검찰 ‘공안통’ 출신 최창민 법무법인 인화 변호사
스테가노그래피와 클라우드에 ‘꼭꼭’ 숨겨
1987년 시한폭탄으로 대한항공 858 여객기를 폭파한 김현희와 공범 김승일은 바레인에서 용의자로 쫓기던 중 경찰에 의해 구금됐다. 두 사람은 모든 것이 탄로 날 위기에 처하자 미리 준비해둔 담배를 꺼냈다. 담배 필터에는 자살용 독약 앰플이 있었다. 김현희는 소량을 삼켜 목숨을 건졌으나 김승일은 음독후 사망했다.
시한폭탄, 자살용 앰플, 독침, 권총, 단파라디오. 우리가 흔히 떠올리는 간첩의 장비다.
과거에는 실제 그랬다. 북한에서 직파간첩을 보내면 잠수정이나 수영을 해서 해안선으로, 또는 휴전선을 넘어 침투해야 했다. 침투할 때 많은 장비를 가져오기 힘들기 때문에 사전에 약속한 드보크(Dvok, 비밀 매설지)에 라디오나 난수표 무기 등을 숨겨놓고 침투한 뒤 드보크에서 장비를 꺼내가는 식이었다.
1995년 제주도 해안을 통해 침투에 성공한 간첩 김동식은 드보크 7곳에서 무기 등을 꺼내 사용했다. 1997년 검거된 간첩 최정남도 서울 봉천동 체육공원 정상 벤치 뒤 바위 밑에 드보크를 마련해놓고 총기, 나침반 등을 보관했다.
당시에는 특정 방송(대남방송)을 통해 지령을 받았다. 특정 시간에 특정 노래, 단어가 나오면 약속한 지령을 실시했다. 가령 ‘평양시에 있는 여동생이 군복무중인 오빠의 건강을 기원합니다’와 같은 특정 대사가 나오면 작전을 실행하는 방식이다.
북한에서 특정 명령을 받지 않고 있다가 남파한 뒤 지령을 전달하는 경우도 있다. 침투 과정에서 검거돼도 지령을 알지 못하니 침투 목적을 수사기관에 이야기할 수도 없다. 이때 쓰이는 것이 난수표다. 과거 새벽에 대남 방송을 들으면 임의의 숫자를 무작위로 읽는 경우가 있다고 한다. 바로 난수방송이다. 간첩들은 난수방송을 들으며 난수표를 조합하고 지령을 해독한다.
스마트폰이 생긴 뒤 세상이 크게 변했다. 간첩의 세계도 많은 변화를 겪게 된다. 더 이상 단파라디오, 난수표는 찾아볼 수 없다. 이메일이 있기 때문이다.
이메일은 송수신내역이 드러날 수 있다. 때문에 이메일 계정을 서로 공유해 편지를 임시 저장해놓고 서로 정보와 지령을 주고받는 수법을 쓴다. 발송이나 수신 없이 소통이 가능하다.
간첩들은 수사기관의 눈을 피하기 위해 컴퓨터 파일 명을 ‘제주도 여행’, ‘동작구 맛집’ 등으로 저장해둔다. 이럴 때 쓰는 프로그램이 ‘스테가노그래피’다. 이 프로그램을 통해 해당 파일을 열면 지령문의 모습이 드러난다.
스테가노그래피 기술이 발전하며 간첩 세계의 정보활동이 더 용이해졌다. 이를 통해 문서를 암호화하고 북측과 소통한다.
스테가노그래피를 이용하려면 이메일 계정과 비밀번호를 공유해야 한다. 2015년 목사 간첩 사건 당시 국가정보원 수사관은 목사의 성경책 뒤에 아이디와 비밀번호가 쓰인 것을 포착, 로그인해 지령문 등을 확보할 수 있었다.
자생간첩 중 일부는 휴대전화 압수수색에 대비해 비밀번호를 어렵게 설정하거나 사진 등 주요 자료를 휴대전화가 아닌 클라우드에 보관하기도 한다.
검찰 내 ‘공안통’으로 알려진 최창민 법무법인 인화 변호사는 “수년 전 이적단체 사건 수사 과정에서 휴대전화를 압수했는데 포렌식 과정에서 아무것도 나오지 않아 어려움을 겪었다”며 “그런데 휴대전화가 연결된 클라우드 계정을 파악할 수 있었고 그 클라우드 계정에서 북한 인공기, 김일성 일대기인 세기와 더불어가 발견됐다”고 말했다.
휴대전화 기기를 압수해도 클라우드까지 압수수색할 수 없다는 대법원 판례가 있다. 그래서 최근 수사기관은 압수수색 영장에 휴대전화 뿐 아니라 클라우드 계정까지 기재해 청구하곤 한다.
휴대전화 비밀번호는 풀 수 있을까? 이름과 성별도 묵비하는 간첩들을 상대로 비밀번호를 받아내는 것은 쉽지 않다. 최 변호사는 과거 수사 경험을 떠올리며 “압수한 휴대전화 액정에는 패턴 모양으로 지문이 묻어 있는 경우가 있는데 이를 보고 패턴을 해제한다”며 “페이스아이디(얼굴 인식 잠금해제)는 휴대전화를 들고 용의자 얼굴에 들이대며 ‘본인 휴대전화 맞죠?’라고 묻는 순간 페이스아이디가 해제된다”고 설명했다.
북한의 김책공대 출신들은 주로 해커부대에서 복무한다. 요즘에는 해킹을 통한 정보 취득도 간첩들의 업무 영역이 됐다.
지난해 4월 검거된 특수부대 현역 대위와 암호화폐 거래소 대표는 현역 대위를 통해 한국군합동지휘통제체계를 탈취하려다 검거됐다. 현역 대위는 인터넷 도박에 빠져 빚을 지게 되어 북한해커에게 포섭됐고, 암호화폐 대표도 인터넷도박으로 빚을 지게 되자 북한해커로부터 암호화폐를 교부받고 북한에 포섭됐다.
대표는 시계형 몰래카메라, 포이즌탭을 택배를 통해 대위에게 전달했고 대위는 포이즌탭을 군부대 내 피시에 연결하려는 순간 이미 눈치를 챈 방첩당국에 검거됐다. 포이즌탭이란 USB 포트를 통해 피시에 연결하면 그 피시와 연결된 내부망을 해킹할 수 있고 내부망의 모든 정보가 원격으로 유출되게 하는 장비다.
우리 수사기관도 간첩 검거 과정에서 다양한 장비를 사양한다. 감청은 증거 확보에 큰 역할을 한다.
간첩들의 접선 장소를 미리 아는 경우, 수사기관은 법원으로부터 영장을 받아 테이블이나 천정 조명에 녹음기를 설치해 증거를 수집한다. 간첩용의자가 확인된 경우에는 차량에 감청장비를 설치하는 경우도 있다. 실제 사례에서 한 간첩 용의자가 자신의 차량 배터리가 방전돼 수리를 하러 정비소에 갔다가 차에서 감청장비를 발견하기도 했다. 그런데 배우자가 자신을 의심해 설치했다고 생각하고 부부싸움을 하는 해프닝도 있었다.
공중전화를 이용해 상부선과 접선하는 자생간첩도 있었다. 그 루틴을 파악해 그 공중전화에 감청을 실시했다. 휴대전화 감청도 기술적으로는 가능하다. 그러나 우리나라는 민간인 사찰 등 예민한 부분이 있어 통신사가 감청장비 도입에 비협조적이다.
첩보물을 보다 보면 건물 유리창 외벽에 감청 장비를 부착해 내부 대화를 녹음하는 장면이 나오기도 한다. 실제로 가능하다. 건물 밖 차량 내에서 이런 방식으로 도청을 하기도 한다.
모든 증거는 휴대전화에 있다. 살인범, 뇌물수수범, 간첩 모두 휴대전화에 정보를 저장하고 있다. 수사를 위해서는 개인의 휴대전화를 살펴보는 것이 필수적이다.
그러나 현실은 쉽지 않다. 삭제된 카카오톡 대화 내용은 카카오 본사 서버에 3일밖에 저장되지 않는다. 그래서 영장이 있어도 찾아내기 어렵다. 통신사들도 압수수색에 더더욱 보수적이다. 결국 수사기관은 개인 휴대전화에 대한 압수수색에 의존할 수밖에 없다.
구글이나 페이스북 등 글로벌 기업은 일반 형사범에 대해서는 압수수색영장에 비협조적이지만 살인, 아동성폭력, 테러에 대해서는 적극 협조하는 편이다.
최 변호사는 “우리나라도 죄명에 따라 압수수색 범위나 한계를 조절할 필요가 있다”며 “간첩들은 스테가노그라피를 쓰고 아이폰15에 비밀번호를 걸어 사용하는데 우리 방첩기관은 아직도 그냥 미행만하는 수준이면 적절한 대응을 하기 어렵다”고 지적했다.
▲ 최창민 법무법인 인화 변호사
사법연수원 32기, 서강대학교 법학사, 법학석사
서울중앙지검 검사
서울중앙지검 공공수사 제1부장검사
대검찰청 공공수사부 선거수사지원과장