국가정보원 직원 임모(45)씨가 자살하면서 남긴 유서에서 "대테러, 대북 공작활동에 오해를 일으킨 지원했던 자료는 삭제했다"고 밝히면서 삭제된 자료에 무슨 내용이 담겼는지 관심이 집중되고 있다.

국정원이 이탈리아 업체 '해킹팀'으로부터 해킹 소프트웨어를 구매한 사실을 근거로 '민간 사찰' 의혹이 제기된 가운데, 해당 소프트웨어를 구매하고 직접 사용한 것으로 알려진 임씨가 '자료 삭제'를 유서에 명시했기 때문이다.

야당에서는 민간사찰 관련 자료가 아니냐는 의혹을 강하게 제기하고 있다. 새정치연합 유은혜 대변인은 19일 '국정원 직원의 유서로 국민사찰 의혹은 더 커졌다'는 제목의 브리핑에서 "(자료 삭제는) 의혹을 규명할 수 있는 증거를 인멸한 것"이라며 "국정원은 삭제된 자료가 어떤 것인지, 어떤 방법으로 삭제했는지 밝혀야 한다"고 말했다.

새정치연합은 이날 오전 기자회견을 통해 "(해킹팀) 유출자료에서 한국에 할당된 IP가 대량으로 발견됨에 따라 '해외·북한 정보 수집용', '실험·연구용'으로만 썼다는 국정원의 해명은 거짓말로 보인다"고 주장했다.

새정치연합은 지난해 3월4일 오후 1시 4∼5분 전 세계 약 70개국 인터넷 IP 주소로부터 해킹팀으로 데이터가 전송된 기록인 'log.csv' 파일과 같은 날 오후 3시44∼45분 기록인 'log(2).csv' 파일에서 138개의 한국 IP가 발견됐다는 점을 근거로 제시했다.

또한 IP 할당기관으로는 KT, 서울대, 한국방송공사 등 공공기관과 다음카카오 등 일반 기업이 있었다고 주장했다.

하지만 국정원은 이에 대해 당시 전 세계 약 70개국의 인터넷 IP 주소를 통해 해킹팀으로 동시접속 시도가 이뤄졌고, 이는 해킹팀을 대상으로 한 전형적인 디도스 공격 패턴으로 추정된다고 새누리당에 보고했다.

국정원은 또 야당이 광범위한 사찰 의혹의 근거로 KT, 서울대, 다음카카오 등의 한국 IP를 제시했으나 이는 특정 해커가 해킹팀을 대상으로 디도스 공격을 감행할 때 국내의 '좀비PC'를 이용한 것으로 보인다고 반박했다. 디도스 공격은 수백만대의 PC를 원격조종해 특정 웹사이트에 동시에 접속시킴으로써 단시간 내에 과부하를 일으키는 해킹 수법으로, 악성코드나 이메일을 통해 일반 사용자 PC를 감염시켜 이른바 '좀비PC'로 만든 뒤 특정사이트에 동시접속하게끔 한다.

국회 정보위 여당 간사인 새누리당 이철우 의원과 박민식 의원은 이날 브리핑에서 "국정원은 보고에서 '해킹팀 로그파일을 보면 우리나라 IP뿐만 아니라 다양한 국가의 IP를 통해 해킹팀에 모두 4만4,718건의 동시접속이 시도됐다'고 밝혔고, 국정원은 야당이 제기한 의혹과 무관하다는 입장"이라고 말했다. "4만4,718건 가운데 한국의 IP 138개는 이 중 일부"라는 것이다. 이 의원은 "국정원은 이탈리아 해킹팀을 대상으로 한 일종의 전형적인 디도스 공격이 발생한 것으로 추정했으며, 이 과정에서 한국 IP가 좀비PC로 이용된 것 같다고 설명했다"고 전했다.

한편 국정원은 삭제된 자료 내용을 확인 중이며, 최대한 빨리 이를 복원해 국회 정보위 소속 위원들에게 공개하겠다는 입장이다. 여권 관계자는 "국정원이 일부 정보위원들에게 아무리 늦어도 이번 달 안에 삭제된 파일이 100% 복구될 것이라는 취지로 보고했다"며 "100% 복구한 뒤에 최소한 정보위원들에게는 공개할 것으로 안다"고 설명했다.

이런 가운데 숨진 임씨가 "대상을 선정해서 이 직원에게 알려주면 기술적으로 이메일을 심는다든지 이런 일을 하는 기술자였다"(이철우 의원)는 점에 주목해야 한다는 지적도 나온다. 임씨가 삭제했다고 밝힌 자료가 임씨의 업무 특성상 대테러, 대북 공작활동을 담당하는 국정원 부서에서 요청한 작업을 수행한 기록이 담긴 자료일 가능성이 있다는 관측에서다.

정리=이재윤 기자 다른기사 보기