특검, 김경수-드루킹 '은밀한 대화' 복원 중

민주당원 인터넷 여론조작 사건을 수사 중인 허익범 특별검사팀이, 주범인 드루킹(본명 김동원·구속) 일당과 김경수 경남도지사 사이의 '관계'에 초점을 맞춰 사건을 재구성하고 있는 것으로 알려졌다.

드루킹 일당이 2016년 하반기부터 광범위하게 벌인 여론 조작 행위에, 김경수 지사가 관여한 정도를 구체적으로 살피겠다는 뜻으로 풀이된다. 김경수 지사가 드루킹의 범행을 구체적으로 인지했는지, 범행 모의에 직간접적으로 가담했거나 혹은 범행을 지시했는지, 김경수 지사를 둘러싼 의혹의 실체 규명을 위해서는 당시 상황에 대한 재구성이 필요하다는 것이 특검 측 판단이다.

특검이 김경수 지사의 '역할'을 중점적으로 들여다보기 시작하면서, 김 지사와 관련된 유의미한 증거가 새로 발견된 것 아니냐는 관측도 나온다. 최근 특검이 '디지털 포렌식'(digital forensic)에서 일부 성과를 냈다는 소식이 전해지면서 이런 관측은 더 힘을 얻고 있다.

특검 수사는 크게 세 갈래로 진행 중이다. ①드루킹 및 그가 운영을 주도한 인터넷카페 경제적공진화모임(경공모) 핵심 회원들의 인사 청탁 및 뇌물 제공 실체 ②드루킹 일당의 범행에 배후가 있는지 여부 ③경찰 조사를 통해 일부 실체가 드러난 수상한 자금의 용처 및 흐름이 그것이다.

이 가운데 특검의 수사 역량이 집중된 분야는 범행의 배후와 자금 흐름이다. 드루킹 일당의 범행 정도와 규모는 경찰 수사를 통해 이미 상당 부분 밝혀졌지만, 남은 두 가지 의혹은 무성한 소문과 달리 드러난 것이 별로 없다. 특검의 사건 재구성 시도는 이런 의미에서 기대를 모으고 있다. 사건의 재구성은 드루킹 일당의 배후와 자금 흐름을 밝히는데 있어 중요한 변곡점이 될 수 있기 때문이다.

특검은 이를 위해 드루킹이 사용한 댓글 조작 자동화 프로그램인 킹크랩을, 이른바 '시연회가' 열린 2016년 10월 상황에 맞게 재설치하는 방안을 적극 검토 중인 것으로 전해졌다. 드루킹의 진술에 따르면, 경기 파주 느릅나무 출판사에서 열린 당시 시연회에는 김경수 지사가 참석했다. 킹크랩 시연회는 김경수 지사와 드루킹 사이 연관성을 가늠할 수 있는 중요한 사건이다.

드루킹은 앞선 조사에서 '이날 김경수 지사로부터 킹크랩을 이용한 여론조작 작업 승인을 받았다'는 취지의 진술을 했다. 김경수 지사도 시연회 당일 느릅나무 출판사를 찾은 사실을 인정했다. 다만, 김 지사는 인터넷 선플 운동을 한다고 해서 방문했을 뿐 드루킹 측이 무엇을 하는지 전혀 몰랐다며, 이 사건과 본인은 무관하다는 입장을 강조하고 있다.

특검은 시연회 당시 상황을 정밀하게 재구성해, 김경수 지사와 드루킹 주장의 신뢰도를 검증한다는 계획이다. 이를 위해 특검은 시연회 현장에 있었던 경공모 회원들을 불러 조사를 마쳤다. 

시연회 재구성과 함께 관심을 끄는 것이 휴대폰 문자메시지 복원 가능성이다. 김경수 지사와 드루킹 측이 나눈 휴대폰 문자메시지 복원 여부는, 이 사건 진상 규명을 목적으로 하는 특검의 성과와 직결된다.

김 지사와 드루킹은, '보안성'이 매우 우수한 것으로 평가 받는 메신저 프로그램을 이용해 문자를 주고받았다. 두 사람이 사용한 프로그램은 텔레그램과 시그널로, 일반 국민이 즐겨 사용하는 카카오톡과 비교할 때 매우 강력한 암호화 기술을 채택하고 있다.

일반적인 메신저 프로그램은 통신망 구간에서만 암호화 기술을 적용하는 것이 일반적이다(통신 구간 암호화). 즉, A와 B가 나눈 휴대폰 문자메시지는, 전송 상태에서는 암호화돼 식별이 불가능하지만 통신사의 중간 서버에 저장될 때는 원래대로의 한글 문구로 변환된다. 암호화 기술이 통신망에서만 적용되기 때문에, 서버에 남은 데이터는 원칙적으로 복구가 가능하다. 

반면 텔레그램과 시그널에 적용된 기술은 '종단 간(end-to-end) 암호화'다. 이 기술은 A가 휴대폰 문자를 보낼 때부터 해당 메시지가 중간 서버를 거쳐 B에게 전송될 때까지 전 구간이 암호화된다는 점에서 차이가 있다. 즉 서버 저장 단계에서도 암호화 기술이 적용되기 때문에, 서버를 압수하거나 해킹해도 원문 복원은 이론 상 불가능하다. 메신저 프로그램 운용사도 그 내용을 알 수 없다.

종단 간 암호화 기술을 깨려면, 발신 휴대폰이 자동으로 생성한 암호화 '키 값'을 확보해야 한다. 발신자의 휴대폰을 입수해야만 메시지 복원이 가능하다는 뜻이다. 발신자의 휴대폰을 입수한 경우에도 넘어야 할 산이 있다. 데이터를 저장했다 지우기를 여러 차례에 걸쳐 반복했다면, 원문 복원이 매우 어렵다는 것이 전문가들의 견해다. 

서버가 해외에 있어 압수가 사실상 불가능하다는 것도 검찰에겐 고민이다.

시그널은 데이터 자동 삭제 기능, 화면 캡처 방지 기능도 갖추고 있다. 일정 기간이 지나면 데이터가 자동 삭제되는 시그널의 특성을 감안하면 복원 가능성은 그만큼 더 낮을 것으로 예상된다. 미 국가안보국(NSA)의 민간인 사찰 의혹을 폭로한 에드워드 스노든이 시그널의 보안성을 극찬한 일화는 유명하다. 

이런 제약에도 불구하고 시그널을 이용한 데이터 복원이 불가능하지 않다는 의견도 조심스럽게 나오고 있다. 최근 화이트해커들이 난공불락으로 여겨졌던 텔레그렘 보안 시스템을 뚫는데 거의 성공한 사실을 고려한다면, 시그널 보안도 안심할 수 없다는 것이 주된 이유다. 검찰과 경찰의 디지털 포렌식 기술도, 텔레그렘으로 보낸 메시지는 어느 정도 복원이 가능한 수준까지 높아졌다.

경찰 조사 결과를 보면, 김경수 지사와 드루킹 측이 시그널을 이용해 문자메시지를 주고받은 시기는 올해 1월부터 3월 사이다. 이 시기는 네이버가 드루킹 등을 업무방해 혐의로 수사 의뢰하고, 경찰이 드루킹과 경공모 회원 2명의 신병을 확보한 시기와 맞물린다. 이 기간 동안 두 사람이 시그널을 이용해 주고받은 메시지는 모두 55건. 김 지사가 보낸 메시지는 16건, 드루킹이 김 지사에게 보낸 메시지는 39건이다.

김경수 지사와 드루킹이 일반인들에게는 아직 낯선 시그널을 이용해 문자메시지를 주고받았다는 점에서, 두 사람 사이에 오간 은밀한 대화 내용은 사건의 전말을 밝혀줄 스모킹건이란 평가를 받는다.

특검이 시그널의 암호 체계를 뚫고 원문을 복원하는데 성공했는지 여부는 확인되지 않고 있다. 본지는 SK LG유플러스 KT 등 국내 이동통신 3사 보안전문가들에게 시그널 문자메시지의 복원 가능성을 질의했으나, '민감한 사안'이란 이유로 답을 얻지 못했다.