2021년 7워르 이스라엘 스파이웨어 “페가수스 스캔들”이 국제적 이슈로 떠올랐다. 신화 속 페가수스의 이름을 따서 명명한 이스라엘 사이버 무기 업체 NSO Group이 개발한 스파이웨어는 사용자 전화기를 감염시키며 대부분의 iOS 및 안드로이드 버전이 있는 전화기에 비밀리에 설치된다. 페가수스 공격이 언론을 통해 폭로된 후 국제사회에 큰 파장을 일으키며 국제적 여론이 들끓는 사건이 되었다.
- 페가수스 공격의 의미 분석
1) 많은 국가의 국가 원수와 정치인이 모니터링 대상 : 2021년 7월 18일, 워싱턴포스트, 가디언, 르몽드 등 10개국 17개 국제언론단체가 NGO 국제앰네스티와 손을 잡고 페가수스 소프트웨어에 대한 조사를 진행하고 공동 조사 보고서를 발간했다. 한 달 후, 이 소프트웨어가 여러 국가 원수와 정치인을 모니터링 했으며 프랑스 마크롱 대통령, 이라크 살레 대통령, 남아공 라마포사, 파키스탄 임란 칸 총리, 이집트 총리 등 최소 14명의 정치적 거물을 모니터링했다. 또한 인도에는 왕족, 공무원, 기업체 간부, 유명인사, 언론기자 등 여러 국가의 외교관이 많이 있기 때문에 감시 활동의 대상이 명백히 정치적으로 겨냥되어 있다고 보기는 어렵지 않다.
2) 최대 50개 국 이상의 국가 및 지역에 대한 모니터링 : 토론토 대학의 연구 기관인 시티즌랩이 수행한 2년 간 연구에 따르면 페가수스 스파이웨어는 전세계 50개 국 이상의 국가 및 지역에서 작동할 수 있으며 1,000개 이상의 IP 주소와 연결되어 있다. 현재 페가수스가 모니터링하는 목록에만 5만 개 이상의 전화번호가 있는 것으로 알려졌으며 수천 개의 전화번호 소유자가 확인되었다. 유출된 데이터를 분석하고 소프트웨어에 대한 포렌식을 수행한 결과, 아제르바이잔, 바레인, 헝가리, 인도, 카자흐스탄, 멕시코, 모로코, 르완다, 사우디아라비아, 토고, 아랍에미리트를 포함하여 최소 11개국이 페가수스를 구매한 것으로 나타났다. 최신 언론 공개에 따르면 독일 정부는 독 연방 형사 경찰이 특수 목적 감시를위해 페가수스를 구입한 사실을 인정하기도 했다.
3) 공격은 수년 간 지속 : 국제앰네스티가 발표한 컴퓨터 추적 및 포렌식 연구 보고서에 따르면 페가수스 공격은 2014년 시작돼 2021년 7월 언론에 도출될 때까지 계속됐다. 페가수스가 사용하는 공격은 표적으로부터의 어떠한 상호작용도 필요로 하지 않는 소위 “제로 클릭” 공격이다. 그리고 2016년 이후 페가수스가 데이터를 전달하고 수집하는 도메인, 서버 및 인프라가 여러 번 진화하여 인프라를 지속적으로 재구성하고 단계를 추가하여 복잡한 공격을 더욱 쉽게 감지할 수 있게 되었다.
4) 남다른 공격 능력 : 페가수스 스파이웨어는 탁월한 공격 능력을 가지고 있다. 거의 모든 모바일 장치에서 원격으로 비밀리에 주요 정보를 추출할 수 있다. 제로클릭으로 휴대폰에 침입하여 자동으로 활성화, 사진, 위치, 암호, 통화기록, 연락처 정보 및 휴대전화의 다른 데이터도 카메라와 마이크를 켜서 소유자의 모든 활동을 실시간으로 모니터링할 수 있다. 또한 공격의 흔적을 남기지 않고 애플 및 안드로이드 시스템의 방어를 회피할 수 있는 것으로 보고되었다. 강력한 암호나 암호화와 같은 일반적인 개인정보보호는 작동하지 않는다. 언론에서는 “군사급 스파이 웨어”, “지금까지 만들어진 것중 가장 위험한 스파이웨어 중 하나” 등과 같은 용어를 사용하여 소프트웨어의 성능을 설명했다. - 페가수스 소프트웨어의 기술적 특성 분석
1) 데이터 수집의 포괄성 : 페가수스는 주로 4가지 방법을 통해 데이터 수집을 구현한다.
– 데이터 추출 : 에이전트 설치 시 장치에 존재하는 모든 데이터 추출
– 수동 모니터링 : 장치에 새로 수집된ㄷ 데이터 모니터링
– 능동 수집 : 카메라, 마이크 및 GPS와 같은 요소를 활성화하여 실시간으로 데이터 수집
– 이벤트 기반 수집 : 특정 데이터 수집을 자동으로 트리거
2) 데이터 전송 보안
3) 데이터 표현 및 분석의 운용성 - 페가수스 소프트웨어의 공격 능력 분석
1) 원격 설치 주입 기능 : 설치 프로세스 전반에 물리적인 접근 불필요
2) 제로클릭 공격 능력 : 사용자와의 상호 작용 없이 자동으로 공격 활성화
3) OS와 플랫폼을 초월한 침투 능력 : 대부분의 스파트폰과 응용프로그램을 모니터링 및 인증 키 복제 가능
4) 자체 파괴 메커니즘 : 에이전트가 응답하지 않고 서버와 통신하지 않은 경우 자동으로 제거
댓글을 남겨주세요
로그인 후 댓글을 작성할 수 있습니다.