The hacker-for-hire industry is now too big to fail

대마불사 된 글로벌 ‘해킹’ 산업

지난 10년 동안 호황을 누렸던 ‘해킹’ 산업에 각국이 제재를 가하고 규제하기 시작하면서 업계에 격변이 일어나고 있다. 그러나 이러한 상황에서도 해킹 회사들이 판매하는 해킹도구나 감시도구에 대한 수요는 오히려 늘어나고 있다. 해킹 업계가 사라지려면 수요가 줄어들어야 한다.

지난 몇 달 동안 이스라엘에서 충격적 소식이 울려 퍼졌다. 10년 이상 각국 정부에 해킹 도구를 판매해왔던 ‘NSO그룹(NSO Group)’이 일련의 스캔들에 휘말리면서 강도 높은 조사를 받고 있다는 소식이다.

NSO그룹은 현재 위기에 빠져서 회사의 미래도 불투명하다.

NSO그룹의 미래는 불확실하지만, 각국 정부는 그 어느 때보다도 열성적으로 NSO그룹이 탄생시킨 해킹 산업을 통해 직접 해킹하거나 해킹을 감시는 데 쓸 도구를 구매할 가능성이 크다.

지난 10년 동안 이러한 ‘해킹’ 산업은 과거처럼 단순히 ‘신기하고 새로운 산업’에서 전 세계 국가들의 핵심 권력 수단으로 성장했다. 무엇보다 돈을 받고 정부 등에 해킹 프로그램을 제공하는 사업이 눈에 띄게 번창하고 있다. NSO그룹 같은 기업이 망한다고 해도 업계의 이러한 성장세가 둔화될 것 같지는 않다고 보는 이유다.

지난해 12월 페이스북은 전 세계 ‘해킹’ 기업 7곳이 페이스북이 운영하는 여러 플랫폼에서 약 5만 명을 해킹의 대상으로 삼았다고 발표했다. 해당 내용을 담은 보고서는 중국, 인도, 북마케도니아와 더불어 이스라엘 회사 네 곳을 지목했다. 보고서에서 NSO그룹에 대해서는 언급조차 없었다는 사실을 볼 때 해킹 업계와 이들의 사업 규모가 대중이 알고 있는 것보다 훨씬 더 거대하다는 것을 알 수 있다.

NSO그룹은 해킹 프로그램 판매 사업으로 인해 수년 동안 많은 비난을 받아왔다. 2016년에 아랍에미리트(UAE)가 NSO그룹의 ‘페가수스(Pegasus)’를 이용해 인권 활동가 아흐메드 만수르(Ahmed Mansoor)를 해킹했다는 사실이 드러났다. 페가수스는 소프트웨어의 결함을 활용해 아이폰을 해킹하고, NSO그룹의 고객들에게 해킹한 기기의 제어권을 넘기는 도구이다. 이 사건에서는 UAE 정부가 주범으로 보였기 때문에 NSO그룹은 아무런 비난도 받지 않고 무사히 빠져나갈 수 있었다(만수르는 UAE 정권을 비판했다는 혐의로 여전히 투옥 중이다).

이러한 패턴은 몇 년 동안 계속해서 반복됐다. 정부들은 NSO그룹의 해킹 도구를 사용해 반체제 인사들을 탄압했고 그로 인해 비난받았지만, NSO그룹은 범행을 부인했고 아무런 처벌도 받지 않았다. 그러다가 2021년 중반에 NSO그룹의 페가수스가 서구 정부들을 대상으로 하는 해킹에 사용됐다는 혐의를 제기한 새로운 보고서가 등장했다. NSO그룹은 11월에 미국으로부터 제재를 받았고, 12월에 로이터 통신은 미 국무부 관리들이 페가수스를 통해 해킹을 당했다고 보도했다.

현재 NSO그룹은 페이스북과 애플로부터 엄청난 금액이 걸린 소송에 직면해있다. 또한 막대한 부채, 직원들의 사기 저하, 회사의 미래에 대한 근본적인 위협 등에도 대처해야 한다. 스파이웨어의 대명사와 같던 회사가 갑자기 실존적 위기에 봉착한 것이다.

이 모든 것은 익숙한 내용이다. 이렇듯 비밀스러운 해킹 산업은 이탈리아 기업 ‘해킹팀(Hacking Team)’이 인권이나 사생활 침해에 대한 고려 없이 ‘추적할 수 없는’ 스파이웨어를 수십 개 국가에 판매한 혐의로 기소됐던 2014년에 처음으로 각국 신문의 헤드라인을 장식했다.

‘해킹팀’은 어떤 컴퓨터든 해킹할 수 있는 강력한 해킹도구를 판매하고 구매하는 사업이 있다는 사실을 전 세계에 알렸다. 그러나 그로 인한 스캔들이 확산되면서 해킹팀이라는 회사는 사라지는 듯했다. ‘해킹팀’은 사업을 더 영위할 수 없었고, 국제적으로 소프트웨어를 판매할 법적인 권리도 상실했다. 결국 회사는 매각됐고, 대중들의 기억 속에서도 회사는 사라진 것으로 여겨졌다. 그러나 해킹팀은 이름만 바꾼 채 같은 제품을 다시 판매하기 시작했다. 단지 이번에는 규모가 훨씬 커진 해킹 산업계에서 크게 드러나지 않는 업체 중 한 곳이 되었을 뿐이었다.

레이던대학교 안보 및 국제문제 연구소(Institute of Security and Global Affairs)의 제임스 샤이어스(James Shires) 조교수는 “해킹팀의 몰락이 해킹 업계의 근본적인 변화로 이어지지는 않았다. 여전히 업계와 업계에 대한 수요가 존재한다”고 설명했다.

해킹 업계의 초기 고객들은 인터넷을 통해 전 세계에 권력을 드러내고 싶었던 일부 국가들이었다. 그러나 현재 상황은 훨씬 더 복잡하다. 수많은 국가들이 국제적인 또는 자국 내에 있는 ‘적’을 해킹하기 위해 돈을 내고 해킹도구를 구매한다. 수십억 달러가 오가고 있으나 투명성도 책임감도 부족한 상황이다.

돈을 받고 해킹 소프트웨어를 제공하는 기업들에 대한 공개적인 조사가 늘어났지만, 공격적인 사이버 해킹도구에 대한 전 세계적인 수요 역시 가파르게 증가하고 있다. 21세기에 정부가 가장 큰 가치를 두는 대상들은 주로 온라인에 있으며, 해킹은 보통 그들에게 접근하는 가장 효과적인 방법이다.

그 결과 정교한 해킹도구를 개발하기 위해 많은 돈을 기꺼이 사용하고자 하는 국가들이 늘어나고 있다.

정부의 입장에서 볼 때, 온라인에 투자하는 것은 경쟁국과 겨루고 자국 내에서 국민들을 통제할 수 있는 비교적 저렴하면서도 강력한 방법이다.

BAE 시스템스(BAE Systems)의 위협 정보 분석가 사헤르 나우만(Saher Naumaan)은 “특히 지난 5년 동안 해킹 및 감시 소프트웨어를 개발하는 국가의 수가 증가했다”고 설명했다.

그리고 그러한 국가들의 상당수는 외부에 도움을 구하고 있다. 그녀는 “기술을 활용할 방법도 모르고 그걸 해낼 수 있는 사람도 국내에 없는 상황에서, 외부 세력을 고용할 자원이 있는 국가라면 그렇게 하지 않을 이유가 없을 것”이라고 말하며, “그런 일은 다른 산업계에서도 흔히 일어나는 일이다. 스스로 구축할 수 없는 부분에 대해 돈을 주고 외부의 도움을 받는 것”이라고 설명했다.

예를 들어, 페르시아만에 있는 부유한 산유국들은 자국 내에서 해킹도구를 개발하는 데 필요한 기술 역량이 역사적으로 상당히 부족했다. 그래서 그들은 돈을 써서 지름길을 택했다. 나우만은 “그들은 뒤처지기를 원하지 않는다”고 설명했다.

전 세계의 대형 방위업체들이 이러한 기술을 개발하고 판매한다. 권력 남용을 위해 사용되어온 이러한 해킹도구들은 합법적인 범죄 수사 및 테러 대응책으로도 점점 더 많이 사용되고 있으며, 스파이 행위와 군사 작전에서도 핵심적인 역할을 담당하고 있다.

민간 해킹 기업들이 판매하는 해킹도구에 대한 수요도 사라지지 않고 있다. 대서양협의회(Atlantic Council)의 안보 연구원 위노나 디솜브레(Winnona DeSombre)는 “해킹 산업계는 10년 전에 비해 규모도 더 커지고 존재감도 뚜렷해지고 있다. 또한 전 세계가 기술적으로 더 긴밀하게 연결되면서 해킹도구에 대한 수요 역시 증가하고 있다”고 밝혔다.

디솜브레는 최근 전 세계에서 디지털 감시도구를 판매하고 있는 수백 개 기업을 도표로 정리하여, 불투명한 것으로 유명한 해킹 업계의 지도를 만들었다. 그녀는 그러한 조사 결과를 토대로, 서구 기업들이 사이버 무기와 감시 기술을 지정학적인 ‘적’들에게 판매하는 등 해킹 업계의 성장은 대체로 대중들이 보지 못하는 곳에서 일어나고 있다고 주장했다.

그녀는 “가장 큰 문제는 주로 자율적인 규제로 인해 발생한다”고 설명했다. 그녀에 따르면, 자율적 규제는 “광범위한 인권 침해를 초래할 수도 있으며,” 해킹도구를 외국 정부에 판매했는데 그 외국 정부가 자신들에게 해킹도구를 판매한 국가를 대상으로 그 도구를 사용하는 상황마저도 발생시킬 수 있다.

해킹 업계의 영향력이 커지는 상황에 주의를 기울이면서, 전 세계 정부들은 이제 제재, 기소, 수출에 대한 새로운 규제 등을 통해 해킹 업계의 미래에 영향을 주려고 한다. 그렇지만 이러한 상황에서도 해킹도구에 대한 수요가 증가하고 있다.

궁극적으로 가장 의미 있는 변화는 해킹 회사들의 수익에 영향이 미칠 때 일어날 것이다. 최근 보고서들에 따르면 NSO그룹은 빚더미에 올랐으며 월가의 투자를 유치하기 위해 고군분투하고 있다.

샤이어스는 “해킹 업계도 결국 이윤을 추구하는 사업이다. 벤처캐피털 회사들과 거대 기업 투자자들이 해킹 업계를 위험성 있는 투자 대상으로 여기게 되면, 해킹 업계에 대한 투자를 그만두게 될 것이다. 그 어느 것보다 이러한 투자 감소야말로 해킹 업계를 급격하게 변화시킬 수 있을 것”이라고 강조했다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.