보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

스파이웨어의 바른 사용을 강제할 수 있는 구속력 필요하다

입력 : 2021-08-26 16:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
NSO그룹의 스파이웨어는 커다란 의미에서는 상업 소프트웨어다. 그러나 단순히 그렇게 분류하기에는 너무나 폐해가 크다. 어쩌면 소프트웨어 중 ‘스파이웨어’만을 위한 다른 표준과 규정이 필요할지도 모른다.

[보안뉴스 문가용 기자] 여기 좋은 의도에서 만들어진 뛰어난 성능의 기술이 있다. 기술 개발자들은 대단히 악독해 보이지도, 대단히 선해 보이지도 않는 평범한 고객에게 팔았다. 그런데 그 고객이 그 좋은 기술을 나쁘게 사용했다. 그렇다면 이는 누구의 잘못인가? 그리고 그 나쁜 행위를 지금 멈추지 않으면 상황은 더 나빠질까? 더 나빠지도록 놔둔다면 모두가 그것에 익숙해져 결국엔 받아들이게 될까?

[이미지 = utoimage]


잠깐 뜨겁게 달아올랐다가 어느 새 잊혀 가는 듯한 페가수스(Pegasus) 논란은, 사실 지금 시기에 모두가 참여해 결론을 내려야 할 정도로 중요한 사안이다. 강력한 스파이웨어인 페가수스는 원래 사법 기관과 첩보 기관이 테러리스트나 주요 범죄 용의자의 모바일 장비로부터 몰래 데이터를 훔쳐 각종 피해를 막는 데 도움을 주기 위해 개발된 도구다. 대부분 취약점 익스플로잇을 통해 표적이 된 장비에 침투해 들어가 각종 문건과 이미지, 위치 정보, 통화 내용 등을 사용자에게 전송하는 식으로 작동한다.

문제는 이 페가수스가 ‘범인들의 모바일에만’ 작동하는 게 아니라 ‘모든 모바일에서’ 작동한다는 것이다. 게다가 출시되고 시간이 꽤 지났기 때문에 지금은 매우 강력한 도구가 된 상태다. 그래서 지금은 더 많은 장비와 더 많은 애플리케이션들을 익스플로잇 할 수 있다. 더더욱 ‘모든 모바일에’ 통하는 장비로 변모하고 있는 것이다. 이런 방향의 발전은 앞으로도 계속해서 이어질 전망이다.

이 페가수스를 만들고 개량시키는 건 NSO그룹(NSO Group)이라고 하는 회사다. 사실 NSO그룹은 페가수스를 ‘스파이웨어’로 분류하지 않는다. 하지만 NSO그룹만 빼고 거의 모든 사람은 페가수스를 스파이웨어라고 부르고 있다. 특정 인물이나 단체로부터 정보를 몰래 빼내는 게 페가수스라는 소프트웨어의 본질이자 정체성이기 때문이다. 다만 이 ‘본질이자 정체성’을 악의적으로 활용하느냐 선의에 기반을 두고 활용하느냐에 차이가 있는 건데, 이건 현실이 답을 해 준다. 현재 페가수스는 개발 의도야 어쨌든 정적과 반대자를 추적하고 묵살하는 데 가장 많이 활용되는 도구다. 그것도 전 세계적으로.

하지만 페가수스에 대한 NSO그룹의 태도는 일관적이다. 페가수스는 순수히 방어용으로 개발되었다는 것이다. 악의 세력이 세우는 은밀한 계획을 사전에 파악함으로써 세상을 구할 수 있는 도구라는 게 그들의 입장이다. 테러리스트들이나 강력 범죄자들은 악의적인 모의를 기획할 때 항상 암호화 기술을 사용하는데, 이는 수사 단계에서 큰 방해가 되고, 따라서 그 문제를 해결해 주기 위해 만들어진 것이 페가수스라고 한다. 현대 게릴라전 및 테러리즘에 대항하기 위한 필수 도구라고 말하기도 한다.

동어 반복이지만 이 역시 얼마 전 국제사면위원회와 언론 단체인 포비든스토리즈(Forbidden Stories)의 깜짝 발표로 현실을 전혀 반영하지 않는 주장이라는 걸 알 수 있다. 지금 이 페가수스의 사용자들은 대부분 세계가 독재자 혹은 그에 준하는 억압적 군주라고 보고 있는 사람들과 그 수하의 정부들이다. 그런 세상의 현실을 알리는 기자들과 운동가들은 피해자들이고 말이다.

상황이 이러니 우리는 묻지 않을 수 없다. NSO만 빼놓고 모두가 인권 침해의 도구라고 지칭하는 페가수스를 일반 소프트웨어의 개념으로 받아들여야 하는가? NSO의 ‘개발자로서의 권리’를 인정한다고 했을 때, 그래서 페가수스를 폐기처분하지 못한다고 했을 때, 조금은 다른 기준을 적용해서 거래해야 하지 않을까? 예를 들어 페가수스 고객의 사용 현황에 대해 NSO가 투명하게 전달받아야 한다는 조건이 걸리면 어떨까? 물론 소프트웨어 개발자가 고객의 사용 방법에 참견하는 사례는 우리에게 매우 낯설고, 따라서 비현실적인 바람일 수 있다. 약속을 해놓고도 가시성을 제공하지 않는 고객이 있을 가능성도 다분하다.

혹은 활동 현황을 투명하게 공개해야만 하는 공공 단체들에만 판매하도록 하는 건 어떨까? NSO가 개발사로서 고객들을 제어할 수 없다면 공공의 시스템을 동원하여 기술의 남용을 막을 수 있다. 그렇다는 건 NSO 역시 페가수스를 어떤 정부 기관에 어떤 목적으로 어떤 조건 하에 판매했는지 공개해야 한다는 뜻이 된다. 물론 NSO의 모든 사업 행위가 아니라 페가수스와 같은 스파이웨어 관련 사업에만 적용되어야 할 것이다.

이것이 너무 급진적이라면, 산업 내에서 스파이웨어와 관련된 새로운 표준을 수립하는 건 어떨까? 취약점 익스플로잇 행위가 연루된 모든 정상적 사업 행위를 파악하고, 산업 내에서 자체적으로 모니터링을 지속하는 식으로 말이다. 이 역시 불가능한 꿈일까? 참고로 최근 중국에서는 이런 방향의 법안이 통과된 바 있다. 중국처럼 되자는 게 아니라, 산업 내 자정작용을 가지고 다룰 만한 문제인지 아닌지를 좀 더 적극적으로 검토할 필요가 있다는 것이다.

방법이 무엇이든 ‘우리는 그저 영리 활동을 했을 뿐이다’라는 변명을 적어도 스파이웨어에 한 해서는 할 수 없어야 한다. (실제 NSO가 주장하고 있는 내용이다.) 더 나아가 방어 의도를 가지고 제작된 솔루션들이지만 공격에도 높은 효과를 발휘할 수 있다면, 그 솔루션 개발사는 적어도 고객에 대해 자세히 파악하는 책임은 져야 한다. 어쩌면 이런 변화야 말로 진정한 산업 내 자정작용일 수 있다.

만약 위의 그 어떤 일들도 일어나지 않아 페가수스 사업은 마음껏 팽창하고 따라서 정부 기관의 스파이 행위에 인류 전체가 익숙해진다면 어떨까? 그런 사회는 어떤 사회일까? 스파이웨어 서비스를 제공하는 업체가 나스닥에 상장하고, 메이저 경제 매체에 자주 오르내리게 된다면 말이다. 스파이웨어 스타트업이 유니콘이라 칭송받고 사모 펀드 회사가 M&A를 부탁하는 그런 상황이 온다면? 허황된 말이라고 생각하는가? 불가능한 미래라고 어떻게 장담하겠는가?

그런 사회가 도래하지 말라는 법이 없는 것은, NSO그룹이 스파이웨어를 판매하는 식으로 돈을 버는 유일한 회사가 아니기 때문이다. 심지어 이 분야를 개척한 자들도 아니다. NSO의 조상뻘인 기업들도 있고, NSO를 본받아 비슷한 사업을 하려는 후발주자들도 계속해서 나올 것이다. 지금 우리가 이 사태를 바로잡지 않으면 제2, 제3의 NSO그룹과 페가수스가 빠르게 증가할 것이라는 뜻이다. 정부 기관들 또한 이런 기업들과의 은밀한 접촉을 늘리면 늘렸지 줄이진 않을 것이다.

지금의 랜섬웨어를 보라. 날마다 새로운 세력들이 나타난다. 날마다 피해자들이 생긴다. 왜? 번창하는 산업이기 때문이다. 스파이웨어 시장이 양지에서든 음지에서든 번창한다면(실제 이 시장은 서서히 규모를 늘려가는 중이다) 여기에 뛰어드는 사람들도 늘어날 것이다. 지금이라도 이 스파이웨어 문제를 심도 있게 나누고 시장 전체의 성장력을 억제할 방법을 강구해야 할 것이다.

글 : 올리 화이트하우스(Ollie Whitehouse), CTO, NCC그룹
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)