페가수스:
시민의 핸드폰을 감시하는 정부와 기업

기술에 대해 잘 알지 못하는 사람들도 일상을 살면서 악성 코드나 멀웨어 등은 어렵지 않게 들어보았을 것이다. 누군가의 핸드폰이나 컴퓨터에 악성 소프트웨어가 설치되어 기기가 망가졌다거나 개인 정보가 유출되었다는 범죄 이야기가 뉴스에서도 심심치 않게 들려오고 있다.

그런데 이런 악성 소프트웨어 기술을 민간 기업이 정부에 판매하고, 범죄를 막아야 할 정부는 이를 이용해 시민 사회를 억압하고 공격한 사실이 국제앰네스티와 언론의 합동 조사 결과 드러났다.

핸드폰을 들고 있는 남성과 그 핸드폰의 이야기를 엿듣는 공격자

조사의 시작: 앰네스티 활동가를 향한 공격:

2018년 6월 초, 사우디아라비아에서 활동하는 한 국제앰네스티 활동가에게 의문의 번호로 와츠앱 메시지 하나가 도착한다. 메시지에는 ‘동생이 위험에 처해있다. 상황을 확인해달라’라는 내용과 함께 특정 웹사이트로 가는 링크가 있었다.
국제앰네스티 활동가가 받은 페가수스 피싱 메시지

국제앰네스티 활동가가 받은 페가수스 피싱 메시지

내용에는 이상한 부분이 없었지만 피싱 메시지가 아닐까 의심했던 활동가는 국제앰네스티 테크 팀Amnesty Tech Team에 메시지 분석을 의뢰했다. 분석 결과 해당 링크는 “NSO 페가수스 네트워크NSO Pegasus Network”로 이어지는 피싱 메시지였다. 국제앰네스티 활동가 중 한 명이 악성 소프트웨어 페가수스의 감시 대상이 된 것이다.

NSO 페가수스: 시민 사회를 억압하는 감시 소프트웨어

NSO의 페가수스Pegasus는 이스라엘 소재 민간 회사 NSO 그룹이 제작한 스파이웨어다. 이 스파이웨어가 누군가의 핸드폰/컴퓨터에 설치되면 공격자Attacker는 기기의 주인도 모르게 기기 안에 있는 메시지, 이메일, 파일, 마이크, 카메라, 전화 기록, 전화번호 등 모든 정보에 접근하고 이를 확인할 수 있게 된다.

최근 밝혀진 바에 따르면 페가수스 소프트웨어는 부재중 통화를 남기는 것만으로 핸드폰에 설치될 수 있다. 핸드폰의 주인이 링크를 클릭하거나 메시지를 열어보지 않아도 이를 막을 수 없다. 모두 잠든 밤, 공격자가 와츠앱을 통해 누군가의 핸드폰에 부재중 통화를 남기기만 하면 이 핸드폰에는 스파이웨어가 설치되고, 공격자는 핸드폰에 있는 모든 개인정보를 열람하고 확인할 수 있게 된다.

핸드폰을 하고 있는 사람과 그의 핸드폰에서 정보를 빼앗아가는 공격자

와츠앱 같은 기술을 사용해 모든 메시지를 암호화해도, (스파이웨어를 설치한 사람은) 핸드폰 사용자가 타이핑하는 걸 다 볼 수 있어요. 마이크나 카메라에 접속할 수도 있고 이메일의 비밀번호, ID도 알 수 있죠

라이드 라바시Raed Labassi, 국제앰네스티 보안팀 기술 전문가 & 해커

NSO 그룹은 사이버 감시 기술을 개발하여 판매하는 민간 회사다. 많은 국가와 국가 기관이 “국가 안보”를 목적으로, 또한 테러리스트나 범죄자의 범죄를 막는다는 명목으로 페가수스나 이와 비슷한 제품을 구매해 사용해왔다. 그러나 국제앰네스티 조사 결과 일부 국가에서 이렇게 구매한 기술을 활용해 인권 활동가, 언론인 등 정부를 견제하는 사람들을 감시해 오고 있었다는 것이 드러났다.

해킹을 당한 모습의 핸드폰들 위에 “페가수스 프로젝트”라는 문구가 적혀 있다

페가수스 프로젝트: 페가수스를 파헤치는 글로벌 조사

2018년 국제앰네스티 활동가가 페가수스의 공격을 받은 이후, 앰네스티는 스파이웨어를 통한 감시 문제를 파헤치기 위해 대규모 조사를 시작했다. 국제앰네스티는 이 조사를 위해 전 세계 언론 단체 17곳의 언론인 80명, 비영리 언론 기구 포비든 스토리즈Forbidden Stories와 힘을 합쳤다. 이렇게 시작된 조사 캠페인이 바로 “페가수스 프로젝트Pegasus Project”다. 글로벌 감시 문제에 대응하기 위해 전 세계 단체들이 함께 힘을 모은 것이다.

국제앰네스티 보안 연구소Security Lab는 이 과정에서 페가수스 스파이웨어의 동향과 관련 인프라 세부 사항을 조사했다. 또한 페가수스로 인해 피해를 입은 활동가, 정치인, 언론인 등의 사례를 조사하고 스파이웨어의 흔적을 찾기 위해 최첨단 포렌식 분석 기술을 지원했다.

국제앰네스티와 협업 단체는 이번 조사로 페가수스의 잠재적인 감시 대상 연락처 50,000여 건의 명단을 입수할 수 있었다. 해당 명단에는 언론인, 정치인, 기업인, 인권 활동가는 물론 대통령 등 국가 수장도 포함되어 있었다. 또한 감시를 위해 NSO으로 소프트웨어를 구매해 사용했을 것으로 추정되는 잠재 NSO 고객은 아제르바이잔, 바레인, 헝가리, 인도, 카자흐스탄, 멕시코, 모로코, 르완다, 사우디아라비아, 토고, 아랍에미리트 등 11개국이 확인되었다.

페가수스를 구매한 것으로 보이는 고객이 있는 추정 국가 11곳이 나온 일러스트

전 세계에서 일어난 감시: 누구든 해킹 대상이 될 수 있다

조사 결과 감시 대상은 개인부터 주요 공직자까지 다양했다. 핸드폰의 보안도 페가수스에는 속수무책이었다. 지난 7월 19일 공개된 증거에 따르면 보안이 잘 갖춰져 있다고 알려진 아이폰 11, 아이폰 12 모델에서도 스파이웨어가 설치된 사례가 확인되었다. 실제로 이번에 입수된 잠재 감시 대상자 명단에는 전 세계 애플 사용자 수천 명이 포함되어 있었다. 메세징 앱 와츠앱 역시 2019년 10월 29일 성명서를 통해 2019년 4월~5월 사이에 NSO 스파이웨어가 앱의 보안 취약점을 이용해 1,400명의 사람들을 표적으로 삼았다고 공식 발표하기도 했다. 사실상 누구든, 어떤 기기를 가지고 있든 해킹 대상이 될 수 있는 것이다.
시위를 하는 시민들 앞에 있는, 핸드폰 모양의 함정

사례 하나: 르완다 활동가, 언론인, 정치인 등 3,500명

2021년 7월 19일 국제앰네스티와 포비든 스토리즈가 공개한 증거에 따르면 르완다 당국은 2016년부터 약 3,500명의 활동가, 언론인, 정치인, 외교관 등을 선정해 이들을 페가수스 스파이웨어의 표적으로 삼았다.

시민들을 가두는 악성 소프트웨어 공격자

사례 둘: 헝가리 국적 일반인 300명

헝가리 비영리 언론 단체 Direkt36이 7월 20일 밝힌 바에 따르면 헝가리인 300여명의 연락처가 페가수스 잠재 감시 명단에 포함되어 있었다. 국제앰네스티 전문가들이 이중 일부의 핸드폰을 분석하여 스파이웨어가 설치되어 있는 것을 확인하기도 했다. 앰네스티는 헝가리 정부에, 정부가 이를 알고 있었는지, 또는 이러한 감시를 승인했는지 답하라고 촉구하고 있다.

언론을 탄압하는 핸드폰 모양의 함정과 손

사례 셋: 국제 주요 언론사 편집 국장

AP 통신, CNN, 뉴욕타임즈, 로이터 통신 등 주요 국제 언론사에서 근무하는 언론인들도 잠재적인 감시 표적 대상 중 일부였다. 이중에는 주요 언론사 중 한 곳인 파이낸셜 타임즈의 편집국장 로울라 칼라프Roula Khalaf도 있었다.

사우디 정보원에 의해 살해당한 자말 카쇼기 사진을 들고 있는 앰네스티 활동가

사례 넷: 사망한 언론인 자말 카쇼기의 가족들

2018년 10월 2일, 사우디 언론인 자말 카쇼기는 이스탄불에 있는 사우디 총영사관에서 사우디 정보원에 의해 살해됐다. 국제앰네스티 조사 결과 그의 사망 전후로 그의 가족들이 페가수스 스파이웨어의 표적이 된 것이 확인되었다. 국제앰네스티 보안연구소에 따르면 자말 카쇼기의 아내 하난 엘라트Hanan Elatr는 2017년 9월부터 2018년 4월까지 스파이웨어 공격을 꾸준히 받았으며, 아들 압둘라Abdullah 또한 스파이웨어의 표적이 되었다.

프랑스 마크롱 대통령의 정면 사진

사례 다섯: 프랑스 대통령 등 14개국 국가 수장

잠재 감시 대상 명단에는 고위 공직자들도 있었다. 2021년 7월 20일, 이번 프로젝트에 함께한 워싱턴 포스트가 밝힌 바에 따르면, 잠재 감시 명단에 프랑스 대통령 마크롱을 포함한 14개국의 국가 수장이 있었다. 구체적으로는 모로코의 왕 모하메드 6세Mohammed VI, 이라크 대통령 바르함 살리흐Barham Salih, 이집트 총리 무스타파 마드불리Mostafa Madbouly, 벨기에 전 총리이자 유럽연합 정상회의 상임의장 샤를 미셸Charles Michel 등이 있었다. 그외에도 34개국에 있는 정치인 및 공직자 600명도 명단에 포함되어 있었다.

한 시위자가 푯말을 들고 있고, 그를 각종 사이버 감시자가 감시하고 있다.

페가수스는 인권을 향한 사이버 공격이다

정부가 NSO 스파이웨어를 이용해 언론인, 활동가들을 공격하고 억압한 것은 명백한 인권 침해다. 제대로 된 감시 기구나 규제 없이 정부가 이러한 감시 도구를 사용할 때 인권이 어떻게 위축될 수 있는지 이번 조사 결과를 통해 명백하게 드러났다. 또한 민간 기업이 이러한 인권 침해적 기술을 개발하고 판매, 활용하는 동안 다수의 정부가 기업으로 하여금 그 인권 의무를 다하도록 법적, 제도적 장치를 확립하지 못했다.

한편 기업 역시 자체적으로 인권을 존중하고 보장할 책임이 있다. 이번 발표 이후 NSO 그룹은 페가수스 소프트웨어가 “주요 범죄 용의자의 모바일 기기에서 데이터를 수집하기 위해” 합법적으로 사용되었다고 주장했다. 하지만 밝혀진 바와 같이 해당 기술은 국제인권법을 위반하며 시민 사회 공격에도 사용되고 있었다. 또한 NSO 그룹은 이런 사실을 인지했음에도, 혹은 인지할 수 있는 충분한 상황이 있었음에도 이에 대한 대응을 제대로 하지 않았다.

페가수스는 기업과 정부가 함께 만든, 인권을 향한 사이버 공격이다. 인권을 지키고 시민 사회를 보호하기 위해 페가수스는 즉각 사용이 중단되어야 하며 이번 전 세계적 감시에 대한 투명한 조사가 진행되어야 한다.

국제앰네스티는 각국 정부와 NSO 그룹에 다음과 같이 촉구합니다.

To. 각국 정부

  • NSO 그룹을 포함한 감시 회사 전체가 인권을 존중할 수 있다는 것을 증명하기 전까지는 관련 감시 기술의 수출, 판매, 이전, 활용 등을 즉각 중단해야 한다.
  • 페가수스 프로젝트를 통해 드러난 불법 감시 사례에 대해 즉각, 독립적이고 투명하며 공정한 수사를 진행하라.
  • 민간 감시 회사가 자사 서비스 및 제품을 판매하고 운용함에 있어 인권 의무를 다하도록 법적인 체계를 구축하고 적용하라.
  • NSO 그룹의 제품 수출 국가인 이스라엘은 인권 침해에 사용되고 있는 NSO 그룹의 제품에 대한 수출 자격을 즉각 회수하고 이와 관련해 독립적이고 공정하며, 투명한 수사를 진행하라.

To. NSO 그룹

  • 불법적으로 언론인, 활동가, 시민 사회를 공격하고 억압하는 데 사이버 감시 소프트웨어를 사용한 정부에 대해 페가수스 사용, 지원, 판매, 계약을 즉각 중단하라.
  • NSO 그룹의 제품으로 인해 불법 감시 대상의 피해자가 된 이들에게 적절하고 효과적인 보상 및 배상을 제공하라.

내 개인정보의 안전을 위해 할 수 있는 8가지

나날이 발전하는 해킹 기술과 악성 소프트웨어는 우리의 사생활권과 안전을 위협합니다. 모든 위협으로부터 스스로를 보호하기는 불가능하겠지만 그럼에도 개인 차원에서 해 볼 수 있는 8가지 방법을 소개합니다.

자신의 핸드폰을 지킬 수 있는 방법 8가지

자신의 핸드폰을 지킬 수 있는 방법 8가지

코로나19의 진실을 알리다 수감된 중국 기자 장 잔을 즉각 석방하라
온라인액션 참여하기
세상의 부당함에 맞서 싸웁니다
후원하기