불가리아의 스파이웨어 제작 전문 업체 서클즈...이스라엘 NSO 그룹과 자매 기업
모바일 통신 프로토콜의 취약점 악용해 전화기 추적과 문자/통화 가로채기 가능해

[보안뉴스 문가용 기자] 서클즈(Circles)라는 스파이웨어 제작 전문 업체로부터 감시용 소프트웨어를 산 정부가 25개라는 고발이 토론토대학의 시티즌랩(The Citizen Lab)으로부터 나왔다. 서클즈는 불가리아의 감시 전문 업체로, 국가 기관만을 상대로 ‘공격적 사이버 기술’을 판매한다. 또 다른 스파이웨어 업체인 NSO 그룹(NSO Group)의 자매 기업이기도 하다.


서클즈가 판매하는 감시 솔루션은 세계 모바일 전화 시스템에 있는 신호 오류를 익스플로잇 하는 것으로, 통화와 문자의 염탐을 가능하게 해 준다. 또한 전화기의 추적도 할 수 있게 해 준다고 시티즌랩은 설명했다. 그런 서클즈의 인프라를 분석한 결과 전 세계 25개국에서 서클즈의 제품이 사용되고 있을 가능성이 높은 것으로 나타났다. 이 국가들은 다음과 같다.

1) 호주, 2) 벨기에, 3) 보츠와나, 4) 칠레, 5) 덴마크, 6) 에콰도르, 7) 엘살바도르, 8) 에스토니아, 9) 적도기니, 10) 과테말라, 11) 온두라스, 12) 인도네시아, 13) 이스라엘, 14) 케냐, 15) 말레이시아, 16) 멕시코, 17) 모로코, 18) 나이지리아, 19) 페루, 20) 세르비아, 21) 태국, 22) UAE, 23) 베트남, 24) 잠비아, 25) 짐바브웨

서클즈의 스파이웨어는 ‘7번 시그널링 시스템(Signalling System No. 7)’이라는 프로토콜을 익스플로잇 한다. 이는 SS7이라고도 불리는 것으로, 통신사들 간 정보 교환과 통화 라우팅 교환을 가능하게 해 준다. SS7에는 제대로 된 인증 원리가 존재하지 않는다고 한다. 이 때문에 공격 표적이 사용하고 있는 통신사 기지국에 명령을 보내는 방식으로 익스플로잇 할 수 있다. 익스플로잇에 성공하면 공격 표적의 것으로 간주되는 장비를 국경을 넘어서도 추적할 수 있게 된다.

시티즌랩은 “음성 통화 내용과 문자 메시지를 가로채는 것도 가능하다”며 “이를 통해 이중 인증 시스템을 뚫어낼 수도 있다”고 보고서를 통해 설명했다. 이런 악성 트래픽을 통신사가 구분해 내고 차단하는 건 의외로 어려운 일이라고 한다. “이 때문에 공격을 통신사 단계에서 차단한다는 게 생각만큼 쉬운 일이 아닙니다. 심지어 통신사 입장에서 상당히 높은 비용을 지불해야 하기도 합니다.”

정부와 서클즈의 연결 고리는 그 동안 계속해서 의혹의 대상이 되어 왔다. 영국 일간지인 가디언지는 지난 3월 “사우디아라비아 정부가 SS7 인증 취약점을 통해 자국민들을 추적하고 있다”는 내용의 보도를 내보낸 적이 있다. 미국의 국토안보부도 공격자들이 SS7의 취약점을 익스플로잇 할 수 있다는 내용의 경고를 발표하기도 했었다.

서클즈는 2008년부터 사업을 시작한 업체로 2014년 미국의 한 사모펀드가 매입했다. 이 사모펀드는 현재 또 다른 스파이웨어 업체인 NSO 그룹을 인수한 상태이기도 하다. 즉 스파이웨어 업체 두 개가 같은 사모펀드의 산하에 있다는 것이다. NSO 그룹은 얼마 전까지 기자들과 활동가들을 감시하고자 하는 정부 기관들을 상대로 각종 감시 기술을 판매했다는 의혹을 받고 조사를 받기도 했었다. NSO 그룹의 대표작은 페가수스(Pegasus)라고 한다.

3줄 요약
1. 불가리아의 스파이웨어 개발 업체 추적했더니 고객 국가 25개 나옴.
2. 스파이웨어가 익스플로잇 하는 건 SS7이라는 통신 프로토콜의 취약점.
3. 이 취약점을 통해 들어오는 악성 트래픽 걸러내는 건 비싸고 어려운 일.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>