올해 10월 중순, 세계 최대의 메시징 플랫폼인 왓츠앱은 특정 사용자에게 개인 보안에 문제가 생겼다는 경고 메시지를 발송하기 시작했다. 사이버 보안 연구원들이 이스라엘 회사가 특별히 왓스앱 사용자들을 타깃으로 삼는 스파이 소프트웨어를 공급하고 있다는 것을 발견한 이후에 해당 메시지가 발송되었다.
일단 타겟이된 장치가 왓츠앱를 통해 해킹되면, 해당 전화기의 모든 데이터를 스파이들이 이용할 수 있게 된다. 이메일이나 다른 메시징 플랫폼이나 사진 및 문서와 같은 전화기에 있는 모든 것은 이스라엘 스파이웨어를 사용하여 스파이 기관에서 쉽게 액세스할 수 있다. 엔드 투 엔드 암호화를 특징으로 하는 왓츠앱의 경우 해킹은 사용자 보안에 치명적인 타격을 주었다.
왓츠앱의 책임자인 윌 캐스카트는 지난주 워싱턴포스트 논단면에 투고한 글에서 자사 플롯폼에서 벌어진 이번 대규모 공격에 대해 적었다.
"5월에 왓츠앱은 우리가 비디오 호출 기능의 취약성을 포함하는 새로운 종류의 사이버 공격을 탐지하고 차단했다고 발표했다. 사용자는 화상 통화로 보이는 것을 수신하지만, 이것은 정상적인 통화가 아니었다. 전화벨이 울린 후, 공격자는 피해자의 전화를 스파이웨어로 감염시키기 위해 몰래 악성코드를 전송했다. 그 사람은 전화를 받을 필요도 없었다."라고 캐스카트는 썼다.
해당 글은 페이스북 소유의 왓츠앱이 이스라엘 회사인 NSO 그룹(NSO Group)를 상대로 미국 연방법원에 탄원을 제기하자마자 공개됐다. 아시아 타임스가 확인한 탄원서를 보면 NSO 그룹이 제공한 세계적으로 얼마나 많이 사용됐는지를 드러나있다. 미국 연방법원에 제출된 탄원서에 따르면 흥미롭게도, 스파이 소프트웨어의 코드는 미국과 이스라엘 시민을 상대로는 스파이 능력을 제한하는 특별한 조항들을 가지고 있다.
표적이 된 사람들의 이름이 더 많이 공개되면서 전 세계에서 감지되는 충격파는 계속 거세지고 있다.
스파이웨어의 명칭은 페가수스다.
토론토대학 뭉크 스쿨 국제학과 소속인 시티즌랩은 2016년 8월부터 NSO 그룹의 스파이 소프트웨어의 동정을 추적하고 있다. 그들은 인터넷을 스캔해 스파이 소프트웨어의 흔적을 남긴 서버를 찾았다. 2018년 8월까지 그들은 45개국의 시민과 네트워크가 NSO 그룹의 특정 스파이 소프트웨어의 표적이 되었다는 것을 발견했다.
시티즌랩은 올해 초에 발간된 상세한 보고서에서 스파이웨어를 어떻게 찾아냈는지 그리고 표적이 되었을 사람은 누가 될 수 있는지 자세히 밝혔다. 그들은 스파이웨어의 이름을 식별할 수 있을 만큼 자신감이 있었다. 바로 큐 스위트로도 알려진 페가수스다.
미국 국가안보국(NSA)의 도급업자 에드워드 스노든이 폭로한 이후로 시민이 사찰 대상이 된 일로 이렇게 공분을 야기한 적은 없었다. 페이스북과 같은 거대 기술 기업들은 겁을 먹은 사용자들이 자사 플랫폼에서 탈출하거나, 공분의 대상이 될까 봐 조바심친다. 미국에 본사를 둔 한 고위 회사 관계자는 "그런 까닭에 페이스북이 이번에는 반격하기로 했다."라고 말했다. "거대 기술 기업은 더는 정부기관의 감시 요청에 따를 의사가 없다."
페가수스는 표적이 된 전화기에 대해 완전하고 불가역적인 통제력을 제공하기 때문에 일반 전화나 물리적 감시와는 다르다. NSO 그룹이 가나 정부와 체결한 계약에서 알 수 있듯이, 이 스파이웨어는 구글의 안드로이드 운영체제를 사용하는 사람들의 경우 전화기를 공장 초기화를 해도 살아남을 수 있다. 간단히 말해서 페가수스의 능력은 그들이 타이핑을 시작하자마자 목표물의 생각을 감시할 수 있을 정도로 발달하여 있다.
그러나 그것으로 끝이 아니다. 스파이웨어에 내장된 키 로거는 감염된 장치에서 작동하는 여타 중요한 계정의 사용자명과 암호를 저장합니다. 이를 통해 이메일 전송과 심지어 표적이 되는 구글 계정에 허위 증거를 심는 것까지도 허용한다. 아이러니하게도, 이것은 페가수스에 의해 감염된 목표물에 사법 기관이 그들에게 불리하게 사용할 증거가 "가짜"라고 주장할 기회를 준다. 그 결과 회사가 주장하는 페가수스의 존재 이유나 목적마져 와해하고 만다(역주: 압수 증거만 있고 주인은 없게 된다).
NSO 그룹이 가나와 체결한 계약은 사찰 작업이 이뤄지는 방식에 대한 추가적인 통찰력을 제공한다. 그것은 페타바이트 단위의 랙에 장착하는 대용량 스토리지 어레이를 포함한다. 그들은 또한 데이터 이동, 데이터 처리 서버, SMS 게이트웨이 및 모뎀을 위한 전용 라우터와 스위치를 보유하고 있다. 또한, -95 dBm의 강도로 기능적인 셀룰러 네트워크 연결을 용이하게 했다. 또한, 설정에는 전용 고속 연결을 보장하기 위해 대칭 ATM 라인과 광섬유 연결이 동원된다. 페가수스를 배치하는 각 운영자 네트워크는 왓츠앱을 통해 그들의 목표물을 공격하기 위한 익명의 SIM 카드 두 개를 가지고 있었다.
전체 하드웨어 비용은 800만 달러, 연간 서비스 계약금은 176만 달러였다.
이 계약은 일반적으로 정부 첩보 기관인 최종 사용자 NSO 그룹과 지역 시스템 통합 업체 간의 삼자간 합의임을 분명히 보여준다. 이 모델은 보안 감시 엔진을 제삼자에게 개방하여 남용 가능성을 높인다. 이 (계약) 문서에 보면 페가수스를 사용한 정부 기관은 이 데이터를 NSO 그룹이 저장하고 액세스하는 방법에 대해 완전한 통제권을 갖지 못했다는 것도 분명하다.
감시 대상자들
미국, 인도, 캐나다, 사우디아라비아, 싱가포르, 태국, 영국, 가나, 브라질, 쿠웨이트, 파키스탄 등의 시민들이 페가수스의 표적이 된 수많은 당사국에 속한다.
지난해 12월 페가수스도 사우디의 암살자들을 도와 자말 카슈끄지 기자를 표적으로 삼았다는 사실이 드러났다. 무하마드 빈 살만에 비판적이던 워싱턴포스트 칼럼리스트 카슈끄지는 2018년 10월 이스탄불의 사우디아라비아 영사관으로 유인되었다. 일단 안으로 들어가자 그는 고문당하고 살해당하고 뼈 톱으로 토막 났다.
인도에서는 부족의 권리를 증진하기 위해 일하고 있는 벨라 바티아 박사 같은 유명한 학자들과 서부 마하라슈트라주(州)의 법정에서 다른 인권 옹호자들을 대변하는 변호사들이 표적이 되었다. 마찬가지로 표적이 된 사람으로는 델리 대학의 교사와 학자, 전 정권에서 한 명이긴 하지만 민간 항공부 장관도 있었다.
"왓츠앱은 이 모든 사람들에게 그들이 표적이 되었다는 증거를 발견한 후 통보하였습니다. 우리는 사용기록이 별난 사용자들 보았고, 그들 데이터가 손상된 것을 확인했습니다. 우리는 시티즌랩과 같은 외부 전문가들과 협업하여 사이버 공격자와 그들의 피해자를 추적했습니다."라고 왓츠업의 고위 대표자는 밝혔다.
밝혀낸 사실 대부분은 NSO 그룹의 주요 프로모토의 주장과 배치된다.
NSO 그룹의 사주 노우발피나 캐피털은 스캔들이 불거진 후 시티즌랩과 국제앰네스티의 공개서한에 대한 상세한 내용의 공개 성명을 발표했다.
노우발피나 캐피털은 성명에서 자사 스파이 소프트웨어의 오용이 없도록 보장했다고 강조했다. “이 회사의 기술은 라이센스 계약에 따라 판매 대상인 정보기관이나 법 집행기관에 의해서만 현장 도입이 가능한 방식으로 설계되었습니다. NSO 그룹은 최종 사용자 기관의 전술적 고려에 따른 현장 도입 결정에 전혀 관여하지 않습니다."라고 말했다.
그러나 기술 명세서에 의해 뒷받침되는 증거는 차고 넘치며, 이제 의심할 여지 없이 많은 시민이 전 세계에 걸쳐 표적이 되고 있다는 것을 증명했다. 연구원들은 2017년 멕시코에서 변호사, 언론인, 심지어 어린이도 NSO 스파이웨어의 표적이 되었다는 것을 발견했다. 2016년 8월 아랍에미리트에 기반을 둔 활동가 아흐메드 만수르도 표적이 됐다.
또 NSO 그룹이 인터넷상에서 가짜 도메인을 만들어 타깃을 유인하는 데 도움을 준 사실도 드러났다. 일단 그들이 가짜 도메인을(역주: 도메인에 속한 인터넷 주소) 클릭하면, 스파이 소프트웨어가 그들의 장치에 설치되어 국가 기관들이 표적물의 모든 온라인 활동을 24시간 감시할 수 있게 된다.
민간인 보호 실패
많은 나라의 법은 사찰 대상이 되는 사람들을 엄격하게 규제한다. 인도 같은 나라에서는 사찰이 매우 예외적인 상황에서도 허용된다. 1996년 12월부터 인도 대법원이 내린 명령으로 사찰의 오용을 막기 위해 시스템에 몇 가지 견제와 균형이 보장된다.
아시아 타임스가 실시한 조사에 따르면 모든 주로부터의 첩보 생성에 주력하는 연방 첩보기관이 페가수스 스파이 소프트웨어의 구매처 중 한 명임을 보여준다. 그러나 어떻게 그리고 왜 이 스파이웨어가 현장에 도입되었고, 표적은 어떻게 선택되었는지 아직 확정되지 않았다.
페가수스와 같은 스파이 소프트웨어는 국가 기관이 이러한 확립된 통상 절차를 쉽게 우회할 수 있도록 돕는다. 예를 들어, 인터넷 서비스 제공 업체나 휴대폰 회사에 연락할 필요가 없기 때문에, 스파이웨어는 표적이 된 개인에 대한 무제한 접근권을 가진다.
이 사실이 밝혀진 후 인도 정부의 반응은 주장과 반론으로 이어졌다. 라비샨카르 프라사드 인도 정보기술부 장관은 트위터상에 이 문제와 관련해 왓츠앱으로부터 통보받은 적이 없다고 주장했다. 그러나 인도 정부에 정보를 제공했을 뿐만 아니라 인도 정부가 실제로는 두 번 통보 받았다는 사실이 곧바로 드러났다.
2019년 5월, 왓츠앱는 그러한 사이버 공격 사례에 대한 직영 기관인 인터넷침해대응센터(CERT-IN)에 상세한 내용의 보고서를 보냈다.
인도 인터넷침해대응센터는 "컴퓨터 보안 사고가 발생했을 때와 발생 시 대처하는 국가 직영 기관"이다. 또한 사이버 사고의 수집, 분석 및 전파를 담당하고 CVE번호(일반 취약점과 익스포져)에 관한 정보를 정기적으로 발행한다. 왓츠앱이 동 기관에 통보했고, 그 내용이 화상통화를 통해 기기를 감염시킬 수 있다는 사실 여부는 누구도 부인할 수 없게 되자 인도 정부 고위 관계자들은 기자에게 이 보고서가 "기술 용어" 투성이라고 말했다.
그러나, 전체 보고서의 세부 내용이라며 통보된 내용을 보면 무슨 일이 일어났는지를 평이한 언어로 설명하는 언론 보도의 링크도 보인다. 인터넷침해대응센터 근무자 누구도 실제 보고서를 읽지 않는 것 같다. 올해 9월 왓스앱은 다시 인도 정부에 경고하고 121명의 인도인이 표적이 되었다는 사실을 공유했다. 다시 한번, 이 내용은 인도 정부에 의해 무시되었다.
인터넷침해대응센터가 제시한 입찰서류 점검을 통해 잠재적이고 직접적인 원인으로 지적되는 건 보안 연구에 할당되는 자금이 부족(약 8,000달러)하다는 점이다. 포렌식 도구를 구매하기에는 역부족이다. 이와는 대조적으로 시티즌랩은 여러 기부 단체로부터 전폭적인 자금 지원을 받고 있으며, 수년간 보안 감시 소프트웨어를 추적하기 위해 상당한 전문 지식을 구축해 왔다.
포와로 탐정의 번역 © 무단복제나 전재를 금지합니다
원문보기: Israeli spyware: WhatsApp hack raises global fears
