테크레시피

“페가수스는 가장 정교한 익스플로잇 중 하나”

이스라엘 기업 NSO그룹이 개발한 스파이웨어 페가수스(Pegasus)는 문제가 되는 국가 정부에 판매해 오랜 세월에 걸쳐 반정부 활동가나 저널리스트 등을 위협에 노출해온 것으로 밝혀지고 있다. 마침내 애플도 NSO그룹을 제소하기도 했고 미국 정부도 국가안보상 위험이라고 칭해 NSO그룹을 엔티티목록에 추가했을 정도다.

그렇다면 얼마나 페가수스가 성공적인 스파이웨어일까. 구글 제로데이 공격 전문 보안 연구팀인 프로젝트 제로(Project Zero)는 캐나다 토론토대학 보안 연구소인 시티즌랩이 제공한 샘플을 이용해 포스드엔트리(ForcedEntry)를 분석했다.

포스드엔트리는 페가수스가 악용한 아이폰용 악용이며 아이메시지를 타깃으로 하는 제로클릭 공격 그러니까 장치를 감염시키기 위해 사용자 조직을 필요로 하지 않는 수단이다.

프로젝트 제로에 따르면 공격자 서버와 상호 작용할 수 없으며 자바스크립트와 유사 스크립트 엔진이 로딩되지 않는 등 제한된 출발점에서 동등한 능력을 구축하는 익스플로잇을 본 적이 없다고 한다.

많은 공격은 투입한 악성코드에 지시를 보내기 위해 소위 C&C 서버가 필요하지만 포스드엔트리는 자체 가상화 환경을 설정한다. 아이메시지는 전송 이미지 파일을 수락하고 해석할 때 해당 파일 확장자가 예를 들어 GIF인 경우에도 해당 내용 데이터를 참조해 추측해 올바른 파일 형식으로 처리한다. 따라서 포스드엔트리는 이 처리에서 확장자를 가짜 PDF 파일을 읽어 들인다. PDF는 내부적으로 자바스크립트 코드를 실행할 수 있어 여기에 악의적 코드를 넣을 수 있다. 그리고 이미지 텍스트를 인식 처리하는데 사용되는 기존 압축 툴 취약성을 이용해 아이폰을 완전히 탈취할 수 있도록 한다.

이렇게 이 공격은 아이메시지 내부에서 자율적으로 실행되기 때문에 공격을 탐지하는 게 더 어려워지고 있다는 설명이다. 프로젝트 제로는 포스드엔트리를 지금까지 본 적이 없는 가장 기술적으로 정교한 익스플로잇 중 하나라면서 NSO그룹은 보통 국가 수준 소수 해커만 할 수 있다고 여겨지는 수준으로 혁신을 달성했다고 밝히고 있다.

높은 평가지만 인권 면에서 문제가 있는 정부 손에 건너간다면 악몽이 될 것이다. 시티즌랩 관계자도 심각한 국가 능력에 필적한다고 지적했다. 애플이나 대형 기업이 인식하지 못하고 대책을 갖고 있지 않은 취약점은 해커가 블랙마켓을 통해 악의적 구매자에게 판매하는 건 드문 일이 아니다. NSO그룹은 자금 부족에 빠지고 있다는 보도도 있지만 포스드엔트리나 더 악질적인 익스플로잇을 샀던 기업이 있다면 시민 사회에 대한 위협은 아직 끝나지 않았을지 모른다. 관련 내용은 여기에서 볼 수 있다.

실제로 NSO그룹이 애플과 미국 제재로 자금 부족에 빠져 회사 매각을 검토하고 있다는 보도가 나오고 있다.

NSO그룹이 개발한 페가수스 구매자 대부분이 인권을 침해한다고 여겨지는 국가였기 때문에 미국 정부도 이곳을 국가 안보 위협으로 지정해 수입이나 판매를 금지하고 있다. 보도에 따르면 NSO그룹은 이런 문제로 자금 부족에 빠졌다고 한다. 채무 불이행 위기를 겪고 논란이 되는 페가수스 부문 폐쇄나 회사 전체 매각 등을 생각하고 있다는 것이다.

새로운 주인 후보에는 NSO그룹을 인수한 뒤 페가수스 부문 폐쇄를 검토하는 미국 펀드 2개사가 포함되어 있다고 한다. 펀드가 2억 달러 자본을 새로 투입해 페가수스 뒤에 있는 노하우를 방어 보안 서비스로 전환한다는 시나리오다.

다만 이런 인수 계획이 성공할 가능성에 대해선 회의적인 의견이 나오고 있다. 페가수스가 도청을 한다는 것 때문에 새로 개발할 제품이 방어적이라도 신용하기 어렵고 백도어 존재도 의심받을 수 있다. 또 페가수스 제품 리브랜딩에 주의해야 한다는 경고도 나온다.

개인 수준이라면 과거 불법 행위를 한 블랙 해커가 기업에 고용되어 보안 강화에 기여하는 화이트 해커가 되기도 한다. 하지만 만일 NSO그룹이 지금까지 행위를 바꿔도 NSO를 국가 안보상 위험이라고 명명한 엔티티목록에 추가한 미국 정부가 인수를 허용할지 여부는 알 수 없다. 관련 내용은 이곳에서 확인할 수 있다.

추천기사