타나시스 쿠카키스(Thanasis Koukakis)가 이른바 유럽의 워터게이트(Watergate) 파문에 개입하도록 유도한 문자 메시지는 심각한 피해를 일으키지 않아, 당시 문자를 받은 사실도 거의 기억하지 못했다. 아테네에 거주하는 금융 전문 기자인 쿠카키스는 2021년 7월 12일, 연락처에 저장한 적이 없는 그리스 번호로 전송된 메시지를 받았다. 3년간 정부의 변화가 금융 범죄 규제에 미친 영향을 조사한 쿠카키스에게는 제법 흔한 일이었다. 쿠카키스는 자신이 저장한 번호든 저장한 적이 없는 번호든 문자 메시지를 자주 받는다. 그런데 문제의 문자 메시지는 쿠카키스를 직접 언급했다. 해당 문자에는 “타나시스씨. 이 문제를 알고 있습니까?”라는 메시지가 작성되었다. 그리고 문자에 함께 첨부된 링크에 연결한 뒤 그리스 금융 파문 사태를 다룬 뉴스를 접하게 되었다. 이후 쿠카키스는 바로 “아니오”라는 짧은 답변을 보냈다.
44세인 쿠카키스는 몇 달이 지난 뒤에도 해당 문자 메시지에 대해 알지 못했다. 며칠 뒤 문자를 통해 접속한 기사 웹사이트가 사라진 사실을 알게 되었다. 또한, 문자에 포함된 링크를 클릭함과 동시에 링크에 접속한 기기에서 보이지 않는 문을 열고, 스파이웨어 소프트웨어 프레데터(Predator)가 잠입한 뒤 기기가 전송 및 수신한 모든 문자와 통화를 볼 수 있다는 사실을 인지하지 못했다.
쿠카키스는 링크 접속 이후에도 아이폰이 정상적으로 실행되었다고 말했다. 그러던 중 2021년 12월, 페이스북 모기업 메타가 그리스를 포함한 10개국 사용자를 대상으로 악용한 상용화 스파이웨어를 발견했다는 소식을 접했다. 피해자를 속여 스파이웨어를 설치하도록 유도하려 스파이웨어가 악용하는 링크 중에는 CNN 그리스 웹사이트처럼 설계된 웹사이트도 있었다. 바로 쿠카키스가 편집장으로 근무한 곳이다.
갑자기 의심을 지울 수 없었던 쿠카키스는 메타에 연락했다. 이후 메타는 쿠카키스에게 토론토대학교 산하 스파이웨어 전문 연구 기관인 시티즌랩(Citizen Lab)에 연락하도록 안내했다. 2022년 3월, 시티즌랩 연구팀은 쿠카키스에게 감시 피해 사실을 안내했다. 쿠카키스가 한 달 뒤 피해 사실을 공개하자 집단 분노가 이어졌으며, 그리스 검찰이 쿠카키스의 스파이웨어 피해 사건을 수사했다. 그러나 쿠카키스의 피해 사례는 시작에 불과했다. 7월 26일(현지 시각), 프레데터 스파이웨어 설치를 유도한 링크를 받았다고 밝힌 또 다른 인물이 등장했다. 그리스 제3의 정당 PASOK 당 대표인 니코스 안드로라키스(Nikos Androulakis)이다.
안드로라키스는 링크에 접속하지 않았다. 그러나 현직 야당 지도자의 스마트폰 해킹 시도 사실 자체는 그리스 정부에 위기를 가했다. 지금까지 관료 두 명이 사임했으며, 키리아코스 미초타키스(Kyriakos Mitsotakis) 총리에게는 스파이웨어 공격 배후 세력을 밝히라는 압박이 커졌다.
그리스 정부의 스파이웨어 파문은 유럽연합까지 확산됐다. 지난 13개월간 유럽연합은 스파이웨어가 2019년부터 2021년까지 프랑스와 스페인, 헝가리, 폴란드 야당 지도자와 언론인, 변호사, 사회 운동가, 그리고 유럽연합의 내각 형태 정부인 유럽연합 집행위원회 소속 구성원까지 감시한 사실을 밝혀냈다. 유럽연합은 이미 스파이웨어 사용 사례 질의를 했다. 조사 과정에 유럽연합 집행위원 38명이 참여해 2023년 초, 보고서를 발행할 예정이다. 그러나 또 다른 스파이웨어 피해 사례가 급격히 증가하는 추세이다.
그리스 스파이웨어 사태를 유럽연합의 다른 사례와 구분하여 보게 되는 요소는 공격에 악용한 스파이웨어의 배후 기업이다. 지금까지 유럽연합 전역의 스파이웨어는 악명 높은 소프트웨어 기업 NSO 그룹(NSO Group) 단 한 곳이 추적했다 .그러나 쿠카키스의 스마트폰에서 감시 공격을 개시한 스파이웨어는 북마케도니아에 설립돼, 2017년, 탈 딜리안(Tal Dilian)이라는 기업가가 인수한 기업 시트록스(Cytrox)가 개발했다. 탈 딜리안은 사이프러스 섬 일대의 첨단 감시 기술 운영을 이끄는 악명 높은 기업가이며, 포브스 기자에게 사용자의 스마트폰을 해킹하는 과정을 직접 보여주기도 한 인물이다. 딜리안은 인터뷰 당시 시트록스가 인수 후 자신이 운영하는 정보 기업이자 현재 그리스에 본사를 둔 인텔렉사(Intellexa)에 통합됐다고 밝혔다. 시트록스가 유럽에 현재 발생한 스파이웨어 파문에 등장하면서 스파이웨어 문제가 단순히 NSO 그룹에 국한된 문제가 아닌 매우 큰 문제임이 드러났다. 유럽연합 자체에는 음지에서 성행하는 스파이웨어 산업이 형성되었다.
다수 보안 연구원은 NSO 그룹이 강력한 검증과 미국의 블랙리스트로 공격 개시에 난항을 겪자 상대적으로 인지도가 낮은 유럽의 다른 스파이웨어 기업이 NSO 그룹의 고객을 빼앗으려 경쟁을 펼쳤다고 분석했다. 지난 2개월간 시트록스 이외에 다른 스파이웨어 기업도 유럽연합 내 기기 해킹으로 언론의 대서특필 대상이 되었다.
[사진=Freepik]
2022년 6월, 구글은 이탈리아 스파이웨어 공급사 RCS 랩(RCS Lab)의 스파이웨어가 이탈리아와 카자흐스탄 스마트폰을 겨냥해 감시 공격을 개시한 사실을 발견했다. RCS 랩의 관리 총괄 알베르토 노빌리(Alberto Nobili)는 와이어드와의 인터뷰에서 RCS 랩은 자사 소프트웨어 악용 사례를 맹비난한다고 주장하면서도 구글이 보고서를 통해 밝힌 사례가 악용 사례에 해당하는지는 답변하지 않았다. 노빌리는 “RCS 랩 구성원은 고객사의 소프트웨어 악용 활동에 노출되거나 가담한 적이 없다”라고 강조했다.
비교적 최근인 7월, 마이크로소프트는 오스트리아 기업 DSIRF의 스파이웨어가 오스트리아, 영국, 파나마 법무법인과 은행, 자문 기관을 해킹한 사실을 발견했다. DSIRF는 와이어드의 문의에 답변하지 않았다.
사이버 보안 기업 룩아웃(Lookout) 소속 보안 정보 연구원 저스틴 알브레치(Justin Albrecht)는 “유럽이 스파이웨어 중심지라는 사실은 분명하다”라고 말했다. 스파이웨어 업계의 혼잡함은 2015년, 이탈리아의 악명 높은 스파이웨어 제조사 해킹팀(Hacking Team)이 스스로 해킹 공격을 개시해, 사내 메일을 온라인으로 유출했던 당시 상황을 반복한다. 알브레치는 “해킹팀 사태 이후 사이버 보안 연구 전문가는 다른 스파이웨어 공급사가 해킹팀이 운영하던 사업을 중단하였다”라고 전했다.
상용화 스파이웨어 기업은 스파이웨어 업계에서 심각한 범죄를 일으킨다. 해킹 개시 지점을 선택할 수는 있지만, 특정 공격 대상을 선택하지는 않는다. 스파이웨어 감염을 지시한 이의 정체는 여전히 의문이다. 연구팀이 사용자 기기에서 스파이웨어를 감지하면, 스파이웨어 개발사를 확인할 수는 있어도 구매자 정보는 알 수 없다. 즉, 실제 스파이웨어 공격 책임을 물을 이를 찾기 어렵다는 의미이다.
일례로, 그리스에서는 보수 정부가 쿠카키스와 안드로라키스를 겨냥한 프레데터 스파이웨어 사용 혐의를 계속 부인한다. 그러나 그리스 정보국 수장은 현지 이동통신 기업을 통해 쿠카키스의 스마트폰을 합법적으로 도청했으며, 미초타키스 총리는 안드로라키스도 쿠카키스와 같은 감시 공격을 당했다고 말한 것으로 알려졌다. 그리스 정보국 수장은 “지금까지 발견된 공격은 불법이 아닌 실수라고 알려졌다”라고 전했다. 여기서 스파이웨어 감시 공격 개시 실수를 인정한 정부 관료 두 명이 사임했다. 먼저 파나기오티스 콘토레온(Panagiotis Kontoleon) 그리스 정보국 국장이 물러났다. 그리고 얼마 지나지 않아 미초타키스 총리의 수석 보좌관이자 조카인 그리고리스 디미트리아디스(Grigoris Dimitriadis)가 사임했다. 현지 기관인 리포터스 유나이티드(Reporters United)가 시트록스의 스파이웨어 판매자와 인맥이 있다는 의혹이 제기된 직후의 일이다. 총리실과 그리스 정보국 모두 와이어드의 문의에 답변하지 않았다.
2021년, 헝가리에서는 17개국 언론 기관이 조사한 페가수스 프로젝트(Pegasus Project) 관련 정보를 접한 직후 페가수스의 감시 공격 피해를 당한 사실을 발견했다. 스파이웨어 피해 소송 사건에서 피해자를 대변하는 헝가리 시민권 조합(Hungarian Civil Liberties Union) 법률 담당자 애덤 렘포트(Ádám Remport)가 설명한 바와 같이 헝가리 정부가 현지 언론인과 사회 운동가를 겨냥해 스파이웨어를 직접 유포했다는 직접적인 증거는 없다. 대신, 여러 정황을 종합했을 때, 관련성을 발견할 수 있다. 렘포트는 “헝가리 정부가 페가수스를 구매한 사실을 알고 있다. 또한, 정부가 페가수스 감시 피해자를 눈엣가시로 보았다는 사실도 알고 있다”라며, 피해자 대부분 헝가리 현지 부정부패와 헝가리 정부와 러시아의 관계를 밝힌 언론인과 사회 운동가라는 사실을 덧붙여 전했다. 이어서 렘포트는 “이 외에는 페가수스 감시 공격을 개시했다고 의심할 만한 이가 없다”라고 말했다.
헝가리와 폴란드 내 페가수스 공격 사례가 드러나자 유럽 의회 의원은 4월, 좀처럼 보기 드문 질의를 진행했다. 질의는 페가수스 감시 공격에 초점을 맞추어, ‘PEGA 위원회(PEGA committee)’라는 이름으로 알려졌다.
이스라엘에서는 NSO 그룹에 지나치게 초점을 맞추었다는 주장이 제기되었다. 이스라엘 국가 안보 보좌관 척 프레이리치(Chuck Freilich)는 “이스라엘에서는 스파이웨어 사태에 이스라엘을 지나치게 비판하는 행위를 정당화하는 요소가 있다고 본다. 만약, 다른 국가가 스파이웨어 파문의 중심지가 되었다면, 현재 NSO 그룹과 이스라엘처럼 매우 큰 잡음이 발생하지는 않았을 것이다. NSO 그룹과 똑같이 스파이웨어를 개발한 뒤 판매하는 기업과 국가를 여러 곳 찾아볼 수 있다. 그러나 이스라엘과 똑같이 맹비난받지는 않는다”라고 말했다.
알브레치가 강조한 바와 같이 NSO 그룹이 검증 완화 대상이 되어서는 안 되며, 다른 스파이웨어 기업도 더 엄격한 감시를 받아야 한다. 다른 스파이웨어 공급사의 피해자 중 페가수스로 스마트폰 해킹 피해를 겪은 뒤 암살된 워싱턴포스트 기자 자말 카슈끄지만큼 유명한 이는 없다. 그러나 스파이웨어 피해 사례가 증가한 사실 자체는 다른 스파이웨어 공급사도 논란의 대상이 되어야 한다는 사실을 시사한다. 알브레치는 “RCS 랩의 스파이웨어가 시리아에서 악용되었음을 시사하는 사례도 발견했다. 시리아에서는 소수민족인 쿠르드족의 비율이 높은 로자바(Rojava) 지역에서 스파이웨어 악용 사례가 유독 많은 것으로 관측됐다”라고 전했다.
그리스의 스파이웨어 파문은 어느 정도 업계 전반의 규제가 필요하다는 주장의 설득력을 더할 근거가 된다. 국제 앰네스티 산하 보안 연구소 소속 기술자 에티엔 마이니어(Etienne Maynier)는 “NSO 그룹이 지금 당장 직면한 문제 때문에 내일 당장 폐업하더라도 스파이웨어 규제 변화가 없다면, 달라질 부분은 없을 것이다. 악의적인 의도로 운영하는 기업 단 한 곳만의 문제가 아니다. 스파이웨어 기업 여러 곳이 모두 결정해야 하는 법률 구조 문제이다”라고 설명했다.
PEGA 위원회 조사위원으로 임명된 네덜란드 국회의원인 소피 인트 벨드(Sophie in’t Veld) 의원은 2023년, 유럽연합의 질의 완료 후 규제 상황이 달라지기를 바란다. 벨드 의원은 “스파이웨어 업계 전체를 강력히 규제해야 한다”라며, 스파이웨어 업계 전체의 투명성 강화를 원한다고 덧붙여 전했다. 이어서 “투명성 강화를 원한다면, 스파이웨어 공급사의 진짜 정체와 배후 세력의 정체, 기반 등을 밝혀야 한다”라고 말했다.
벨드 의원이 가장 분노하는 부분은 시트록스의 스파이웨어를 판매한 기업인 인텔렉사가 공식 웹사이트에 유럽연합의 규제를 받는다고 주장하는 부분이다. 이에, 벨드 의원은 유럽연합의 규제를 받는다는 표현의 진짜 의미는 무엇인가? 누가 규제하며, 어떤 규정을 적용한다는 의미인가?”라는 질문을 던졌다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202208/4150_5495_458.jpg)
뉴스레터 신청