HAURI

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

보안매체 기사

악성 스파이웨어 페가수스, 45개 국가에서 발견돼
등록일 :
2018.09.20
이스라엘의 보안 업체 NSO 그룹이 판매하고 있는 스파이웨어
NSO 그룹은 “정당한 사업 행위”라고 주장...하지만 인권 탄압에 활용돼


[보안뉴스 문가용 기자] 인권 침해가 심각하다고 알려진 국가들에서 악성 스파이웨어가 발견됐다. 이 멀웨어의 이름은 페가수스(Pegasus)로, 아이폰과 안드로이드 장비들을 주로 감염시키며, 현재까지 45개 국가에서 활동하다가 적발됐다. 이 중 6개국에서는 인권 탄압을 목적으로 사용되기까지 했다고 시티즌 랩(The Citizen Lab)이 발표했다.

[이미지 = iclickart]


시티즌 랩 측은 2016년부터 지금까지 거대한 장기 프로젝트의 일환으로 인터넷을 스캐닝하며 조사해왔다. 그러면서 페가수스 멀웨어와 관련이 있는 서버들을 스니핑하기도 했다. 시티즌 랩에 따르면 페가수스는 이스라엘의 보안 회사인 NSO 그룹(NSO Group)이 개발한 것이라고 한다. “NSO 그룹은 페가수스를 전 세계 정부 기관 고객들에게 판매하고 있습니다.”

연구가 진행되는 기간 동안 시티즌 랩이 탐지한 페가수스 서버들은 2016년 200개에서 2018년 600개로 늘어났다고 한다. 이에 대해 시티즌 랩의 수석 연구원인 빌 마크작(Bill Marczak)은 NSO 그룹이 활동 범위를 넓히고 있는 것으로 보인다고 분석했다.

페가수스는 2016년 8월에 처음 발견된 것으로, 모바일 내 문자 메시지 읽기, 통화 내역 추적하기, 비밀번호 수집하기, 전화 위치 추적하기, 사용자가 사용하는 앱들로부터 데이터 모으기 등의 기능을 가지고 있다. NSO 그룹은 감시 능력을 원하는 모든 ‘고객’들에게 이 멀웨어를 판매하고 있었으며, 그 중에는 정부 관련 기관들이 많았다고 한다.

페가수스는 특수하게 조작된 익스플로잇 링크를 통해 퍼져간다. 따라서 피싱 공격의 형태를 띠는 게 일반적인데, 사용자가 이를 클릭할 경우 모바일의 보안 기능을 뚫어내기 위한 제로데이 익스플로잇들이 연쇄적으로 작동하기 시작한다. 페가수스는 최근 들어 더 활발하게 활동하기 시작했으며, 시티즌 랩은 “인권 탄압을 목적으로 하는 경우가 많다”고 주장했다.

특히 주목되는 것은 중동의 걸프협력회의(Gulf Cooperation Council) 소속 국가들 사이에서 페가수스가 증가하고 있다는 것이다. UAE의 활동가인 아메드 만수르(Ahmed Mansoor) 등 반체제 인사들이 주요 감시 대상인데, 이 사람은 2016년부터 페가수스의 공격을 당했다. 또한 2018년 6월에는 국제사면위원회의 근무자 한 사람과 사우디아라비아의 활동가 한 명이 페가수스에 감염되기도 했었다.

“NSO 그룹의 비즈니스 모델은 전 세계적으로 인권 증진에 심각한 저해를 불러일으키고 있습니다. NSO 그룹으로부터 페가수스를 구입해 적극적으로 사용하고 있는 국가는 바레인, 카자크스탄, 멕시코, 모로코, 사우디아라비아, UAE인 것으로 조사됐습니다. 이 나라의 정부 기관들은 여러 시민 단체를 감시하고자 페가수스를 활용하고 있었습니다.”

지난 2017년에는 페가수스가 수많은 멕시코 기자들과 변호사들을 공격했다. 이 중에는 아동도 한 명 포함되어 있었다고 한다. 이 공격은 멕시코 정부가 직접 실시한 것으로 보인다. 마크작은 페가수스의 활동 내역을 보면 앞으로 어떤 일이 일어날 것인지 예측이 가능하다고 말한다. “시민 단체들은 앞으로 여러 정부 기관 혹은 권력 기관의 공격 대상이 될 것으로 보입니다. 정부들이 스파이웨어 제조사들을 규제하지 않는 이상, 이런 흐름을 묵인하고 있다고 봐도 무방합니다.”

2016년 8월부터 2018년 8월 사이, 시티즌 랩 측에서는 페가수스와 엮여 있는 익스플로잇 링크 및 C&C 서버로서 활용되고 있는 IP 주소 총 1091개와 도메인 이름 총 1014개를 찾아냈다. “또한 페가수스 운영자가 감시 업무를 실시하고 있는 것으로 보이는 국가는 총 45개였습니다. 페가수스 운영 단체 중 10여 개는 자국이 아니라 타국에 대한 감시 임무를 수행하고 있는 것으로도 보였습니다.”

시티즌 랩은 45개 국가의 이름을 다음과 같이 공개했다. “알제리, 바레인, 방글라데시, 브라질, 캐나다, 쿠트디부아르, 이집트, 프랑스, 그리스, 인도, 이라크, 이스라엘, 요르단, 카자크스탄, 케냐, 쿠웨이트, 키르기스스탄, 라트비아, 레바논, 리비아, 멕시코, 모로코, 네덜란드, 오만, 파키스탄, 팔레스타인, 폴란드, 카타르, 르완다, 사우디아라비아, 싱가포르, 남아프리카공화국, 스위스, 타지키스탄, 대만, 토고, 튀니지, 터키, UAE, 우간다, 영국, 미국, 우즈베키스탄, 예멘, 잠비아입니다.”

이에 대해 NSO 그룹은 다음과 같이 발표했다. “시티즌 랩의 최근 보고서에는 많은 문제가 있습니다. 일단 NSO가 활동하고 있다는 국가들이 부정확합니다. NSO는 시티즌 랩이 주장하는 나라들 대부분에서 활동하고 있지 않습니다. 시티즌 랩이 문제를 삼은 제품은 산업 윤리 프레임워크(Business Ethics Framework) 아래 사용 허가가 된 것으로 라이선스 발급과 함께 제공되고 있습니다. 또한 라이선스를 얻지 못한 국가들에서는 이 제품의 사용이 금지됩니다.”

3줄 요약
1. 이스라엘의 보안 업체 NSO 그룹, 각 국가로 페가수스 판매 중.
2. 페가수스는 고차원적인 모바일 기기용 스파이웨어로 2016년부터 활동.
3. “앞으로 시민 단체를 압박하는 권력 기관의 감시 활동 늘어날 것”

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top