해킹 프로그램 페가수스를 이용한 감시·사찰 실태가 폭로되면서 전 세계에 적지 않은 파장을 낳고 있다. 지난 7월 20일(현지시각) 미국 워싱턴포스트(WP)를 비롯한 세계 16개 언론사 공동취재팀은 국제 인권단체 앰네스티인터내셔널로부터 5만명의 전화번호를 입수해 34개 국가의 정치인과 공직자, 언론인, 인권운동가, 기업인 등의 휴대전화를 해킹하는 데 페가수스가 사용되어왔다고 보도했다. 그중에는 에마뉘엘 마크롱 프랑스 대통령, 시릴 라마포사 남아프리카공화국 대통령, 바르함 살리흐 이라크 대통령 등 전 세계 주요 지도자 14명의 전화번호도 포함된 것으로 드러났다. 대체 페가수스가 무엇이기에 세계 지도층 인사를 비롯해 보안이 막강한 국가원수의 휴대전화까지 해킹할 수 있었을까.

페가수스는 2010년경 이스라엘의 보안기업 NSO그룹이 개발한 스파이웨어(spyware)다. 스파이웨어는 스파이(spy)와 소프트웨어(software)의 합성어로, 다른 사람의 휴대전화나 컴퓨터에 잠입해 사용자도 모르게 개인정보를 빼가는 악성 프로그램을 말한다.

아이폰 최신 운영체제도 뚫려

NSO그룹은 국가의 정부기관을 대상으로 테러와 범죄를 막는 데 사용하는 최고 수준의 스파이웨어 기술을 개발하는 기업이다. NSO그룹이 페가수스를 개발한 목적 또한 범죄나 테러를 막기 위함이다. 멕시코 정부가 스파이웨어를 사용, 마약왕 ‘엘 차포’의 인맥들이 사용하는 휴대전화에 침투해 그의 은신처를 찾아낸 사례는 페가수스가 범죄조직과 싸우는 데 유용한 무기가 될 수 있음을 보여준다. 이스라엘은 이러한 정책적 측면에서 정부 단위 조직에만 페가수스 판매를 승인했다. 현재 40개국 60곳가량의 정보기관에 판매됐다.

문제는 페가수스의 개발 목적과 달리 이를 사들인 기관들이 정부의 반체제 인사나 적대적 국가 지도자의 ‘불법 사찰’에 악용한다는 것이다. 공동취재팀이 입수한 5만개 전화번호 중 신원이 파악된 것은 1000개 정도. 이 중 67대를 정밀조사한 결과 37대에서 페가수스에 감염되거나 침투를 시도한 흔적을 확인했다. 34대는 애플의 아이폰이고, 3대는 안드로이드폰이다.

일반적으로 스파이웨어는 특정 운영체제에서만 해킹이 가능하다. 하지만 페가수스는 안드로이드의 방어벽을 피하는 건 물론 강력한 보안을 자랑하는 최신의 아이폰 운영체제(최신 버전 iOS14.6)마저 뚫었다. 아이폰의 기본 내장 앱인 아이메시지(메시지 프로그램)를 통해 스파이웨어를 감염시켰는데 공격 흔적도 남기지 않는다. 암호나 비밀번호도 무용지물이다. 스마트폰은 동일한 기능의 소프트웨어로 실행되기 때문에 하나의 아이폰을 해킹하면 전 세계의 아이폰을 해킹할 수 있는 것이나 다름없다.

페가수스는 지금까지 나온 스파이웨어 중 가장 정교하다. 그만큼 공격 방법 또한 다양하다. NSO그룹이 이전에 내놓은 페가수스는 스미싱 문자나 유명 앱의 버전에 악성 링크를 걸어 사용자가 클릭하는 순간 감염되도록 설계됐다. 신뢰할 수 있는 사람 또는 기업이 보낸 문자메시지인 것처럼 속여 개인 정보를 훔치는 것이다.

최근엔 ‘제로 클릭(zero-click)’ 공격기법을 개발했다. 사용자 휴대전화에 설치된 정상 앱 프로세스에 자연스럽게 스파이웨어를 보내 사용자가 앱을 클릭하지 않아도 내부에서 작동돼 감염시키는 방식이다. 당연히 사용자는 악성 링크를 클릭한 적이 없기 때문에 스파이웨어에 해킹당하고 있다는 사실을 알기 어렵다. 이 새로운 페가수스를 사용하면 GPS를 활용해 사용자의 위치를 추적할 수 있고, 휴대전화 속의 메시지나 사진, 이메일, 메신저 앱에서 오가는 대화 내용, 통화 녹음 등 사용자 기기의 모든 정보를 완전히 가로챌 수 있다.

때로는 원격으로 기기의 카메라와 마이크까지 사용자 몰래 작동시켜 사용자 주변에서 벌어지는 모든 것을 기록한다. 사용자는 물론 그가 연락을 주고받는 상대까지 감시가 가능하다. 휴대전화가 사람을 추적하고 모든 것을 훔칠 수도 있는 일종의 도청장치로 바뀌는 셈이다.

NSO그룹처럼 합법적 감청 산업의 최종 목적은 100% 안 들키는 소프트웨어를 만드는 것이다. 과거 미국 정보 당국의 페가수스 사태를 폭로했던 에드워드 스노든은 페가수스의 기술이 너무 고도화돼 핵무기에 가까울 정도라고 표현했다. 실제로 21세기 정보화시대에선 스파이웨어가 국가 간 전쟁에서 무기와 같은 위력을 발휘한다. 과거의 전쟁 영역이 육상과 해상, 영공이라면 최근엔 사이버 영역까지 확대되는 추세다. 사이버전의 스파이로 해킹 프로그램이 활용될 수 있는 것은 현대전의 장비들이 네트워크에 기반한 전자장비들로 이뤄졌기 때문이다.

핵무기의 위력에 버금가는 사이버 무기

2018년 우크라이나전쟁에서 러시아군이 수행한 사이버전을 보면 실감할 수 있다. 러시아군은 우크라이나군이 이용하고 있는 포병 앱에 스파이웨어를 설치해 포병대 위치를 실시간으로 파악하고 폭격했다. 이로 인해 우크라이나군은 15~20%에 달하는 포병 전력을 잃었다. 총 한 방 쏘지 않고 위치 정보를 알아냈기에 가능했던 일이다.

이번 공동취재팀의 조사에서는 세계 지도층의 위치 정보가 털린 것은 물론 글로벌 앱인 지메일, 페이스북, 왓츠앱, 스카이프, 텔레그램, 국내 메신저 앱인 카카오톡까지 페가수스의 공격 대상에 포함된 것으로 알려졌다. 이는 우리도 언제든 해킹당할 위험이 크다는 걸 의미한다. 앞으로 우리 정부나 기업이 휴대전화 해킹 보안에 더욱 신경 써야 하는 이유다.

미첼 바첼레트 UN 인권최고대표는 페가수스 감찰 실태에 대해 극도의 우려를 표명했다. 덧붙여 인권을 침해하는 불법적 감시 기술의 악용을 바로잡으려면 기술의 판매, 이전, 사용에 대한 규제 강화가 시급하다고 지적했다. 유럽연합(EU) 집행위원장 우르줄라 폰데어라이엔도 이번 보도가 사실이라면 절대 용납할 수 없다고 비판했다.

이에 대해 이스라엘 국방부는 만일 NSO그룹이나 페가수스를 수입한 국가들이 원래의 목적을 위반하고 사찰 등에 악용했다면 적절한 조처를 취하겠다고 밝혔다. 페가수스의 해킹 피해 가능성이 제기된 마크롱 프랑스 대통령은 이번 사안을 매우 심각하게 받아들이고 휴대전화와 번호를 교체한 것으로 알려졌다.

이제 세상에 더 이상 안전한 휴대전화는 없다. 스파이웨어는 지금 이 순간에도 작동하고 있다. 페가수스의 표적은 5만명 아니라 5000만명이 될 수도 있고, 그 목록에 당신의 전화번호가 있을 수도 있다. 디지털 침입 기술을 남의 일처럼 여기고 경각심을 갖지 않는다면 인간이 스파이웨어의 노예로 전락하는 것은 시간문제다.