[횡설수설/황인찬]아이폰 뚫은 페가수스

팀 쿡 애플 최고경영자(CEO)는 지난달 “우리는 10년 넘게 사생활(보호)에 집중해 왔다. 이것은 기본적인 인권”이라고 강조했다. 최근 사용자 동의 없는 정보추적을 제한하며 아이폰 보안 기능을 강화한 배경을 설명한 것이다. 그런 아이폰이 해킹된 것이 드러나 체면을 제대로 구겼다.

▷이스라엘 민간보안업체 NSO그룹이 개발한 스파이웨어(해킹용 프로그램) ‘페가수스(Pegasus)’를 사용한 대규모 사찰 정황이 드러났다. 인권단체인 국제앰네스티와 프랑스 비영리단체 ‘포비든 스토리스’ 등은 페가수스 사찰과 관련된 전화번호 5만 개를 확보했다고 폭로했다. 이들이 실제 검증한 휴대전화 67대 중 37대에서 페가수스 감염과 침투 정황이 발견됐는데 이 중 34대(92%)가 아이폰이었다. 워싱턴포스트는 “광고와 달리 아이폰은 적수가 되지 못했다”고 했다.

▷페가수스 자체가 불법은 아니다. 이스라엘 정부의 허가를 받아 세계 40개국 60개 정보기관에 수출도 했다. 테러리스트와 범죄자 감시 목적으로 허용됐다. 그런데 페가수스가 반정부 시민단체나 언론인 사찰에 쓰였다는 폭로가 이어지고 있다. 피해 의심 명단엔 에마뉘엘 마크롱 프랑스 대통령을 비롯한 대통령 3명, 총리 10명, 국왕 1명도 포함됐다고 한다. 각국 지도자들이 호주머니 안에 스파이를 넣고 다닌 셈이다.

▷페가수스와 같은 스파이웨어는 정교해지고 있다. 악성 링크를 클릭하거나 특정한 앱을 깔도록 유도하는 것은 고전적 수법이다. 이번에 아이폰의 피해가 컸던 것은 사용자의 승인이 없어도 낯선 사람에게 메시지를 받을 수 있는 ‘아이메시지(iMessage)’ 앱을 통해 침투했기 때문이다. 사용자가 실수로 클릭한 적도 없는 이른바 ‘제로 클릭’ 해킹이다. 페가수스는 휴대전화가 재부팅되면 삭제돼 추적도 어렵다.

▷NSO그룹은 안드로이드폰을 해킹하기 위한 페가수스 버전도 만들었는데 이것은 ‘크리사오르(Chrysaor)’로 불린다. 그리스 신화에서 포세이돈과 메두사 사이에서 태어난 천마(天馬) 페가수스와 황금 칼을 든 용사인 크리사오르가 오늘날 해킹 전쟁에 소환된 셈이다. 전문가들은 이번에 안드로이드폰 피해가 크게 드러나지 않은 것은 해킹 여부를 최종 판단하기 위한 정보 자체가 기기 내에 부족했기 때문이라고 말한다. 판단 재료가 충분치 않다는 것이지 안드로이드폰은 안심해도 된다는 이야기가 아니라는 것이다. 경찰청은 해킹 피해를 막기 위해 백신 프로그램을 최소 2개 이상 설치하고, 모르는 앱이 설치돼 있지 않은지 정기적으로 살펴볼 것을 권고한다. 휴대전화의 쓰임이 커져 편리해질수록 보안 관리가 귀찮아지는 것쯤은 감수해야 할 것 같다.



황인찬 논설위원 hic@donga.com