Home > 전체기사
페가수스 개발사 NSO그룹, 페이스북이 단단히 벼르고 있다
  |  입력 : 2020-05-26 12:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
유명 스파이웨어 페가수스를 만든 장본인...작년 왓츠앱 제로데이도 공격해
최근 미국 클라우드 인프라 활용한 공격 있었다고 페이스북이 주장...미국 법정에 서나


[보안뉴스 문가용 기자] 페가수스(Pegasus)라는 스파이웨어를 제작한 이스라엘의 보안 회사 NSO그룹(NSO Group)이 페이스북 로그인 페이지를 그대로 베끼고, 페이스북 내부 보안팀이 사용하는 포탈처럼 꾸며 사람들을 꾀었다는 주장이 나왔다. NSO그룹은 보안 업체로 분류되기는 하지만 사실 논란이 많은 회사이기도 하다.

[이미지 = utoimage]


페이스북은 이러한 주장을 담은 고소장을 제출한 상태다. NSO그룹과 페이스북은 작년에도 한 차례 부딪힌 적이 있다. NSO그룹이 페이스북이 소유한 왓츠앱을 해킹하면서부터였다. 이 때부터 페이스북은 NSO그룹을 미국 재판정에 세우려고 부단한 노력을 해왔다는 후문이다. 여러 가지 증거를 갖춘 페이스북이 드디어 움직이기 시작한 것이다.

NSO그룹의 대표작인 페가수스는 안드로이드와 iOS 스마트폰 모두에서 작동하는 스파이웨어로 스파잉에 필요한 다수의 기능을 가지고 있다. 피해자의 장비를 스캔한 뒤, 각종 메시지나 이메일을 읽거나 통화를 엿듣는 데 필요한 모듈들을 설치한다. 필요에 따라 스크린샷 캡쳐와 키로깅, 브라우저 히스토리 추출, 연락처 정보 빼돌리기 등도 가능하다. 사우디아라비아 왕조를 비판하다가 살해당한 워싱턴포스트의 칼럼니스트 자말 카슈끄지나 멕시코 카르텔을 수사하다가 사라진 기자들을 염탐하는 데에 페가수스가 활용된 것으로 여겨지고 있다.

최근 NSO의 이전 근무자와 외신인 머더보드, 보안 업체인 도메인툴즈(DomainTools)와 리스크아이큐(RiskIQ)는 합동으로 페가수스가 호스팅되어 있는 IP 주소와 서버를 추적했다. 그 결과 해당 IP 주소에서 10개의 관련 도메인이 나왔다. 이 중 하나가 페이스북의 보안 팀으로 위장하기 위해 만들어진 것으로 밝혀졌다. 그 외에 페덱스(FedEx)의 ‘화물 추적 서비스’인 것처럼 보이는 도메인도 있었다. 이러한 상황 역시 페이스북이 고소장을 작성하는 데 보탬이 되었다.

한편 페이스북은 “NSO그룹이 제로데이 익스플로잇을 활용해 페이스북의 왓츠앱 메신저 애플리케이션을 침해했다”고 주장하며 법정 싸움을 진행 중에 있다. 여기서 말하는 제로데이는 2019년 5월에 발견된 것을 말하며, 당시 일부 해커들이 이미 이를 파악해 활용하고 있었던 것으로 알려졌다. 특이한 건 제로데이를 먼저 발견한 해커들이 페가수스를 심고 있었다는 것이다. 이 때문에 NSO그룹이 특정됐다.

당시 페이스북과 시티즌랩(CitizenLab)이 합동으로 조사한 바에 따르면 공격자들은 약 1400개의 모바일 장비로 페가수스를 전송해 설치했으며, 주로 인권 옹호 단체에 소속된 사람들이나 종사자들, 기자들이 표적인 것으로 나타났다. 피해자는 약 20개국에서 나타났다. 이런 내용에 더해 페이스북은 “NSO그룹이 미국에 호스팅 되어 있는 클라우드 인프라로부터 왓츠앱 해킹 공격 일부를 수행했다”고 주장하기도 했다. 공격에 활용된 IP 주소들도 전부 법정에 제출되었고, NSO가 활용한 클라우드는 아마존의 AWS와 쿼트라넷(QuadraNet)이라고 한다.

페이스북이 고소한 대상은 또 있다. 미국의 도메인 등록 업체인 네임칩(Namecheap)과 후이즈가드(Whoisguard)다. 페이스북가 제공하는 각종 서비스인 것처럼 보이도록 만들어진 도메인 45개 이상을 등록해주었기 때문이다. 머더보드와 NSO그룹의 전 근무자도 가짜 페이스북 보안 포털의 도메인이 네임칩을 통해 등록됐다고 밝힌 바 있다.

보안 업체 루시 시큐리티(Lucy Security)의 콜린 바스터블(Colin Bastable)은 “결국 보안이라는 것이 기술과 기술의 맞대결인 것처럼 보이지만, 사실은 사람의 문제”라고 말한다. “실제 우리의 생활 속에서 일어나는 해킹은 거의 전부 클릭하지 말아야 할 것을 클릭한 것 때문에 발생합니다. 불가항력적으로 일어나는, 도저히 막을 수 없는 해킹 공격을 극히 소수입니다. 문자나 이메일로 날아오는 그럴듯한 링크와 페이지들을 클릭하니까 공격이 시작되고, 그걸 아니까 공격자들도 가짜 페이지와 도메인을 부지런히 생산해내고 있는 겁니다.”

3줄 요약
1. 스파이웨어 개발사인 NSO그룹과 페이스북의 싸움, 본격화되기 시작.
2. 페이스북은 “NSO가 왓츠앱을 해킹하고, 내부 보안 팀 포털을 스푸핑 했다”고 주장.
3. 전 NSO 근무자와 머더보드가 합동으로 찾아낸 증거들을 보면 페이스북 주장에 힘이 실리고 있음.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)