Facebook says 50,000 users were targeted by cyber mercenary firms in 2021

페이스북 “올해 100여 나라 5만 명, 사이버 용병 업체 타깃됐다”

페이스북 모회사 메타 조사 결과, 돈을 받고 일반인을 감시하고 개인정보를 빼내는 ‘감시 용병’ 업체들의 대규모 활동이 드러났다. 이번에 적발된 7개 업체는 올해에 100여 개 나라에서 약 5만 명을 감시했던 것으로 드러나 충격을 주고 있다.

이스라엘과 중국 등의 ‘사이버 용병’ 업체들이 올해 100여 개 나라 5만 명의 페이스북과 인스타그램 계정을 해킹해 개인 정보를 빼내고 몰래 감시 활동을 벌인 것으로 페이스북의 모회사 메타(Meta)가 새로 발표한 조사 결과를 통해 드러났다.

정교한 디지털 도구를 사용해 사람들의 활동과 사생활의 비밀을 은밀하게 훔쳐보는 이러한 민간 기업들의 존재는 이미 꽤 오래 전부터 알려져 왔었다. 이런 활동이 법집행을 위한 합법적인 활동인 경우도 더러 있긴 하지만 법적·윤리적으로 의심스러운 경우가 대부분이다.

사이버 감시 산업이 호황을 누리면서 전 세계적으로 수백 개 감시 회사가 생겨났지만 이러한 ‘감시 용병’에 대한 논의는 주로 소수의 기업과 그들의 역량에만 집중돼 있었다. 하지만 메타는 12월 16일 열린 기자회견에서 이전에 드러난 적 없는 규모의 엄청난 민간 감시 산업에 대한 자세한 조사 결과를 발표했다.

나다니엘 글레이처(Nathaniel Gleicher) 페이스북 보안정책 책임자는 “사이버 용병 업체들은 자신들의 서비스와 서베일런스웨어(surveillanceware)가 범죄자나 테러리스트 추적을 목표로 한다고 주장한다”면서 “그러나 이번 우리 조사와 개별 연구자, 다른 기업, 정부가 이전에 진행한 비슷한 조사 결과들을 종합해 보면 그런 회사들이 공격 목표로 삼는 대상이 사실상 무차별적임을 알 수 있다”고 밝혔다. 서베일런스웨어란 SMS 메시지와 음성 메일, 전화 통화 내역 같은 민감한 사용자 정보를 포착해서 전송하도록 고안된 일종의 멜웨어다.

그는 이어 “우리와 다른 회사 플랫폼에서 사이버 용병 업체의 감시 대상이 된 것으로 보이는 약 5만 명에게 이 사실을 알릴 예정이다”면서 “언론인, 인권 운동가, 활동가, 반체제 인사, 성직자, 정치적 반대파 인사, 그리고 이들의 가족 등이 모두 감시 대상이었다”고 덧붙였다.

글레이처와 그가 이끄는 조사팀은 이번 조사 결과 불법 감시 행위를 저지른 것으로 드러난 7개 회사의 이름을 밝혔다. 이 기업들을 이용한 고객들은 광범위하고 다양했으며, 그중에는 미국 정부도 포함돼 있었다. 이 7개 회사의 이름과 이들의 활동에 관한 자세한 사항은 다음과 같다.

  • 코브웹스 테크놀로지스(Cobwebs Technologies): 미국에 사무실과 고객들을 보유한 이스라엘 회사로, 이번 조사에서 이들이 감시 대상의 정보를 수집하고, 사람의 신뢰를 기반으로 개인정보를 빼내는 ‘소셜 엔지니어링(social engineering)’ 기법을 활용하는 데 사용하고 있던 계정 200개가 드러나 폐쇄됐다. 조사팀에 따르면 코브웹스의 고객 중에는 법 집행기관도 있었으며, 이 회사는 활동가, 반대파 정치인들, 멕시코와 홍콩의 정부 관계자들을 대상으로 하는 감시 활동에도 관여했다. 메이탈 레비 탈(Meital Levi Tal) 코브웹스 대변인은 MIT 테크놀로지 리뷰에게 자사는 메타의 조사 결과를 전혀 모르고 있었으며, 항상 “개인정보 보호에 관한 법과 강력한 기준을 준수하며 활동해왔다”고 주장했다.
  • 코그나이트(Cognyte): 이스라엘 회사로, 이 회사가 전 세계 언론인과 정치인 등이 포함된 목표를 모니터링하는 데 이용한 계정 100개가 삭제됐다.
  • 블랙큐브(Black Cube): 이스라엘 회사로, 기자들에 대한 감시 전력을 포함해서 다양한 스캔들과 관련된 곳이다. 페이스북 조사팀은 블랙큐브가 팔레스타인 활동가부터 의료 산업과 에너지 산업계 사람들, 특히 러시아에 있는 학계 사람들까지 광범위한 목표를 상대로 각종 기밀을 수집했다고 밝혔다. 블랙큐브는 학생, 인권 노동자, 영화 제작자 등을 가장한 다양한 가짜 계정을 운영한 것으로 알려졌다. 조사팀은 블랙큐브가 이러한 가짜 계정을 통해 해킹 대상과 친구를 맺은 뒤 통화를 하면서 이메일 주소를 알아내 피싱 공격 같은 전략을 수행했다고 발표했다. 코멘트를 요구하자 블랙큐브는 해킹 활동에 대한 혐의를 부인하며 자신들의 모든 ‘첩보’ 활동은 법을 준수한다고 강조했다.
  • 블루호크CI(Bluehawk CI): 이스라엘 회사. 언론인으로 가장하여 타깃이 악성 소프트웨어를 설치하도록 속이는 수법을 사용하는 것으로 이미 잘 알려져 있다. 페이스북은 아랍에미리트 정부의 정치적 반대파와 중동 지역의 사업가 등을 대상으로 사용된 것으로 파악된 이 회사 관련 계정 100개를 삭제했다.
  • 벨트록스(BellTroX): 감시 업계에서 적어도 7년 이상 활발하게 활동 중인 인도 회사이다. 페이스북은 이 회사와 관련된 계정 400개를 삭제했다. 조사팀에 따르면, 이 계정들은 정치인이나 언론인으로 가장해서 의사, 변호사, 활동가, 앙골라, 아르헨티나, 사우디아라비아, 아이슬란드의 성직자를 포함한 희생자를 대상으로 피싱 공격을 벌였다.
  • 시트록스(Cytrox): 조사팀에 따르면 시트록스는 주로 해킹 서비스를 제공하는 북마케도니아 회사이다. 이 회사는 전 세계 언론인과 정치인을 공격 대상으로 삼았다. 시트록스는 인텔렉사(Intellexa)라고 불리는 감시 및 인텔리전스 회사 연합 소속이다. 인텔렉사 소속의 다른 회사, 넥사 테크놀로지스(Nexa Technologies)의 경영진은 올해 초에 리비아와 이집트 반체제 인사를 감시하고 고문한 사건에 연루되어 기소된 바 있다.
  • 마지막 일곱 번째 기업은 정체가 제대로 밝혀지지 않은 중국 회사로, 광범위한 감시 활동과 관련된 곳이다. 이 회사는 중국 신장지구뿐만 아니라 미얀마와 홍콩의 소수민족을 감시하기 위해 감시 대상에 대한 사회공학 기법을 활용하고 악성 소프트웨어를 개발했다.

페이스북의 모회사 메타는 2019년에 이스라엘 해킹 회사 NSO그룹(NSO Group)을 고소했다. 이번에는 회사에서 파악한 5만 명의 피해자에게 경고 내용을 공유하면서 적발된 회사들에 ‘정지명령서’를 보내고 있다. 메타가 피해자들에게 보낸 경고 내용에는 “교활한 사용자가 여러분의 페이스북 계정을 노리고 있습니다”라는 메시지와 함께 페이스북의 ‘공개 범위 확인(privacy checkup)’ 기능 활성화를 비롯해 계정 보안을 높이는 방법에 대한 안내가 담겨 있다.

조사팀에 따르면 메타가 이번 분석을 진행한 궁극적인 목표는 ‘감시 용병’ 업계에 관한 논의 범위를 확대하는 것이다. 조사팀은 투명성과 ‘고객알기(know your customer)’ 제도를 강화하고, 감시 기업들에 대응하기 위해 산업계의 협력을 심화하고, 새로운 법안과 수출 제한법을 통해 책임을 증가시키는 방안 등을 제안했다.

조사팀은 감시 회사들의 모든 업무가 법이나 윤리적 기준을 위반한 것으로 보이지는 않는다고 덧붙였다. 이러한 회사 중 일부는 정당한 법 집행과 인텔리전스 업무 수행을 위해 페이스북과 인스타그램을 활용한 것으로 알려졌다. 그러나 기업이 임의로 그런 감시 활동을 벌이지 않더라도, 페이스북이나 인스타그램은 사실 법 집행을 위해 적법한 절차를 준수하면서 데이터를 합법적으로 요청할 수 있는 정식 시스템을 갖추고 있다.

글레이처는 “우리가 이러한 회사들로부터 목격하고 있는 감시 행위는 합법적인 것으로 보이지 않고, 사회 전반에 걸친 무차별적인 공격으로 보인다”면서 “이러한 기업들은 클라이언트의 정체가 드러나지 않도록 만들어져 있고, 만약 어떤 외국 정부가 자신의 정체를 숨기고 싶으면 이런 기업들을 고용해서 그 뒤에 숨은 채 나쁜 일을 벌일 수 있다”라고 설명했다.

정지명령서와 광범위한 계정 삭제를 넘어서 글레이처는 이들 기업에 대한 법적조치도 배제하지 않고 있다. 그래도 조사팀은 감시 용병 활동을 찾아내는 것이 지속적인 과제가 될 것으로 예상했다.

데이비드 아그라노비치(David Agranovich) 페이스북 위협 중단팀 책임자는 “우리가 네트워크에서 이런 종류의 활동이 일어나는 것을 감지하면, 네트워크에 접근한 다음 플랫폼에서 일어나는 모든 활동을 중단시킨다”면서 “그것이 적대적인 네트워크로 파악되면 그것이 우리 플랫폼에 접근할 수 없도록 막을 것”이라고 강조했다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.