페이스북과 인스타그램, 왓츠앱 등 인기 소셜미디어를 보유한 메타가 사이버 감시 도구를 제공하는 일부 기업을 회사 플랫폼에서 배제한다고 발표했다. 더구나 사이버 감시 툴을 제공하는 감시 업계에 대한 행동도 실행할 것이라고 밝혔다.
스파이웨어 페가수스 개발원인 NSO그룹은 특정 인물을 감시하기 위한 스파이웨어 개발과 판매를 해왔지만 2021년에는 애플에 소송 당하는 등 전 세계에서 주목을 받았다. 하지만 페이스북이나 인스타그램 등 소셜미디어를 보유한 메타가 NSO그룹은 사이버 용병 기업 일부에 불과하다며 이에 대한 대처 일환으로 감시 활동에 관여하는 것으로 플랫폼에서 삭제한 7개 기업에 관한 조사 결과를 공유하며 앞으로 발견되는 대로 다른 기업에 대한 조치를 강구할 것이라고 밝혔다. 모니터링하는 서비스를 제공하는 회사를 자사 플랫폼에서 제거했다고 발표한 것.
메타는 이들 모니터링 업계에 대해 인터넷을 대상으로 다양한 정보를 수집하고 이를 조작해 새로운 정보를 얻고 기기와 계정을 위험에 빠뜨린다며 타깃이든 인권 침해를 가능하게 하는지에 관계없이 모든 고객에게 무차별적으로 침입형 소프트웨어 도구와 모니터링 서비스를 제공하며 정부와 비정부 단체가 감시 도구를 사용할 수 있도록 하고 있다고 밝혔다.
더구나 메타는 이들 업계에는 정찰(Reconnaissance), 인게이지먼트(Engagement), 착취(Exploitation) 3가지가 있다고 지적하고 이들 3가지 중 하나에 특화하거나 여러 개를 겹쳐 사이버 공격을 하는 것도 존재한다고 밝혔다.
먼저 정찰. 이 단계는 보통 타깃에게 가장 보이지 않는 감시를 하는 것이다. 클라이언트를 대신해 사이버 용병은 인터넷 전체에서 데이터 수집을 자동화하는 소프트웨어를 이용해 조용히 대상을 프로파일링한다. 이런 모니터링 서비스를 제공하는 공급자는 블로그나 소셜미디어, 위키피디아 뿐 아니라 뉴스 미디어와 포럼, 다크웹 등 모든 미디어에서 정보를 수집한다.
다음은 인게이지먼트. 이 단계는 타깃에서 가장 가시적이며 침해를 방지하기 위해 찾는 게 중요하다. 여기에 분류되는 건 타깃이나 타깃에 가까운 사람과 접촉하고 신뢰 관계를 구축하고 정보를 끌어내고 악의적 링크나 파일을 클릭하는 공격을 한다.
마지막은 착취, 이메일과 소셜미디어, 금융 서비스, 기업 네트워크 같은 민감한 계정 자격 증명을 제공하도록 속이고 피싱 도메인을 만들거나 악의적 링크를 클릭해 기기를 위험에 빠뜨리는 게 최종 단계가 된다.
메타는 이 3가지 순으로 감시가 진행됨에 따라 나중 단계 공격이 가능해지기 때문에 감시 업계 전체를 혼란시키는 게 중요하다며 가능하다면 사람들 기기와 계정을 위험에 빠뜨리는 가장 심각한 단계에 도달하기 전에 피해를 막을 수 있다고 밝히고 있다.
또 메타는 자사 플랫폼에서 삭제한 7개 기업은 3가지 중 하나 혹은 전체에 걸쳐 서비스를 제공하면서 100개국 이상 사람을 무차별로 공격해왔다는 점도 밝혔다. 메타에 따르면 이번에 삭제된 7개 기업은 중국, 이스라엘, 인도, 북마케도니아 등을 거점으로 활동하고 있다. 또 메타가 베재한 7개 기업은 여러 커뮤니티 기준과 이용약관을 위반한 것으로 나타났다. 메타는 이들 위반 심각성을 고려해 자사 서비스에서 완전 차단하기로 결정했다며 보안 연구자나 다른 플랫폼, 정책 입안자 등이 적절한 행동을 취할 수 있도록 조사 결과를 공유했다.
게다가 이번에 삭제한 7개 기업이 악의적 감시 활동 표적이 됐을 가능성이 있는 사용자 5만 명에게도 통지를 보냈다. NSO그룹을 비롯한 감시 도구 제공 기업은 범죄자와 테러리스트만 타깃으로 서비스를 제공하고 있다고 주장하지만 메타는 독자 조사나 독립 연구자 조사, 업계 관계자나 정부기관 조사에 의해 감시 기업에 의한 공격은 무차별로 행해지고 있어 저널리스트나 반체제파, 권위주의 체제를 비판하는 인물, 야당 가족, 인권 활동가 등 대상이 되고 있다. 자사 같은 정보 수집 장소로 여겨지는 플랫폼에선 타깃 목적이나 정당성을 식별하는 방법이 없기 때문에 공격 뒤에 사람이나 누가 공격 표적이 되든 관계없이 이런 종류 감시 활동을 멈추는데 중점을 둘 것이라고 밝혔다. 이를 위해 외부 제휴도 강화할 방침이다. 관련 내용은 이곳에서 확인할 수 있다.