코드만든 NSO "정부들에만 판매"…논란 예상

(지디넷코리아=김익현 기자)사상 최악의 ‘아이폰 스파이웨어’가 발견됐다. iOS의 제로데이 결함을 이용한 무시무시한 스파이웨어다. ‘제로데이’ 란 지금까지 알려지지 않은 보안 결함을 일컫는 말이다.

그러자 애플도 서둘러 패치를 내놓으면서 “빨리 내려받으라”고 경고했다.

여기까지는 특별할 것 없다. 상대적으로 아이폰을 겨냥한 악성코드가 적은 편이긴 하지만, 그렇다고 아주 유별난 일은 아니다.

그런데 문제가 된 악성 코드가 조금 수상하다. 일반인을 겨냥한 통상적인 악성코드와는 조금 달라보이기 때문이다.

■ 미국 사모펀드에 인수된 이스라엘 업체가 만들어

이번 멀웨어를 찾아낸 것은 모바일 보안 전문업체 룩아웃과 캐나다 토론토대학 시티즌랩이다.

그런데 이번 악성코드를 처음 제보한 사람은 아랍에미리트(UAE)의 인권운동가 아흐메드 만수르란 점이 흥미롭다. 만수르는 자신에게 온 링크가 포함된 수상한 문자 메시지를 곧바로 토론토대학 시티즌랩에 분석을 의뢰했다.

토론토대학은 룩아웃과 함께 분석한 결과 만수르가 받은 문자 메시지가 iOS의 제로데이 보안 결함 세 가지를 노린 것이란 사실을 알아냈다. 이들은 이번 악성코드를 ‘페가수스’로 명명했다.

룩아웃의 마이크 머레이 보안리서치 담당 부사장은 워싱턴포스트와 인터뷰에서 “휴대폰을 겨냥한 것중 가장 복잡한 악성코드였다”고 밝혔다.

(사진=유튜브 캡처)

문제는 이 악성코드를 만든 곳이다. 이 악성코드는 이스라엘업체 NSO그룹이 만들었다. 이 회사는 지난 2014년 미국 사모펀드 프란시스코 파트너스에 인수됐다.

분석 작업을 담당한 토론토대학 시티즌랩은 페가수스는 주로 저널리스트나 시민 활동가를 타깃으로 한 것이라고 밝혔다. 이번 악성코드를 UAE 시민활동가 만수르가 처음 발견한 것도 그 때문이다.

당연히 이 코드를 처음 만든 NSO 그룹에 시선이 쏠리지 않을 수 없다.

워싱턴포스트에 따르면 NSO 측은 “모바일 해킹 소프트웨어는 정부들에만 판매했다”고 주장하고 있다. 이 회사는 또 “계약서에는 합법적인 방법으로만 사용해야 한다는 요구 조건도 있다”고 강조했다. 따라서 자기네가 만든 코드는 범죄 수사나 예방 목적에만 써야 한다는 게 NSO의 주장이다.

■ 워싱턴포스트 "정부가 보안결함 이용한 해킹 툴 만들면…"

이 코드를 최초로 받은 아흐메드 만수르는 UAE 감옥에 있는 죄수들이 고문당한다는 비밀 증거가 있다는 문제 메시지 두 건을 받았다고 밝혔다. 하지만 이 문자 메시지가 어딘가 수상하다고 여긴 만수르가 곧바로 토론토대학 시티즌랩에 제보하면서 악성 코드 존재가 알려지게 됐다.

NSO그룹은 워싱턴포스트와 인터뷰에서 만수르를 겨냥한 악성 코드 유포 시도에 대해서는 전혀 아는 바가 없다고 해명했다.

워싱턴포스트는 "정부가 보안결함을 개발자들에게 알리지 않고 해킹 툴을 만들 경우 이용자 전체의 보안을 위협할 수 있다"고 꼬집었다.

김익현 기자(sini@zdnet.co.kr)

ZDNet Korea