NSO 그룹, 페가수스 스파이웨어 사용으로 메타에 2,200억 원 배상 판결: 기업 보안에 미치는 영향

미국 법원에서 이스라엘 감시 기업 NSO 그룹이 자사의 악명 높은 페가수스 스파이웨어를 이용해 전 세계 WhatsApp 사용자들을 감시한 혐의로 메타에 약 1억 6,800만 달러(약 2,200억 원)를 배상해야 한다는 판결이 나왔습니다. 이번 판결은 사이버 용병과 정부 고객 간의 음습한 관계를 드러내며, 기업 보안에 중요한 시사점을 던져줍니다.

WhatsApp 취약점 악용한 NSO 그룹의 페가수스 스파이웨어 공격

NSO 그룹은 WhatsApp의 인프라에서 발견된 심각한 취약점을 악용하여 페가수스 스파이웨어를 사용자 기기에 몰래 설치했습니다. 2019년 5월, WhatsApp 엔지니어들은 NSO 그룹이 사용자의 개입 없이 간단한 전화 통화만으로 페가수스 스파이웨어를 설치할 수 있는 제로 클릭, 제로 데이 공격을 개발했다는 사실을 발견했습니다. 공격 대상은 단순히 기기를 켜놓는 것 외에 아무런 조치를 취할 필요가 없었습니다. 이 공격으로 약 1,400개의 WhatsApp 계정이 해킹당했고, 엔지니어들이 취약점을 수정하기 전까지 피해가 발생했습니다.

메타의 승리와 스파이웨어 위협의 지속

메타는 이번 판결에 대해 "WhatsApp 사례의 오늘 판결은 개인 정보 보호와 보안에 중요한 진전이며, 모든 사람의 안전과 개인 정보를 위협하는 불법 스파이웨어 개발 및 사용에 대한 첫 번째 승리"라고 밝혔습니다. 하지만 메타는 2019년 통화 시스템을 악용한 공격 벡터를 막았지만, 페가수스는 다른 스파이웨어 설치 방법을 통해 다른 회사의 기술을 악용하여 사람들의 장치를 조작해 악성 코드를 다운로드하고 휴대폰을 해킹한다고 경고했습니다. 특히 메타는 NSO 그룹이 소송이 제기된 후에도 지속적으로 메타의 서버와 모바일 클라이언트를 표적으로 삼았다는 사실을 밝혀 기업 보안 팀에 우려를 안겼습니다.

NSO 그룹의 사업 모델과 정보기관과의 연관성

법원 기록에 따르면 NSO 그룹은 2018년에서 2020년 사이에 유럽 정부 고객에게 15개 장치를 동시에 해킹할 수 있는 "표준 가격"으로 700만 달러를 청구했습니다. 또한 고객들은 국경 밖의 휴대폰을 표적으로 삼기 위해 100만 달러에서 200만 달러의 프리미엄 요금을 지불했습니다. 페가수스가 설치되면 통화 기록, 이메일, 메시지, 비디오 콘텐츠 및 위치 데이터를 포함하여 해킹된 장치에 대한 완전한 액세스 권한을 얻을 수 있었습니다. 스파이웨어는 비밀 감시를 위해 카메라와 마이크를 원격으로 활성화할 수도 있었습니다. 또한 법원 기록에 따르면 CIA와 FBI는 NSO에 총 760만 달러를 지불했으며, CIA는 지부티의 스파이웨어 구매를 지원하고 FBI는 테스트 목적으로 스파이웨어를 획득한 것으로 알려졌습니다.

기업 보안 책임자를 위한 시사점

이번 사건은 기업 보안 책임자들에게 국가 지원 및 상업적 감시 도구로부터 발생하는 정교한 위협을 강조합니다. NSO 그룹이 악용한 제로 클릭 취약점은 피싱 링크, 악성 다운로드 또는 사용자 상호 작용이 필요 없기 때문에 기존의 보안 인식 개선 노력으로는 방어하기 어렵습니다. Citizen Lab의 수석 연구원인 존 스콧-레일턴은 "현재 사용 가능한 가장 악명 높은 용병 스파이웨어는 NSO 그룹의 페가수스입니다. 이러한 종류의 용병 스파이웨어는 매우 정교하고 침습적이며 잘 갖춰진 정부조차도 대규모로 탐지하기 어렵습니다."라고 말했습니다. 이번 사건은 암호화된 통신 플랫폼조차도 고도로 표적화된 공격의 벡터가 될 수 있음을 보여줍니다. 민감한 운영 또는 통신을 수행하는 조직은 이러한 고급 지속적 위협을 염두에 두고 보안 프레임워크를 평가해야 합니다.

결론

NSO 그룹에 대한 이번 판결은 스파이웨어 남용에 대한 중요한 경고이며, 기업들이 사이버 보안에 더욱 투자하고 고급 위협에 대비해야 함을 강조합니다. 제로 클릭 공격에 대한 방어, 엔드포인트 보안 강화, 지속적인 위협 감시 등 다층적인 보안 전략을 통해 기업은 잠재적인 피해를 최소화하고 민감한 정보를 보호할 수 있습니다.