이스라엘 보안 업체가 개발한 스파이웨어 ‘페가수스’가 전 세계 정치인·언론인 등의 감시에 악용됐다는 사실이 드러나 충격을 주고 있다.
지난 7월 18일(현지시간) 워싱턴포스트 등 공동취재팀은 페가수스와 관련된 5만 개 이상의 전화번호 목록을 입수해 분석한 결과, 이 프로그램이 언론인과 인권 운동가, 기업인 등의 해킹에 사용됐다고 보도했다. 해킹된 것으로 추정되는 휴대전화 중에는 프랑스 마크롱 대통령을 비롯해 이라크, 남아프리카공화국 등 3명의 대통령과 10명의 전·현직 총리, 1명의 국왕이 포함됐다.
페가수스는 각종 앱과 장비로부터 민감한 정보를 수집하는 스파이웨어로, 테러범과 중범죄자를 추적하기 위해 개발됐다. 그러나 당초 NSO 그룹이 국제 테러리스트·범죄 예방 용도로 특정 국가에 페가수스를 개발·판매한 것과는 다르게, 최근 해킹 피해를 본 이들 가운데 상당수는 민간인과 정치인들이었다는 점이 알려지며 논란이 커지고 있다.
페가수스를 사용하면 목표 스마트폰에 침투해 개인과 위치 정보를 입수하고 스마트폰의 마이크와 카메라를 몰래 조종할 수 있어 문제가 된다. 철통 보안을 내세우던 애플의 아이폰 역시 페가수스에 뚫렸다. 아이메시지로 아이폰에 침투해 통화 내용을 녹음하고 메시지·이메일 기록에 접근하는 등 휴대전화에 들어있는 거의 모든 내용을 빼갔다.
NSO 그룹 대변인은 "음주 운전 사고가 났다고 해서 자동차 제조사에 책임을 물을 수는 없다"고 비유하면서 자신들은 도구 판매만 했을 뿐, 사람들을 감시하는 행위를 직접 저지르지는 않았다고 전했다. 또한 고객들이 수집한 정보를 자신들이 저장하거나 열람하는 것도 불가능하다는 주장이다.
페가수스를 둘러싼 논란이 커지자 이스라엘 정부는 “사이버 보안 제품의 경우 범죄 조사 등 적법한 목적을 가진 정부 기관에만 판매된다. 문제가 발견될 경우 적절히 조처하겠다”고 밝혔다.
그러나 NSO 그룹의 페가수스가 논란이 된 건 이번이 처음이 아니다. 지난 2019년에는 왓츠앱의 모회사인 페이스북이 페가수스가 인도 언론인, 활동가, 변호사 및 고위 정부 관리를 타깃으로 감시를 벌였다며 소송을 제기하기도 했다.
이 때문에 스파이웨어를 만들고 수출하는 회사를 더욱 엄격하게 규제해야 한다는 주장은 더욱 확산하고 있다. 지난 2013년 미국 국가안보국(NSA)의 무차별 개인정보 수집 실태를 폭로한 에드워드 스노든은 스파이웨어 개발업계를 "존재해서는 안 될 산업"이라고 비판하면서 각국 정부에 스파이웨어 거래 중단을 선언할 것을 촉구하기도 했다.
한편, 국내에서는 아직까지 페가수스의 공격을 받지 않은 것으로 나타났다. 카카오톡이 공격 대상에 포함됐다는 보도가 나오기도 했지만, 이는 과거 사례라는 것이 전문가의 분석이다. 한국인터넷진흥원(KISA) 관계자는 “아직 (페가수스 관련) 알려진 피해 사례나 신고 접수가 이뤄진 건 없다”고 밝혔다. 또한, 한 보안 전문 기업 관계자는 “국내에서 페가수스 프로그램을 도입해 쓰는 곳도 없는 것으로 파악되고 있다”고 전했다.
