이스라엘 스파이웨어 ‘페가수스’, 인니에서 2018년부터 사용 중 > 정치∙사회

 

내부고발자들을 위한 플랫폼 인도네시아릭스(IndonesiaLeaks)는 이스라엘 사이버첩보회사 NSO 그룹이 개발한 스파이웨어 페가수스(Pegasus)가 2018년부터 인도네시아에서도 사용되고 있으며 경찰과 정보기관들도 해당 스파이웨어를 사용하는 것으로 암암리에 알려져 있다고 12일(월) 공개했다.

 

해당 기사를 보도한 주간 뗌뽀(Tempo)는 NSO 그룹이 해당 스파이웨어를 인도네시아로 들여왔다는 정황을 인도네시아릭스 컨소시엄이 만달라 왕이 끄레아신도(PT Mandala Wangi Kreasindo)의 적하목록에서 발견했다는 내용을 담았다.

 

뗌뽀는 여러 인도네시아 언론매체와 시민사회단체들을 회원으로 하고 있는 인도네시아릭스 컨소시엄의 회원사이기도 하다.

 

문제의 적하목록에는 NSO 그룹이 미국의 대표적 IT 회사인 시스코(Cisco)와 델(Dell)로부터 1만6,000달러(약 2,000만 원) 상당의 네트워크 장비 두 대를 들여온 것으로 되어 있다.

 

인도네시아릭스는 해당 물품을 선적한 회사가 NSO 그룹의 모회사인 ‘Q 사이버 테크놀로지’라는 룩셈부르크에 본사를 둔 기업이고 해당 물품은 런던과 일본을 거쳐 인도네시아로 공수되었음을 발견했다.

 

뗌뽀는 인도네시아 관세청 내부 소식통으로부터는 해당 선적 물품에 아무 문제가 없다는 확인을 받았지만 인도네시아릭스가 접촉한 스파이웨어 중간상은 스파이웨어 장비들을 수입할 때 델 브랜드의 주문제작 장비인 것처럼 위장하는 경우가 흔히 있으며 적하목록 상 물품가격도 조작해 실제 제품의 정체와 용도를 추측하지 못하도록 만드는 일이 일상적으로 벌어진다고 말했다.

 

현존하는 스파이웨어 중 가장 발전한 형태인 페가수스는 업계에서 ‘제로클릭 스파이웨어’라고도 불린다.

 

제로클릭 스파이웨어는 공격자가 보낸 링크나 첨부파일을 이용자가 클릭하여 열어보는 등 적극적인, 또는 우발적인 반응을 하지 않아도 기기에 침투할 수 있도록 고안된 것으로 애당초 메시지나 이메일 자체에 악성코드를 심어 기기제조사조차 미처 인지하지 못한 구조적 취약점을 활용해 통칭 ‘개구멍’이라 부르는 일종의 ‘뒷문’을 생성한다.

 

일단 뒷문이 생기면 공격자는 피해자 기기의 메시지나 이메일을 자유롭게 확인, 편집, 삭제할 수 있으며 거의 아무런 흔적도 남기지 않기 때문에 피해자는 자신이 해킹당했다는 사실조차 자각하지 못하는 경우가 많다.

 

심지어 이동통신기기에 전화를 거는 것만으로 상대방이 전화를 받지 않아도 해당 휴대전화를 해킹할 수 있는 조건이 성립된다.

 

압도적으로 우수한 제로클릭 공격 특성을 가진 페가수스는 이를 필요로 하는 정보시장에서 높은 가격으로 거래되는데 해킹 대상이 되는 기기의 종류나 숫자에 따라 그 가격이 수천억 루피아에서 수조 루피아에 이르기도 한다.

 

경찰은 페가수스 사용 부인

인도네시아릭스가 해당 업계 정보통들과 접촉한 결과 그렇게 가격이 높은데도 불구하고 인도네시아에서도 페가수스가 2018년부터 사용되고 있다는 분명한 답변을 받았고 특히 여러 정부기관 단체 중 특히 인도네시아 정보국(이하 BIN)과 경찰청이 해당 해킹 기술을 활용하고 있다는 정황도 잡았다.

 

이에 대한 인도네시아릭스의 질문에 BIN은 묵묵부답으로 일관하고 있지만 경찰청은 경찰청 공보국 슬라멧 울리안디(Slamet Uliandi) 치안감을 통해 경찰청이 페가수스나 다른 이스라엘제 스파에웨어를 전혀 사용하고 있지 않다고 적극적으로 부인했다.

 

경찰청이 매년 관련 기술시스템을 업그레이드하고 있고 2018년에는 애플 운영시스템 iOS의 해킹 시스템을 구매한 적이 있다면서도 슬라멧 치안감은 그 구체적인 입찰 절차에 대해서는 잘 알지 못한다며 말을 아꼈다.

 

국가조달청(LKPP) 데이터베이스에 따르면 경찰청이 2018년 iOS에 대한 제로클릭 침투시스템 구매를 위해 총 예산 2,580억 루피아(약 217억 원) 규모의 입찰을 진행했고 라디까 까르야 우따마(PT Radika Karya Utama)가 낙찰자로 선정된 것으로 되어 있다.

 

이 회사의 이름은 NSO 그룹 계열 보안감시회사 서클스 테크놀로지스(Circles Technologies)가 만든 원클릭 스파이웨어인 서클스(Circles)에 대한 2020년 12월 시티즌랩(CitizenLab) 보고서에도 등장한다.

 

이는 라디까 까르야 우따마가 경찰청에 공급한 제로클릭 침투장비가 사실은 NSO 그룹이 개발한 페가수스일 가능성을 크게 높이는 정황이다.

 

하지만 슬라멧 치안감은 인도네시아 경찰의 모든 활동이 법의 테두리 안에서 이루어지고 있으며 스파이웨어나 멀웨어(malwar)를 사용하는 것은 불법 해킹의 범주에 포함되는 것이라고 강조했다.

 

페가수스를 사용했다면 원하는 정보를 얼마든지 빼낼 수 있었을 것이므로 파푸아해방운동(OPM)이나 다른 테러리스트 그룹들을 벌써 다 일망타진했을 터란 것이다.

 

2022년 9월 로이터 통신은 2021년 11월 아이를랑가 하르따르또 경제조정장관을 포함한 인도네시아 고위 정부 인사들과 군장성들이 NSO 그룹 스파이웨어의 해킹 대상이 되었다고 보도한 바 있다.

 

당시 그렇게 해킹 대상이 되었던 관료들 중 여섯 명은 ‘당신이 국가를 배후로 둔 해커들의 표적이 되었다’는 메시지를 애플로부터 받았다고 로이터통신 기자에게 말했다.

 

페가수스 스파이웨어 조달에 가담했다는 의혹을 받고 있는 라디까 까르야 우따마와 만달라 왕이 끄레아신도(Mandala Wangi Kreasindo)에 대한 조사는 거의 아무런 진전을 보지 못했다.

 

라디까측은 경찰의 정보기술장비 조달에 여러 차례 파트너로서 협력했다면서도 구체적인 내용은 밝히지 않았다.

 

한편 만달라의 사무실로 등록되어 있던 남부 자카르타 시내 퍼시픽 플레이스 몰의 사무실 공간은 현재 버추얼 오피스 공용사무공간으로 바뀌어 만달라의 흔적을 찾아볼 수 없다. 해당 사무실을 찾아갔다가 허탕을 친 똄뽀 기자가 만달라의 하리얀또 이사에게 전화로 인터뷰를 요청했으나 역시 아무런 답변도 받지 못했다.[자카르타포스트/자카르타경제신문]