10년 후의 스마트 폰은 어떤 형태로 존재할까

스파이웨어: 내 주머니 안에 스파이가 있다고?

• By 폴 케논, 조 켄트
• 파일 온 포(File on 4)

2019년 6월 30일

사진 출처, Getty Images

사진 설명,

스마트폰이 누군가 당신의 사생활을 들여다보는 창구가 된다면?

많은 이들이 스마트폰을 통해 세상과 소통한다. 그런데 스마트폰이 누군가 당신의 사생활을 들여다보는 창구가 된다면?

주머니 안에 스파이가 들어있을 수 있다는 생각을 해본 적이 있는가?

해커들이 당신의 휴대전화에 스파이웨어를 설치했을 때 어떤 일이 벌어질지 상상해보라.

암호화된 메시지는 물론 마이크나 카메라도 통제할 수 있는 스파이웨어를 설치했다면? 이건 그저 허무맹랑한 이야기만은 아니다.

실제로 소프트웨어가 언론인, 사회운동가, 법률가들의 활동을 추적하기 위해 사용된 확실한 증거가 있다.

그렇다면 누가, 왜 이런 일을 할까? 우리 모두의 주머니 속에 들어올 가능성이 높은 스파이웨어에 대해 어떻게 대처해야 할까?

• '사우디 정부가 아마존 CEO 휴대전화 해킹했다'
• 유명 유튜버가 10년 징역형을 받은 이유

무기로 분류된 소프트웨어

사진 출처, Getty Images

사진 설명,

휴대전화의 카메라가 감시의 도구가 될 수도 있다

마이크 머레이는 샌프란시스코에 일하는 사이버 보안 전문가다. 그가 일하는 회사 룩아웃(Lookout)은 정부, 기업, 소비자가 휴대전화와 데이터를 안전하게 지킬 수 있도록 돕는다.

그는 지금까지 나온 가장 정교하게 발전된 스파이 소프트웨어가 어느 수준까지 작동하는지 설명했다.

그에 따르면, 이 소프트웨어는 너무 강력해서 무기로 분류되고, 엄격한 제약조건을 갖추고 판매된다.

마이크는 "이 소프트웨어를 사용하면 GPS를 활용해 사람들의 위치를 추적할 수 있다"고 말했다.

"어디서든 마이크나 카메라를 켜고, 주변에서 벌어지는 모든 것을 기록할 수 있습니다. 사람들이 가진 모든 소셜미디어 앱에도 접근할 수 있어요. 사진이나 연락처, 일정과 이메일 등 모든 자료를 빼낼 수 있는 것이죠."

"말 그대로 휴대전화가 사람을 추적하고 모든 것을 훔칠 수도 있는 일종의 도청장치로 바뀌는 겁니다."

스파이웨어가 나온 몇년 동안, 새로운 세계가 인류 앞에 열리고 있다. 정상적으로 암호화된 경우에는 스파이웨어가 전송중인 데이터를 가로채지는 못한다. 하지만 휴대전화에 설치된 후 모든 기능을 장악한다. 그리고 기술이 너무 고도화되어, 거의 탐지가 불가능한 상황이다.

• 페이스북이 정부의 콘텐츠 규제를 촉구했다

멕시코 마약왕 체포

사진 출처, Getty Images

사진 설명,

멕시코 정부는 스파이 소프트웨어를 사용해 마약왕 '엘 차포'의 은신처를 찾아냈다

멕시코 마약왕 엘 차포는 수십 억 달러 상당의 제국을 소유하고 있었다.

감옥에서 탈옥한 후 광범위한 네트워크를 활용해 6개월간 도피 생활을 했다. 이 기간에 그는 해킹할 수 없도록 암호화된 전화기만 사용했다.

그런데 멕시코 정부에서 새로 나온 스파이 소프트웨어를 사용해 그의 인맥들이 사용하는 휴대전화에 침투했고, 엘 차포의 은신처를 찾아낸 것으로 알려졌다.

이 사례는 테러리스트나 범죄조직과 싸우는데 소프트웨어가 유용한 무기가 될 수도 있음을 보여준다.

보안 회사들이 암호화된 전화나 앱을 해킹해서, 많은 생명을 구하고 극단주의자들에게 제동을 걸 수 있다는 것이다.

그러나 이 무기를 구입한 사람들이 표적을 바꾸지 못하게 막으려면 어떻게 해야 할까?

정부를 해킹 위험에 몰아넣는 사람은 없을까?

표적이 된 영국 블로거

로리 도나지는 웹사이트를 통해 중동 지역과 관련된 캠페인을 벌이는 블로거다.

그는 법을 위반한 이주 노동자나 여행자에 대해 가해진 아랍에미리트(UAE)의 인권 침해 사례를 알리고 있었다.

그의 블로그 독자는 수백 명 남짓, 제목도 일상적인 뉴스 보도 보다는 덜 자극적이었다.

어느 날 그가 '중동의 눈'이라는 뉴스 웹사이트에 접속하자, 이상한 일이 벌어졌다.

알 수 없는 발신자로부터 링크가 포함된 이상한 이메일을 받기 시작한 것이다.

로리는 이메일 중 하나를 토론토 대학에 있는 연구기관 '시티즌 랩'에 보냈다. 이곳은 언론인과 인권단체 종사자를 상대로 한 디지털 스파이행위를 조사하는 기관이다 .

확인 결과 메일 속 링크는 악성 소프트웨어를 내려받게 하고, 이 소프트웨어가 탐지되지 않도록 해당 컴퓨터에 설치된 바이러스 백신의 종류를 메일 발신자에게 알려주는 역할을 하고 있었다.

로리를 감시하려는 이들은 UAE 정부를 위해 사이버 스파이행위를 하는 한 회사로 밝혀졌다. 이들은 정부가 국가 안보에 위협이 되거나 극단주의자라고 의심하고 있는 이들을 감시하는 역할을 한다.

심지어 이들은 구독자도 몇 명 안 되는 이 영국 블로거의 일상과 가족까지 감시하며 "지로"라는 코드네임을 붙이기도 했다.

시민 인권 운동가를 표적으로

아흐메드 만수르는 저명한 인권운동가로, 수년 동안 UAE 정부의 감시대상이었다.

2016년 그는 의심스러운 문자 메시지를 받고, 이를 시티즌 랩에 보냈다.

시티즌 랩 연구팀은 아무런 데이터가 없는 아이폰을 활용해 해당 메시지에 있는 링크를 눌렀다. 그러자 스마트폰이 감염되고, 전화기 속의 정보가 유출될 수 있는 상태로 바뀌었다.

아이폰은 가장 안전한 휴대전화로 알려져 있었다. 하지만 최신 스파이웨어는 애플 시스템에서도 구멍을 찾아낸 것이다.

결국 애플은 전세계 아이폰 사용자를 위해 보안 업데이트를 했다.

만수르의 전화기에서 어떤 정보가 유출되었는지는 알 수 없다. 그러나 이후 그는 체포돼 징역 10년형을 선고받고, 외로운 옥살이를 하고 있다.

런던 주재 UAE 대사관은 BBC에 UAE의 안보관련 기관은 국제 기준과 국내 법을 철저하게 준수한다고 말했다. 그러나 정보 사안에 대해서는 언급을 자제했다.

언론인도 표적이 됐다

2018년 10월, 자말 카슈끄지는 이스탄불에 있는 사우디아라비아 대사관에 들어갔다가 다시 나오지 못했다. 사우디 정부가 고용한 요원들에게 살해된 것이다.

그의 친구인 오마르 압둘아지즈는 사우디 정부가 전화를 해킹했다고 주장했다.

그는 카슈끄지 피살에서 해킹이 중요한 역할을 했다고 믿는다. 그들은 지속적으로 연락하며 정치에 대해 의견을 나누고, 함께 진행하는 프로젝트에 대해 많은 토론을 벌였다.

오랫동안 사우디 정부는 이 토론을 감청하고 그들 사이에 오가는 서류나 파일에 접근했다는 것이다.

이에 대한 사우디 정부의 답변은 시중 휴대전화에 설치된 악성 소프트웨어가 있었지만, 그 배후에 사우디가 있다는 증거는 없다는 것이다.

• 사우디, 카슈끄지가 '실수'로 살해됐다 주장
• 사우디가 처음으로 카슈끄지의 사망을 인정했다

집안까지 접근한 해킹

2019년 5월, 친구와 가족들 간에 일상적으로 많이 사용되는 왓츠앱 메신저에서 심각한 수준의 보안상 문제로 보이는 사고가 발생했다.

이를 그저 누군가 사람들의 통화를 엿들을 수 있다는 것으로 생각해서는 안된다.

이 앱은 휴대전화 소프트웨어로 들어가는 입구다. 해커가 이 입구를 열면 스파이웨어를 내려받게 할 수 있다.

사용자가 링크를 클릭할 필요도 없다. 그저 전화를 걸고 끊는 것만으로도 가능하다.

15억 명의 사용자를 위해 왓츠앱은 업데이트를 했다. 하지만 해킹 사건 배후에 누가 있는지는 아직 모른다. 이번에는 왓츠앱이 표적이었지만, 다음은 어떤 앱이 표적이 될까?

이면의 싸움

스파이웨어를 만들려면, 방어책 마련 등 특별한 전문 자격을 갖춰야 한다. 판매는 심각한 범죄를 막기 위한 목적으로만 이루어진다.

그러나 시티즌 랩은 정부가 이 소프트웨어의 고객이 되어서, 부당하게 사용한 사례 자료를 만들고 있다.

이러한 부당 사례에 대해 소프트웨어 개발자들 역시 책임을 져야 할까?

총기 같은 무기와 달리 개발자들은 스파이웨어를 판매한 후 유지보수 업무를 한다. 그렇다면 소프트웨어가 부당하게 사용되었을 때 그들에게도 과실이 있는 것일까?

이스라엘의 NSO는 합법적 감청 시장의 선두주자다. 거의 10년 정도 이 일을 하고 있고, 매년 수백만 달러를 벌어들인다.

압둘아지즈 측은 휴대 전화 해킹 혐의로 이 회사를 고소하려 하고 있다.

이는 의미가 큰 사건이다. 향후 소프트웨어를 판매한 회사가 이후에 벌어진 일에 대해 어느정도 책임을 져야하는지를 결정하는데 큰 영향을 미칠 수 있다.

NSO 측은 인터뷰 요청을 거절했다. 다만 그들은 심각한 범죄를 조사하거나 막는 데 필요한 수단을 정부 기관에 제공하며, 자신들의 기술이 수많은 목숨을 구한다고만 밝혔다.

스파이웨어는 얼마까지 안 들킬 수 있나

사진 출처, Getty Images

사진 설명,

왓츠앱 메신저에서도 심각한 수준의 보안상 문제가 발견됐다

합법적 감청 산업의 최종 목적은 100% 안 들키는 소프트웨어를 만드는 것이다.

만약 이런 게 나온다면 스파이웨어가 부당하게 사용되어도 이를 찾아낼 수 없을 것이다. 합법적으로 운영되고 있는지는 오로지 개발자의 손에 달리게 된다.

이 모든 게 007 영화에서나 볼 것 같은 이야기 같지만, 새로운 세상에 대한 단서가 실제로 존재한다.

위협은 현실이며, 미래를 위해 우리 모두가 염두에 두어야 한다.

이 기사는 BBC 라디오 프로그램인 '파일 온 포(File on 4)'를 바탕으로 쓰여졌다.