2013년 에드워드 스노든이 공개한 미 국가안보국(NSA)의 첩보 활동은 대다수 한국인에게 그야말로 ‘남의 일’이었다. 미국이 자국은 물론 해외 주요 인사의 통화 기록과 이메일을 훔쳐봤다는 사실은 세계적으로 큰 논란이 됐지만, 그로 인해 한국에 어떤 피해가 미치리라고 생각하는 사람은 드물었다. 한국에서 스노든과 관련된 기사는 마치 흥미진진한 첩보 영화를 전하듯 방관자의 시선을 유지했고, 스노든은 머지 않아 사람들에게서 잊혔다.

이제 한국도 그로부터 자유롭지 않다는 사실을 보여주는 첫 사례가 나왔다. 뉴질랜드 정부가 2013년 5월 있었던 세계무역기구(WTO) 사무총장 선발 과정에서 이메일을 무단 열람했다는 의혹이 제기됐다. 지난 3월 23일 뉴질랜드 일간지 뉴질랜드 헤럴드와 탐사보도 전문 언론 인터셉트(스노든의 폭로를 보도한 글렌 그린월드 기자가 창간했다)가 공동으로 입수한 기밀 문서에 따르면 2013년 뉴질랜드 통신보안부(GCSB)는 WTO 사무총장 선거를 앞두고 인터넷 첩보 시스템을 이용해 8개 국가의 후보와 관련된 기밀 정보를 입수했다. 이 후보 중엔 한국의 박태호 외교부 경제통상 대사도 있었다. 당시 뉴질랜드에선 팀 그로서 뉴질랜드 통상장관이 후보에 오른 상황이었다. WTO 사무총장의 자리는 브라질의 호베르토 아제베도 WTO 주재 브라질 대사에게 돌아갔다.

GCSB는 인터넷 감시 도구 엑스키스코어(Xkeyscore)를 첩보 활동에 사용했다. 엑스키스코어는 전 세계 인터넷으로부터 수집한 빅데이터를 분석하는 일종의 검색 엔진이다. NSA도 무단 수집한 정보를 이 도구로 분석했다고 알려졌다. 영국 일간지 가디언은 NSA의 2007년 보고서를 인용해 엑스키스코어에 8500억 건의 통화 기록과 1500억 건의 인터넷 기록이 저장돼 있다고 보도했다. 찾고자 하는 키워드나 들여다보고 싶은 이메일 주소를 엑스키스코어에 입력하면 관련 정보를 찾아준다. 뉴질랜드는 호주, 캐나다, 영국, 미국이 참여하는 정보공유협정 파이브 아이즈의 회원국인 덕분에 엑스키스코어를 사용 가능하다.

GCSB의 엑스키스코어 사용 기록이 담긴 기밀 문서엔 ‘WTO’ ‘후보(candidate)’ ‘그로서(Grosser)’ 등 GCSB가 정보 검색에 사용한 키워드가 그대로 남아 있다. 박태호 외교부 경제통상 대사를 뜻하는 ‘박(BARK)’을 비롯해 ‘곤잘레스(GONZALEZ)’ ‘판게츠(PANGESTU)’ ‘힌다위(HINDAWI)’ 등 후보자 8명의 이름도 있다. 이 문서는 뉴질랜드가 특히 인도네시아 후보 마리 판게츠 전 관광통상장관에 주목했음을 보여준다. 문서 중간엔 ‘인도네시아 후보자에 초점을 맞춘 WTO 사무총장 후보 건(WTO DG Candidacy issues - focus on Indonesian candidate)’이라는 별도 항목과 함께 ‘WTO 프로젝트 판게츠(wto_project_Pangestu)’라는 항목도 있다. 이 문서에 따르면 GCSB는 엑스키스코어를 통해 WTO 후보자와 관련된 내용을 검색해서 들여다 본 셈이다.

뉴질랜드가 엑스키스코어로 해외 국가를 사찰한 사례는 그 밖에도 있다. 3월 뉴질랜드 헤럴드가 입수한 스노든 문건에 따르면 GCSB는 일본, 중국, 북한 등 최소 20개의 아시아·태평양 국가 및 이들 국가의 외교관을 대상으로 정보를 무단 수집한 뒤 NSA에 전달했다. 스파이 행위는 아군, 적군을 가리지 않았다. 감시 대상 국가 중엔 솔로몬 제도, 피지, 뉴 칼레도니아 등 뉴질랜드와 외교 관계가 우호적인 국가도 있었다.

폭로된 문서 중 하나인 NSA의 보고서는 ‘미 정보 당국이 접근하기 어려운 귀중한 정보를 제공한다’며 뉴질랜드를 높이 평가하고 있다. 이러한 정황을 조합하면 미국은 파이브 아이즈를 통해 뉴질랜드에 엑스키스코어를 제공하고 정보를 넘겨받으며, 뉴질랜드는 그 도구를 자신들의 국익에 부합하는 정보를 수집하는데 사용한다는 결론이 나온다. 뉴질랜드의 아시아·태평양 지역 스파이 행위를 파헤친 탐사보도 전문기자 니키 헤이거는 뉴질랜드가 미국과 동맹을 유지하고 파이브 아이즈에 남아 있기 위해 “가장 가까우면서도 취약한 우방 국가를 팔아넘겼다”고 뉴질랜드 헤럴드와의 인터뷰에서 지적했다.

다른 파이브 아이즈 회원국도 활발한 사이버 첩보 활동을 벌인다. 더인터셉트는 스노든 문건을 인용해 캐나다가 데이터를 훔치고 인프라를 파괴하는 사이버 무기를 이용해 유럽, 멕시코, 중동과 북아프리카 네트워크에 침투했다고 지난 3월 23일 밝혔다. 캐나다 정보 당국은 미국과 이스라엘이 이란 핵 시설을 공격하기 위해 개발한 악성코드 스턱스넷을 사용했다고 더인터셉트는 보도했다. 지난해 2월 가디언은 또 다른 회원국인 영국의 정보통신 본부가 2008~2010년 사이 엑스키스코어를 이용해 야후 메신저 웹캠 동영상을 무단 수집했다고 폭로했다. 스노든의 내부고발로 한국, 일본 등 우방을 포함해 193개국 정부 기관의 정보를 무단 수집한 사실이 공개된 NSA의 첩보 활동은 말할 것도 없다. 파이브 아이즈의 첩보 활동은 오직 회원국 만을 예외로 삼았다.

한국도 안심할 수 없다. 한국과 뉴질랜드는 올해로 수교한 지 53주년이 된 전통적 우호 국가다. 그래서인지 그 어떤 한국 언론도 뉴질랜드의 스파이 행위에 주목하지 않는다. 당시 GCSB의 장관은 현 뉴질랜드 총리인 존키다. 키 총리는 2년 전 WTO 사무총장 후보로 나섰던 그로서 통상장관과 함께 지난 3월 22일 한-뉴질랜드 FTA 서명을 위해 방한했다. GCSB의 첩보 문서가 공개되기 하루 전이다. “각 장관은 업무 관련 사안에 대해 반드시 보고를 받아야 한다”고 명시한 뉴질랜드 내각의 ‘비밀 금지(No Surprise)’ 규정을 봤을 때 키 총리가 GCSB의 스파이 행위를 모를 가능성은 적다. 그러나 키 총리가 박근혜 대통령과 정상회담을 갖고 그로서가 FTA에 서명하는 동안에도, 키 총리가 방한을 마치고 돌아간 이후에도 한국 언론은 이를 전혀 보도하지 않았다.

키 총리의 방한을 취재한 텔레비전 뉴질랜드 소속 기자 헤서 두 플레시스-앨런은 스파이 행위와 관련한 질문에 키 총리가 “한국인은 그 문제에 관심이 전혀 없으며, 그 의혹이 사실이라고 믿지도 않는다”고 답했다고 기사를 통해 밝혔다. 한국측이 문제를 제기하지도 않는데 뉴질랜드 정부가 나서서 해명할 이유는 없다고 여기는 듯하다. 기자의 문의를 받은 주한 뉴질랜드 대사관 역시 “뉴질랜드는 뉴질랜드의 정보활동에 대해 언급하지 않는다”고 답변했다.

키 총리의 말대로 한국은 무관심했다. 플레시스-앨런의 질문으로 그 자리에 있던 한국 기자들도 뉴질랜드의 스파이 행위 의혹을 알게 됐지만, 이를 짧게나마 언급한 언론은 단 한 곳뿐이다. 한국 정부도 침묵했다. 브라질, 가나 등 한국과 함께 사찰 대상이 된 국가의 언론은 물론 해외 주요 언론이 이 사건을 대대적으로 보도하는 것과는 다른 양상이다.

한국인이 개인정보 보호에 관심이 없는 것은 아니다. 지난해 9월 한국에서 화제가 됐던 이른바 ‘사이버 망명’이 그 증거다. 검찰이 허위 사실 유포자를 색출하기 위해 메신저 어플리케이션 카카오톡을 검열한다는 소문이 돌자 분노한 한국인들은 카카오톡 대신 검찰의 손이 미치지 않는 다른 메신저 서비스로 대거 이동했다. 카카오톡의 대안으로 떠오른 러시아의 텔레그램은 9월 말 카카오톡을 제치고 애플 앱스토어 무료 앱 부문에서 1위를 차지할 정도로 큰 인기를 끌었다. 한국에서 활동하는 기자 가운데 거의 유일하게 뉴질랜드 스파이 행위에 주목한 아일랜드 기자 존 파워의 트윗은 700회가 넘는 리트윗을 기록했다.

전문가들은 정부는 물론 언론, 시민단체 등 보다 폭넓은 관심이 필요하다고 말한다. 박춘식 서울여대 교수(정보보호학)는 “뉴질랜드의 스파이 행위가 사실이라면 대응해야 한다”고 강조했다. 향후에도 이런 일이 계속될 경우 “국익뿐 아니라 기업과 개인에게도 손해가 발생할 수 있다”는 것이다. 김승주 고려대 정보보호 대학원 교수는 이번 뉴질랜드 사태가 글로벌 감청 문제의 심각성을 보여준다고 말했다. “엑스키스코어의 존재가 처음 공개됐을 때 미국 정부는 이를 테러 방지 목적으로 제한적 사용만 했다고 주장했다. 이번 일은 이런 시스템이 파이브 아이즈 가입국의 이익을 위해서도 악용될 수 있다는 사실을 보여줬기 때문에 우리 정부는 이 상황을 더 심각하게 예의주시해야 한다. 현재로서는 정황만 있지 명확한 증거가 제시되지 않아 우리 정부가 강하게 대응하기에는 어느 정도 한계가 있다. 우선은 언론과 시민단체를 중심으로 강하게 이들 파이브 아이즈 가입국을 압박할 필요가 있다. 전자프런티어재단 같은 국제 시민단체와 연대를 하는 것도 좋다.”

보안 정책 강화와 기술 개발도 시급하다. 전 세계를 떠들썩하게 만든 스노든 파동 이후에도 한국 정부의 “보안 정책 변화는 감지되지 않는다”고 김 교수는 말했다. “모바일 환경이 점차 확대되어 가고 구글, 페이스북, 애플, MS 등 미국을 중심으로 한 글로벌 인터넷 서비스 업체들의 영향력이 점점 더 커지는 이 시점에 우리 정부는 적어도 공직자들과 대기업 임원들의 주요 정보라도 보호할 대책을 마련해야 한다. 암호화 기술 및 보안성 검증 기술에 대한 투자 확대 등을 통해 외국산 제품의 안전성을 더 엄격히 검증하고, 국내에서 발생된 정보를 더 안전하게 지키려는 기술적인 시도가 필요하다.”

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지