아이폰 '잠금망' 해제한 어느 회사 이야기

김익현 기자2016.08.29

  • 글자 작게
  • 글자 크게
(사진=유튜브 캡처)

사상 최악 iOS악성코드 만든 NSO '논란'

애플이 지난 주 긴급 보안패치를 내놨다. iOS의 제로데이 보안결함을 이용한 악성 코드가 발견된 때문이었다. 제로데이란 지금까지 알려지지 않은 보안 결함을 일컫는 말이다.

‘페가수스’란 이 악성코드는 iOS 제로데이 결함을 세 개나 파고든 무시무시한 프로그램이었다. 이 악성코드에 감염될 경우 아이폰 속까지 맘대로 주무를 수 있게 된다.

분석 작업을 했던 토론토대학 시티즌 랩 등은 “코드에 있는 링크를 누를 경우 아이폰이 탈옥된다”고 설명했다. 물론 ’페가수스’가 곧바로 해당 아이폰에 설치된다.

■ "페가수스 감염 땐 위치정보-대화 무방비 노출"

페가수스가 설치된 아이폰은 원격 감시 대상으로 전락한다. 주고 받은 대화 뿐 아니라 위치 정보까지 자유자재로 훑어가 버리기 때문이다. 포브스에 따르면 아이메시지, 지메일, 바이버, 페이스북, 왓츠앱, 스카이 뿐 아니라 텔레그렘으로 주고받은 대화까지 자유롭게 들여다볼 수 있게 된다.

페가수스 분석작업을 했던 시티즌랩과 모바일 보안업체 룩아웃이 “사상 최악의 iOS 악성 코드”라고 평가한 것도 이런 점 때문이다.

아이폰에 치명적인 보안결함이 있었다는 사실만으로도 놀라운 일. 하지만 더 충격적인 사실은 그 뒤에 드러났다. 아이폰 결함을 파고 든 악성 코드를 만든 게 미국에 인수된 이스라엘 기업이란 점 때문이었다. 반정부 인사나 비판적인 저널리스트 감시 활동용으로 개발된 것이 확실해 보이는 상황이다.

아이폰6S (사진=씨넷) 아이폰6S (사진=씨넷)

페가수스를 만든 NSO는 이스라엘 기업이다. 포브스에 따르면 NSO 창업자인 옴미 라비와 샤레브 훌리오는 이스라엘 정보기관인 유닛 8200 출신이다. 세계 최고 첩보능력을 자랑하는 이스라엘 기업답게 NSO는 모바일 보안 쪽에선 탁월한 실력을 자랑한다.

그런데 NSO는 지난 2014년 미국 사모펀드에 돌연 인수됐다. NSO를 매입한 회사는 프란시스코 파트너스 매니지먼트. 당시 인수 가격은 1억2천만 달러였다.

NSO 모회사가 된 프란시스코는 최근 서클스(Circles)란 이스라엘 첩보 전문 팀을 인수했다. 서클스 역시 통신망 허점을 파고드는 데 탁월한 능력이 있는 회사다.

NSO의 활동에 대해선 찬반 양론이 팽팽하게 맞서 있다고 포브스가 전했다.

우려를 나타내는 사람들이 적지 않다고 지적했다. 모바일 기기 보안 허점을 발견한 뒤 해당 업체에 알리지 않고 독자적으로 작업을 하는 방식 때문이다.

반면 다른 관점도 있다. NSO는 정교한 보안 제품을 만든 뒤 합법적으로 수출을 하고 있을 따름이란 것이다.

■ 해당업체에 허점 안 알린 건 문제 vs 합법적 수출 했을 뿐

이번에 문제가 된 페가수스 역시 어느 쪽에서 보느냐에 따라 해석이 달라질 수 있다.

일단 iOS의 제로데이 결함을 파악하고도 애플 측에 알리지 않았다는 점은 분명 문제가 될 수도 있다. 게다가 이들은 그 허점을 이용할 수 있는 멀웨어(malware)까지 만들었다.

문제는 그 다음 부분이다. NSO 측은 자신들이 만든 제품을 공인된 정부 기관에만 공급하고 있다고 주장하고 있다. 이들이 테러나 범죄에 효과적으로 대응하는데 도움을 주는 역할이란 주장이다.

NSO 측은 포브스와 인터뷰에서 “제품 공급 계약서에는 합법적인 용도로만 사용한다는 조항이 포함돼 있다”고 강조했다.

물론 이번에 드러난 사실만 놓고 보면 조금 다른 관점으로 볼 수도 있다.

(사진=시티즌랩) (사진=시티즌랩)

페가수스가 세상에 알려지게 된 데는 아랍에미리트(UAE)의 저명한 시민 운동가 아흐메드 만수르의 공이 컸다. 페가수스가 포함된 이메일을 받은 만수르는 곧바로 수상하다고 판단해 시티즌랩에 분석을 의뢰했다.

그게 지난 8월10일이었다. 시티즌랩은 곧바로 룩아웃과 공동으로 분석 작업을 한 뒤 애플 측에 보안 결함을 알려줬다. 애플이 지난 주 서둘러 보안 패치를 내놓은 건 그 덕분이었다.

이들은 분석 과정에서 페가수스가 만수르 뿐 아니라 멕시코 기자인 라파엘 카브레라까지 타깃으로 삼았다는 사실도 밝혀냈다.

페가수스는 터키, 이스라엘, 태국, 카타르, 케냐, 우즈베키스탄, 모잠비크, 모로코, 예멘, 헝가리, 사우디아라비아, 나이지리아, 바레인 등에서 사용되고 있다고 포브스가 전했다.

■ 아이폰5S 백도어 풀었던 셀러브라이트와 비교도

포브스는 NSO가 또 다른 이스라엘 데이터 감식 전문회사인 셀러브라이트와도 긴밀하게 협조하고 있다고 전했다.

셀러브리라이트는 올 초 미국 전역을 뜨겁게 달군 아이폰5C 백도어 공방 당시 이름이 오르내린 기업이다. 애플 측에 아이폰 백도어를 요구하면서 소송을 제기했던 미국 연방수사국(FBI)은 “외부업체 도움을 받아 아이폰 암호를 풀었다”고 밝히면서 소를 취하한 적 있다. 외신들은 당시 FBI가 거론한 외부업체가 바로 셀러브리티일 것으로 추정하고 있다.

FBI가 외부 전문업체 도움을 받아 테러범이 사용한 아이폰5C에 대해 잠금해제를 할 수 있었다고 밝히면서 셀레브라이트와 같은 모바일포렌식 전문회사들에 대한 관심이 집중되고 있다. FBI가 외부 전문업체 도움을 받아 테러범이 사용한 아이폰5C에 대해 잠금해제를 할 수 있었다고 밝히면서 셀레브라이트와 같은 모바일포렌식 전문회사들에 대한 관심이 집중되고 있다.

하지만 두 회사는 활동 방식이 뚜렷하게 다르다.

포브스에 따르면 설레브라이트는 경찰이 수사과정에서 입수한 제품에 대한 분석 쪽에 초점을 맞춘다. 반면 NSO는 그 전 단계에서 주로 활동한다.

김익현 기자 / sini@zdnet.co.kr

X