8.10일 아침, 아랍에미리트의 인권활동가 아메드 만수르의 아이폰으로 이상한 문자가 왔다. 알지 못하는 번호에서 온 문자로 ‘아랍에미리트 감옥에서 자행되는 비밀스런 고문’이라는 제목과 함께 URL이 포함되어 있었다. 만수르는 그동안 정부 해커들로부터 해킹팀이나 핀피셔 같은 스파이 업체를 통한 이런 류의 공격을 당한 적이 있다. 그래서 그는 이 링크를 클릭하지 않고 시티즌랩 연구원에게 보냈다.
시티즌랩 연구원들은 해당 링크를 테스트용 아이폰에서 클릭했다. 그러자 아이폰은 알려지지 않은 애플 iOS 취약점 3개를 익스플로잇한 맬웨어에 감염되었다. 시티즌랩에 의하면 이제까지 보아 온 것들 중에 가장 정교한 사이버 스파이 소프트웨어였다고 한다. 이 맬웨어에 감염되면 공격자는 아이폰을 전면 제어할 수 있다.
이 3가지 iOS 버그 혹은 제로데이를 이용한 스파이웨어 공격이 보고된 것은 이번이 처음이다. 아이폰의 원격지 탈옥이 필요한 고도의 공격으로 수백만 달러에 거래 가능한 수준이다. 시티즌랩 연구원들은 애플에 알렸고, 애플은 신속 조치를 취해 어제 업데이트를 발표했다.
이 공격 배후는 누구일까?
조사 결과 이 툴은 NSO Group이라는 이스라엘 회사가 정부기관을 대상으로 판매하는 모바일폰 스파이툴 Pegasus가 이 가능을 제공한다는 것이 밝혀졌다. 이 회사 스파이툴 제품은 아이폰 문자와 이메일을 읽을 수 있으며 통화와 연락처를 추적할 수 있다. 심지어 사운드를 녹음하고, 패스워드 수집, 아이폰 사용자 위치도 추적 가능하다.
NSO Group은 2010년 설립된 정부기관을 상대로 모바일폰 수사용 툴 판매로 명성있는 회사다 이 회사는 자사 제품이 유령처럼 정체가 드러나지 않는다고 자랑하고 있으며, 인터뷰나 언론에 전문가 견해를 언급한 적도 없는 등 철저히 비밀유지를 하고 있고, 제품 마케팅 자료 역시 비공개다.
그러다가 2014년 미국 벤처 캐피탈 회사 수사를 계기로 세상에 알려졌다. 시티즌랩이 공개한 이 회사 비공개 홍보물에 의하면 이 회사에서 판매하는 Pegasus라는 코드네임의 맬웨어는 아이폰을 몰래 감염시켜 저장된 모든 데이터를 훔치고, 문자, 이메일, 연락처, 페이스타임 통화, 스카이프, 왓츠앱, 비버, 위챗, 텔레그램 등 모든 통신을 가로채는 기능을 제공한다.
이번 공격으로 정부에게 스파이 해킹툴을 파는 회사가 이탈리아 해킹팀이나 핀피셔 뿐만이 아니라는 것이 다시 한번 드러났다. NSO 대변인은 인터뷰나 일체의 언급을 사양하고 있는 상태다.