지난 몇 년간 감시 용병 기업이 페이스북과 인스타그램, 왓츠앱 등을 100여 개국 시민을 감시 표적으로 지정할 시작점으로 널리 악용했다. 12월 16일(현지 시각), 메타가 자사 플랫폼에서 감시 용병 기업 7곳을 퇴출한 소식을 전하며, 5만여 명에게 감시 활동 피해를 보았을 위험성을 알렸다. 메타는 감시 피해자 다수가 언론인과 인권 운동가, 반정부 인사, 야당 관계자, 성직자이며, 나머지 피해자는 법률 소송 당사자 등 일반인이라고 밝혔다.
메타는 감시 용병 퇴치 조처의 일부분으로 광범위한 감시 용병 계정 제거 작업을 시행하면서 감시 관련 인프라를 해체한 뒤 감시 용병 단체의 접근을 금지하고는 활동 금지와 함께 퇴출 경고 메시지를 보냈다. 메타는 보안 침해 관련 자체 연구 및 지표를 대중적으로 공개해 다른 플랫폼과 보안 기관이 비슷한 활동을 수월하게 감지하도록 돕고자 한다고 밝혔다. 이번 감시 용병 기업 발견 소식은 공격 대상을 지정한 감시 업계와 광범위한 감시 표적 범위가 전 세계적으로 적용될 수 있다는 사실을 강조한다.
메타 보안 정책 책임자 나다니엘 글레처(Nathaniel Gleicher)는 12월 16일 자로 진행된 기자와의 통화를 통해 “사이버 세계의 감시 용병은 종종 자사 서비스와 감시 소프트웨어가 범죄자, 테러범 추적에 초점을 둘 의도로 출시됐다고 주장한다. 그러나 메타의 조사 결과와 독립 연구팀, 동종 업계 기업, 정부 기관의 유사한 사건 조사 결과 실제 감시 대상 지정이 무차별적으로 이루어진다는 사실을 확인했다”라고 밝혔다. 이어, “감시 용병 기업은 가짜 계정 관리와 감시 표적 지정 및 감시, 멀웨어 전달 등과 같은 목적으로 툴을 개발하고는 자사 툴에 가장 큰 관심을 보이는 모든 고객사, 즉 감시 툴 구매 비용을 기꺼이 지출할 의사가 있는 기업에 감시 툴을 제공한다. 감시 용병 업계를 넘어서 실제 감시 툴을 악용하는 사이버 보안 위협 세력이 훨씬 더 많다는 의미이기도 하다”라고 말했다.
메타는 감시 용병 업계가 총 3가지 범주에 걸쳐 감시 행위를 벌인 점을 강조했다. 감시 용병 업계의 행위를 공급망 단계로 생각할 수 있다. 최상위 구조 안에서 기업마다 다른 전문 감시 기술을 지녔다.
첫 번째 단계는 기업이 감시 대상의 정보를 폭넓게 수집하는 ‘염탐’ 단계이다. 염탐 단계에서는 주로 대중적으로 사용할 수 있는 인터넷과 다크웹에서 자동화 기술로 다량의 정보를 수집한다. 두 번째 단계는 실제 감시 대상에게 접근해 관계를 형성하면서 신뢰를 쌓는 ‘참여’ 단계이다. 감시 기업은 종종 가짜 프로필과 페르소나를 생성한다. 졸업생이나 기자로 위장해 감시 대상과의 접촉 명분을 제기하는 것과 같은 방식을 택한다. 혹은 감시 표적과의 관계를 만들고자 조작된 콘텐츠나 거짓 정보를 유포할 수도 있다. 세 번째 단계는 ‘악용’ 혹은 ‘감시 용병’ 동원 단계이다. 감시 기업이 피해자의 신뢰를 악용해, 필요하다면 정보나 클릭을 유도할 악성 링크, 다운로드를 유도할 악성 첨부 파일을 제공한다. 혹은 다른 감시 행위를 택하기도 한다.
각각의 단계는 여러 플랫폼과 서비스에서 펼쳐진다. 일례로 메타의 왓츠앱은 피해자에게 악성 링크를 유포하는 일반적인 경로였다. 페이스북과 인스타그램은 가짜 페르소나의 본질적인 탄생 중심지가 되었다.
12월 16일(현지 시각), 토론토대학교 산하 시티즌랩(Citizen Lab) 연구팀도 시트록스와 프레데터(Predator)라는 시트록스의 스파이웨어를 전문적으로 깊이 조사한 결과를 게재했다. 시티즌랩 연구팀은 프레데터가 이집트 피해자 기기가 감염되도록 한 두 가지 사례를 연구했다. 한 가지 상황은 망명한 정치인 아이만 누어(Ayman Nour) 공격 사례이며, 또 다른 사례는 익명을 요청한 어느 한 이집트 뉴스 프로그램 진행자이다. 누어의 사건은 특히 충격적이다. 누어의 기기가 프레데터와 이스라엘 스파이웨어 개발사 NSO 그룹의 악명 높은 스파이웨어인 페가수스(Pegasus)에 동시에 감염된 사실이 밝혀졌기 때문이다. 시티즌랩은 다른 국가 정부 기관이 프레데터와 페가수스를 각각 설치했다고 밝혔다.
시티즌랩이 분석한 두 사례 모두 2021년 6월, 당시 애플 iOS 최신 버전이었던 iOS 14.6을 사용하던 중 프레데터에 감염됐다. 프레데터는 왓츠앱으로 전송한 악성 링크 클릭과 함께 기기에 설치됐다.
시티즌랩 수석 연구원 존 스콧 레일톤(John Scott-Railton)은 “프레데터의 기술적 교묘함은 NSO의 페가수스보다는 낮지만, 여전히 매우 심각한 피해를 줄 수 있다”라며, “프레데터, 페가수스 등과 같은 스파이웨어를 조사하면서 느낀 바는 피해자가 무엇을 만들든 모두 찾아낸다는 점이다. 또한, 어떠한 행동을 하든 모두 찾아낸다. 메타는 이와 관련, 7개 기업을 이야기했다. 아직 메타가 발견하지 못해 감시 공격 문제를 해결하지 못한 기업이 20여 곳에 이를 수도 있다. 스파이웨어 유포 문제의 결론은 매우 조직화된 채로 공격 개시 행위에 개입하는 기업이 한 기업에 제한되지 않는다는 사실이다”라고 말했다.
지난 수 개월간 NSO 그룹의 페가수스 공격성과 심각한 보안 침입 특성의 여파와 통제가 불가능하다는 사실이 드러난 사례가 갈수록 증가했다. 그러나 메타의 감시 용병 기업 퇴출 소식은 감시 용병 업계가 매우 널리 확산됐으며, 익명의 수많은 관련 기업이 대규모로 감시 행위에 개입한다는 사실을 시사한다.
메타 연구팀은 업계 협력 및 여러 민주주의 정부와의 협력이 스파이웨어 위협을 다룰 중요한 요소라고 말했다. NSO 그룹과 같은 기업이 유포한 스파이웨어 툴에 집중하는 것이 중요하다. 그러나 글레처가 말한 바와 같이 앞으로 스파이웨어 개발 및 유포 공급망의 활동을 추가로 발견하려 하는 것도 중요하며, 스파이웨어가 피해자의 기기에 실제 영향을 미치기 전에 발견하는 것이 이상적이다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202112/3606_4720_5038.jpg)
뉴스레터 신청