아이폰 뚫은 '페가수스'··· 테러 방지용을 민간인 사찰로 악용해
[IT동아 남시현 기자] 이스라엘의 사이버 기업 NSO 그룹이 개발한 스파이웨어 ‘페가수스(Pegasus)’로 인한 파문이 확산하고 있다. 폐쇄성 운영체제와 강력한 보안을 자랑해온 애플 아이폰이 NSO그룹의 페가수스에게 속수무책으로 털렸기 때문이다.
국제사면위원회(국제엠네스티) 사이버보안팀과 프랑스 비영리 언론단체 포비든 스토리즈(Forbidden Stories)는 2016년부터 NSO 고객이 관심을 가진 대상으로 추정되는 50,000개 이상의 전화번호 목록과 법의학적 증거를 공개했다. 목록에는 약 50개국 1,000명 이상의 신원 정보가 담겨있으며, 프랑스의 에마뉘엘 마크롱 대통령과 모로코 국왕 모하메드 6세, 남아공 시릴 마리포사 대통령 등 14명의 국가 원수를 포함한 정상급 정치인과 다수의 기업인, 언론인, 인권 운동가 등이 포함돼있었다.
‘페가수스’ 어떻게 동작하길레 문제?
지금까지 애플의 iOS가 안전하고 보안이 철저하다는 평가를 받아온 이유는 폐쇄형 운영체제이기 때문이다. 폐쇄형 운영체제는 제작사가 모든 권한을 가지고 운영하는 체제며, 모든 전자적 활동이 애플을 거친 뒤에 이뤄진다. iOS에 설치되는 모든 애플리케이션은 애플 앱스토어를 거치면서 주기적으로 심사를 받고, 사용자에게 악의적인 기능 등이 있으면 퇴출된다. 따라서 외부 개발자가 운영체제에 문제를 일으키는 일이 발생할 수 없고, 모든 동작이 운영체제에 맞게끔 설계되므로 안정적이다.
하지만 페가수스는 제조사인 애플조차 발견하지 못한 시스템의 보안 취약점을 통해 애플의 보안망을 우회하는 ‘제로데이’ 공격을 기반으로 했으며, 일부 공격은 대상자가 클릭하거나 권한을 주는 등 상호작용을 하지 않더라도 감염시킬 수 있는 ‘제로 터치’ 공격으로 진행됐다. 애플조차 모르는 뒷문으로 드나든 것이기에 폐쇄형 운영체제나 앱스토어 심사와 무관하게 뚫린 것이다. 게다가 페가수스는 60일 이상 명령 및 제어 서버와 통신하지 않거나, 잘못된 장치를 사용하는 경우 증거를 제거하기 위해 스스로 파괴되기 때문에 더욱 발견이 어려웠다.
‘페가수스 프로젝트’의 폭로에 따르면, 페가수스 소프트웨어는 2014년부터 2021년 7월까지 진행되었으며, 2018년 5월부터 대상과의 상호작용이 없더라도 감염시킬 수 있는 ‘제로-클릭’ 공격이 시작됐다. 특히 2021년 7월, iOS 14.6 버전이 적용된 아이폰 12도 공개되지 않은 취약점을 활용한 ‘제로 데이’ 공격을 통해 감염에 성공한 사례도 이번에 밝혀졌다.
페가수스는 하나의 공격이 아닌 다양한 취약점을 복합적으로 활용했다. 사용자가 사파리나 트위터 앱을 사용하는 동안 서버를 오가는 네트워크 데이터를 통한 침입한다던가, 애플 사진 앱이나 뮤직 앱의 네트워크 트래픽을 통한 유입되기도 했고, 아이메시지 및 페이스타임 전송을 통한 유입, 그리고 iOS 시스템 서비스로 위장한 유입 등이 가능했다.
한번 감염된 아이폰은 아이메시지, 통화 기록, 연락처, 사진, 웹 브라우저 검색 결과, 위치 정보, 비밀번호 등을 수집하고, 대상 장치의 마이크 및 카메라에 접속해 실시간으로 정보를 수집할 수도 있다. 게다가 지메일, 페이스북, 왓츠앱, 텔레그램, 스카이프 등 다양한 통신 애플리케이션으로 주고받는 정보까지 모두 수집됐다.
일반 사용자는 크게 우려할 필요는 없어
페가수스에 한 번 감염되면 모든 정보는 페가수스 이용자가 갖는 것과 다르지않다. 사용자는 감염 사실을 전혀 파악하지 못한 채 말이다. 프랑스의 에마뉘엘 마크롱 대통령 역시 이번 사태가 폭로되기 전까지 해킹 피해 의혹을 전혀 알지 못했고, 22일이 되어서야 해킹 대상으로 거론된 휴대전화와 번호를 교체했다.
하지만 일반 사용자라면 크게 우려할 필요는 없다. 페가수스가 대단히 위협적인 소프트웨어며, 누구나 대상이 될 수 있는 건 맞지만, 특정 국가가 예의주시할 정도의 고위 정치인과 외교관, 언론인, 인권 운동가가 아니라면 본인이 대상이 될 가능성은 희박하다. 또한 페가수스는 NSO그룹이 직접 관리하는 프로그램인 만큼 민간에서 일반 사용자가 개인적인 용도로 해킹을 시도하거나 할 순 없다.
페가수스 사태, 게이트로 번질까
7월 22일, NSO그룹은 대변인 명의의 성명을 내고 페가수스와 관련된 명단은 NSO 그룹과 무관하며, 고객이 프로그램을 악용한 사례라고 말했다. 아울러 포비든 스토리즈가 주도하고 있는 계획적인 언론사 캠페인과 사실을 무시한 점으로 인해 더이상 언론사 문의에 답변하지 않을 계획이라고도 못박았다. NSO의 페가수스가 이번 아이폰 해킹과 관련해 아무런 관련이 없다는 의사를 분명히 한 것이다.
하지만 NSO의 페가수스가 논란이 된 건 이번이 처음이 아니다. 2019년 10월 30일, 왓츠앱(WhatsApp)의 모회사인 페이스북이 NSO그룹의 페가수스가 인도 언론인, 활동가, 변호사 및 고위 정부 관리를 표적으로 광범위한 감시를 벌였다며 소송을 제기한 바 있다. 당시 인도 정부가 페가수스를 활용해 의회와 주 정부 사이의 권력 투쟁과 선거, 주변 국가 외교관에 대한 스파이 행위에 사용한 것으로 추측되나 인도 정부는 관련 의혹을 부인하고 있다.
이외에도 페가수스는 멕시코 마약 카르텔에서 멕시코 언론인을 표적으로 사용한 사례, 사우디 아라비아의 자말 카슈끄지 암살 사건, 헝가리 정부의 자국 언론인 염탐 등과 관련돼있다는 의혹에 직접 연루돼있다. 원래 페가수스는 테러리스트와 범죄자 추적을 위한 소프트웨어며, 전 세계 40개국 60여 개 정보기관에서 운용하고 있다. NSO의 논리대로 고객이 부적절하게 사용한 것이 틀린 말은 아니다. 하지만 이번 사건과 관련해 낱낱이 진상을 밝히지 않는다면 이 모든 책임으로부터 자유로울 수 없어 보인다.
글 / IT동아 남시현 (sh@itdonga.com)