아랍에미리트(UAE)는 2016년 130만 달러(약 15억 원)를 넘게 주고 은밀하게 써먹을 수 있는 강력한 아이폰 해킹 툴을 입수한 뒤 스파이와 미국인 용병 해커들을 시켜 아이폰 해킹에 나섰다.

해커들은 문제의 툴을 이용해 애플의 인스턴트 메신저인 아이메시지(iMessage) 앱의 결함을 파고들어 해킹 대상의 아이폰을 완전 해킹하는 식으로 광범위한 감시와 스파이 활동을 펼쳤다. 이로 인한 피해자만 지정학적 경쟁자, 반체제 인사, 인권 운동가를 포함해 수백 명에 이른다.

최근 미 법무부가 제출한 문서에는 미국의 법적 허가 없이 UAE 수도 아부다비에서 일하는 미국 용병 해커 집단이 어떻게 해킹 툴 판매에 가담했는지가 자세히 나와 있다. 그러나 문서는 강력한 아이폰 해킹 툴을 UAE에 팔아 넘긴 주체가 누구인지는 밝히지 않고 있다.

UAE에 해킹 툴을 판 미국 회사

다만 본 사안에 정통한 두 명의 소식통은 MIT 테크놀로지 기자에게 아이폰 해킹 툴이 어큐번트(Accuvant)라는 미국 회사에 의해 개발되어 판매되었다는 사실을 확인해주었다. 어큐번트는 몇 년 전에 다른 보안 회사와 합병했고, 이제 남은 것은 옵티브(Optiv)라고 불리는 더 큰 회사의 일부에 불과하다.

해킹 툴 판매 소식은 해킹 업계뿐만 아니라 미국 기업과 용병들이 전 세계에 강력한 해킹 툴을 확산시키는 데 어떤 역할을 하는지를 새롭게 조명해주고 있다.

제레미 존스 옵티브 대변인 본지에 보내온 이메일을 통해 “옵티브는 법무부와 전적으로 협력하고 있다”며 “옵티브가 이번 수사 피의자는 아니다”라고 밝혔다. 맞는 말이다. 수사 대상은 UAE와 불법적으로 일한 전직 미군 정보와 군 요원 3명이다. 그러나 해킹 툴 개발 및 판매 당사자로서 어큐번트의 역할은 법무부 기록에 자세히 나올 만큼 충분히 중요했다.

아이메시지 해킹 툴은 UAE의 일명 카르마(Karma) 작전의 주된 무기였다. 이 작전은 민간기업인 것처럼 위장한 UAE 첩보기관인 다크매터(DarkMatter)가 주도했다.

로이터는 이미 2019년에 카르마와 아이메시지 해킹 툴의 존재를 보도했지만, 미국은 이제서야 UAE에서 무면허 용병 해커로 일한 혐의로 전직 미군 첩보원과 군인들에게 168만 달러(한화 약 20억 원)의 벌금을 부과했다. 그들은 어큐번트의 해킹 툴을 구입한 다음 UAE가 지원하는 해킹 작전을 주도했다.

미국 법원 문서에는 미국 기업들이 해킹 툴을 개발하고 판매한 것으로 명시되어 있지만 기업들의 이름을 밝히지는 않았다. 어큐번트의 역할은 지금까지 알려지지 않아왔다.

미국 연방수사국(FDI) 사이버국 소속 브라이언 본드란 부국장은 성명에서 “FBI는 불법 범죄 사이버 활동을 통해 이익을 취하는 개인과 기업을 철저히 조사할 것”이라며 “이것은 외국 정부나 외국 회사의 이익을 위해 사이버 공간을 이용하여 수출이 통제된 정보를 활용하려고 한 전직 미국 공무원들을 포함한 누구에게나 보내는 분명한 메시지이며, 그런 위험한 행동에는 결과가 따를 것”이라고 말했다.

해킹 툴 개발자

법원 문서와 내부고발자들의 전언에 따르면 UAE가 미국의 가까운 동맹국으로 간주되고 있지만, 다크매터는 광범위한 미국인들을 겨냥해 사이버 공격을 감행했다.

다크매터는 미국의 제휴업체, 전문가, 자금 지원을 통해 불과 몇 년 만에 사실상 전혀 없었던 UAE의 공격적 해킹 능력을 가공할 수준으로 끌어올려놓았다. 다크매터는 미국을 겨냥한 사이버 작전을 개발하고 때로는 지휘하기 위해 거액을 뿌려가며 미국과 서양 해커들을 고용했다.

아이폰 해킹 툴 판매 당시 어큐번트는 콜로라도 덴버에 본사를 둔 R&D연구소로 iOS 해킹 툴을 전문적으로 개발해 판매하고 있었다.

10년 전 어큐번트는 대형 미군 계약업체들과 손을 잡고 정부 고객들에게 버그를 판매하는 해킹 툴 개발업체로 명성을 떨쳤다. 통상 알려지기를 꺼리는 산업에서 어큐번트는 가끔 대중의 관심을 받았다.

데이비드 쿠쉬너(David Kushner) 기자는 2013년 <롤링 스톤>지에 쓴 어큐번트에 대한 소개글에서 “어큐번트는 사이버 전쟁의 긍정적인 점, 즉 이 시장이 호황을 누리고 있다는 걸 보여준다”고 썼다. 그는 “어큐번트는 외부 시스템에 들어가 정보를 수집하거나 심지어 서버를 셧다운시킬 수 있는 맞춤형 소프트웨어를 만들어 그 대가로 최대 100만 달러를 받을 수 있었다”고 설명했다.

옵티브는 일련의 M&A 끝에 해킹 산업에서 거의 발을 뺐지만 어큐번트의 강력한 동문 네트워크는 여전히 해킹 툴 개발에 힘쓰고 있다. 어큐번트 출신 직원 두 명은 잠금 해제 기술로 유명해진 아이폰 해킹 회사인 그레이시프트(Grayshift)를 공동 설립하기도 했다.

어큐번트는는 해킹 툴을 미국과 미국의 동맹국들을 포함한 정부와 민간 부문 내 여러 고객에게 판매하는 한편, 아이메시지 해킹 툴은 복수의 다른 고객에게 팔았다는 사실을 MIT 테크놀로지 리뷰가 취재를 통해 확인했다.

아이메시지의 결함

아이메시지의 결함은 최근 몇 년 동안 발견되어 해킹에 이용된 메시징 앱들이 가진 몇 가지 심각한 결함 중 하나에 해당한다. 애플은 2020년 아이폰 운영체제 업데이트 당시 해킹 공격을 힘들게 만들고자 아이메시지의 보안 기능을 완전히 재구축했다.

블래스트도어(BlastDoor)라고 불리는 애플의 이 새로운 보안 기능은 아이메시지를 아이폰의 나머지 부분으로부터 분리해서 해커들이 공격 대상 아이폰을 해킹하기 위한 주된 통로였던 아이메시지의 메모리에 접근하기 어렵게 만든다.

아이메시지가 해커들의 주요 표적이 된 데는 그럴 만한 이유가 있다. 이 앱은 기본적으로 모든 애플 기기에 설치되어 있고, 사용자의 전화번호를 아는 사람 누구나가 보내는 메시지를 받는다. 제거하거나 검사할 방법은 없으며, 사용자는 애플의 온갖 보안 업데이트를 가능한 한 빨리 다운로드하는 것 외에는 해킹 위협을 막을 방법이 없다.

블래스트도어가 아이메시지를 해킹하기 더 어렵게 만들었지만, 아이메시지는 여전히 해커들의 주된 공격 대상이다. 애플은 13일 이스라엘 스파이웨어 업체인 NSO그룹이 아이메시지의 다른 결함을 파고들어 블래스트도어를 우회해 아이폰을 해킹하는 데 사용한 것으로 알려진 해킹 툴을 공개했다.