▲이탈리아 '해킹 팀' 자료 중 국정원용 아이디로 추정되는 devilangel이 스마트폰 해킹용 스파이웨어를 주문한 내역. 미국 질병통제센터 CDC의 메르스 관련 FAQ 화면을 위장한 실전용 스파이웨어 URL 6개를 주문했다. 한국 사회에서 메르스 공포가 확산일로이던 6월 3일자 주문이다.
Wikileaks
지난 6월 3일 오후 12시 22분(한국시각) 해킹 팀의 RCS 사용자 아이디 'devilangel'(데빌엔젤)은 해킹 팀에 데스티네이션 URL로 미국 질병통제센터 CDC의 누리집 주소(
해당 페이지 바로가기)를 주면서 여섯 개의 스파이웨어 URL을 만들어 달라고 주문했다. 이 주소는 메르스에 대한 FAQ, 즉 '자주 나오는 질문과 답변'으로 메르스 예방과 감염시 조치사항 등이 나와 있다.
해킹 팀은 2시간 10여 분 뒤 스파이웨어 URL 6개를 만들어 제공했다. 데빌엔젤이 이 스파이웨어를 어떤 문구와 함께 누구에게 전송했는지는 확인되지 않지만, 내용상 메르스 관련 정보를 위장해 클릭(터치)을 유발했을 가능성이 높다. 데빌엔젤이 이 스파이웨어 URL을 요청한 6월 3일은 메르스 확진자 30명, 사망자 3명, 격리대상자 1667명인 상태였고, 정부가 메르스 발생 병원명을 공개하기 전이었다.
메르스에 대한 공포가 확산일로인 시점에서 데빌엔젤은 6명의 스마트폰 사용자에게 메르스 관련 정보를 주는 척하면서 스마트폰 해킹을 시도한 걸로 볼 수 있다. 여러 정부기관이 메르스 대처에 총력을 다하고 있다고 강조하던 시점에 국정원은 메르스 관련 정보를 위장, 메르스에 대한 공포를 악용해 스마트폰 감청을 시도한 것이다.
데빌엔젤은 5163부대 즉, 국정원이 사용하는 아이디인 것이 확실시 된다. 해킹 팀의 직원들은 주문을 처리하며 주고 받은 이메일에서 데빌엔젤의 요구사항을 'SKA'의 요구라고 언급하고 있다. 'SKA'는 해킹 팀에서 5163부대를 부르는 코드명, 즉 'South Korea Army'의 약자다.
<오마이뉴스>가 지난 12일 보도한 천안함 사건 의혹 제기 연구자들의 컴퓨터를 해킹하려는 시도도 데빌엔젤의 소행이었다(관련기사 :
국정원, '천안함 의혹' 전문가 해킹 시도 정황 드러났다).