이스라엘 감시 기술 기업 NSO그룹(NSO Group)이 왓츠앱의 취약점을 악용해 악명 높은 스파이웨어 ‘페가수스(Pegasus)’를 전 세계 사용자에게 배포한 혐의로 약 1억 6,800만 달러의 손해배상금을 지급해야 한다는 배심원단의 평결이 나왔다.

미국 캘리포니아 북부 연방법원에 제출된 기록에 따르면, 8인으로 구성된 배심원단은 메타에 대해 침해 대응 비용으로 44만 4,719달러의 실손배상금과 함께, NSO 그룹의 향후 유사 행위를 억제하기 위한 목적으로 징벌적 손해배상금 1억 6,725만 달러를 추가로 지급하라고 판결했다.

이틀도 채 걸리지 않은 배심원단의 심의 끝에 내려진 이번 평결은 6년간 이어진 법적 공방의 마침표이자, 사이버 용병과 이들과 협력하는 정부 고객 간의 은밀한 세계를 드러낸 드문 사례로 평가된다.

이 사건은 NSO 그룹이 왓츠앱 인프라의 치명적인 취약점을 악용한 데서 비롯됐다. 2019년 5월, 왓츠앱 엔지니어들은 NSO 그룹이 전화 한 통만으로도 페가수스 스파이웨어를 은밀히 설치할 수 있는 ‘제로 클릭(Zero-click)’, ‘로 데이(Zero-day)’ 방식의 공격을 개발했음을 밝혀냈다. 대상자가 별다른 조치를 취하지 않아도, 단말기의 전원만 켜져 있으면 감염될 수 있었다.

취약점이 수정되기 전까지 이 공격으로 인해 약 1,400개의 왓츠앱 계정이 침해됐다.

메타는 성명을 통해 “왓츠앱 사건에서 나온 평결은 모두의 안전과 프라이버시를 위협하는 불법 스파이웨어의 개발과 사용에 맞선 첫 번째 승리이자, 프라이버시와 보안을 위한 중대한 진전”이라고 밝혔다.

NSO 그룹 대변인 길 라이너는 회사가 이번 평결에 대해 항소할 예정이라며, 법원이 스파이웨어의 긍정적인 역할을 무시했다고 주장했다.

라이너는 이메일을 통해 “당사의 기술은 중범죄와 테러 방지에 핵심적인 역할을 하며, 권한 있는 정부 기관에 의해 책임감 있게 사용되고 있다고 확신한다. 미국인을 포함한 수많은 생명을 구한 실제 사례와 다양한 보안 작전을 통해 입증됐지만, 이번 사건에서 배심원단은 이런 관점을 고려하지 않았다. 평결의 세부 내용을 면밀히 검토하고, 추가 절차 및 항소를 포함한 적절한 법적 대응에 나설 것”이라고 전했다.

감시 산업의 수익 모델

메타는 성명과 함께 법정 심리 내용을 담은 녹취록을 공개하며 NSO 그룹의 운영 방식과 요금 구조에 대한 세부 정보를 드러냈다. 이에 따르면 2018년부터 2020년까지 NSO 그룹은 유럽 내 정부 고객을 대상으로 15대의 기기를 동시에 해킹할 수 있는 ‘표준 요금’으로 700만 달러를 청구했다. 국외 휴대폰을 표적으로 삼을 경우에는 100만~200만 달러의 프리미엄 요금이 추가로 부과됐다.

메타 측 변호사 안토니오 페레즈는 재판 중 “이 제품은 매우 정교하게 설계된 기술이며, 그만큼 가격도 상당히 높다”라고 말했다.

페가수스는 한 번 설치되면 감염된 기기에 대한 완전한 접근이 가능했다. 통화 기록, 이메일, 메시지, 영상 콘텐츠, 위치 정보까지 모두 열람할 수 있었으며, 심지어 카메라와 마이크를 원격으로 작동시켜 은밀한 감시도 수행할 수 있었다.

이번 재판에서는 NSO 그룹과 미국 정보기관 간의 예상치 못한 연계도 드러났다. 법원 기록에 따르면 CIA와 FBI는 NSO 그룹에 총 760만 달러를 지급한 것으로 나타났다. 관련 보도에 따르면 CIA는 지부티 정부의 스파이웨어 구매를 재정 지원했고, FBI는 이를 테스트 목적으로 도입한 것으로 알려졌다.

법적 책임에도 불구하고 지속되는 위협

메타는 평결 이후 발표한 성명에서 이번 승소에도 불구하고 위협은 여전히 계속되고 있다고 경고했다. “2019년 당사 통화 시스템을 악용한 공격 경로는 차단했지만, 페가수스는 여전히 다양한 방식으로 다른 기업의 기술을 악용해 악성 코드를 사용자 기기에 설치하고 휴대폰을 감염시킬 수 있다”라고 강조했다.

기업의 보안팀을 가장 우려하게 만든 것은 메타가 최근 법원에 제출한 문서에서 “NSO가 이번 소송이 제기된 이후에도 지속적으로 원고 측과 서버, 모바일 클라이언트를 반복적으로 공격했다”라고 밝힌 내용이다. 이런 지속적인 행위에 따라 메타는 NSO에 대한 영구적 금지명령을 법원에 요청했다.

NSO 그룹의 법적 대응 전략은 감시 기술 업체들이 자주 사용하는 회피 전술을 그대로 보여줬다. 처음에는 법정에 출석하지 않아 불출석 판결을 받았으며, 이후에는 소송 문서가 적절하게 전달되지 않았다고 주장했다. 이어 메타가 과거 자사 기술을 활용해 자사 고객을 감시하려 했다고 주장하며 오히려 위선적 행태라고 맞섰다.

기업의 보안에 미치는 영향

이번 사건은 기업 보안 책임자에게 국가 지원 또는 상업적 감시 툴로 인해 조직이 직면할 수 있는 고도화된 위협을 분명히 보여준다. NSO가 악용한 ‘제로 클릭’ 취약점은 피싱 링크 클릭이나 악성 파일 다운로드, 사용자 조작 없이도 공격이 가능해 기존의 보안 인식 교육이나 방어 수단으로는 대응이 어렵다는 점에서 특히 심각한 위협으로 평가된다.

시티즌랩(Citizen Lab)에서 페가수스 조사에 참여했던 수석 연구원 존 스콧-레일턴은 2022년 미국 하원 정보 상임위원회 증언에서 “현재 이용 가능한 가장 악명 높은 용병형 스파이웨어는 NSO 그룹의 페가수스”라며 “이런 유형의 용병 스파이웨어는 고도로 정교하고 침투력이 강하며, 자원이 풍부한 정부조차 대규모 탐지가 어려울 정도로 은밀하다”라고 밝혔다.

이번 사건은 널리 사용되는 커뮤니케이션 플랫폼이 암호화된 상태라 해도 정밀하게 조준된 공격의 경로로 악용될 수 있음을 보여준다. 민감한 업무나 통신을 수행하는 조직은 이러한 APT(advanced persistent threats)을 고려해 자사의 보안 체계를 재평가할 필요가 있다.
dl-itworldkorea@foundryco.com