인텔렉사라는 단체가 최근 모바일 장비에 심을 수 있는 감시 도구를 여러 정부 기관들에 판매하고 있다고 국제사면위원회가 고발했다. 이들은 정체성이 매우 애매한 조직이라 손을 대기도 어렵고, 그렇다고 지켜보기도 어려운 상황이다.

[보안뉴스 문가용 기자] 최근 프레데터(Predator)라는 이름의 스파이웨어가 급증하고 있다. 명확히 범죄 활동도 아니고, 그렇다고 정상적인 보안 서비스라고도 할 수 없는 회색 영역인 ‘스파이웨어’ 시장이 보이지 않는 곳에서 무럭무럭 성장하고 있다는 것을 보여준다. 심지어 이미 하나의 정식 산업 수준으로 거대해졌다는 조사 결과도 나오고 있다.


국제사면위원회가 프레데터에 대해 조사한 바에 따르면 현재 이 스파이웨어는 안드로이드 모바일과 iOS 모바일 모두를 침해할 수 있다고 한다. 이번 조사를 위해 미국 상무부와 여러 인터넷 서비스 제공 업체들이 데이터를 제공했다고 한다.

실질적이면서 편만한 위협, 프레데터
국제사면위원회가 발표한 보고서인 프레데터파일즈(The Predator Files)에 의하면 현재 프레데터가 발견되는 곳은 최소 25개국이라고 한다. 유럽, 아시아, 중동, 아프리카에서 주로 나오고 있으며, 특히 인권 탄압과 표현의 자유가 억압된 곳, 사회적인 운동을 벌이는 데 제약이 많은 지역에서 프레데터가 출몰하는 경향이 있다고 사면위원회 측은 종합하고 있다. “얼마나 많은지, 하나의 시장이 이미 형성되어 있다고 해도 됩니다. 고도의 감시 도구가 보편화 된 시대가 이미 시작됐다고 봐도 무방합니다.”

이번 주만 해도 마다가스카르 정부가 프레데터를 사용한 정황을 보안 업체 세코이아(Sekoia)가 발표하기도 했었다. 프레데터는 피해자의 장비에서 사실상 거의 모든 정보를 빼낼 수 있는 스파이웨어로, 주로 iOS나 안드로이드, 각종 앱의 제로데이 취약점들을 통해 피해자의 장비에 침투한다. 지난 9월에는 iOS의 제로데이 취약점 세 개를 연쇄적으로 익스플로잇 하여 이집트의 여러 단체들에 침투한 사례가 적발되기도 했었다. 스파이웨어도 이런 식으로 작동하는 게 대부분이다.

국제사면위원회에 따르면 프레데터 스파이웨어의 배후에 있는 건 인텔렉사(Intellexa)라는 업체다. 이들은 주로 정부 기관이나 사법 기관들을 고객으로 삼고 있으며, 고객들이 은밀하게 프레데터를 활용할 수 있도록(즉 피해자의 장비에 설치할 수 있도록) 도왔다고 위원회 측은 보고서를 통해 주장했다. 무기를 제공한 것만이 아니라, 그 무기의 설치와 활용데도 도움을 주었다는 것이다.

프레데터 고객들이 받는 혜택
인텔렉사가 고객들에게 도움을 주기 위해 제공하는 기술 및 도구들은 다양했는데, 그 중 눈에 띄는 건 마스(Mars)라고 한다. 인텔렉사가 마스를 모바일 인터넷 서비스 제공 업체들에 심어둘 경우, 해당 업체로부터 인터넷 서비스를 제공 받아 사용하는 사람들을 공격자가 원하는 곳으로 우회 접속시킬 수 있게 된다.

이 마스에는 ‘애드온’ 제품이 하나 더 붙는데, 이름은 주피터(Jupiter)이고 암호화된 인터넷 트래픽인 HTTPS에 침투할 수 있도록 해 준다. 다만 여기에는 피해자가 사용자와 같은 국가에 호스팅 되어 있어야 한다는 제한 조건이 붙는다. 인텔렉사는 고객들의 편의를 위해 인터넷 서비스 업체들에도 손을 쓴 것이라고 할 수 있다. 이것이 공격에 의한 것인지, 설득에 의한 것인지, 특정 장비나 솔루션을 ISP가 구매하도록 유도한 것인지는 확실하지 않다.

인텔렉사는 삼성의 모바일 장비들을 감염시키기 위한 도구도 판매 및 제공한 것으로 분석됐다. 이름은 트리톤(Triton)으로, 최신 버전 안드로이드가 탑재된 최신 장비들도 감염시킬 수 있다고 인텔렉사는 고객들에게 홍보하고 있었다고 한다. 사면위원회는 삼성 장비에서 사용되는 기저대역 관련 소프트웨어의 취약점들을 익스플로잇 함으로써 트리톤이 설치되는 것으로 보고 있다. 여기까지 공격에 성공한 경우 프레데터 스파이웨어도 설치될 수 있는데, 이 과정에서 피해자의 어떤 행위도 요구되지 않는다고 한다.

그 외에도 와이파이 통신을 가로채게 해 주는 스피어헤드(SpearHead)와, 서류 가방에 담겨 있는 스파이 도구, 밴이나 드론에 탑재시킬 수 있는 각종 장비들 역시 인텔렉사는 판매하고 있다고 위원회는 고발했다. 3G와 4G 통신을 중간에서 가로챌 수 있게 해 주는 알파맥스(Alpha-Max)라는 도구가 인텔렉사 제품들과 함께 사용되는 사례들도 있었다고 한다.

감시를 위한 종합 선물 세트
이런 다양한 도구들을 하나로 묶었을 때 인텔렉사가 고객에게 제공하는 진정한 서비스가 모습을 드러낸다. ‘감시’를 목적으로 한 종합 서비스가 바로 그것이다. 정부 기관과 사법 기관들이 특정 인물들을 추적하고 모니터링한다고 했을 때 사실상 인텔렉사의 서비스로 거의 모든 행위를 할 수 있게 된다는 게 위원회의 설명이다.

그렇다면 가격은 어떻게 될까? 조사에 의하면 안드로이드나 iOS 장비들을 원격에서 침투해 필요한 데이터를 찾아 빼돌리는 데 들어가는 ‘풀세트’ 가격은 800만 유로라고 한다. 최대 10명을 동시에 감시할 수 있으며, 각 표적들에마다 프레데터를 설치할 수 있게 해 준다. 프레데터 설치를 위해 원클릭 취약점을 익스플로잇 하는데, 이 때문에 피해자의 특정 행위를 한 번은 유도해야 한다. 그러나 그것이 큰 장애로 작용하지는 않는 것으로 보인다고 한다. 그 외에 빼돌린 데이터를 분석해 주는 서비스도 제공하며, 12개월 워런티도 주어진다.

미국 정부는 인텔렉사뿐만 아니라 시트록스에이디(Cytrox AD)라는 업체(둘은 협력 관계에 있다), 그 외 손잡고 있는 것으로 보이는 또 다른 업체 하나를 미국 국가 안보에 위협이 되는 단체로 규정했다. MS는 이러한 성격의 기업 혹은 단체들을 ‘사이버 용병 조직’이라고 부르고 있는데, 이번 주 128페이지에 달하는 사이버 용병 단체 관련 조사 보고서를 발표하기도 했다. MS는 “조각조각 난 사이버 사건들의 연결고리가 되어주는 것이 바로 이 용병 단체들”이라며 “앞으로 이런 사업 활동을 하는 조직들이 꾸준히 늘어날 것”이라고 예견했다.

MS가 그렇게 예측하는 데에는 이유가 있다. “수익성이 높은 사업이기 때문입니다. 그런데다가 수요도 꾸준히 있지요. 많은 돈이 이 산업으로 흘러들어가고 있다는 뜻이며, 그렇다는 건 적잖은 성장과 육성이 있을 거라고 확신할 수 있습니다. 해킹 범죄도 아니고 보안도 아닌 이 회색 지대의 시장은 현재 무궁무진한 가능성을 내포하고 있다고 봐도 과언이 아닙니다.”

3줄 요약
1. 소리 소문 없이 확장하고 있는 스파이웨어 산업.
2. 최근 프레데터라는 스파이웨어가 꾸준히 고객을 늘려가고 있음.
3. 범죄도 아니고 정상적인 사업이라고 하기도 힘들어 제재가 어려움.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>