구글 위협분석팀 TAG가 2024년 2월 6일 구글 제품에 악용된 제로데이 취약성 80%에 민간 스파이웨어 개발 기업이 관여했다고 발표했다. 이런 위험이 증가하면서 각국 정부는 상용 스파이웨어 확산 방지 노력을 가속화하고 있다.
전 세계 정치 최전선에는 저널리스트나 활동가, 정치가 등 중요한 인물을 감시하기 위한 상용 스파이웨어가 이용되고 있으며 이 영향은 언론이나 보도 자유 침해, 공평한 선거 방해 등을 통해 사회 전체에 그림자를 드리우고 있다.
스파이웨어 벤더 CSV 40곳을 모니터링해온 TAG는 지난 10년간 자사 제품에 영향을 미친 것으로 알려진 제로데이 익스플로잇 72건 중 35건이 CSV에 의한 것일 수 있다고 발표했다. 주의해야 할 CSV로 여겨지는 건 5곳.
먼저 Cy4Gate와 산하 RCS Lab. 이곳은 안드로이드와 iOS용 스파이웨어(Epeius, Hermit)로 잘 알려진 이탈리아 기업이다. 다음은 Intellexa. 이스라엘 엔지니어가 이끄는 스파이웨어 기업으로 이 엔지니어는 미국 정부 블랙리스트에 등록된 인물이기도 하다. 다음은 Negg Group. 2013년 설립된 이탈리아 CSV로 익스플로잇 체인을 통해 모바일 기기를 겨냥한 악성코드(Skygofree)와 스파이웨어(VBiss)로 알려져 있다. 다음은 NSO Group. 스파이웨어 페가수스(Pegasus)로 유명한 이스라엘 기업으로 수많은 제재나 소송에도 불구하고 사업을 계속하고 있다. 다음은 Variston. 최적화 보안 솔루션 제공을 특징으로 하는 스페인 CSV로 상용 익스플로잇(Heliconia)에 대한 관여, 아랍에미리트연방 세력 확대를 지적받고 있다.
구글에 따르면 11개 CSV에서 악용된 74개 제로데이 중 24건이 구글 크롬, 20건은 안드로이드, 16건은 iOS, 6건은 윈도에 영향을 주는 것이었다고 한다. 비즈니스 분야로 발전한 상용 익스플로잇 위협에 대해 각국 정부는 규제 틀 구축을 서두르고 있다. 영국과 프랑스 정부는 2024년 2월 6일 스파이웨어의 책임 있는 사용에 관한 글로벌 가이드라인 제정을 선언했다.
이 선서에 서명한 일부 국가에는 EU 회원국인 벨기에, 체코공화국, 프랑스, 그리스, 이탈리아, 폴란드, 동맹국인 미국, 영국, 아프리카 연합이 포함되어 있으며 업계에선 애플, 구글, 메타, 마이크로소프트, 영국 방위 기업인 BAE시스템즈가 참여하고 있다. 이와 별도로 미국 정부는 2월 5일 상용 스파이웨어 악용에 관여한 개인에 대한 비자 발급을 금지하는 제재를 내세웠다.
이 정책은 상업 스파이웨어 범람에 대해 바이든 정권 자세를 반영한 것으로 블링컨 국무장관은 회견에서 국무부는 상업 스파이웨어 악용에 관여한 개인에게 비자 제한을 부과하는 걸 인정하는 새로운 정책을 실시한다며 이런 표적화는 자의적인 구류, 강제 실종, 초법적 살해 등에 이어져 미국 군 관계자 안보나 스파이웨어 예방에도 위협이 된다며 CSV를 비난했다. 관련 내용은 이곳에서 확인할 수 있다.