NSO 그룹, 왓츠앱 스파이웨어 사건으로 2천억 원 벌금 폭탄: 사이버 용병 시대의 그림자
NSO 그룹, '21세기 용병'의 민낯
애플이 한때 "일상적인 남용을 초래하는 고도로 정교한 사이버 감시 장치를 만든 21세기 용병"이라고 묘사했던 이스라엘 용병 스파이웨어 업체 NSO 그룹과의 소송을 포기한 것은 아쉬운 일입니다. 하지만 NSO 그룹이 왓츠앱 스파이 행위로 1억 6,800만 달러(약 2천억 원)의 벌금을 부과받았다는 소식은 그나마 위안이 됩니다. NSO 그룹은 복잡하고 값비싼 해킹 기술을 이용해 사람들의 디지털 기기를 침입하고, 종종 억압적인 정부를 위해 감시하는 서비스형 감시(Surveillance-as-a-Service) 업계의 대표적인 기업입니다. 스파이웨어 산업이 번성하는 것은 우리 시대의 도덕 불감증을 반영합니다. 이러한 현실은 영국 내무부와 같은 곳에서 암호화 약화를 요구할 것이 아니라, 모든 이가 보안 강화에 투자하도록 장려해야 합니다.
페가수스 스파이웨어, 개인정보 침해의 주범
NSO 그룹은 2019년, 아이폰 공격 외에도 페가수스 스파이웨어가 1,400건의 왓츠앱 메시지를 대상으로 사용된 사실이 드러나면서 대중의 주목을 받았습니다. 페가수스는 일단 설치되면 감염된 기기에 대한 완전한 접근 권한을 부여하는 악성 공격이었습니다. 전화 기록, 이메일, 메시지, 비디오 콘텐츠, 위치 데이터를 샅샅이 뒤지고, 심지어 카메라와 마이크를 활성화하여 원격 감시를 할 수도 있었습니다. 애플과 페이스북은 NSO 그룹을 상대로 소송을 제기했지만, 애플은 작년에 소송을 철회했습니다. 소송을 계속 진행하면 생태계 보안을 위해 구축한 시스템이 훼손될 수 있다는 이유였습니다. 왓츠앱은 소송을 계속 진행하여 1억 6,800만 달러의 배상금을 받아냈습니다.
인권 침해 논란과 NSO 그룹의 변명
그 이후 NSO 그룹은 인권 보호가, 반대 정당, 반체제 인사, 언론인 등 수많은 대상을 공격한 혐의로 비난받았습니다. 물론 NSO 그룹은 자신들의 행동을 정당화합니다. NSO 그룹 대변인 길 라이너는 이메일을 통해 "우리 기술은 심각한 범죄와 테러를 예방하는 데 중요한 역할을 하며, 권한 있는 정부 기관에 의해 책임감 있게 사용된다고 굳게 믿는다"고 주장했습니다. 그러나 메타(페이스북의 모회사)는 NSO 그룹이 회사를 상대로 한 소송에 관여한 사람들을 반복적으로 표적으로 삼았다고 주장하며, NSO 그룹의 주장을 반박합니다. 법정에서 내세운 법적 방어 역시 회피적이었습니다.
벌금은 '세금'일 뿐?
NSO 그룹의 공격은 복잡하고 정교하며, 실행하는 데 많은 비용이 듭니다. 즉, 대부분의 사람들은 이러한 공격에 대해 걱정할 필요가 없지만, 애플의 잠금 모드(Lockdown Mode)를 사용하는 것이 좋습니다. 수천 명의 사람들이 이러한 공격으로 피해를 입고, OS 제공업체가 공격 완화에 추가 비용을 부담해야 하는 상황에서, NSO 그룹은 이번 벌금을 단순히 수익에 대한 작은 세금으로 여길 가능성이 큽니다. 6년 전 뉴욕타임스는 디지털 스파이 시스템 시장이 이미 120억 달러를 넘어섰다고 보도했습니다. 작년에는 NSO 그룹이 15개 장치를 동시에 해킹하는 데 700만 달러의 '표준 가격'을 부과했다고 합니다. 국경 밖의 개인을 표적으로 삼는 데는 100만 달러에서 200만 달러가 들었습니다. (CIA와 FBI조차도 이 소프트웨어를 700만 달러 이상 지불하고 사용했지만, 나중에 사용이 금지되었습니다.)
기업의 데이터 보안, 더 이상 안전지대는 없다
기업 사용자의 경우, 의미는 분명합니다. 귀하 또는 귀하의 비즈니스가 국가 안보와 관련되거나 고유한 비즈니스 비밀을 보유하고 있다면, 귀하의 데이터가 안전하다고 더 이상 가정할 수 없습니다. NSO 그룹과 같은 회사가 존재하는 한, 귀하의 데이터는 경쟁자가 전화를 걸어 현금을 지불하고 용병 스파이웨어 회사를 고용하여 데이터를 빼낼 때까지 기다리고 있을 뿐입니다. 디지털 전환 시대에 매우 비효율적인 현실입니다. 이번 벌금은 회사를 막지는 못하고, NSO 그룹이 가격을 약간 올리는 결과를 초래할 뿐일 수도 있습니다. 위험은 여전하고 현실적입니다. 그리고 이러한 공격은 점점 더 많은 사람들에게 확산될 것입니다.
결론
NSO 그룹에 대한 벌금은 사이버 용병 산업의 어두운 그림자를 보여주는 사건입니다. 개인과 기업은 자신의 데이터를 보호하기 위해 더욱 적극적으로 보안을 강화해야 합니다. 정부와 국제 사회는 스파이웨어 남용을 막기 위한 규제와 감시를 강화해야 할 것입니다.
