스마트폰의 통화 · 이메일 · 위치정보를 무단으로 훔치는 스파이 도구를 국가에 판매하는 'Circles'이란?

스마트폰 등에 네트워크 기능을 제공하기 위해 전세계에 구축되어 있는 이동통신 시스템을 이용하여 세계에서 이루어지고 있는 통화나 메일의 내용을 감청하거나 네트워크에 연결된 단말기의 위치정보를 추적할 수 있는 스파이 도구를 국가에 판매하는 기업 'Circles'의 존재를 토론토대학의 글로벌 보안연구소인 The Citizen Lab이 지적합니다. Circles는 iOS 및 Android를 노리는 궁극의 스파이웨어라고 불리는 'Pegasus'를 개발하는 NSO GROUP와의 관계도 지적되고 있습니다.

Running in Circles : Uncovering the Clients of Cyberespionage Firm Circles - The Citizen Lab
https://citizenlab.ca/2020/12/running-in-circles-uncovering-the-clients-of-cyberespionage-firm-circles/

Running in Circles: Uncovering the Clients of Cyberespionage Firm Circles - The Citizen Lab

2013년 미국 정부가 Google과 Apple 등의 서버에 있는 개인정보를 들여다볼 수 있는 감시시스템 'PRISM'을 5년 이상 운용해 온 것으로 밝혀졌습니다. 국경을 초월한 감시가 정부 주도로 진행되어 온 것이 큰 화제가 된 것입니다만, 이러한 대규모 모니터링하는 도구를 지금은 기업이 판매하고 있어 문제시되고 있습니다. 전세계 수준의 광범위한 모니터링을 할 수 있는 툴은, 이동통신 시스템에 존재하는 취약점을 악용한 것이 인기를 끌고 있다고 합니다.

이동통신 시스템에 존재하는 취약점 중 하나로 지적되고 있는 것이 공통선 신호 No.7(CCSS7)에 유래하는 것입니다. CCSS7는 다른 전기통신 사업자 간에 정보를 교환하고 전화를 라우팅하기 위해 1975년에 개발된 프로토콜 제품군. CCSS7 개발 당시의 전화 네트워크는 일부 통신사업자에 의해 독점적으로 구축되어 있었기 때문에, 당시는 CCSS7 인증 및 액세스 제어를 포함할 필요가 없었습니다. 그러나 이후 규제완화와 스마트폰의 보급으로 CCSS7가 널리 사용되게 됩니다. 그 결과, 인증 프로세스에 의한 액세스 규제가 전혀 없는 CCSS7가 공격자의 표적이 되기 시작했다고 합니다.

CCSS7을 활용하여 공격자는 휴대전화의 음성통화와 SMS 문자메시지를 도청할 수 있을 뿐만 아니라 휴대전화의 위치정보를 추적할 수도 있다고 합니다. 또한 SMS를 가로챌 수 있어 SMS로 전송되는 2요소인증 코드를 가로챌 수 있습니다. 통신사업자는 악의적인 트래픽과 정상 트래픽을 구분하기가 어렵고 비용이 들어 CCSS7의 취약점을 노린 공격을 차단하기는 어렵다고 합니다.

CCSS7은 주로 2세대 이동통신(2G) 및 3세대 이동통신(3G)에서 사용되며, 4세대 이동통신(4G)은 다른 프로토콜인 DIAMETER를 채용하고 있습니다. 그러나 DIAMETER에서도 인증 기반의 접근 통제 기능은 옵션으로 제공되고 있어서 CCSS7가 일으키는 문제가 5세대 이동통신 시스템(5G) 이후의 이동통신 시스템에서도 계속될 가능성이 주장되고 있습니다.

그런 CCSS7의 취약점을 노린 스파이 도구를 구축하고 있는 기업 중 하나가 'Circles'입니다. Circles는 2008년에 설립된 회사로 2014년 Francisco Partners에 인수되어 NSO GROUP과 합병되었습니다. Circles는 CCSS7의 취약점을 노린 스파이 도구를 세계 각국의 정부에 독점적으로 판매하고 있다고 합니다. Circles의 스파이 도구가 흉악한 이유는, 다른 감시시스템과 달리 감시 상대의 단말기에 악성코드를 심을 필요가 없다는 점. CCSS7의 취약점을 악용하고 있으므로 CCSS7을 이용한 이동통신 시스템을 사용하는 사용자는 모두가 감시 대상이 되어 버리는 것입니다.

Circles의 실태는 대부분이 수수께끼에 싸여 있지만, 내부 관계자에 의한 유출로 일부 세부사항이 밝혀지고 있습니다. Circles의 스파이 도구는 전기통신사업자가 구축하는 인프라에 접속하는 방식으로 사용하는 시스템과, 전세계 사업자를 상호연결하여 클라우드를 통해 통신을 감청하는 'Circles Cloud' 두 종류가 존재한다고 합니다.

Circles가 제공하는 스파이 도구가 Pegasus와 어떻게 통합되어 있는지는 알 수 없지만, NSO GROUP의 전 직원은 "Pegasus는 Circles와 끔찍한 통합을 하고 있다"며 "Circles 시스템의 능력은 과장되었다"고 말합니다.

Circles는 전세계의 통신 내용을 도청하는 과정을 더 쉽게 하기 위해 'Circles Bulgaria'라는 가짜 전화회사를 설립했다고 합니다. 이 Circles Bulgaria에 대해 조사한 결과, 방화벽의 호스트 이름 등을 특정하는 데 성공. 그 결과, Circles 직원이 '@tracksystem.info'라는 도메인을 포함한 이메일 주소로 통신하고 있는 것으로 밝혀졌습니다.

마지막으로, 252의 IP주소에서 Circles의 고객일 가능성이 높은 25의 국가를 The Citizen Lab이 특정. 또한 WHOIS 정보 및 수동 DNS 방화벽 IP 등의 정보에 따라 Circles의 고객으로 보이는 17곳의 정부 기관을 특정하는 데에도 성공했습니다.

Circles의 고객일 가능성이 있는 25개의 국가 및 17개 정부 기관은 다음과 같습니다.

· 호주
· 벨기에
· 보츠와나 (정보보안서비스 기관)
· 칠레 (조사경찰)
· 덴마크 (육군사령부)
· 에콰도르
· 엘살바도르
· 에스토니아
· 적도 기니
· 과테말라 (시민정보총국)
· 온두라스 (국가정보국)
· 인도네시아
· 이스라엘
· 케냐
· 말레이시아
· 멕시코 (멕시코 해군, 두랑고 주정부)
· 모로코 (내무부)
· 나이지리아 (국방정보국)
· 페루 (국가안보국)
· 세르비아 (안보정보국)
· 태국 (국내 치안부대, 군사정보대대, 마약억제국)
· 아랍에미리트 (국가안보 최고위원회 두바이 정부, 왕실 그룹)
· 베트남
· 잠비아
· 짐바브웨

정부 기관을 고객으로 크게 성장하고 있는 Circles에 대해 The Citizen Lab은 "Circles의 고객이 되고 있는 정부 기관의 대부분은 인권침해 및 기술적인 감시 기능의 남용이라는 비극적인 과거를 가지고 있습니다. Circles 고객의 대부분은 공적 투명성과 책임이 부족하고, 보안기관의 활동에 대한 독립적인 감시가 존재하지 않거나 불충분한 나라들입니다"라고 지적합니다.

또한 The Citizen Lab은 "CCSS7의 취약점을 악용하는 Circles 같은 기업을 조사 · 추적하는 것은 매우 어렵습니다. CCSS7을 이용한 공격의 대부분은 모니터링 대상과의 관계를 필요로 하지 않기 때문에, 감시 대상이 사용하는 단말기에 스파이 행위의 흔적이 남지 않습니다. 그리고 통신사업자의 투명성 부족은, Circles 같은 스파이 기업의 활동은폐로 이어져, 스파이 도구가 활용될 가능성을 더욱 확산시키고 있다"며 전기통신사업자의 투명성 부족이 문제의 근저에 깔렸다고 지적합니다.

Circles의 고객인 정부 기관에 대해서 The Citizen Lab은 "지난 10년간 세계적인 감시산업의 폭발적인 증가로 인해 스파이 기술이 문제 있는 체제와 보안서비스에 사용되고 있습니다. 이러한 단체는 새로 획득한 스파이 도구를 활용하여 국경을 초월한 인권침해를 일삼고 정치적 반대 의견을 봉쇄할려고 합니다 .Circles는 이러한 단체와 밀접한 관계를 가지고 과거에 스파이 도구를 남용했다는 악명 높은 실적을 가진 NSO GROUP과의 합병이 보고되고 있어서 특히 우려된다"고 말합니다.

또한, The Citizen Lab은 감시산업이 성장하기 위한 합법적이고 민주적인 활동이 계속해서 축소될 가능성을 우려하며, 시민의 권리를 보호하기 위해 '더 강력한 국내외 법제를 제정하고 감시기술의 수출입을 엄격하게 감시할 것', 'Circles 같은 모니터링 도구를 개발 · 판매하는 기업에 대해, 실사를 철저히 하고 위반시에는 엄격한 처벌을 집행하는 시스템의 구축', '감시기술에 의해 피해를 입은 사람이 판매회사를 상대로 손해배상을 청구할 수 있는 법 정비'의 필요성을 주장합니다.