"프로그램 20개를 구입해 18개 회선은 북한 공작원을 대상으로 해외에서, 2개 회선은 국내에서 연구용으로 운용중"이라는 국정원의 해명과 달리 민간인을 상대로 썼을 의혹이 제기되는 대목이다.
외부의 해킹으로 인해 유출된 해킹팀 내부 이메일을 살펴보면 "내가 고객에게서 이해하기로 목표물은 한 변호사로, 전문적 기술자는 아니다(I understand from the customer that the target is a lawyer and is not technical)"는 문장이 등장한다.
훈련 목적으로 한국을 방문해 국정원 측을 만난 적도 있는 해킹팀의 수석 보안 컨설턴트 세르쥬(Serge woon)가 자사 최고기술책임자(CTO) 등에게 지난 2013년 9월 중순 보낸 이메일에서다.
해킹팀 관계자들이 이런 이메일을 주고받은 까닭은 변호사로 추정되는 목표물을, 또는 이를 해킹하기 위한 프로그램으로 추정되는 '31(1)'로 감시하는 과정에서 기술적 문제가 발생했기 때문으로 보인다.
이메일에는 '인터넷 추적을 따돌리는 장비(anonymizer)를 종료하거나 즉시 교체해야 한다'는 설명 등 해킹팀 내부에서 기술 자문이 오간 흔적이 담겼다.
고객인 국정원 측은 결국 두 번 클릭을 통해 설치되는 'silent installer'라는 물리적인 방식으로 목표물에 접속하는데 성공한 것으로 이메일에 기록돼있다.
이때 '목표물이 모니터링 당하고 있다는 걸 알 수 있기 때문에 국정원 측이 31(1)을 즉시 폐쇄해야 한다'는 해킹팀 최고기술책임자의 경고를 국정원 측이 따르지 않은 이유에 대해 컨설턴트인 세르쥬가 설명하면서 목표물이 '들킬 위험이 적은 변호사'라는 말이 나오는 것이다.
그러면서 '국정원 측이 31(1)을 제거하는데 동의하지 않았고, 대신 특이점이 발견되면 해킹팀에 업데이트해주기로 약속했다'면서 '국정원 측에 가상서버호스팅(VPS·가상의 공간에 PC를 두고 사용하는 것)을 늘리는 등의 제안을 했다'는 내용도 있다.
이메일에는 또 '원도7'을 운영체제로 사용하는 목표물 PC의 시스템 사양과 설치된 프로그램, 시간대(UTC +08:00) 등에 대한 정보도 첨부파일로 담겼다.
이병호 국정원장은 지난 14일 국회 정보위에서 "과거와 같이 우리 국민을 대상으로 이런 활동이 있었다면 어떤 처벌도 달게 받겠다"고 말했다.
국정원 측이 이메일의 내용대로 변호사를 불법 사찰한 게 사실로 드러날 경우 파문은 커질 것으로 보인다.