안보 공작에 썼는지 명확하게 구분할 수 있다고 말하고 있거든요. 사실인가요?
◆ 권석철> 네. 어찌보면 거기 로그기록에 대부분 나와 있기 때문에 말씀하신 것처럼 가능합니다. 그러나 문제는 이것이 문서로 되어 있는지 또는 이것이 정확한 원본인지는 확인을 해야 할 필요가 있고요. 그 원본의 위변조, 다시 말해서 변조가 되었는지 이런 것들에 대한 확인이 필요한데요. 그런 것들만 없다면 어느 정도의 정보는 나올 수 있다고 보고 있습니다.
◇ 박재홍> IP를 확인을 하면 내국인인지 누구였는지 알 수가 있는 겁니까?
◆ 권석철> 네. 어떻게 보면 지금도 메일에 있는 내용을 통해서 IP를 많이 확인을 하고 있는데, 일부 내국인 IP가 확인이 되고 있기 때문에 그런 것들이 실제로 로그기록이 있는지 확인해 보면 명확해지지 않을까 이렇게 보고 있습니다.
한국의 5163부대가 2012년 거래했다는 기록이 남아 있다. 유출된 자료 중 'Client Overview_list_20150603.xlsx' 시트 파일에 기록된 내용.jpg
◇ 박재홍> 일반적으로 IP주소라면 해당지역 정도만 알 수 있는데 전문가들이 보시면 개인도 특정할 수 있다는 말씀인가요?
◆ 권석철> 한국 IP인지 아닌지 먼저 확인이 되고요. 그 다음에 스마트폰의 종류라든가, 그 스마트폰 안에 있는 언어라든가 그 시간에 어떤 스마트폰을 사용하고 있었는지 확인만 하면 좀 더 명확해지지 않을까 보고 있습니다.
◇ 박재홍> 그러니까 스마트폰의 종류나 IP까지 다 알 수 있다?
◆ 권석철> 네, 그렇습니다.
◇ 박재홍> 그러면 특정대상 유추도 어느 정도 가능할 수 있겠네요.
◆ 권석철> 네, 그렇습니다.
◇ 박재홍> 또 다른 쟁점이 삭제한 자료의 100% 복구 여부인데, 지금 디가우징 방법이 아니라 단순히 키보드 자판의 ‘딜리트’키를 이용했다, 따라서 복구가 완전 가능하다는 말인데 사실입니까?
◆ 권석철> 보통 딜리트만 누르면 아무래도 복구가 가능하죠. 그런데 문제는 ‘딜리트’키로 지웠다고 하더라도 데이터를 겹쳐쓰기를 했다든가, 여러 가지 조치를 했다면 아무래도 어려움이 있어요. 그런데 이것을 지우신 분께서 아무래도 전문가시다 보니까 딜리트로만 지웠을까 이런 의문이 있고요. 그 다음에 디가우징 같은 기법을 쓰면 전자적인 자기장을 써서 지우는 것이기 때문에 그렇게 지우면 복구가 불가능한 거라고 보시면 됩니다.
◇ 박재홍> 복구가 불가능하다?
◆ 권석철> 네, 디가우징을 썼으면요.
◇ 박재홍> 그런데 유서 내용을 보면 국가 보안상의 오해를 불러일으킬 수 있는 내용을 고려해서 삭제했다고 밝히고 있잖아요. 그러니까 이 정보가 외부로 알려지면 위험이 있을 것이라는 판단 하에서 삭제를 했거든요. 대표님은 어떻게 보십니까? 만약에 이러한 상황이라서 오해를 없애기 위해서 삭제를 했다면 전문가로서 디가우징 방법을 썼을 거 같으세요, 아니면 ‘딜리트’ 방법을 썼을 것이라고 보세요?
◆ 권석철> 어떻게 보면 디가우징 기법을 쓰면 완벽하게 정리가 되기 때문에 만약에 정말 정리하려고 하면 디가우징 방법을 썼을 가능성도 있다고 생각을 합니다.
◇ 박재홍> 대표님도 만약에 당사자였다면 디가우징 방법을 썼을 것이라고 보는 거죠?
◆ 권석철> 네. 제가 그 입장이라면 지운다는 것은 복구를 하지 못하게 한다는 의미가 크다 보니까, 딜리트보다는 디가우징 또는 겹쳐쓰기라든가, 다른 여러 가지 복구를 못하게 하는 방법을 썼을 거라고 생각됩니다.
◇ 박재홍> 그리고 국정원이나 여당에서는 ‘현장조사를 실시해야 한다.’ 이렇게 주장하고 있잖아요. 그러면 이게 서너 시간 동안 현장조사만으로 가능합니까? 딜리트로 삭제했다하더라도 진상규명에 충분한 시간인가요?
◆ 권석철> 이건 제 개인 의견입니다마는 사실 현장조사를 한다는 게 중요합니다. 왜냐하면 현장에 가서 어떤 데이터가 있는지가 중요하죠. 하지만 그것이 아무런 문제가 없다면, 서너 시간만 있어야 한다는 그런 전제가 아무래도 좀 부담스럽고 또한 숨기려고 하는 느낌이 있어서 그런 부분이 걱정입니다.
◇ 박재홍> 그렇군요. 그리고 이제 ‘딜리트’키로 삭제한 자료가 이번 주말에 복구가 가능하다는 얘기가 여당 쪽에서 나오고 있는데요. 가능한 겁니까?
◆ 권석철> 만약에 복구가 된다면, ‘딜리트’로 복구가 된다면 좋겠습니다. 그러나 딜리트가 아닌 다른 방법으로 삭제를 했다면 거의 복구가 불가능할 수 있다고 보고 있습니다.
◇ 박재홍> 그러니까 딜리트 외의 디가우징이라든지 겹쳐쓰기의 방법으로 지웠다면 복구가 더 어려울 수 있다는 말씀입니다.
◆ 권석철> 네, 그렇습니다.
◇ 박재홍> 그렇다면 이제 가장 시급하게 진상규명을 위해서 중요하고 필요한 자료는 뭡니까?