Israel begins investigation into NSO Group spyware abuse

이스라엘 당국, NSO그룹의 불법해킹 수사 착수

이스라엘 사이버보안업체 NSO의 스파이웨어가 정치인, 기업인 및 기타 주요 인물들을 표적으로 한 해킹에 이용됐다는 보도가 나온 직후 이스라엘 당국이 수사에 나섰다.

이스라엘 정부 관리들이 지난 7월 28일 사이버보안기업 NSO그룹의 스파이웨어가 정치인, 기업가 및 언론인들을 대상으로 사용돼왔다는 혐의를 수사하기 위해 이 회사 사무실을 방문했다고 같은 날 이스라엘 국방부가 성명을 통해 발표했다.

지난 7월 18일, 전 세계 17개 언론사가 공동으로 조사해 발표한 보도에 따르면, 주요 인물들의 전화번호가 NSO의 악명 높은 스파이웨어 ‘페가수스(Pegasus)’의 표적이 되었다.

이스라엘 국방부는 이번 수사에 어떤 정부 기관이 관여했는지 구체적으로 밝히진 않았지만 앞서 이스라엘 언론들은 외무부와 법무부, 모사드(Mossad, 이스라엘 정보기관), 군사 정보부가 이 보도 이후 NSO를 조사하고 있다고 보도했다.

NSO그룹 CEO 샬레브 훌리오(Shalev Hulio)는 MIT 테크놀로지 리뷰에 정부 기관의 방문 사실을 확인해주면서도 기자들이 발표한 유출 명단이 페가수스와 연관돼 있다는 의혹에 대해서는 계속해서 부인했다.

훌리오는 “방문한 것은 사실이다”라면서 “당국이 조사를 진행하고 있는 것은 매우 좋은 일이라고 생각한다. 왜냐하면 우리는 진실을 알고 있기 때문이다. 그런 명단은 결코 존재하지 않으며 NSO와 관련이 없다”고 말했다.

이들 보도는 기업가, 언론인, 인권 운동가 등 37명의 스마트폰을 성공적으로 해킹한 사례에 주로 초점이 맞춰져 있다. 하지만 이 보도에서는 또한 NSO그룹의 고객으로 알려져 있는 국가들에서 50,000개 이상의 관심 전화번호가 유출된 사실도 지적했다. 회사는 이 보도를 거듭 부인해왔다. 현재 이 관심 번호 목록의 출처와 의미가 명확한 것은 아니지만, 국제앰네스티 보안 연구소의 기술 분석에 따르면 목록에 있는 수많은 핸드폰이 해킹되었다.

이스라엘 정부의 수사 진행이 계속될지를 묻는 질문에 훌리오는 수사가 계속되기를 바란다고 밝혔다.

“당국이 모든 것을 조사해 이런 혐의가 잘못되었음을 확인해주길 바란다”고 훌리오는 덧붙였다.

국제적 스캔들

이러한 강한 부인에도 불구하고 전 세계 17개 언론 단체의 공동 조사인 ‘페가수스 프로젝트’는 국제적인 관심을 불러일으켰다.

미국에서는 민주당 의원들이 NSO에 대한 조치를 촉구했다.

의원들은 “민간 기업이 공개 시장(open market)에서 정교한 사이버해킹 도구를 판매해서는 안 되며 미국은 동맹국들과 협력하여 이런 거래를 규제해야 한다”고 밝혔다. “독재 정권에 이토록 민감한 도구를 판매하는 기업은 사이버 세계의 압둘 카디르 칸(AQ Khan)*이다. 이런 기업은 제재를 받아야 하고, 필요하다면 폐쇄되어야 한다”고 덧붙였다.

*파키스탄 핵 개발의 아버지로 북한과 이란, 리비아에 핵 기술을 판매했다.

프랑스 대통령 에마뉘엘 마크롱(Emmanuel Macron)의 전화번호가 이 유출 명단에서 발견되자 프랑스 정부는 이스라엘 국방부 장관 베니 간츠(Benny Gantz)에게 NSO의 혐의 사실을 확인할 것이라고 발표했다. NSO는 프랑스 고위 관리들에 대한 해킹 시도를 전부 부인했다.

그러나 근래에 뉴스에 등장하는 이스라엘 해킹 기업이 NSO만 있는 것은 아니다. 마이크로소프트사와 토론토대학의 시티즌랩(Citizen Lab)도 뒤이어 이스라엘 기업 칸디루(Candiru)가 개발한 해킹 도구가 시민사회단체를 표적으로 삼아 해킹하는 데 활용됐다는 보고서를 최근 발표했다.

NSO그룹은 이스라엘 국방부의 직접적인 규제 하에 있기 때문에 각각의 판매는 당국으로부터 승인을 받아야 한다. 이 같은 수출 허가 절차를 거쳐 결국에는 해킹 도구를 악용해왔던 독재 정권에 판매가 이루어지고 있어서 일각에서는 이 절차가 제대로 이행되고 있지 않는다는 비판이 나온다. 최근 NSO는 자사 도구의 남용을 이유로 고객 다섯 군데와 거래를 끊었다고 발표했다.

이스라엘 국방부는 NSO그룹이 수출 허가를 위반한 사실이 확인될 경우 “적절한 조치를 취할 것”이라고 밝혔다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.