악성코드 스파이웨어, 내 휴대전화가 도청장치로? ?IT STORY

스파이웨어

정부 기관을 주요 고객으로 하는 이스라엘 보안 기술 회사 NSO 그룹이 만든 스파이 웨어 ‘페가수스(Pegasus)‘를 들어보셨나요?


테러리스트, 마약 밀매업자, 소아성애자 등 위험한 글로벌 범죄자를 감시, 추적해서 잡아낸다는 명분으로 만들어진 스파이 웨어인데요.

통화기록, 메시지, 사진, 이메일, 위치 정보를 수시로 확인할 수 있고 마이크를 실시간 작동 시켜서 녹음하는 식으로 (개인)휴대전화를 보안 감시 장치로 만들 수 있습니다.

당연히 당사자는 본인 휴대전화가 보안 감시 장치로 이용된다는 걸 모릅니다.

그러나 정부기관을 돕기 위해 만들어진 스파이웨어 페가수스에서 개인정보 침해 문제와 대량 정보 유출 문제가 발생했습니다.

어떤 데이터가 유출 됐나

이번에 유출된 데이터는 2016년부터 보안 감시 소프트웨어를 판매하는 NSO그룹의 정부 고객들이 지목한 (것으로 추정되는) 5만여 명의 전화번호입니다.

이 데이터에는 전화번호가 선택되었거나 시스템에 입력된 시간, 날짜도 포함되어 있습니다.


이번 데이터 유출은 무엇을 의미하나

NSO 그룹 정부 고객들은 타겟들을 감시하기 전에 미리 확인해 본 것으로 보입니다.
스파이웨어로 전화기를 감염시키려는 시도가 있었는지, 아니면 어떤 시도가 성공했는지는 드러나지 않았습니다.

NSO 그룹에서 “기술적으로 불가능하다”고 말하는 극소수의 지선(landlines)과 미국 전화번호는 스파이웨어를 감염시킬 수 없음에도 불구하고 NSO그룹 정부기관 고객들 요청으로 몇몇 타겟이 선택 되었다는 사실은 알 수 있었습니다.

유출된 전화번호 데이터에 포함돼 있던 휴대폰 일부를 확보해서 포렌식 검사를 한 결과, 데이터에 있는 숫자들과 시간, 날짜가 스파이웨어 활동 시작 시간과 밀접한 상관 관계가 발견되었습니다.

포렌식 분석 결과 밝혀진 것은 공격이 의심되는 스마트폰 67대를 검사했습니다. 이 중 23대가 감염됐고, 14대에서 침투 시도 징후가 보였습니다. 나머지 30개의 경우 단말기가 교체되었기 때문에 정확한 결론을 도출하지 못했습니다.

이 중 안드로이드폰 3대에서는 SMS 메시지에 스파이웨어와 연동된 타깃팅 징후를 보였습니다.

페가수스 연구를 전문으로 하는 토론토 대학의 연구 단체인 시티즌랩(Citizen Lab)과 아이폰 4대의 ‘백업 카피’를 공유했는데, 시티즌랩에서도 페가수스 감염 징후가 있었다는 것을 확인했습니다.


NSO 그룹 고객사, 정부 기관은 어디인가

NSO그룹은 40개국 60개 정부기관에 제품을 판매하고 있다고 밝혔지만, 정확한 고객 신원을 공개하는 것은 거부하고 있습니다.

유출된 데이터들에서도 NSO 정부 고객이 누구인지는 정확히 드러나지 않았습니다.
다만, 유출된 자료에 있는 타겟들 데이터 패턴을 면밀히 검토한 결과 
아제르바이잔, 바레인, 카자흐스탄, 멕시코, 모로코, 르완다, 사우디아라비아, 헝가리, 인도, 아랍에미리트 등 10개 정부가 스파이웨어를 사용했을 것이라고 추정할 수 있었습니다.

시티즌랩에서도 10곳 정부 모두가 NSO그룹의 고객이라는 증거를 발견했고요.


NSO 그룹 입장

NSO 그룹 전체 성명서

NSO 그룹은 항상 고객 타겟 데이터에 접근할 수 없다는 입장이었습니다.

NSO 그룹은 변호사들을 통해 어떤 고객들이 스파이웨어를 사용하는지 “잘못된 추정”을 했다고 말했습니다. 보고서에서 발표한 데이터 5만 개라는 숫자는 “과대하다”고 밝혔고요.

특히 이 리스트가 “페가수스(스파웨어)를 사용하는 정부가 타겟 하는” 숫자가 될 수 없다고 밝혔습니다. 변호사들은 리스트가 “페가수스를 이용하는 정부들이 목표로 삼은 리스트가 아니라, 다른 목적으로 NSO그룹 고객들이 사용했을 다른 리스트의 일부일 수도 있다”고 말했습니다.

오픈 소스 시스템에서 누구나 검색할 수 있는 번호라고 하면서요.

 

“페가수스나 다른 NSO그룹 제품과 아무런 관계가 없는 *HLR Lookup Service와 같은 접근 가능하고 명백한 기본 정보에서 유출된 데이터를 잘못 해석한 것에 근거하고 있다. NSO 그룹 기술과 관련된 어떤 것에도 유출된 번호들과 상관 관계가 보이지 않는다. 5만 대의 전화번호 목록이 페가수스의 ‘표적’을 나타내기에는 너무 크다. 유출된 리스트에 전화번호가 등장했다는 사실만으로 페가수스 감시 대상이었는지 여부는 전혀 알 수 없다.”

 

*HLR

홈 로케이션 레지스터(Home Location Register)라는 용어는 휴대 전화 네트워크 운영에 필수적인 데이터베이스입니다. 통화와 문자를 라우팅하는 데 일상적으로 사용되는 다른 식별 정보와 함께 전화 사용자의 네트워크와 일반적인 위치 기록을 보관합니다.

통신사와 보안 전문가들은 HLR 데이터가 전화기에 연결할 수 있는지 여부를 확인할 때 감시 시도 초기 단계에서 사용될 수 있다고 합니다.

IT STORY에서는 핫한 해외 아티클을 소개해드리고 있습니다


*참고 아티클
Response from NSO and governments

관련기사 더보기

개인정보 유출 사례, 미리 알고 똑똑하게 대비하자!
지식 블로그 리스트 보기