Breaking
사이버 보안(Cybersecurity)
'페가수스' 스파이웨어, 약 45개국에 확산 추정…통화내용·사진·메시지 염탐해
2019-05-28 17:29:01
허서윤
▲페가수스 모바일 스파이웨어는 기기를 염탐하는 악성소프트웨어다(사진=ⓒ123RF)

[라이헨바흐=허서윤 기자] IOS와 안드로이드 기기를 표적으로 모바일 스파이웨어인 페가수스가 현재 45개국으로 확산돼 사용자들이 불안에 떨고 있다.

페가수스의 피해를 입은 45개국 가운데 6개국은 과거 인권을 학대한 감시 악성소프트웨어를 사용한 바 있다. 시티즌 랩의 연구진은 페가수스의 확산 및 사용법을 조사하는 한편, 2016~2018년까지 2년 동안 인터넷을 살폈다.

당시 연구진은 페가수스 스파이웨어와 페가수스와 연결된 모든 서버를 발견했다. 그리고 이스라엘에 위치한 NSO 그룹이 이 이동식 스파이웨어의 근원이라는 사실도 확인했다. 이 악성소프트웨어는 정부 기관의 '적법한 차단'이라고 위장한 채 수많은 국가로 확산되고 있었다. 그 중 일부는 국경간 감시라는 명목으로 확산됐지만 결국 불법적인 일이었다.

2016년, 연구진과 보안 전문가들이 그 존재를 발견하기 전까지 3년 동안 페가수스와 함께 트라이던트도 문제를 일으키고 있었다. 한 보고서에 따르면, 이 악성소프트웨어는 주로 아이폰 사용자들을 표적으로 삼고 있지만 안드로이드와 IOS 기기도 공격할 수 있는 것으로 확인됐다.

페가수스는 무엇을 하는가?

페가수스 모바일 스파이웨어는 기기를 감시하는 악성소프트웨어다. 기기가 페가수스에 감염된 경우, 통화내용을 녹음하고 사진을 추출하며 개인 메시지를 염탐하고 다른 악성 활동의 숙주 활동을 하게 만든다.

시티즌 랩의 선임 연구원인 빌 마크작은 "당사가 감지한 페가수스 서버의 수는 200개에서 2018년 600개로 급증했다"며 "이는 NSO 그룹이 작전 규모를 확대했다는 것을 의미한다"고 말했다.

페가수스는 링크를 발송해 클릭하게 만드는 피싱 기법을 통해 확산되며 휴대폰 보안 시스템을 통해 침투한다. 그리고 이 악성소프트웨어는 모바일 기기를 표적으로 삼는 것 외에도 그 용도가 계속 확장돼 중동 걸프협력회의 참여국에서도 이를 사용하고 있는 것으로 밝혀졌다.

이 스파이웨어는 2016년 아흐메드 만수르 같은 반체제인사와 UAE 운동가, 국제 앰네스티 직원, 사우디 운동가 등을 추적하는 데 사용됐다.

시티즌 랩 연구진은 한 보고서에서 "연구 결과, NSO의 세계적 확산으로 인해 인권이 위기에 처할 것으로 전망된다"며 "페가수스 작전에 상당히 노출된 최소 6개국은 시민 사회가 이 스파이웨어의 표적이 된 것으로 보인다"고 밝혔다.

이어 "이 6개국은 카자흐스탄과 멕시코, 모로코, 바레인, 사우디아라비아, UAE다"고 덧붙였다.

스파이웨어 추적

시티즌 랩은 페가수스 스파이웨어를 모니터하기 위해 스파이웨어에 링크된 클러스터 서버를 추적할 수 있는 아테나라는 이름의 기술을 개발했다.

아테나는 36개의 개별 운영자를 찾아냈다. 그리고 연구진은 수만 개의 ISP DNS 캐쉬를 찾아냈다. 이는 감염된 기기가 ISP DNS 서버를 사용해 운영자 서버의 도메인 명칭을 찾아낸다는 가정 하에 진행된 일이었다.

연구진은 이 기법을 통해 페가수스 운영자가 감시 작전을 수행하는 45개국을 찾아낸 것이다. 시티즌 랩 연구진은 "우리는 각 운영자가 스파이 활동을 하는 국가를 확인하기 위해 도메인명을 연결 짓는 글로벌 DNS 캐쉬 탐사 연구를 설계 및 진행했다"고 설명했다.

시티즌 랩은 미국 IP에서도 감염을 발견했지만, 페가수스 운영자는 미국의 시스템 때문에 미국으로는 링크를 보낼 수 없었다. 시티즌 랩이 이 같은 조사 결과를 발표하자, NSO 그룹은 다음 내용과 같은 성명서를 발표했다.

NSO에 따르면, 해당 국가에서 불미스러운 운영을 한 적이 없으며 오직 사업 윤리 체계 하에서 승인받은 국가에서만 적법하게 운영했고 승인받지 않은 국가에서는 어떤 운영도 하지 않을 것이라고 밝혔다.

그러나 시티즌 랩은 그 같은 주장에 동의하지 않았으며, 그 대신 "인권에 해당하는 내용을 지속적으로 추적 기록한다면 심각한 의심을 불러일으킬 수 있다"고 일갈했다.

그리고 연구진은 과거 스파이웨어로 피해를 입었던 국가에서 현재 페가수스가 사용되고 있다고 덧붙였다.

이에 NSO 그룹은 "시티즌 랩의 주장과는 반대로 당사의 상품은 오로지 범죄 및 테러에 대한 조사 및 예방 용도로만 허가된 것"이라고 반박했다.

시티즌 랩 연구진은 일부 표적 국가가 PN 및 위성 연결을 사용하고 있기 때문에 자신들의 연구 결과가 부정확할 수 있지만, 페가수스 운영진이 반체제 인사를 스파이하고 있다는 사실은 이론의 여지가 없는 사실이라고 강조했다.

페가수스가 확산된 국가

페가수스가 퍼진 45개국으로는 예멘과 미국, 케냐, 바레인, 브라질, 요르단, 카타르, UAE, 영국, 쿠웨이트, 토고, 라트비아, 그리스, 프랑스, 태국, 튀니지, 우즈베키스탄, 잠비아, 싱가포르, 남아프리카, 파키스탄, 오만, 네덜란드, 캐나다, 인도, 이집트, 이라크, 타지키스탄, 알제리, 팔레스타인, 코트디부아르, 레바논, 모로코, 폴란드, 이스라엘, 터키, 우간다, 르완다, 사우디아라비아, 키르기스스탄, 리비아, 멕시코, 스위스, 방글라데시 등이 있다.

▲페가수스는 링크를 전송하는 피싱 기법을 통해 확산된다(사진=ⓒ123RF)
[라이헨바흐=허서윤 기자]