프로그램 구입 문의 ‘데블앤젤’… 숨진 ‘임 과장’일 가능성

이탈리아 해킹팀 e메일 분석

“계약 6개월 지났는데” 표현

계약서에 임 과장 서명 나와

이탈리아 ‘해킹팀’과 수시로 e메일을 주고받으며 감시 프로그램 구입·피싱 인터넷주소 제작 등을 문의해온 국정원 직원 ‘데블앤젤(devilangel1004)’이 바로 지난 18일 숨진 채 발견된 국정원 임모 과장이었음을 강력하게 시사하는 단서가 발견됐다.

20일 경향신문이 해킹팀에서 유출된 자료를 분석한 결과 데블앤젤은 지난달 19일 해킹팀에 메일을 보내 “내가 RAV계약서에 서명한 지 6개월이 지났는데 혹시 새로운 업데이트가 있는가”라고 문의했다. ‘원격 공격 벡터 서비스’(Remote Attack Vector)의 약어인 RAV는 국정원이 주로 사용하던 ‘RCS’ 프로그램과는 별개의 감시 프로그램으로 지난해 11월27일 구매계약이 체결됐다. 그런데 이날 체결된 계약서에는 숨진 임 과장의 서명이 나타난다. 임 과장이 해킹팀과 메일을 주고받은 데블앤젤이라고 볼 수 있는 부분이다.

해킹팀에 보낸 메일에서 자신을 ‘보안 기술자(security engineer)’라고 소개한 임 과장은 상당한 실력을 갖춘 해킹 전문가였던 것으로 보인다. 해킹팀 직원들은 내부에서 주고받은 메일에서 데블앤젤에 대해 “이 고객은 APEC(아시아·태평양경제협력체) 국가 중 최고의 기술을 가졌다”라고 평가했다.

임 과장은 RCS를 직접 다루는 해킹 전문가인 동시에 결재권을 가진 책임자 역할을 했으리라는 추정도 가능하다. 임 과장이 이끌었던 국정원의 해킹 부서는 최소 5명 이상이었을 것으로 추정되는데, 2010년 12월 한국을 방문한 해킹팀은 국정원 관계자 5명을 상대로 RCS 장비를 시연한 것으로 돼 있기 때문이다. 이듬해인 2011년 12월 국정원은 RCS 구매계약을 체결하면서 프로그램 운용에 필요한 관리자(administrator) 1명, 기술자(technician) 1명, 감시자(viewer) 등 3명분의 라이선스를 주문했는데 5명의 해킹 부서 직원들이 각각 그 역할을 맡았던 것으로 보인다. 부서장인 임 과장은 권한을 분배하고 감시대상을 결정하는 관리자 역할이었을 가능성이 높다.

임 과장은 유서에서 “내국인 사찰은 없었다”고 밝혔지만, 데블앤젤이 해온 활동들은 내국인을 대상으로 한 것처럼 해석되는 대목이 적지 않았다. 데블앤젤은 지난해 1월 해킹팀에 “감시대상의 카카오톡 메시지를 모니터할 방법은 없느냐”고 문의했고, 2013년 4월엔 “안랩 안티바이러스가 깔린 기기에서도 익스플로이트(exploit·해킹)가 작동하는지 확인해 달라”고 요청했다. 또한 데블앤젤은 국내 블로그 게시물을 포함한 수백여 건의 피싱 URL(인터넷주소)을 제작해 달라고 수시로 주문해왔다.