2020년 1월 영국 일간지 가디언이 아마존 CEO 제프 베조스의 아이폰이 사우디아라비아 왕세자에 의해 해킹됐을 가능성이 있다는 보도를 했다. 이런 가운데 사우디 왕세자에 의한 베조스 아이폰 해킹에 관한 조사 보고서 내용이 보도되어 눈길을 끈다.
베조스의 아이폰이 해킹됐다는 의혹은 2019년 보도된 그의 불륜 스캔들 관련 조사로 부상했다. 익명의 정보를 통해 사우디아라비아 모하메드 빈 살만 왕세자가 베조스 CEO에게 보낸 악의적 파일 탓에 베조스의 아이폰에서 대량 데이터가 도난됐다는 보도가 나온 것.
빈 살만 왕세자는 소프트뱅크 비전펀드에 집중 투자하는 국부펀드 회장을 맡고 있는 인물로 2018년 발생한 언론인 자말 카쇼기 암살 사건과도 관련이 있다는 의혹을 받고 있다. 외신이 입수한 보고서는 미국 비즈니스 자문 기업인 FTI컨설팅이 만든 것이다. 이에 따르면 베조스 아이폰을 조사하기 위해 전용 실험실을 설치하고 아이폰 내 아이튠즈 백업 암호화를 피하기 위해 아이폰을 재설정하고 공장 출하 상태로 복원, 암호화되지 않은 데이터를 입수했다고 한다. 하지만 조사원은 아이폰에서 악성코드를 검출할 수는 없었다고 한다.
한편 2018년 5월 1일 아랍어 프로모션 동영상으로 보이는 파일이 메신저 앱 왓츠앱을 통해 왕세자로부터 베조스에게 전송된 걸 발견했다. 사우디아라비아와 스웨덴을 나타내는 섬네일을 확인할 수 있는 동영상 파일은 왓츠앱이 제공하는 엔드투엔드 암호화를 통해 암호화된 다운로더로 전송되며 동영상 파일 자체에 악성코드를 포함했는지 여부는 확인할 수 없었다고 한다.
조사원이 동영상이나 다운로더를 의심스럽다고 판단한 이유는 베조스 CEO의 아이폰이 다운로더를 실행한 직후 아이폰에서 대량 데이터가 전송되기 시작했기 때문이다. 보고서에 따르면 왓츠앱의 암호화된 다운로더를 실행하기 이전 베조스의 아이폰이 전송하는 데이터량은 하루 평균 430KB였다. 그런데 왓츠앱에서 동영상 파일을 내려 받은 뒤 몇 시간 이후 전송 데이터량은 126MB로 뛰었다.
보고서는 빈 살만 왕세자로부터 전송된 암호화된 다운로더를 실행한 뒤 장치 출력은 곧바로 2만 9,000%나 증가했다고 지적했다. 아이폰에서 전송되는 데이터량은 이후에도 몇 개월에 걸쳐 높은 상태였고 평균적으로 하루 101MB 데이터를 전송하고 있었다고 한다.
조사원은 베조스 CEO는 아이폰 등 대규모 조사 결과를 종합한 결과 빈 살만 왕세자의 친구이자 미디어 컨설턴트로 활동한 사우드 알 카타니(Saud al-Qahtani)가 제기한 도구를 통해 베조스의 아이폰이 해킹된 것으로 보고 있다. 카타니는 빈 살만 왕세자와 마찬가지로 카쇼기 암살에 관여한 것으로 알려져 있으며 사이버 보안·프로그래밍 분야를 관할하는 사우디아라비아 국가기관인 SAFCSP 회장을 맡고 있는 인물이기도 하다.
외신에선 해킹 툴 조달원으로 이스라엘 기술 기업인 NSO그룹에 의해 개발됐을 가능성을 시사한 보도도 있지만 보고서는 NSO그룹 도구가 사용됐다고 언급하고 있지는 않다. 보고서는 NSO그룹의 페가수스(Pegasus)나 해킹팀의 갈릴레오(Galileo) 등 고급 스파이웨어는 장치의 합법적인 응용 프로그램이나 프로세스에 연결해 검색을 방지하고 활동을 당황하게 하고 결국 데이터를 가로 채거나 유출시킬 수 있다고 지적하고 있을 뿐이다.
또 대량 데이터가 베조스의 아이폰에서 전송된 것 외에도 빈 살만 왕세자가 베조스에게 보낸 메시지에 의심스러운 것도 발견됐다고 한다. 2018년 11월 8일 왕세자가 베조스에게 보낸 사진에 비친 여성은 베조스와 친분 관계가 있던 로렌 산체즈(Lauren Sánchez)와 비슷하다. 하지만 이 사진이 전송된 시점에서 베조스와 산체스와의 관계는 공개되어 있지 않았고 왕세자가 이 사진을 베조스에게 보낸 것도 이상해지는 셈이다.
이번 조사에선 베조스의 아이폰에 포함된 모든 데이터를 분석한 게 아니다. 전체 파일 시스템까지는 조사한 게 아닌 것. 보고서에선 마지막으로 베조스의 아이폰을 탈옥해 루트 파일 시스템을 분석할 필요가 있다고 지적하고 미조사 파일에서 악상코드가 발견될 가능성이 있다고 인정하고 있다. 관련 내용은 이곳에서 확인할 수 있다.