이스라엘 경찰이 NSO그룹이 개발한 스파이웨어 페가수스(Pegasus)를 사용해 법원 영장 없이 자국민 스마트폰을 원격 조작해 정보를 끌어낸 것으로 보도되고 있다.
페가수스는 개인용은 아니다. 전 세계 각국 정부나 다양한 단체에 팔리고 있다. 아이폰과 안드로이드 기기를 타깃 삼고 사용자가 아무 것도 하지 않아도 설치할 수 있는 제로클릭 공격이며 감염된 기기는 내부에 저장된 메시지나 사진을 몰래 전송하거나 전화 통화, 마이크 입력 녹음된다.
보도에 따르면 경찰에 해킹된 것 중에는 시장이나 정치적 항의 시위 지도자나 전 정부 직원, 고위 정치가에 가까운 인물이 포함되어 있었다고 한다. 더구나 경찰은 감시하기 위해 수색 영장이나 도청 영장을 신청하지 않고 해킹은 법원 감독 하에 없었다고 전해지고 있다. 또 수집되는 데이터나 스파이웨어 사용 방법, 이스라엘 증권국이나 세무 당국 등 다른 조사 기관에 대한 데이터 배포에 대해서도 감독을 받지 않았다고 한다.
이번에 발각된 사례에는 네타냐후 전 총리 재임 중 이뤄진 항의 시위 활동가를 추적한 것도 포함되어 있다. 그 밖에는 범죄 수사를 위한 경우도 있지만 경찰은 증거 출처를 숨기고 있었다고 전해지고 있다.
예를 들어 경찰 전자 정보 수집 부문은 수사가 아직 기밀인 단계에서 현역 시장 스마트폰에서 뇌물 증거를 찾기 위해 페가수스를 이용하고 먼저 원격 조작으로 범죄 증거를 잡고 나중에 공개 수사로 이행한 단계에서 재판관이 내놓은 수사 영장에 근거해 다시 합법적으로 압수됐다고 한다.
또 항의 시위 참가자는 범죄자도 용의자도 아닌 이스라엘 시민일 뿐이다. 하지만 이스라엘 경찰은 페가수스를 스마트폰에 넣어 본인도 모르게 모든 통화를 듣고 모든 메시지를 읽는 능력이 있었다는 것. 이 감시 명령은 법원 영장도 판사 감독도 없고 고위 경찰관에 의해 내려진 것으로 보도되고 있다.
이에 대한 출처는 밝히지 않았지만 캐나다 보안 연구소 시티즌랩은 이 보도가 맞다고 박히고 있다. 이 연구소는 페가수스에 감염된 스마트폰을 확인하는데 기여한 것으로도 알려져 있다. 이 보도에 대해 이스라엘 경찰은 법률로 주어진 권한에 따라 필요한 경우 법원 명령에 따라 담당 기관이 정한 규칙이나 규제 범위 내에서 행동하고 있다며 합법성을 강조했다. 더구나 사용하는 도구에 대해 의견을 쓰지 않을 것이라고 밝혀 페가수스를 사용한 건 부정하지 않았다.
NSO그룹은 애플에 제소된 것 외에 미국 정부도 국가 안보상 위험으로 지정해 수입과 판매를 금지했기 때문에 자금 부족에 빠지고 있다는 보도가 나오고 있다. 하지만 아직까지는 사업을 계속하는 것으로 보이며 숨겨진 고객이 더 있을 수도 있다. 관련 내용은 이곳에서 확인할 수 있다.