이스라엘에 본사를 두고 있는 NSO 그룹이 개발한 범죄감시용 스파이웨어가 권위주의적인 정부에 판매돼 전 세계 언론인과 인권운동가들의 스마트폰 해킹에 사용됐던 것으로 18일, 워싱턴포스트 등의 취재로 밝혀졌다.

2018년에 살해된 사우디 기자 자말 카슈끄지의 지인들도 스마트폰 표적이었다고 한다.

스파이웨어(spyware)는 스파이(spy)와 소프트웨어의 합성어로 다른 사람의 컴퓨터에 잠입해 개인정보를 빼가는 소프트웨어를 말한다.

십여 개 언론사로 구성된 탐사보도팀은 NSO 해킹용 스파이웨어 ‘Pegasus(페가수스)’의 고객들이 모아 외부로 유출했다고 하는 5만건 이상의 전화번호를 분석했다. ‘iPhone(아이폰)’과 ‘Android(안드로이드)’ 탑재 스마트폰이 페가수스에 감염되면 공격자 측에서 전화나 이메일, 단말기에 저장된 사진의 엿보기 등이 가능하다.

리스트에는 미국 뉴욕타임스와 월스트리트저널, 영국 파이낸셜타임스, 프랑스 르몽드, 중동의 알자지라 등에 소속된 180명이 넘는 기자의 전화번호가 게재돼 있었다고 한다. 정부 관계자와 기업 경영자, 종교인, 비정부기구(NGO) 활동가들도 포함돼 있었다.

리스트에 전화번호가 포함돼 있어도 그 스마트폰이 페가수스에 감염돼 있는지는 알 수가 없다고 한다. 탐사보도팀이 리스트에 전화번호가 기재돼 있던 몇몇 스마트폰을 분석한 결과, 절반 이상에서 페가수스가 해킹에 성공했거나 침입을 시도한 흔적이 있는 것이 판명됐다.

탐사보도팀이 전문가와 함께 한 분석에서는 카슈끄지와 가장 가까운 2명의 여성이 페가수스를 사용한 공격의 표적이 됐다는 증거가 발견됐다고 한다. 카슈크지가 살해되고 며칠 후에 약혼자의 휴대전화가 페가수스에 감염됐으며, 살해된 수개월 전에는 그의 아내의 휴대전화도 페가수스의 표적이 돼 있었다.

NSO는 자사의 고객을 밝히고 있지 않는데, 페가수스를 판매하기 위해서는 이스라엘 정부의 수출 허가가 필요하다고 한다. 탐사보도팀은 아제르바이잔과 바레인, 헝가리, 인도, 카자흐스탄, 멕시코 등 적어도 10개국•지역이 NSO의 고객이었다는 증거를 찾았다고 한다.

NSO는 18일 발표한 성명에서 이번 조사보도에 대해 “잘못된 가정이나 근거가 없는 이론으로 가득 차있다”고 지적하고 명예훼손으로 소송을 검토하고 있다고 말했다. 이 회사의 기술은 범죄 수사와 인명 구조에 사용되고 있다고 말하고 카쇼끄지 살해에 대해 “우리의 기술은 전혀 관계가 없다”고 주장하고 있다.

미국 국가안전보장국(NSA) 직원이었던 에드워드 스노든이 2013년에 미국 정부 등에 의한 개인정보 수집을 폭로한 사건은 전 세계에 충격을 주었다. 미국의 대규모 정보 감시 활동에 촉발돼 많은 국가정보기관이 스파이웨어를 이용한 감시 능력 강화에 나선 것으로 알려져 있다.

그 후, 구글이나 애플 등 미국 IT 대기업은 스마트폰의 암호화 기술을 강화하고 있고 기존의 기술로는 통신 감청이 어려워졌다. 그 결과, 페가수스와 같은 영향력 있는 인물들의 스마트 폰을 표적으로 삼는 스파이웨어에 대한 투자가 확대되고 있다.

탐사 보도의 근거가 된 유출 데이터의 분석은 파리를 거점으로 하는 비영리단체 ‘포비든 스토리즈’가, 페가수스에 감염된 스마트폰의 분석은 국제인권단체인 앰네스티 인터내셔널이 주도했다. 탐사보도에는 워싱턴포스트와 영국 가디언 등이 참가했다.