이스라엘의 감시 소프트웨어 업체 NSO 그룹이 왓츠앱(WhatsApp)의 제로데이 취약점을 이용해 페가수스(Pegasus) 스파이웨어를 배포한 사실이 법정 문서를 통해 드러났다. 특히, NSO 그룹은 왓츠앱의 소송에도 불구하고 새로운 익스플로잇을 개발해 공격을 지속한 것으로 밝혀졌다.
# 왓츠앱을 겨냥한 다양한 익스플로잇 개발
법정 문서에 따르면 NSO 그룹은 왓츠앱의 보안 체계를 우회하기 위해 여러 익스플로잇을 개발했다.
-헤븐(Heaven) 익스플로잇: 2018년 4월 이전, NSO는 ’왓츠앱 설치 서버(WhatsApp Installation Server, WIS)’라는 커스텀 클라이언트를 개발했다. 이 클라이언트는 공식 왓츠앱 클라이언트를 가장해 악성 메시지를 전송함으로써 피해자의 디바이스에 페가수스 스파이웨어를 설치할 수 있었다. 왓츠앱은 2018년 9월과 12월 보안 업데이트를 통해 이 취약점을 차단했다.
-에덴(Eden) 익스플로잇: NSO 그룹은 2019년 2월, 왓츠앱의 보안 패치를 우회하기 위해 에덴 익스플로잇을 개발했다. 이 익스플로잇은 2019년 5월까지 약 1,400대의 디바이스를 대상으로 한 공격에 사용된 것으로 드러났다. 왓츠앱은 이후 에덴 취약점을 패치하고 NSO 그룹과 관련된 계정을 차단했다.
-에리세드(Erised) 익스플로잇: 소송이 진행 중이던 2019년 10월 이후에도 NSO 그룹은 에리세드라는 새로운 익스플로잇을 개발해 왓츠앱의 릴레이 서버를 통해 페가수스 스파이웨어를 배포했다. 이 익스플로잇은 2020년 5월 이후 왓츠앱의 추가 보안 조치가 적용되면서 차단되었다.
법정 문서에 따르면 NSO 그룹은 페가수스 스파이웨어와 관련된 익스플로잇, 특히 ’허밍버드(Hummingbird)’로 알려진 왓츠앱 기반 벡터를 개발하고 판매한 사실을 인정했다. 또한, NSO는 왓츠앱의 코드를 역설계해 WIS 클라이언트를 제작했으며, 이를 통해 왓츠앱 서버를 통해 정상 클라이언트로는 전송할 수 없는 악성 메시지를 보낼 수 있었다고 밝혔다. 이러한 행위는 미국 연방법과 주법, 그리고 왓츠앱 이용약관을 명백히 위반한 것으로 평가된다.
# 소송 이후에도 지속된 공격
NSO 그룹은 2019년 10월 왓츠앱이 소송을 제기한 이후에도 에리세드 익스플로잇을 고객들에게 제공했으며, 2020년 5월 이후 왓츠앱의 추가 보안 조치가 적용될 때까지 이를 이용해 공격을 지속했다.
NSO 그룹은 페가수스 스파이웨어를 통해 “수백에서 수만 대”에 이르는 디바이스를 감시한 사실을 인정했다. 감시 작업은 페가수스 고객이 타깃의 휴대전화 번호를 입력한 뒤 “설치” 버튼을 누르는 것으로 시작되며, 스파이웨어 설치와 데이터 추출은 NSO의 시스템에서 자동으로 처리되었다. 고객은 기술적 지식 없이도 간단한 작업만으로 공격을 수행할 수 있었다.
페가수스 스파이웨어는 스페인의 카탈루냐 정치인, 기자, 활동가를 비롯해 영국 정부 관계자, 핀란드 외교관, 미국 국무부 직원의 휴대폰을 해킹하는 데 사용된 것으로 확인되었다. 이는 사생활 보호와 감시 기술의 오남용 문제를 다시금 부각시키고 있다.
미국 정부는 2021년 11월, 정부 관계자와 언론인, 활동가를 감시하는 데 사용된 소프트웨어를 공급한 NSO 그룹과 또 다른 감시 소프트웨어 업체 칸디루(Candiru)를 제재했다. 같은 달 애플(Apple)은 페가수스를 이용해 iOS 기기를 해킹한 혐의로 NSO 그룹을 상대로 소송을 제기했다.
