[전 세계 주요 인물들 휴대폰 해킹한 ‘페가수스’]

이스라엘이 개발해 정식 수출까지 한 ‘페가수스(Pegasus)’란 스파이웨어(spyware)가 정치인 및 언론인, 시민운동가, 기업 중역 등의 스마트폰을 해킹하는 데 쓰였다고 워싱턴포스트(WP) 등이 18일(현지 시각) 보도해 파문이 일파만파로 확산되고 있다.

‘페가수스'는 이스라엘 회사인 민간보안업체 ‘NSO 그룹'이 테러리스트와 범죄자들을 추적하기 위해 스파이웨어(해킹용 프로그램)로 개발해 여러 국가의 정부기관에 수출한 군사 등급으로 꼽힌다.

문제는 누군가가 이 스파이웨어를 악용해 대규모 사찰을 한 정황이 드러났다는 점이다. 프랑스 파리에 기반을 둔 비영리 저널리즘 단체인 ‘포비든 스토리즈'와 국제인권단체 앰네스티 인터내셔널은 페가수스 스파이웨어의 감시를 받은 전 세계 5만 개의 번호를 입수해 워싱턴포스트 등 16개 언론사에 공유했다. 이들이 함께 번호 주인이 누구인지 확인한 결과 50여국 1000여명을 확인할 수 있었다고 한다.

문제는 감시받은 이들이 테러리스트나 범죄자가 아니라 600여명 이상의 정치인과 장관급을 포함한 정부 관료들, 그리고 최소 65명의 기업 중역, 85명의 인권운동가, 189명의 언론인들이 스파이웨어에 의한 감시를 당해왔다는 사실이 드러났다는 점이다.

피해 의심 명단엔 에마뉘엘 마크롱 프랑스 대통령을 비롯한 대통령 3명, 총리 10명, 국왕 1명도 포함됐다. 워싱턴포스트(WP)는 20일 마크롱을 포함해 시릴 라마포사 남아공 대통령, 임란 칸 파키스탄 총리, 바르함 살리흐 이라크 대통령 등 전·현직 국가 정상 13명이 감시 명단에 들어 있다고 보도했다. 각국 지도자들이 호주머니 안에 스파이를 넣고 다닌 셈이다.

이외에도 테워드로스 거브러여수스 세계보건기구(WHO) 사무총장, 샤를 미셸 EU 정상회의 상임의장 등 국제기구 리더들도 감시 대상이었을 가능성이 제기됐다. 미국에서는 로버트 멀리 전 미국·이란 협상대표의 휴대전화가 해킹됐을 것으로 추정됐다. 이들을 포함해 휴대전화가 털린 것으로 보이는 정치인이나 정부 관계자가 34국 600여 명에 이른다고 WP는 전했다.

프랑스의 경우 마크롱뿐 아니라 마크롱 행정부 초대 총리인 에두아르 필리프 르아브르 시장 및 프랑스 전직 장관·국회의원 15명의 연락처도 모로코의 해킹 대상 명단에 있다고 르몽드는 전했다. 다만 르몽드는 마크롱의 휴대전화가 실제로 감시됐는지 여부는 그의 휴대전화를 확보해 페가수스 프로그램이 깔려 있는지 확인해봐야 알 수 있다고 했다.

언론인 중에는 CNN, AP통신, 미국의소리(VOA), 뉴욕타임스, 월스트리트저널, 블룸버그뉴스, 르몽드, 파이낸셜타임스, 알자지라 등의 해외 주재 기자들이 포함돼 있었다.

[스파이웨어 페가수스는?]

2010년 무렵 이스라엘 민간 IT 보안기업인 NSO그룹이 개발한 스파이웨어인 페가수스는 자체가 불법은 아니다. 이스라엘 정부의 허가를 받아 세계 40개국 60개 정보기관에 수출도 했다. 테러리스트와 범죄자 감시 목적으로 허용된 것이다.

원래 스파이웨어란 스파이와 소프트웨어의 합성어로서 휴대전화 등에서 사용자 몰래 정보를 빼가는 악성 소프트웨어를 말한다.

문제는 스파이웨어 '페가수스'를 이용하는 주 고객이 다름 아닌 각국 정부이며, 이들이 정부 비판에 앞장선 운동가, 언론인 등의 휴대전화를 해킹하는 데 이 프로그램을 사용해왔다는 것이 핵심이다.

페가수스는 휴대전화 해킹을 통해 이메일, 문자 메시지, 연락처, 위치 정보, 사진, 동영상 등을 빼내는 것은 물론 통화 내용을 감청까지 할 수 있는 것으로 나타났다.

[아이폰도 뚫은 스파이 웨어 ‘페가수스’]

특이한 것은 이들이 실제 검증한 휴대전화 67대 중 37대에서 페가수스 감염과 침투 정황이 발견됐는데 이 중 34대(92%)가 아이폰이었다. 워싱턴포스트는 “광고와 달리 아이폰은 적수가 되지 못했다”고 했다.

보통의 스파이웨어는 악성 링크를 클릭하거나 특정한 앱을 깔도록 유도해 해킹을 하지만 페가수스와 같은 스파이웨어가 아이폰까지 뚫을 수 있었던 것은 사용자의 승인이 없어도 낯선 사람에게 메시지를 받을 수 있는 ‘아이메시지(iMessage)’ 앱을 통해 침투했기 때문으로 보인다.

사용자가 실수로 클릭한 적도 없는 이른바 ‘제로 클릭’ 해킹의 방식을 채택하고 있어서 아이폰마저도 쉽게 해킹할 수 있었던 것이다. 페가수스는 휴대전화가 재부팅되면 삭제돼 추적도 어렵다.

NSO그룹은 안드로이드폰을 해킹하기 위한 페가수스 버전도 만들었는데 이를 ‘크리사오르(Chrysaor)’로 부른다. 그리스 신화에서 포세이돈과 메두사 사이에서 태어난 천마(天馬) 페가수스와 황금 칼을 든 용사인 크리사오르가 NSO그룹의 해킹 전쟁에 소환된 셈이다.

결국 페가수스의 아이폰 해킹으로 인해 애플은 단단히 체면을 구기게 되었다. 팀 쿡 애플 최고경영자(CEO)는 지난달 “우리는 10년 넘게 사생활(보호)에 집중해 왔다. 이것은 기본적인 인권”이라고 강조하면서 사용자 동의 없는 정보추적을 제한하며 아이폰 보안 기능을 강화했다고 했는데, 이게 무너진 것이다.

[어느 나라가 페가수스를 사용해 사찰했을까?]

그렇다면 의문은 누가 테러리스트가 아닌 정치인이나 언론인 그리고 시민단체 사람들을 해킹한 것일까?

특히 아제르바이잔, 바레인, 헝가리, 인도, 카자흐스탄, 멕시코, 모로코, 르완다, 사우디아라비아, 아랍에미리트연합(UAE) 등에서 해킹 당한 휴대폰이 많았다는 점에서 누가 이렇게 사찰을 했는지에 대해 관심이 집중되고 있다.

이번 발표에서도 누가 해당 번호들을 추적했는지, 세계적으로 얼마나 많은 휴대폰이 감시당했는지는 확인되지 않았다.

그러나 일간 르몽드는 20일(현지 시각) 마크롱 대통령이 2017년부터 사용하는 아이폰의 전화번호가 모로코 정보 당국이 페가수스를 이용해 해킹한 것으로 의심되는 연락처 명단에 있다고 보도했다.

또한 칸 파키스탄 총리는 인도에서, 살리흐 이라크 대통령은 사우디아라비아에서, 라마포사 남아공 대통령은 르완다에서 각각 들여다본 것으로 추정된다고 WP는 보도했다. 적대적인 관계에 있는 국가의 지도자의 휴대전화를 몰래 들여다보려 했다는 것이다.

특히 이번에 공개된 5만여개의 전화번호 중에서 1천여개가 정치인, 언론인, 사회운동가, 외교관 등 인도 관련 인사의 번호였다는 점에서 인도는 집중포화를 맞고 있다.

감시 대상에는 라훌 간디 전 총재를 비롯해 아스코크 라바사 전 중앙선거관리위원회 위원장, 선거 전략가 프라샨트 키쇼르, 야당 인사 아비셰크 바네르지 등의 이름이 올라있었다. 이러한 사실이 알려지자 인도 야권은 강력하게 반발하고 나섰다.

또한 칸 총리의 전화번호가 리스트에 포함된 것과 관련해 파키스탄 정부 측도 발끈했다. 그러나 이와 관련해 인도 정부는 관련 의혹을 부인했다.

멕시코의 경우는 전 정권에서 현 대통령의 가족 등 최측근들을 사찰한 것으로 보인다. 19일(현지시간) 영국 일간 가디언은 2016∼2017년 멕시코 정부가 '페가수스'를 이용해 감시를 시도한 것으로 추정되는 이들 중에 안드레스 마누엘 로페스 오브라도르(AMLO) 대통령의 측근이 50명 이상 포함돼 있다고 보도했다.

이 당시는 엔리케 페냐 니에토 정권 시절로, 로페스 오브라도르 대통령은 당시 야당 대표이자 차기 유력 대선 주자였다. 바로 그때 페가수스를 이용해 사찰을 했다는 의미다. 이번에 밝혀진 5만 개 중 가장 많은 1만5천 개가 멕시코 인사들의 번호였다.

이날 가디언의 후속 보도에 따르면 멕시코는 전 세계에서 가장 먼저 페가수스를 사들인 국가였다. 2011년 국방부를 시작으로 검찰, 정보기관 등 페가수스를 구입해 사용하면서 전방위적인 사찰을 한 것으로 보인다.

페가수스를 이용한 멕시코 정부의 민간인 사찰 의혹은 지난 2017년에도 제기된 바 있지만, 당시 페냐 니에토 전 대통령은 범죄조직과 싸우고 치안을 유지하기 위해서만 페가수스를 사용한다고 반박했다.

멕시코의 페가수스 사용에 대해 AFP통신은 “멕시코 정부의 페가수스 사용 라이선스가 2017년 만료됐으며, 이후 갱신되지 않았다”고 보도했다.

또 하나, 가디언에 따르면 영국 파이낸셜타임스(FT)의 첫 여성 편집장으로 발탁된 룰라 칼라프를 포함해 프랑스의 온라인 탐사보도 매체 메디아파르의 설립자 등 전세계 언론사 편집장, 탐사보도 기자, 프리랜서 언론인 등 180여명의 전화번호가 해킹 대상 목록에 포함된 것으로 나타났는데, 이들의 소속 국가 혹은 이들의 취재에 관련된 국가는 아랍에미리트(UAE), 아제르바이잔, 바레인, 헝가리, 인도, 카자흐스탄, 멕시코, 모로코, 르완다, 사우디아라비아 등으로 나타났다. 특히 칼라프 편집장의 경우 아랍에미리트(UAE)의 감시 대상 목록에 올라있었다.

특히 멕시코의 프리랜서 언론인으로서 지난 2017년 3월 총격 피살된 세실리오 피네다 비르토 역시 감시 대상 목록에 있던 것으로 확인됐다. 그는 자신의 전화번호가 페가수스 프로그램을 통해 수집된 뒤 한 달 만에 숨진 것으로 나타났다.

이러한 국가들의 범죄인 이외의 사찰 의혹과 관련해 NSO 그룹은 “40여국의 정보기관, 군과 사법기관 60여 곳이 고객”이라고 밝혔지만 자신들의 스파이웨어가 본래의 개발 목적과 다르게 이용되고 있다는 것은 인정하지 않았다.

다만 이스라엘의 안보 및 보안 관련 제품과 서비스 수출 허가권을 가진 국방부는 이어 "만약 NSO 그룹의 제품 사용 과정에서 계약 위반이 발견될 경우 구매 국가에 대해서도 응당한 조처를 할 것"이라고 덧붙였다.

[프랑스 당국, 수사 착수]

한편 마크롱 대통령에 대한 해킹 사실이 밝혀지면서 “(마크롱에 대한 해킹 의혹이) 사실이라면 명백히 매우 심각한 문제”라며 “수사를 통해 밝혀질 것”이라고 엘리제궁이 밝혔다

이에 따라 프랑스 검찰은 20일 모로코 정보 당국을 겨냥한 수사에 착수했다. 프랑스 탐사보도매체 메디아파르가 자사 기자들이 페가수스를 통해 모로코에 의해 감시 대상이 됐다며 검찰에 고소한 데 따른 조치다.

[유엔 인권최고대표, “페가수스 규제해야"]

한편 이러한 페가수스의 무차별적 이용과 관련해 미첼 바첼레트 유엔 인권최고대표는 스파이웨어 '페가수스'에 매우 우려한다며 규제책 마련을 촉구했다.

그는 성명에서 "(페가수스 관련) 폭로는 극도로 걱정스럽다"며 "불법적으로 인권을 침해하는 감시 기술의 오용 가능성에 관한 최악의 우려를 확인해주는 듯하다"고 지적했다.

그는 "감시 소프트웨어의 사용은 언론인과 인권 운동가들의 체포와 협박, 심지어 살해와 연관돼 왔다"며 "그들은 우리 사회에서 필수적인 역할을 하고 있고 그들이 침묵할 때 우리는 모두 고통을 받는다"고 강조했다.

그러면서 "각국은 인권 침해 측면에서 그들의 활용을 즉각 중단하고, 기업의 사생활권 침해에서 개인을 보호해야 한다"며 이를 위해 관련 기업들이 책임을 질 수 있도록 법적 규제를 마련해야 한다고 요구했다.

한편 세계 최대 전자상거래 업체 아마존은 스파이웨어 프로그램 '페가수스'를 개발한 이스라엘 보안기업 NSO그룹과 관련된 클라우드 장치를 폐쇄했다.

그럼에도 불구하고 페가수스 파문은 쉽게 잠재워질 것 같지 않다. 피해가 워낙 광범위한데다 국가기관이 직접 정적이나 상대편 진영의 휴대폰 등에 대해 정치적 이익을 목적으로 해킹을 했기 때문이다.