What the latest Pegasus spyware leaks tell us

전세계 휴대전화를 위협하는 페가수스 해킹

이스라엘 보안기업 NSO그룹이 만든 스파이웨어가 언론인, 활동가 등의 감시에 사용되었다는 보도가 나왔다.

지난 주말 수십억 달러 규모의 이스라엘 보안기업 NSO그룹이 만든 대표적 스파이웨어 페가수스에 대해 국제 언론사들이 공동으로 조사한 결과를 발표했다.

가디언(the Guardian), 워싱턴포스트(the Washington Post)를 비롯한 15개 언론사들은 페가수스의 목표 대상이 된 것으로 보이는 전화번호 수만 개를 조사했다. 조사 결과, 유출된 전화번호와 연결된 기기가 모두 페가수스에 감염된 것은 아니지만, 세계 각국 언론인들과 활동가들이 페가수스의 목표 대상임을 확인할 수 있었다. 또, 실제로 해킹에 성공한 사례도 있었다.

사이버보안 전문가들과 기자들은 그동안 페가수스가 범죄자 및 테러리스트 감시용이라는 NSO그룹의 주장과 달리, 실제 사용 범위는 훨씬 광범위하다고 주장했다. 이번 유출 사태는 그 범위가 어느 정도인지 짐작할 만한 단서를 준다. NSO그룹은 보도가 나온 후 입장문을 통해 데이터 유출 및 관련 보도가 모두 사실이 아니라고 부인했다.

본지 패트릭 하월 오닐(Patrick Howell O’Neill) 기자는 그동안 NSO그룹을 둘러싼 의혹을 집중 보도했다. 오닐에 따르면 NSO그룹은 “사우디아라비아 언론인 자말 카슈끄지(Jamal Khashoggi) 살해, 정치개혁을 주장하는 멕시코 과학자 및 활동가 탄압, 스페인 정부의 카탈루냐 분리주의자 감시 등의 사례에 연루되었다”(2020년 8월 보도). NSO그룹은 지금까지 이 같은 의혹을 부인했다. 더 나아가, 자신들이 판매한 제품을 각국 정부가 악용한다고 해서 그것까지 책임질 수는 없다고 주장했다.

당시 본지는 “‘이런 일은 무기제조업체에 흔히 있는 일’이라는 것이 NSO그룹 주장의 핵심”이라고 보도했다. 쉽게 말해 이는, “우리는 정부가 사용하는 기술을 만들었을 뿐, 아무도 공격하지 않았고, 따라서 책임질 일이 없다”는 뜻이다.

이번 유출 사태는 페가수스의 실제 사용 방식을 파악할 중요한 기회다. 연구자들이 페가수스에 해킹된 기기를 찾는 일 자체가 매우 어렵기 때문이다. 지난 3월 페가수스를 중심으로 사이버보안을 감시하는 시티즌랩(Citizen Lab)의 연구원이 애플의 강력한 보안 기능이 페가수스와 만나면 어떤 일이 벌어지는지 설명했다.

시티즌랩의 수석 연구원 빌 마크작(Bill Marczak)에 따르면 “애플의 강력한 보안 기능은 양날의 검”이다. “아이폰 보안을 강화하면 실력이 없는 많은 해커들을 따돌릴 수 있다. 그렇지만 상위 1%는 보안을 뚫고 침투할 것이고, 침투하고 나면 아이폰의 강력한 보안 기능의 보호를 받는다.” 

NSO그룹이 논란의 중심에 선 것은 이번이 처음이 아니다. 현재 페이스북이 NSO그룹을 상대로 소송을 진행하고 있다. 페가수스가 왓츠앱 인프라를 조작해 1,400대가 넘는 휴대전화를 감염시켰다는 것이 그 이유다. 페이스북이 법원에 제출한 내용에 따르면 페이스북은 자체 조사를 통해 페가수스가 100여 명의 인권운동가, 언론인, 공인 등을 상대로 사용되었다고 밝혔다.

NSO그룹 CEO겸 공동창업자 샬레브 훌리오(Shalev Hulio)는 지난 8월 본지와의 인터뷰에서 NSO그룹이 “투명성이 부족하다는 비난을 받았고, 비난이 타당하다”는 것을 알고 있다고 말했다. 또, 외부 감시단체와 연구기관이 보안 기술을 탐지하기가 점점 힘들어지는 만큼, 보안기술 업계가 비밀주의(secrecy)에 대해 더 책임 있는 자세를 가져야 한다는 의견을 밝히기도 했다.

한편,워싱턴포스트지가 지적했듯, NSO그룹은 비밀유지 의무를 들어 고객사 정보를 밝히지 않고 있다. NSO그룹이 2주 전 처음 발표한 “투명성·책임성 보고서(Transparency and Accountability Report)”에 따르면 NSO그룹은 전 세계 40개 국가에 60개 고객사를 보유하고 있고, 이들은 대부분 정보기관 또는 사법기관이다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.