Interpreting Compiler

Ceci n'est pas une pipe. 이것은 북한이 아니다.

by

오늘 조간 신문에 북한 프로그래머가 남한의 보안 프로그램을 만들고 있을지도 모른다는 의혹을 보도했습니다. 관련 해설기사도 자세하게 썼습니다. 이 과정에서 고민을 많이 했습니다. 기억하실는지 모르겠지만, 저는 4월 농협 전산망 마비 사태 당시 해당 사고를 취재하면서 정부가 '북한의 소행'이라고 단정지은데 대해 꽤 비판적 입장이었습니다. 그래서 이번 기사도 첫 취재를 시작한 순간부터 기사를 송고하고, 고친 그 순간까지 계속 고민했습니다. 정황은 98% 그럴싸한데도, 마지막 2%의 결정적인 팩트가 부족하다고 느껴져서였습니다. 그럼에도 불구하고 쓰기로 결정했습니다. 그래야 수사권을 가진 수사당국에게 도움이 될 수 있을 테고, 기업과 관공서 등의 주의를 환기시킬 수 있으리라 봤기 때문입니다. 무엇보다 지난 번 정부의 '북한 배후설' 발표를 듣고 이를 비판하는 기사와 관련된 블로그 포스트까지 작성하고 난 뒤 한 보안 전문가로부터 받은 메일이 생각을 다시 하게 만드는 계기가 됐습니다. 유명 보안업체에서 오래 근무해 온 이 분은 "정부처럼 관련 자료를 갖고 있지 못해 북한이 배후라고 단정지을 수는 없지만, 그동안 이 업종에서 열심히 일해온 직업인으로서의 양심을 걸고 얘기하건데 농협 사건은 단순한 개인 또는 몇 명 정도의 조직이 해낼 수 있는 일이 아니다"라고 주장했습니다. 그 근거로 여러 곳에서 동시다발적으로 발견되는 코드의 형태를 들었습니다. 공격이 농협만을 노린 게 아니라 광범위한 대상을 상대로 이뤄졌다는 근거가 되는 셈인데, 몇 사람의 소행이라보기에는 변종이 너무 다양하게 존재한다는 겁니다. 또 공격의 방식, 코드 작성 과정에서 생길 수밖에 없는 습관 등도 비슷하다더군요. 이 분은 농협 코드를 직접 분석하던 분들 중 한 분이었습니다.

상식적인 선에서 생각하면 간단합니다. 농협 사태가 북한의 소행이 아닐 가능성만큼 북한의 소행일 가능성도 존재하게 마련이고, 어떤 가능성이 더 높은지는 결과적으로 정황과 근거가 설명하게 됩니다. 개인의 선입견 때문에 엄연히 존재하는 가능성을 묵살하면 안 된다고 생각했습니다.

그런 생각에서 여기까지 왔습니다. 이번 기사의 전말은 간단합니다. 국내 보안 소프트웨어가 게임, 단순한 사무용 프로그램 등과 마찬가지로 '외주 제작'이 가능한 소프트웨어로 취급되면서 일부 용역이 해외에서 이뤄진다는 겁니다. 해외에는 물론 인건비가 싸고 지리적으로 가까운 중국이 포함되고, 중국에는 한국어를 잘 하는 조선족이 많아 이들이 한국 용역을 맡게 됩니다. 여기까지는 그러리라 싶은 얘기입니다. 문제는 그 다음이었습니다. 조선족과 북한 사람들은 쉽게 구분이 가지 않습니다. 이들이 실은 북한 기관이 '외화벌이' 또는 '인터넷 기술 습득'의 목적으로 북한에 내보낸 전문 인력이라면? 그리고 조선족(중국인)으로 위장해 남한 보안업체의 용역을 맡고 있다면? 그렇다면 남한은 우리의 사이버 세상을 지킬 갑옷의 연결 마디마디를 가장 큰 적대국인 북한에게 만들라고 부탁하고 있던 건지도 모릅니다.

이 상황에 이를 때조차 모든 건 그저 의혹에 지나지 않았습니다. 북한 소식에 밝은 사람(A라고 해두죠)으로부터 "한국 보안업체 소프트웨어를 북한 사람들이 만든다는 얘기 들어보셨나요?"라고 들었을 때만 해도 그저 귀가 솔깃한 취재거리일 뿐이었으니까요. 하지만 의혹 이후 접하게 된 얘기들은 개인적으로 매우 충격적이었습니다. 우선 A가 자신보다 좀 더 자세히 아는 사람이라며 B를 소개해 줬습니다. B는 탈북한 지 이미 10년이 넘은 사람으로 남한에 잘 정착해 최근 금융권 IT 용역을 합니다.

B는 제게 "탈북자들 사이에서 북한에서 인력을 중국에 보낸 뒤 남한 보안 용역을 한다는 소문이 파다하다"고 말합니다. 그리고 "최근 한 지방 보안 업체가 내게 접촉해 중국 인력을 소개해 달라더라"고 합니다. "사실상 북한 사람을 소개해 달라는 소리라 재중 북한 대사관에 알아보라고 얘기하고 모른 척 했다"더군요. 북한의 컴퓨터 교육이 어떻게 진행되는지, 북한 프로그래머들이 어떤 업무에 강한지 등을 이 업체는 자세히 파악하고 있더랍니다. 물론 해당업체도 찾아갔습니다. 이들은 "북한 프로그래머를 구하면 어떨까 생각해 알아본 적은 있지만 실제로 이들에게 용역을 맡긴 적은 전혀 없다"고 주장했습니다.

그 뒤 알고 지내던 보안업계 관련 직종 여러 분들께 계속 연락을 돌렸습니다. "조선족 프로그래머가 유명하다"부터 "옌벤에 가면 조선족 브로커가 북한 인력을 소개해 준다"거나 "탈북자를 가장한 북한 인력이 충분히 중국에 나왔을 수 있다" 등 다양한 주장이 나오더군요. 이 과정에서 NK지식인연대 김흥광 대표와 통화를 할 기회가 생겼습니다. 탈북자로 북에서 컴퓨터공학과 교수를 하셨던 분입니다. 이 분 얘기가 "1, 2년 전만 해도 북한 KCC나 PIC 같은 컴퓨터 연구기관 인력들이 업무도 배우고 돈벌이도 하려고 단둥과 옌벤 등지에 많이 나왔다"더군요. 또 관련 정보를 계속 모으다보니 지난해 단둥에서 인력을 모집하다 국정원에 적발돼 인력 모집을 중단했던 업체 이야기라거나, 브로커에게 인력을 알선받기로 해놓고는 사기를 당해 선입금한 월급만 날려 먹은 업체 이야기 등도 알게됐습니다.

게다가 공교롭게도 취재가 진행되던 과정에서 경찰청은 국내 범죄조직과 북한 프로그래머 사이의 결탁을 통한 온라인게임 해킹 사례를 찾아내 이들을 검거합니다. 마침 이 때 적발된 북한 프로그래머들이 'KCC'(조선콤퓨터쎈터) 출신들이었습니다. 이후 기사에도 등장하는 조선족 브로커와 한 보안업체 대표 사이의 메신저 대화록을 받게 됩니다. 구체적인 인력 소개 방법, 용역 시세, 이들의 실력 수준 등이 등장하는 생생한 내용이었습니다. 게다가 중국인으로 신분을 속인 뒤 남한에 입국한 북한 사람들이 남한의 보안프로그램을 만들 수도 있다니...

이러고도 북한이 전혀 관계없다고 할 수 있을까... 그런 생각을 하다가 르네 마그리트의 그림이 생각났습니다. 마그리트는 담배 파이프를 그려놓고는 '이것은 파이프가 아니다'라는 제목을 달았습니다. 파이프는 파이프지만, 그림 속 파이프는 실제의 파이프와는 다르게 마련이라는 철학적인 주제였죠. 사람들은 결국 자신이 보고 싶은 틀로 명백한 파이프를 각자 다르게 해석했던 셈입니다. 우리에게 북한도 혹시 그런 존재는 아닐까 궁금합니다.