악성 해킹 툴 '페가수스'의 모든 것: 스파이웨어를 넘어선 여론과 민주주의의 탄압도구

* 지난 7월 국제앰네스티는 인권활동가와 언론인 등 정부에 대해 비판적인 활동을 하는 사람들을 감시하는 도구로 사용된 이스라엘 소재 민간 회사 NSO 그룹의 스파이웨어 페가수스에 대해 폭로했다. 앰네스티는 파리에 본부를 둔 비영리 언론기구인 포비든 스토리즈(Forbidden Stories)와 함께 전 세계 17개 언론 단체 그리고 80여 명의 언론인이 참여하는 페가수스 프로젝트(Pegasus Project)라는 컨소시엄을 구성해 이 스파이웨어에 대한 심층 취재를 진행했다. 유출된 약 5만 건의 잠재적 감시 대상의 연락처에 대한 조사를 통해 이 프로젝트는 AP 통신, CNN, 뉴욕타임스 등의 언론인, 정치인, 인권활동가는 물론 마크롱 프랑스 대통령 등이 타깃에 포함되어 있음을 밝혀냈다. 12월 3일 CNN 보도에 따르면 미 국무부 직원의 아이폰도 페가수스에 의해 해킹되었다. 페가수스는 원격 심지어 부재중 통화만으로도, 혹은 감시 대상 주변의 무선 송수신기를 통해 설치될 수 있으며, 일단 설치되면 대상 휴대폰의 거의 모든 자료를 소유주 몰래 빼낼 수 있다. 이 가공할 스파이웨어는 개인 정보 유출은 물론 독재정권의 무기로 그리고 민주주의에 대한 위협으로 작용할 수 있다. 이 글은 페가수스 프로젝트 컨소시엄에 참여하고 있는 Guardian의 페가수스 소개 기사 What is Pegasus spyware and how does it hack phones? 의 번역으로 페가수스의 기능, 설치, 페가수스의 고객, NSO 그룹의 대응 등을 자세히 소개하고 있다.

페가수스(Pegasus) 스파이웨어는 무엇이고 어떻게 전화기를 해킹할까?

페가수스는 '제로 클릭'(zero-click) 공격을 통해 전화기를 감염시킬 수 있는데, 이것은 휴대폰 소유자의 어떠한 상호 작용도 필요로 하지 않는다. 합성 이미지 출처: AFP via Getty

NSO Group 소프트웨어는 당신의 통화를 녹음하고, 메시지를 복사하고, 비밀리에 당신을 촬영할 수 있다

이것은 아마도 지금까지 개발된 것 중(확실히 민간 회사에 의해 개발된 것 중) 가장 강력한 스파이웨어의 이름일 것이다. 당신이 모르는 사이에 당신의 전화기에 웜이 들어가면 그것은 당신도 모르게 그것을 24시간 감시 장치로 바꿀 수 있다. 그것은 보내거나 받는 메시지를 복사하고, 사진을 수집하고, 통화를 녹음할 수 있다. 휴대전화의 카메라를 통해 비밀리에 당신을 촬영하거나 마이크를 활성화하여 대화를 녹음할 수 있다. 당신이 어디에 있는지, 어디에 있었고, 누구를 만났는지 잠재적으로 정확히 찾아낼 수 있다.

페가수스(Pegasus)는 이스라엘 기업 NSO 그룹(NSO Group)이 개발, 마케팅 및 전 세계 정부에 라이선스 하는 해킹 소프트웨어 또는 스파이웨어이다. iOS 또는 안드로이드 운영 체제를 실행하는 수십억 대의 전화기를 감염시킬 수 있는 기능이 있다.

2016년 연구자들이 포착한 최초의 페가수스 버전은 대상이 악성 링크를 클릭하도록 속이는 문자 메시지 또는 이메일인 스피어 피싱(spear-phishing)을 통해 휴대폰을 감염시켰다.

빠른 가이드

Pegasus 프로젝트 데이터에는 무엇이 있는가?

유출된 데이터에는 무엇이 있는가?

유출된 데이터는 2016년부터 감시 소프트웨어를 판매하는 NSO 그룹의 정부 고객이 관심 인물로 선택한 것으로 추정되는 5만 개 이상의 전화번호 목록이다. 데이터에는 그 전화번호가 선택되거나 시스템에 입력된 시간과 날짜도 포함된다. 파리에 본부를 둔 비영리 저널리즘 단체인 Forbidden Stories와 국제앰네스티는 처음에 이 목록에 접근할 수 있었고 가디언을 포함한 16개의 미디어 단체와 접근 권한을 공유했다. 80명 이상의 기자들이 페가수스 프로젝트의 일환으로 수개월 동안 함께 일해왔다. 이 프로젝트의 기술 파트너인 앰네스티의 보안 연구소가 법의학적 분석을 했다.

유출은 무엇을 나타내는가?

이 컨소시엄은 이 데이터가 NSO의 정부 고객이 가능한 감시에 앞서 확인한 잠재적인 표적임을 나타낸다. 이 데이터는 의도를 나타내는 것이지만 데이터에 번호가 있다고 해서 회사의 시그니처 감시 툴인 페가수스와 같은 스파이웨어로 전화기를 감염시키려는 시도가 있었는지 또는 성공했는지 여부를 나타내지는 않는다. NSO가 자신의 툴로 액세스 하는 것이 "기술적으로 불가능"하다고 말하는 매우 적은 수의 유선 전화와 미국 전화번호의 데이터에 존재한다는 것은 비록 그들이 페가수스에 감염될 수 없음에도 불구하고 NSO 고객들에 의해 선택되었다는 것을 보여준다. 그러나 목록에 번호가 있는 휴대폰의 작은 샘플에 대한 법의학적 검사 결과 데이터에 있는 번호의 시간과 날짜, 그리고 페가수스 활동의 시작 사이의 밀접한 상관관계가 발견되었다. 그 활동은 어떤 경우에는 불과 몇 초이다.

포렌식 분석을 통해 밝혀진 것은 무엇인가?

앰네스티는 공격이 의심되는 스마트폰 67대를 조사했다. 그중 23대는 성공적으로 감염되었고 14대는 침투 시도의 징후를 보였다. 나머지 30대의 경우 단말기가 교체되었기 때문에 테스트는 결론을 내리지 못했다. 이 전화들 중 15대는 안드로이드 기기였으며, 그중 어느 것도 성공적인 감염의 증거를 보여주지 않았다. 하지만 안드로이드폰은 아이폰과 달리 앰네스티의 탐정 업무에 필요한 정보를 기록하지 않는다. 3대의 안드로이드 폰은 페가수스와 연동된 SMS 메시지 등 타기팅 흔적이 보였다.

앰네스티는 페가수스에 대한 연구를 전문으로 하는 토론토 대학의 연구 그룹인 시티즌 랩(Citizen Lab)과 4개의 아이폰 "백업 사본"을 공유했으며, 그 결과 해당 그룹에서 페가수스 감염 징후가 나타났다. 시티즌 랩은 또한 앰네스티의 법의학 방법에 대한 동료 검토를 실시한 결과 타당한 것으로 나타났다.

어떤 NSO 고객이 번호를 선택하고 있었을까?

데이터는 개별 NSO 고객을 나타내는 클러스터로 구성되지만, 어떤 NSO 고객이 주어진 번호를 선택했는지에 대해서는 언급하지 않는다. NSO는 40개국의 60개 고객에게 도구를 판매한다고 주장하지만, 그들의 신원을 밝히기를 거부한다. 언론 파트너들은 유출된 자료에서 개인 고객들의 목표화 패턴을 면밀히 조사함으로써 타깃 선정 책임이 있는 것으로 추정되는 10개 정부, 즉 아제르바이잔, 바레인, 카자흐스탄, 멕시코, 모로코, 르완다, 사우디아라비아, 헝가리, 인도, 아랍에미리트를 파악할 수 있었다. 시티즌 랩은 이 10개 정부가 모두가 NSO의 고객이라는 증거도 찾아냈다.

NSO 그룹은 뭐라고 말하는가?

여기서 NSO 그룹의 성명서 전문을 읽을 수 있다. 이 회사는 고객의 타깃 데이터에 액세스 할 수 없다고 항상 말해왔다. NSO는 변호인단을 통해 컨소시엄이 어떤 고객들이 회사의 기술을 사용하는지에 대해 "잘못된 가정"을 했다고 말했다. 5만 명의 숫자는 "과장된" 것이며 이 목록은 "페가수스를 사용하는 정부의 타깃"이 될 수 없다고 말했다. 변호인단은 NSO는 컨소시엄이 액세스 한 목록이 “페가수수를 사용하는 정부들의 타깃 목록이 아니라 대신 NSO 그룹 고객들이 다른 용도로 사용했을 수 있는 더 큰 번호 목록의 일부일 수 있다”라고 믿을 만한 이유가 있다고 말했다. 그들은 오픈 소스 시스템에서 누구나 검색할 수 있는 번호 목록이라고 말했다. 추가 질문 후 변호인단은  "컨소시엄이 고객의 페가수스 제품 목록이나 다른 NSO 제품 목록과 관련이 없는 HLR 검색(HLR Lookup, 보통 '홈위치 등록기'라고 말하며 HLR은 Home Location Register의 약자로 가입자의 번호와 위치 등의 정보를 담은 데이터다 - 역자 주) 서비스와 같은 접근 가능하고 노골적인 기본 정보로부터 유출된 데이터를 잘못 해석한 것에 근거를 두고 있다"라고 말했다. "이러한 목록과 NSO 그룹 기술의 사용과 관련된 어떠한 연관성도 여전히 보이지 않는다." 언론 보도 후 변호인단은 "표적"을 페가수스 의해 감염되거나 시도된(그러나 실패한) 전화로 간주하고 5만 개의 전화 목록이 페가수스의 "표적"을 나타내기에는 너무 많다고 재차 강조했다. 그들은 목록에 번호가 있다는 사실이 페가수스를 이용한 감시 대상으로 선정됐는지 여부를 나타내는 것이 결코 아니라는 것이다.

HLR 검색 데이터란 무엇인가?

HLR 또는 홈위치 등록기(home location register)라는 용어는 이동 전화 네트워크를 운영하는 데 필수적인 데이터베이스를 나타낸다. 이러한 레지스터는 라우팅 통화와 텍스트에서 일상적으로 사용되는 다른 식별 정보와 함께 전화 사용자 및 일반 위치의 네트워크에 기록을 보관한다. 통신 및 감시 전문가들은 HLR 데이터가 때때로 감시 시도의 초기 단계에서 전화 연결 가능 여부를 식별할 때 사용할 수 있다고 말한다. 컨소시엄은 NSO 고객들이 페가수스 시스템의 인터페이스를 통해 HLR 검색 조회를 수행할 수 있다는 것을 알고 있다. 페가수스 운영자들이 소프트웨어를 사용하기 위해 인터페이스를 통해 HRL 검색 조회를 수행해야 하는지는 불분명하다. NSO 소식통은 고객들이 NSO 시스템을 통해 HLR 검색을 수행하는 데에는 페가수스와 무관한 다른 이유가 있을 수 있다고 강조했다.

다만 이후 NSO의 공격 능력이 한층 고도화됐다. 페가수스 감염은 소위 "제로 클릭"(zero-click) 공격을 통해 달성될 수 있는데, 성공하기 위해 전화 소유자의 어떠한 상호 작용도 필요하지 않다. 이러한 취약점은 종종 "제로 데이"(zero-day) 취약성을 이용하는데, 이는 휴대폰 제조업체가 아직 알지 못해 고칠 수 없는 운영 체제의 결함 또는 버그이다.

2019년 왓츠앱(WhatsApp)은 NSO의 소프트웨어가 제로 데이 취약점을 악용하여 1,400개 이상의 전화기에 악성 소프트웨어를 전송하는 데 사용되었다고 밝혔다. 단순히 대상 기기에 왓츠앱 통화를 걸기만 해도 대상이 전화를 받지 않더라도 악성 페가수스 코드가 전화기에 설치될 수 있었다. 더 최근에 NSO는 애플의 아이메시지 소프트웨어의 취약점을 이용하기 시작했고, 수억 대의 아이폰에 백도어 접근을 제공했다. 애플은 이러한 공격을 방지하기 위해 소프트웨어를 지속적으로 업데이트하고 있다고 밝혔다.

페가수스에 대한 기술적 이해와 성공적인 감염 후 휴대전화에 남겨진 증거 이동 경로를 찾는 방법은 국제앰네스티의 베를린 기반 보안 연구소를 운영하는 클라우디오 구아르니에리(Claudio Guarnieri)가 수행한 연구에 의해 향상되었다.

NSO 고객들이 더 미묘한 제로 클릭 공격을 위해 의심스러운 SMS 메시지를 대부분 포기했다고 설명한 구아르니에리는 "목표물이 알아차리기에는 상황이 훨씬 더 복잡해지고 있습니다."라고 말했다.

또는 NSO와 같은 회사가 아이메시지와 같이 기본적으로 장치에 설치되거나 왓츠앱과 같이 매우 널리 사용되는 소프트웨어를 악용하는 것은 페가수스가 성공적으로 공격할 수 있는 휴대폰의 수를 극적으로 증가시키기 때문에 특히 매력적이다.

가디언을 비롯한 미디어 조직의 국제 컨소시엄인 페가수스 프로젝트의 기술 파트너인 앰네스티 연구소는 최신 버전의 애플 iOS를 실행하는 아이폰에서 페가수스 고객들의 성공적인 공격 흔적을 발견했다. 공격은 2021년 7월에 수행되었다.

피해자들의 전화를 법의학적으로 분석한 결과 NSO의 지속적인 취약점 검색이 다른 일반 앱으로 확대됐을 가능성을 시사하는 증거도 확인됐다. 구아르니에리와 그의 팀이 분석한 일부 사례에서 감염 시점에 애플의 사진 및 음악 앱과 관련된 특이한 네트워크 트래픽을 볼 수 있으며, 이는 NSO가 새로운 취약점을 활용하기 시작했을 수 있음을 시사한다.

스피어 피싱이나 제로 클릭 공격이 성공하지 못할 경우, 페가수스는 대상 근처에 위치한 무선 송수신기를 통해 설치될 수도 있고, NSO 브로셔에 따르면 에이전트가 목표물의 전화를 훔칠 수 있는 경우 간단히 수동으로 설치할 수도 있다.

일단 전화기에 설치되면 페가수스는 거의 어떤 정보도 수집하거나 혹은 어떤 파일도 추출할 수 있다. SMS 메시지, 주소록, 통화 기록, 캘린더, 이메일 및 인터넷 검색 기록이 모두 유출될 수 있다.

구아르니에리는 "아이폰이 손상되면 공격자가 기기에서 소위 루트 권한 또는 관리 권한을 얻을 수 있도록 합니다."라고 말했다. "페가수수는 기기 소유자가 할 수 있는 것보다 더 많은 일을 할 수 있습니다."

NSO의 변호인단은 국제앰네스티의 기술적인 보고서는 추측이며, "관념적이고 근거 없는 가정들의 편집"이라고 묘사했다. 그러나 그들은 구체적인 연구결과나 결론에 대해 이의를 제기하지 않았다.

NSO는 소프트웨어를 탐지하기 어렵게 만드는 데 상당한 노력을 기울였으며 이제 페가수스 감염을 식별하기가 매우 어렵다. 보안 연구자들은 최신 버전의 페가수스가 하드 드라이브가 아닌 전화기의 임시 메모리에만 있는 것으로 의심하고 있다. 즉, 전화기의 전원이 꺼지면 거의 모든 소프트웨어 흔적이 사라진다.

페가수스가 언론인들과 인권 옹호자들에게 제시하는 가장 중요한 도전 중 하나는 이 소프트웨어가 발견되지 않은 취약점을 악용한다는 사실인데, 이는 가장 보안에 민감한 휴대전화 사용자도 공격을 막을 수 없다는 것을 의미한다.

"이것은 우리가 누군가와 포렌식을 수행할 때마다 거의 내게 묻는 질문입니다. '이런 일이 다시 일어나지 않도록 하려면 무엇을 할 수 있습니까?'"라고 구아르니에리가 말했다. “진짜 정직한 대답은 아무것도 없다는 것입니다.”