iPhone나 Android를 통해 전세계의 유명인이나 정치가를 감시하는 스파이웨어 「Pegasus」는?
이스라엘 보안업체 NSO Group에서 개발한 스마트폰 감시용 소프트웨어 Pegasus가 20개국에서 180여명이 넘는 언론인을 감시하기 위해 사용된 것으로 보도되고 있다
Pegasus는 iOS 및 Android를 탑재한 스마트폰을 감시하는 스파이웨어이지만 iOS의 경우 Apple 정품 메시지 앱인 iMessage에 존재하는 제로데이 취약성을 이용함으로써 아이폰 내에 침투한다.
10개국 17개 언론사의 언론인이 80명 이상의 언론인이 참가하고 있는 세계적인 공동 사업체인 "Pegasus Project"가 독자적으로 조사한 내용에 따르면, "Pegasus"는 iOS 14.6 탑재된 iPhone 12 Pro Max나, iOS 14.4 탑재된 iPhone SE(제2세대), iOS 14.0.4 탑재된 iPhone SE(제2세대), iOS 14.0.0.14 탑재된 iPhoneS(제2세대), iOS 14.0.0.0.4 탑재된 이후부터 다양한 버전에서 발견되고 있다는 것이다.
2020년에는, 스파이웨어의 「Pegasus」는 iOS 13을 탑재한 iPhone를 표적으로 하고 있다. 2020년의 [Pegasus]도 최신판과 같이 iMessage의 취약성을 이용하고 있었지만 당시는 제로클릭 익스플로이트를 이용하고 있었음이 밝혀지고 있다. 즉, iOS 13 탑재 단말을 표적으로 하는 「Pegasus」와, iOS 14 탑재 단말을 표적으로 하는 「Pegasus」는, 기술적으로는 크게 다른 것이다.
덧붙여 iOS 13 탑재 단말을 표적으로 하는 「Pegasus」에 대해서는, 2020년 12월의 보도된 바 있다.
'Pegasus'가 사용하는 취약점을 변경해야 하는 이유는 iOS 14에서는 'Blast Door'라 불리는 보안대책이 도입되었기 때문이다. 「Blast Door」는 애플리케이션을 효과적으로 분석해, 신뢰할 수 없는 데이터를 검출하고, 애플리케이션간의 상호작용을 막는다고 하는 시큐러티 샌드 박스이다.
'Blast Door'는 iOS 13 탑재 단말을 타깃으로 하는 'Pegasus'가 악용하고 있던 제로클릭 익스플로이트를 막는 데 성공했기 때문에 개발원인 NSO Group은 다른 취약성을 이용하여 iOS 14 탑재 단말을 타깃으로 하는 'Pegasus'를 작성할 수 밖에 없게 된 것이다.
워싱턴 포스트는, 모로코에서 투옥된 정치 활동가의 아내인 클로드 만긴이 소유한 iPhone11이, iOS 14 탑재 단말기를 표적으로 하는 「Pegasus」에 감염하고 있는 것을 발견하고, 그것이 어떻게 기능하고 있는지를 독자적으로 조사하고 있다고 한다. 단말기를 조사해도 데이터를 도둑맞았는지 아닌지는 특정할 수 없었다고 하지만, 「Pegasus」는 메일·통화 이력·소셜 미디어상에서의 투고·패스워드·연락처·사진·무비·녹음 파일·열람 이력이라고 하는 데이터를 수집하고 있는 것이 밝혀졌다. 또 카메라나 마이크를 마음대로 활성화하거나 통화 및 음성사서함 내용을 감청하거나 위치정보를 수집할 수 있다고 한다.
매긴의 경우 Linakeller2203이라는 이름의 Gmail 사용자가 보낸 메일로 Pegasus에 감염된 것으로 알려졌다. 매긴의 아이폰11이 'Pegasus'에 감염된 것은 2020년 10월경으로 이 시기부터 2021년 6월 사이에 여러 차례 단말기를 해킹당한 것으로 알려졌다.
덧붙여 감염된 iOS 단말로부터 「Pegasus」를 일시적으로 삭제하려면, iPhone을 재기동하는 것만으로 된다. 시큐러티 연구소인 Citizen Lab의 Bill Marczak는 「iPhone을 재기동하면, 제로클릭 공격이 발생할 때까지 「Pegasus」가 유효화되지 않는다」라고 트윗하고 있다. 다만, 「Pegasus」의 검출은 매우 어려워지고 있다고 보고되어 있다.
「Pegasus」가 iOS 단말을 감시하는데 사용되고 있다고 하는 보도에 대해서, Apple에서 시큐러티 엔지니어링&아키텍쳐 담당 디렉터를 맡는 Ivan Krstić는, 「Apple은 저널리스트나 인권 활동가, 세계를 보다 좋은 곳으로 만들려고 하고 있는 모든 사람에 대한 사이버 공격을 분명하게 비난한다」고 말한다.
Apple은 10년 이상에 걸쳐 보안 이노베이션(innovation)으로 업계를 리드해 왔다. 그 결과, 보안 연구자들은 아이폰이 시장에서 가장 안전한 소비자용 모바일 단말기라는 데 동의했었다.
보도된 사이버 공격은 매우 세련된 것으로 개발에 몇 십억원의 비용이 들고 많은 경우 특정 개인을 표적으로 하기 위해 사용되는 것이다.
즉, 압도적 다수의 사용자에게는 위협이 아니라는 것이다. 그러나 우리는 모든 사용자를 지키기 위해 꾸준한 노력을 하고 있으며 사용자의 단말기와 데이터를 보호하기 위한 시책을 새롭게 추가할 것이다"라는 성명을 발표했다.
Apple은 2021년 7월 20일에 iOS 14.7을 출시한 직후로, 동시에 보안 업데이트도 발표하고 있지만, 자세한 내용은 밝혀지지 않았기 때문에 그 업데이트가 「Pegasus」에 관한 것인지 아닌지는 알 수 없다.
덧붙여 「Pegasus」의 개발원인 NSO Group는, 지금까지 저널리스트나 변호사, 활동가, 검찰관, 외교관, 교사, 재판관, 학자, 정치가등을 감시해 온 것이 밝혀졌지만, 새롭게 멕시코의 안드레스 마누엘 로페스 오브라도르 대통령과 그 관계자 50명을 감시대상으로 하고 있던 것이나 인도의 정치가 나렌드라 모디 총리의 정치적 라이벌로 알려진 라플 건디 등도 감시대상 이었던 것으로 밝혀졌다.
또, 미국 정부에 의한 세계 규모의 감시실태를 폭로한 전 NSA 직원 에드워드 스노든은 「Pegasus」와 같은 스파이 웨어에 대해 「이런 종류의 테크놀로지의 거래를 금지하기 위해서 움직이지 않으면, 감시의 표적이 더욱더 증가해 수만명의 규모가 되는 것 만으로는 끝나지 않고, 수천만명 규모에까지 증가할 것이다. 이는 우리가 상상하는 것보다 훨씬 빨리 일어날 것이라며 한시라도 빨리 스파이웨어 보급을 막기 위한 대책을 강구해야 한다고 주장했다.
Apple iPhones were successfully hacked by NSO's Pegasus surveillance tool - The Washington Post
https://www.washingtonpost.com/technology/2021/07/19/apple-iphone-nso/
Zero-click iMessage exploit was used to spy on journalists
https://www.xda-developers.com/zero-click-imessage-exploit-was-used-to-spy-on-journalists/
Apple iPhones can be hacked even if the user never clicks a link, Amnesty International says
https://www.cnbc.com/2021/07/19/apple-iphones-can-be-hacked-even-if-the-user-never-clicks-a-link-amnesty-international-says.html
What is Pegasus spyware and how does it hack phones? | Surveillance | The Guardian
https://www.theguardian.com/news/2021/jul/18/what-is-pegasus-spyware-and-how-does-it-hack-phones
댓글