제주도에 지하 조직 ‘ㅎㄱㅎ’을 설립한 국내 진보 정당 간부는 2017년 7월 캄보디아 앙코르와트에서 북한 공작원과 접촉한 것을 시작으로 지난해 11월까지 대남 공작 부서와 수시로 교신했다. 5년 넘게 국가정보원 등의 눈에 띄지 않고 대북 보고와 지령을 주고받았는데, 이 과정에서 신종 연락 수단인 ‘스테가노그래피(Staganography)’와 ‘사이버 드보크(Cyber Dvoke)’를 사용한 것으로 알려졌다.

스테가노그래피는 전달하려는 기밀 정보를 이미지(jpg)·오디오(mp3)·비디오(mp4)·텍스트(txt) 등 이른바 ‘커버’라 부르는 다른 미디어에 숨겨서 전송하는 암호화 기법이다. 메시지 자체를 숨기는 것은 물론 메시지 전송 여부도 알지 못하게 하는 것이 목적이다. 평범해 보이는 사진, 언론 기사 속에 암호화한 지령을 숨긴 뒤 특정 소프트웨어를 활용해야 지령이 드러나는 방식이다. 2001년 오사마 빈 라덴이 9·11 테러를 준비하면서 사용한 스테가노그래피가 대표적이다. 당시 빈 라덴은 ‘모나리자의 미소’ 사진 속에 비행기 도면을 숨겨 알카에다 조직원들에게 메일을 보내기도 했다. 2021년 3명이 간첩 활동 혐의(국가보안법 위반)로 구속된 ‘자주통일 충북동지회’ 사건에서도 조직원들이 스테가노그래피를 활용해 북측과 지령, 보고문을 주고받은 것으로 나타났다. 제주 사건에서도 이 기법을 동원했다는 것이다.

제주도 조직이 사용한 사이버 드보크는 문자 그대로 ‘사이버 무인 매설함’이란 뜻이다. 과거 간첩들은 접선 과정에서 적발되는 위험을 피하기 위해 한 사람이 제3 장소(무인 포스트)에 지령문 등을 놓고 가면 그다음 사람이 시간 차를 두고 나타나 챙겨가는 식으로 교신했다. 사이버 드보크는 이런 교신 방식을 사이버 공간으로 옮긴 것이다. 안보 부서 관계자는 “북한이 사이버상 도처에 드보크를 설치해 간첩 간 연락 수단으로 활용하고 있다”며 “의심이 가는 인사를 특정해 장기간 추적·감시를 해야 잡을 수 있다”고 했다.

구글 등 국내 방첩 당국이 들여다보기 힘든 클라우드 사이트에 계정을 개설해 아이디·패스워드를 공유하고, 여기에 서로 암호화한 지령문을 올려 교신하는 것이 일반적이다. 이번에도 북한 공작 부서가 외국계 이메일 계정으로 가입한 클라우드에 암호화한 문서를 업로드하면 ‘ㅎㄱㅎ’ 조직원들이 내려받는 식으로 소통이 이뤄졌다고 한다. 2010년 적발된 간첩 사건에서도 사이버 드보크 방식이 동원됐다. 이 밖에 북한과 ‘ㅎㄱㅎ’은 조직원은 ‘대학생’, 해외여행은 ‘쇼핑’으로 부르는 등 등 교신 때 다양한 음어를 써가며 수사기관의 추적을 피해온 것으로 알려졌다.