‘일심회’‘왕재산’도…北 간첩단은 왜 ‘스테가노그래피’ 쓸까

2일 오후 북한의 지령을 받아 미국산 스텔스 전투기 도입 반대 활동을 했다는 의혹을 받는 충북 청주 지역 활동가 4명이 구속영장심사를 위해 법정에 출석하고 있다. 연합뉴스

국가보안법 위반 혐의로 구속 기소된 자주통일충북통지회(충북동지회)가 북한과 소통할 때 이른바 ‘간첩 통신’으로 불리는 ‘스테가노그래피(steganography)’라는 기법을 사용한 것으로 조사됐다.

스테가노그래피는 1950년이래 북한의 전통적인 단파라디오 ‘난수(亂數) 방송’을 통한 아날로그식 암호 지령을 2000년 전후 대체한 것으로 평가가 나오는 ‘디지털 암호화’ 기법이다.

국가정보원과 경찰 국가수사본부가 ‘충북동지회’ 사건에서 압수한 이동식 저장장치(USB)에서 발견한 북한 문화교류국(옛 225국) 지령문과 대북 보고문 84건 모두 별도 해독 프로그램으로만 읽을 수 있는 스테가노그래피 암호화 파일 형태였다. 

국정원이 이를 쉽게 해독할 수 있었던 건 지난 5월 27일 압수수색 당시 대북연락을 담당한 윤모(50·구속)씨 자택 이불 사이에서 숨겨진 지령문 등 84건 암화화 파일이 저장된 USB(64GB) 외에 스테가노그래피 해독 프로그램 등 암호자재가 저장된 SD카드(2GB), 카드 리더기 등을 은박지-지퍼락-흰색-황색봉투로 4중 밀봉 상태로 함께 보관한 걸 찾아냈기 때문이었다. 옛날과 빗대 보면 무의미한 숫자만 가득한 ‘난수’ 지령문과 함께 이를 해독할 수 있는 ‘난수표’를 함께 발견한 격이다.

이들은 이외에도 ‘은밀성’을 최우선 원칙으로 하라는 북한의 지시를 받았다. 이에 따라 북한은 ‘회사’로, 김정은 국무위원장은 ‘회장’으로 지칭하고 충북동지회는 ‘1처’, 조직원은 ‘사장’ ‘부장’ ‘박사’ 등 은어로 불렀다. 또 ▶중요 내용은 은어로 메모하고 철저히 삭제 ▶교체주기는 컴퓨터 3년, 메일‧모뎀‧심카드 6개월 등으로 보안 수칙도 하달받았다. 수사기관은 구속영장 신청서에 84건을 압수한 건 “국가보안법 사건에서 유례를 찾아보기 어려운 분량”이라고 강조한 바 있다.

청주지법은 지난 10일 충북동지회 조직원 3명에 대한 검찰의 구속 기간이 연장신청을 받아들였다. 국정원과 경찰은 또 충북동지회 조직원 중 유일하게 불구속 상태로 수사를 받는 손모(47)씨에 대한 구속영장을 재신청하는 방안도 검토 중이다.

국가보안법 위반 혐의로 조사를 받은 인터넷 언론사 대표가 운영하던 매체 홈페이지 메인 화면. [홈페이지 캡처]

메리엄-웹스터 사전에 따르면 스테가노그래피는 그리스어 ‘숨긴·감춰진’(steganós)와 ‘글쓰기’(graphia)의 합성어 steganographia에서 유래했다고 한다. 비밀 메시지를 신문기사 같은 문서나 그림·영상·음성 파일 등의 위장 정보 안에 숨겨 메시지 내용뿐만 아니라 그 메시지의 존재까지도 숨기는 암호화 프로그램이다.

원리는 이렇다. 확장자명이 ‘.docx’인 평범한 문서파일을 열면 어디선가 본 듯한 코로나19에 대한 기사가 뜬다. 하지만 북한 공작조직이 직접 개발한 해독 프로그램을 실행해 암호 파일을 변환하면 숨겨진 ‘F35A 도입반대’ 등 북한에 대한 보고문이 드러난다. 거꾸로 북한에 지령문을 받을 때에도 이 프로그램을 이용해 메시지를 암호화하면 신문 기사나 일상글처럼 위장한 스테가노그래피를 만들 수 있게 된다.

충북동지회 사건에선 북한 문화교류국 공작원이 2019년 5월 3일 ‘한국과 베트남, 두 나라 이야기.docx’ 암호화 파일에 ‘반보수 집중 투쟁’ 지령문을 숨겨 보낸 뒤 같은 해 5월 25일 거꾸로 ‘sample60.docx’ 암호 파일속에 ‘민중당 조직 강화 사업 본격 착수’ 내용의 대북 보고문을 전송하는 형태로 지령과 보고가 이뤄졌다.

스테가노그래피가 이번 사건에서 처음 등장한 수법은 아니다. 비근한 예는 지난 2014년으로 거슬러 올라간다.

해산된 통합진보당 간부 출신이자 민족춤패 ‘출’ 대표인 전식렬씨는 북한의 대남공작조직 225국(문화교류국의 전신) 공작원과 접선해 국내 동향을 보고한 혐의 등으로 구속 기소돼 징역 5년이 확정됐다. 그는 스테가노그래피를 사용해 국내 하부망과 지령문, 대북보고문 등을 통해 북한과 교신한 혐의 등을 받았다.

북한 간첩 수사에서 스테가노그래피가 확인된 것은 북한의 김일성 주석 사망 전 직접 만나 지령을 받았다는 ‘왕재산’ 사건(2011년)에서다. 2013년 대법원에서 국가보안법 위반 혐의로 징역 7년이 확정된 총책 김모씨는 김일성 사망 1년 전인 1993년 8월 밀입북해 김일성을 직접 만나 지령를 받고 ‘왕재산’ 조직을 결성해 20년 가까이 암약한 혐의를 받았다. 왕재산이란 명칭도 김일성이 1933년 항일 무장투쟁을 주제로 연설했다는 함경북도 온성의 실제 산이름에서 땄다.

그는 국내 정세와 군사정보를 수집해 북한에 제공한 혐의를 받았는 데 검찰이 압수한 40여건의 문건은 모두 스테가노그래피 암호화 프로그램을 통해 위장 파일 속에 숨긴 것으로 조사됐다.

‘일심회’ 사건(2006년)에서도 국정원은 징역 7년형이 확정 받은 주범 장모씨 자택에서 대북 암호 문건 등이 저장된 USB와 암호해독용 CD 등을 발견해 유죄를 입증할 수 있었다고 한다.

왕재산 사건 조직도. 연합뉴스

이에 대해 검찰 ‘공안통’ 출신 변호사는 “국가가 존재하는 한 간첩·이적 행위는 항상 존재하는 것”이라며 “아무리 시대가 변했다 해도 공안 수사가 중요하고 존재해야만 하는 이유”라고 했다.

실제로 경찰청과 국가정보원이 올해 상반기 국가보안법 위반 사건 5건을 합동 수사한 것으로 확인됐다. 최근에는 이모(57) 4·27시대연구원 연구위원이 2017년 4월 일본계 페루 국적으로 위장해 국내에 잠입한 북한 공작원을 만난 뒤 해외 웹하드를 통해 암호화된 지령문와 보고문을 주고받은 혐의로 구속기소돼 재판을 받고 있다. 충북동지회 4명의 피의자 중 유일하게 구속영장이 기각된 손모씨는 국가보안법폐지국민행동 소속으로 지난 5월 이 위원이 구속되자 구명운동을 하기도 했다.