요약 : 보안 외신 시큐리티위크에 의하면 구글이 스파이웨어 업체들을 겨냥한 움직임을 보였다고 한다. 2016년부터 현재까지 애플, 어도비, 구글, 마이크로소프트, 모질라에서 출시한 제품들에서 발견된 수많은 제로데이 취약점들 중 60개 이상이 사이버 범죄자들이 아니라 스파이웨어 개발사(즉 정상적인 기업)에 의해 발굴됐다고 주장한 것이다. 심지어 이 개발사의 이름도 정확히 명시했는데, Candiru, Cy4Gate, DSIRF, Intellexa, Negg, NSO Group, PARS Defense, QuaDream, RCS Lab, Variston, Wintego Systems이다. 이들 기업은 제로데이 취약점을 구매하는 데 수백만 달러도 아끼지 않는 것으로 알려져 있다. 그렇게 독자적으로 제로데이 취약점을 확보한 뒤 익스플로잇을 개발하여 더 비싼 값에 여러 정부 및 군 기관에 판매한다.


배경 : 때마침 미국 정부는 이번 주 스파이웨어를 구매하여 남용하는 개인과 조직들에게는 미국 비자를 발급하지 않을 것이라고 발표하기도 했었다. 스파이웨어는 테러 조직이나 범죄 단체를 감시하기 위해 만들어진 소프트웨어이나, 실제로는 독재자나 그에 준하는 권력자가 정적들과 반대파들을 감시하는 데 사용하고 있다. 스파이웨어 개발사를 보안 업체로 분류할 수 있느냐, 차라리 해킹 조직에 가깝지 않느냐는 시각도 존재한다.

말말말 : “스파이웨어 산업은 회색 지대에 있습니다. 노골적인 범죄를 저지르지는 않지만, 윤리적으로 올바른 사업을 한다고 하기도 힘듭니다.” -시큐리티위크-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>