“A grim outlook”: How cyber surveillance is booming on a global scale

사이버 감시 업계의 호황…그 뒤에 가려진 ‘암울한 전망’

서양의 사이버 감시 기업들이 사이버 무기와 감시 기술을 NATO의 ‘적대국들’에게도 팔아 막대한 이익을 챙기고 있다는 충격적 내용이 담긴 보고서가 발표됐다.

서양의 사이버 감시 회사들이 북미와 유럽 국가 간 다자동맹인 북대서양조약기구(NATO)의 적대국들에게 사이버 무기와 감시 기술을 판매하고 있는 것으로 드러나 충격을 주고 있다. 이에 따라 미국 등 여러 국가의 안보에 위협을 가할 수도 있는 이러한 행동을 규제해야 한다는 목소리에 힘이 실릴 전망이다.

미국 싱크탱크 ‘대서양 위원회(Atlantic Council)’가 최근 사이버 감시 산업의 동향을 자세히 분석해 발표한 보고서에 따르면, 감시 회사의 75%가 다른 대륙에 사이버 감시와 해킹 제품을 판매하고 있는 것으로 드러났다.

보고서는 사이버 감시 무역 박람회 ISS 월드(ISS World)와 프랑스의 밀리폴(Milipol) 같은 방위산업 전시회에서 20년에 걸쳐 수집한 정보를 바탕으로 작성됐다. 이런 전시회에서 해킹은 총기나 탱크 같은 전통적인 무기 제품과 더불어 가장 빠르게 성장하는 산업으로 자리 잡고 있다.

보고서 저자들은 전시회에 참석한 사이버 감시 회사 224곳을 조사하고, 그들의 마케팅 자료를 검토하고, 제품 광고 대상을 파악하고, 감시와 해킹 도구 판매에 관해 알려진 내용을 자세히 정리했다. 그 결과, 저자들은 “이 기업들이 NATO의 적대국들과 거래했다는 사실이 드러났다”면서 “감시 산업 성장에 일조한 이런 ‘무책임한 확산자들’에게 정책당국자들이 더 주목해야 한다”고 주장했다.

가령 휴대폰 해킹과 포렌식 도구를 개발하여 미국, 러시아, 중국을 비롯한 전 세계 국가에 판매하는 이스라엘의 셀레브라이트(Cellebrite)는 중국의 홍콩 탄압에 기여한 것으로 확인됐다. 홍콩 보안군이 이 회사로부터 구입한 기술을 반정부 시위대 진압에 악용한 것이다. 이른바 ‘교전중 사살’이라는 명목으로 마구잡이 살생과 불법 고문을 서슴지 않아 ‘암살단’이라고 불리는 방글라데시의 특수부대 역시 이 회사의 기술을 이용하고 있었다.

국가 안보 우려 일으키는 사이버 감시 기술

저자들은 “사이버 감시 기업들이 자사의 기술을 NATO 회원국과 적대국 모두에게 팔면서 모두에게 국가 안보 우려를 불러일으키고 있다”고 비난했다.

대서양 위원회 사이버 국가경영 이니셔티브(Cyber Statecraft Initiative)의 연구원이자 이번 보고서의 제1저자인 한 위노나 디솜브레(Winnona DeSombre)는 “사이버 감시 분야 관리를 둘러싸고 잠재적인 문제점들이 드러났다”면서 “이러한 기업들 대부분은 알아서 자제하려는 의지가 전혀 보이지 않는다”고 주장했다. 그녀는 그들을 ‘무책임한 확산자들’이라고 비난하며, 전 세계 정부가 그들을 상대로 더 강력한 규제를 도입해야 한다고 강조했다.

사이버 감시 기술이란 첩보와 법집행 당국이 정보통신기술(ICT)을 이용해 저장, 처리 및 전송되는 데이터를 몰래 감시하고, 이용하고, 분석할 수 있게 해주는 기술이다. 장비와 소프트웨어뿐만 아니라 그들을 생성하고 개발하고 구현하는 데 필요한 전문지식을 제공하는 일까지 모두 포함된다.

사이버 감시 산업은 매년 수십억 달러의 돈을 벌고 있지만 대부분 큰 관심을 받지는 않아 왔다. 하지만 지난 수년 동안 해킹 제품에 대한 수요가 증가하고 ‘NSO 그룹(NSO Group)’ 같은 회사들의 불법 행위가 늘어나자 전 세계 국가들이 베일에 싸인 이 산업에 대한 대처에 비상이 걸린 상태다. NSO 그룹은 이스라엘 사이버 보안업체로, 2019년 애플과 구글, 메타, 아마존, 등의 클라우드 서버에서 데이터를 빼낼 수 있는 스파이웨어 ‘페가수스’를 개발해서 문제가 됐다.

정부의 대처

각국 정부도 대처를 강화하기 시작했다. 유럽연합(EU)은 사이버 감시 업계의 투명성을 강화하려는 목적으로 지난해 감시 기술에 대해 더 강력한 규제를 도입했다. 지난달 미국은 해킹 도구 판매에 관해 더 강력한 면허 규칙을 제정했다. NSO 그룹은 미국 기업들의 블랙리스트에 이름을 올렸다. NSO 측은 계속해서 혐의를 부인하며, 자체적으로 불법적인 악용 사례를 철저하게 조사해서 문제가 되는 고객들을 차단하겠다고 주장하고 있다.

노르웨이 국제문제 연구소(Norwegian Institute of International Affairs, NUPI) 사이버 안보 연구 센터의 연구원 요한 올레 빌러스(Johann Ole Willers)는 “NSO 그룹 하나만이 아니라 사이버 감시 산업 전체의 문제를 해결해야 한다”라고 말했다.

유엔의 경고

국제연합(UN)의 인권 전문가들은 최근 사이버 공간에서 용병 해킹 고용이 늘어나는 추세에 대해 우려를 드러냈다.

유엔 실무그룹 의장 옐레나 아파라크(Jelena Aparac)는 성명에서 “사이버 활동이 무력 충돌 시든 평시든 상관없이 언제든 권리 침해를 초래할 수 있으며, 모든 권리가 사이버 활동에 의해 침해받을 수 있다는 것은 부정할 수 없는 일”이라고 밝혔다. 유엔 실무그룹은 전 세계 국회의원들에게 ‘생명에 대한 권리, 경제 사회적 권리, 표현의 자유, 사생활, 자기 결정권’을 보호하기 위해 감시 업계를 더 효과적으로 규제할 것을 촉구했다.

이러한 규제를 도입하는 데 한 가지 걸림돌이 되는 것은 사이버 감시 산업이 투명하지 못하고 혼란만이 가득하다는 점이다. 다시 말해서, 감시 산업계에는 페이퍼 컴퍼니와 재판매업자가 흔하고, 판매자와 구매자 모두 자신들의 거래와 접촉 내용을 감추기 위해서 수많은 도구들을 사용한다.

디솜브레는 “이 업계에 관해 알려진 바가 그다지 많지 않다. 따라서 책임감 있는 회사들을 통해 무책임한 회사들을 설명할 수밖에 없다”고 말했다.

보고서는 우호적인 정부가 처음 개발한 ‘능력’이 결국에는 다른 첩보 목적을 위해 사용될 수 있다는 주장에 대한 증거로 아랍에미리트(UAE)를 위해 일했던 미국의 전직 정보요원이 최근 기소된 사건을 지적했다. 미국 정부 기관들이 개발한 해킹 도구와 전문지식이 나중에는 UAE가 미국인들을 포함해 수백이 넘는 대상을 감시하는 데 이용된 것이다.

사용과 악용

연구자들은 보고서에서 정부가 이렇게 점점 커지고 있는 감시 업계의 ‘생태계’를 이해하고 통제할 수 있는 몇 가지 방법을 제안했다. 우선 감시 업계에도 더 강력한 ‘고객알기제도(know your customer, KYC)’를 제정하기를 권고했다. 그러면 모든 판매자가 잠재적인 고객이 해킹 도구를 어떻게 사용할지 또는 어떻게 악용할지 더 제대로 이해하게 될 것이다.

연구자들은 주요한 사이버 감시 무역 박람회를 다수 개최하고 있는 NATO 회원국들이 그런 방위산업 전시회에 무책임한 업체가 참가하는 것을 제한해야 한다고도 주장했다. 또한 업체들이 통제를 회피하고 독재정권에 제품을 판매할 수 있게 하는 수출법의 허점을 제거하기 위해 국제적으로 더 많은 협력이 필요하다고 주장했다. 마지막으로 무책임한 판매자들과 구매자들의 이름을 밝혀서 그들에게 망신을 줄 필요가 있다고 주장했다.

보고서는 “우리의 분석에 따르면, 무책임하게 행동하는 민간기업이 상당수 존재하며, 이들은 독재정권의 탄압 도구나 비NATO 동맹국의 전략적 도구로 사용될 위험이 있는 제품을 거래하고 있다”고 결론을 내렸다.

보고서는 이에 대해 조치를 취하지 않으면 전 세계가 ‘암울한 전망’에 직면하게 될 것이라고 예측하면서, “서양의 주요 적대국들이 ‘사이버 무기’를 강화하고 있는 것을 알아채지 못하고 오직 이익만을 추구하는 민간기업이 점점 더 늘어날 것”이라고 경고했다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.