이스라엘 스파이웨어 개발사 NSO 그룹이 직면한 법적 압박이 증가함과 동시에 전 세계 독재 정권과 법률 집행 기관의 NSO 그룹의 해킹 툴 악용 논란이 더 심각해지는 추세이다. 이에, 애플은 미국 국무부 직원 최소 9명을 포함한 광범위한 아이폰 사용자가 지난 수 개월간 NSO 그룹의 해킹 툴을 악용한 정체를 알 수 없는 해커 세력의 공격으로 모바일 기기 보안 침해 문제를 겪은 사실을 알렸다.
복수 소식통이 해당 소식을 최초 보도한 로이터에 밝힌 바에 따르면, 이번에 피해를 본 국무부 직원 모두 우간다에서 근무하거나 우간다 관련 문제를 다루던 이들이다. 우간다 정치계 인사도 마찬가지로 공격을 당한 것으로 추정된다. 애플의 iOS 모바일 운영체제와 구글 안드로이드OS에 모두 심을 수 있는 NSO 그룹의 페가수스(Pegasus) 스파이웨어를 동원한 공격 사례는 지난 몇 년간 여러 차례 발견됐다. 페가수스는 기기에 한 번 설치된 후 사용자 위치 추적과 마이크 활성화, 데이터 탈취 등 각종 감시 활동을 펼칠 수 있다.
가장 최근 발견된 페가수스 공격 사례는 “NSO 그룹은 판매한 소프트웨어 툴 사용과 관련, 고객사의 사용 방식을 제한하기 위한 적절한 통제 방법을 두지 않았다”라는 프라이버시 옹호 세력과 인권 운동가가 오랫동안 경고를 정확히 강조한다. 또한, 미국 휴대 전화 번호가 등록된 기기에 스파이웨어를 설치할 수 없다는 주장 등 일각에서 페가수스에 대해 경고한 바와 반대되는 내용을 거듭 확언한 바가 거짓인 듯하다.
NSO 그룹 대변인 리론 브룩(Liron Bruck)은 공식 성명을 통해 “NSO 그룹은 라이선스를 구매한 고객사에 페가수스를 판매한 뒤, 고객사가 페가수스 사용 대상으로 삼은 이를 알 길이 없다. 마찬가지로 그동안 밝혀진 페가수스 악용 피해 사례를 알지도 못했으며, 알 방법도 없었다”라며, “고객사의 페가수스 접근 권한을 즉각 영구 중단하였다”라고 덧붙여 전했다. 공식 성명 내용은 NSO 그룹이 페가수스의 미국 국무부 직원 감시 등에 악용되었다는 징조를 전혀 알지 못했다는 내용만 주장했다.
[사진=Freepik]
공식 성명처럼 타당한 듯한 페가수스 악용 의혹 부인은 NSO 그룹이 이전부터 공통적으로 펼친 논조이다. 2021년 7월, NSO 그룹 CEO 샤레브 후리오(Shalev Hulio)는 포브스와의 인터뷰에서 NSO 그룹을 구매자가 음주운전으로 문제를 일으킨 차량을 판매한 차량 제조사에 비유했다. 그러나 각국 정부를 감시 대상으로 삼은 강력한 스파이웨어는 차량 제조사가 음주 운전자에게 차량을 판매한 상황과 매우 거리가 멀다. NSO 그룹 비판 세력은 NSO 그룹이 단 한 차례도 주력 판매 소프트웨어 툴인 페가수스 때문에 발생할 수밖에 없는 악용 문제 발생 위험성을 줄일 충분한 노력을 펼친 적이 없다고 지적한다.
과거 미국 국가안전보장국 해커로 활동한 적이 있는 사이버 보안 사건 대응 전문가 제이크 윌리엄스(Jake Williams)는 “페가수를 악용한 고객사의 공격 문제에 대한 NSO의 주장을 신뢰할 수 있다 하더라도 이번 미국 국무부 직원의 피해 사실은 NSO 그룹의 제품 보호 수준이 충분하지 않다는 사실을 시사한다”라며, “페가수스를 이용한 감시 문제는 확실히 예측할 수 있는 문제였다. 각국 정부가 NSO 그룹이 판매한 스파이웨어를 보유한 상태에서 정보 요구사항을 충족하지 않았다면, 어떤 툴이든 원하는 의도대로 이용할 수 있다는 사실을 분명하게 예상해야 했다”라고 설명했다.
페이스북 모기업 메타가 보유한 보안 메시지 앱 왓츠앱은 2019년, 페가수스가 왓츠앱 서비스를 악용해 사용자 수천 명을 공격하려 한 혐의가 알려진 직후 NSO 그룹을 제소했다. 2021년 11월 23일(현지 시각), 애플도 왓츠앱에 이어 NSO 그룹을 상대로 소송을 제기한다고 공식 발표했다. 그에 앞선 11월 초, 미국 상무부는 페가수스 스파이웨어 악용 문제 때문에 NSO 그룹을 제재했다.
윌리엄스는 “국무부 직원을 공격한 이유가 상무부의 NSO 그룹 제재 때문인지 의문을 제기할 수 있다”라고 언급했다.
그러나 프라이버시 옹호 세력과 다수 연구원은 페가수스를 이용한 특정 인물을 겨냥한 악명 높은 감시 공격 발견 빈도를 고려하면, 미국 정부의 NSO 그룹 제재가 제때 이루어지지 않았다고 본다.
스탠포드 인터넷 감시기구(Stanford Internet Observatory) 소속 연구원인 리아나 페퍼콘(Riana Pfefferkorn)은 “페가수스가 제프 베조스와 워싱턴포스트 칼럼니스트 자말 카슈끄지(Jamal Khashoggi)를 포함한 미국 시민과 미국 관련 기관 및 개인을 공격했는데도 미국 정부는 매우 오래전부터 의도적으로 문제를 무시해왔다”라고 주장했다. NSO 그룹은 페가수스가 베조스와 카슈끄지 감시에 동원되었다는 사실 모두 부인한다. 이어, 페퍼콘은 “미국 정부가 베조스와 카슈끄지 감시 공격 사건을 외면한 사실은 이미 NSO 그룹이 법적 책임을 면하면서 페가수스 스파이웨어 공격 작전을 개시하고, 그동안 주장한 바와 같은 관점을 지지하지 않는다는 사실을 확실히 나타낸다. 더는 NSO 그룹이 미국 국가 안보에 가하는 위험성을 무시할 수 없다”라고 강조했다.
테러 조사와 법률 집행 기관의 수사 이외에 다른 목적으로 페가수스를 악용한 고객사를 제소하겠다는 NSO 그룹의 주장도 신뢰할 수 없다.
윌리엄스는 “NSO 그룹의 고객사 소송이 페가수스의 감시 공격 피해 복구나 제지 능력 확보 둘 중 어느 쪽이든 효과적인 전략이 되기는 어렵다. 그저 NSO 그룹이 제소할 수 있는 고객사가 본거지를 둔 국가의 정부 기관이 현지 사법 지역에서의 감시 피해 보호를 얻을 수 있기를 바랄 뿐이다”라고 말했다.
미국 정부 제재와 왓츠앱, 애플의 NSO 그룹 소송의 영향은 더 지켜봐야 알 수 있다. 그러나 지금까지 NSO 그룹 고객사가 시간이 지나면서 더 과감한 공격 행위를 펼친 것으로 보인다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202112/3582_4692_957.jpg)
뉴스레터 신청