이스라엘 NSO그룹이 만든 페가수스는 스파이웨어로서 세계적인 지탄을 받고 있다. 그러면서 개발사인 NSO그룹에 대한 비판들도 이어지고 있다. 하지만 정말 비판을 받아야 할 건 누구일까? 기술을 가진 자일까, 기술을 통제하는 자일까?

[보안뉴스 문가용 기자] 이스라엘의 경찰 역시 스파이웨어 개발사인 NSO그룹(NSO Group)의 페가수스(Pegasus)를 남용하고 있었다는 보도가 나오면서(그 대상은 당연히 이스라엘 국민) 이스라엘에서는 경찰에 대한 수사가 본격적으로 진행됐다. 하지만 결론은 “경찰은 합법적인 선 안에서 페가수스를 사용했다”는 것이었다.


하지만 중요한 건 경찰에 혐의가 씌워졌느냐 아니냐가 아니다. 이스라엘 정부가 NSO가 아니라 경찰을 수사 대상으로 삼았다는 것이다. 작년 NSO 사태 혹은 페가수스 사태가 대대적으로 터졌을 때 모든 비판과 비난은 NSO그룹을 향했었다. 이스라엘 정부는 스파이웨어를 만든 개발사만이 아니라 그걸 사용한 자들에게도 책임을 물을 만한 여지가 있다고 본 것이다.

한창 페가수스가 화제가 되어 시끌시끌 했을 때 미국 정부는 NSO그룹과 또 다른 이스라엘 스파이웨어 개발사를 블랙리스트에 올렸다. 즉 미국의 기업들은 더 이상 이 두 개 이스라엘 기업으로부터 제품이나 기술을 들여올 수 없게 됐다. 이 때문에 모든 비판이 개발사에만 가해졌고, 이를 몰래 구매해 사용했던 정부 기관들과 정치인들은 책임에서 비교적 자유로워질 수 있었다.

임팩트가 적어서 그렇지, 현존하는 사이버 공격 도구들은 거듭되는 발전 끝에 이미 탱크나 드론, 미사일과 같은 수준의 전쟁 무기가 되었다. 우리는 전쟁 무기를 어떻게 취급하고 있는가? 만든 사람보다 발주한 사람이나 실제 가동하는 사람에 책임을 묻는다. 심지어 그런 무기에 아무나 손을 댈 수 있는 것도 아니다. 무기 하나 수입하고 수출하는 데에도 수많은 시위와 반대 집회가 일어나기도 한다. 개발사에도 가끔 불똥이 튀기는 하지만 대부분 반대의 목소리는 정부를 향한다.

물론 무기를 만든 기업이 무기의 사용처를 기술적으로 제한하는 것이 불가능한 일은 아니다. 심지어 무기의 사용 빈도도 개발사 측에서 한정 지을 수도 있다. 그러나 무기를 구매하는 자 입장에서 이를 달가워할 리가 없으며, 그렇기에 판매에 있어 커다란 장애가 될 것이 분명하다. 무기를 만든 사람들이 무기로 인해 벌어진 모든 일들에 다 책임을 질 수도 없는 일이다. 무기가 사용된 것이 무조건 윤리적으로 올바르지 않다거나 올바르다고 명쾌하게 판단을 내릴 수 있는 것도 아니다. 무기를 개발한 민간 기업들에 이 판단의 권한을 준다는 것도 말이 안 되는 일이다. 그러니 무기와 관련된 일에 있어 우리는 정부에 책임을 묻는 것이다.

이스라엘 정부는 사이버 기술과 솔루션의 수출을 통제한다. 어떤 도구가 해외로 나가도 되고 안 되는지를 정부가 승인과 비승인을 통해 결정한다. 심지어 누가 그러한 무기들을 구매하는지도 정부가 보고 승인해야만 판매가 가능하다. 군사 무기에 대해서 많은 국가들도 비슷한 조치를 취하고 있다. 그래서인지 이스라엘 정부는 최근 스파이웨어와 같은 도구들을 누구에게 판매할 것인지를 새롭게 검토할 것이라고 발표한 바 있다. 페가수스가 대부분 정적이나 반정부 단체, 야권 인사들을 대상으로 사용되었기 때문이다.

그렇기 때문에 필자는 다른 건 몰라도 해킹 도구 혹은 스파이웨어의 판매처를 NSO그룹과 같은 사기업이 제대로 거르지 못했다는 것을 두고 NSO그룹을 비판해서는 안 된다고 본다. 이스라엘 정부가 최종 승인을 하지 않았다면 NSO그룹도 판매를 하지 못했을 것이기 때문이다. 심지어 페가수스를 사간 국가들은 대부분 이스라엘과 미국과 무기 거래를 활발히 해 온 곳들이었다. 오히려 NSO그룹 측이 판매를 거절할 명분이 없었다고 봐야 한다.

물론 그렇다고 해서 사기업은 판매만 하면 됐지, 윤리적 책임까지 질 필요는 없다고 말하는 건 아니다. 오히려 사기업들은 사기업들 나름의 넘지 말아야 할 선이 존재한다. 위에서 말한 대로 국가가 승인하지 않은 국가에 전쟁 무기를 파는 행위는 처벌의 대상이 된다. 테러리스트 단체가 무기를 열람하게 하는 것도 금지된 행위다. 이러한 ‘명백한’ 위법 행위를 하지 않았다면 사실 기업은 비판으로부터 자유로울 수 있다.

기업은 자신을 상대하는 해외 국가 기관들의 의도와 목적을 파악할 수 없다. “이런 무기를 어디에 쓰시려고 구매하시는지요?”라고 사기업이 묻기는 힘들고, 사회가 기업에 그런 걸 요구할 수도 없다. 당연하지만 법적 의무를 지울 수도 없는 노릇이다. 묻는다 해도 구매자가 적당히 둘러대면 그만이다. “정부 기관이라 하더라도 상대 정부 기관의 진짜 의도를 파악하기 힘든 건 마찬가지 아닌가?”라고 물을 수 있다. 하지만 정부 기관은 민간 기업과는 차원이 다른 정보를 보유하고 있고, 따라서 상대에 대한 깊은 통찰을 보유하는 게 가능하다. 따라서 보다 정확한 판단을 내릴 수 있으며, 사실 그런 판단을 내리는 게 지난 수십 년 동안 모든 정부 기관의 책임이기도 했다.

앞으로 사이버 공격 도구들은 페가수스와는 비교가 안 될 정도로 강력해질 것이 분명하다. 악용하기로 마음만 먹으면 얼마든지 나쁜 목적을 달성할 수 있을 것이다. 적국의 인프라를 망가트리고, 사회 기능을 마비시키는 것도 얼마든지 가능할 것이다. 이런 도구들이 해외에도 사용되게 하느냐 마느냐, 심지어 자국 사회 내에서 사용되도록 할 것인가 말 것인가는 정부가 책임을 지고 판단을 내려야 한다.

기술을 개발하고 판매하는 건 기업의 할 일이다. 하지만 이걸 윤리적 잣대 혹은 법적 잣대를 가지고 안내해야 할 것은 단연코 정부다. 기업에 윤리적 판단의 권한을 내주는 것이야말로 스파이웨어보다 더 위험할 수 있다.

글 : 루벤 아로나슈빌리(Reuven Aronashvili), CEO, CYE
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>