iPhone이나 Android를 통해 전세계의 유명인사와 정치인을 감시하는 스파이웨어 'Pegasus'란?

이스라엘의 보안기업 NSO Group이 개발한 스마트폰 모니터링 소프트웨어 'Pegasus'가 20개국에서 180명이 넘는 언론인을 감시하기 위해 사용되고 있었다고 보도되고 있는데, 그 상세한 실체가 서서히 드러나고 있습니다.

Apple iPhones were successfully hacked by NSO’s Pegasus surveillance tool - The Washington Post
https://www.washingtonpost.com/technology/2021/07/19/apple-iphone-nso/

Zero-click iMessage exploit was used to spy on journalists
https://www.xda-developers.com/zero-click-imessage-exploit-was-used-to-spy-on-journalists/

Zero-click iMessage exploit was used to spy on journalists

Apple iPhones can be hacked even if the user never clicks a link, Amnesty International says
https://www.cnbc.com/2021/07/19/apple-iphones-can-be-hacked-even-if-the-user-never-clicks-a-link-amnesty-international-says.html

Apple iPhones can be hacked with spyware even if you don't click on a link, Amnesty International says

'Pegasus'는 iOS 및 Android를 탑재한 스마트폰을 감시하는 스파이웨어인데, iOS의 경우 Apple 순정 메시지앱인 iMessage에 존재하는 제로데이 취약점을 이용하는 방식으로 iPhone에 침입합니다.

10개국 17개 언론사에서 80명 이상의 언론인이 참여하는 글로벌 컨소시엄의 'Pegasus Project'가 독자적으로 조사한 내용에 따르면, 'Pegasus'는 iOS 14.6가 탑재된 iPhone 12 Pro Max나 iOS 14.4가 탑재된 iPhone SE(2세대), iOS 14.0.1가 탑재된 iPhone SE(2세대) 등 iOS 14 이후의 다양한 버전에서 발견되고 있다고 합니다.

2020년의 시점에서는 스파이웨어 'Pegasus'는 iOS 13을 탑재한 iPhone을 표적으로 삼고 있었습니다. 2020년 시점에서의 'Pegasus'도 최신 버전처럼 iMessage의 취약점을 이용하고 있었는데, 당시는 제로클릭 취약성을 이용하고 있었던 것으로 밝혀졌습니다. 즉 iOS 13가 탑재된 단말기를 대상으로 설계된 'Pegasus'와 iOS 14가 탑재된 단말기를 대상으로 설계된 'Pegasus'는 기술적으로는 크게 다른 것입니다.

또 iOS 13가 탑재된 단말기를 대상으로 설계된 'Pegasus'는 2020년 12월 즈움에 보도되었습니다.

The Great iPwn: Journalists Hacked with Suspected NSO Group iMessage 'Zero-Click' Exploit - The Citizen Lab
https://citizenlab.ca/2020/12/the-great-ipwn-journalists-hacked-with-suspected-nso-group-imessage-zero-click-exploit/

Report: gov't spyware targets phones of Al-Jazeera reporters
https://apnews.com/article/technology-malware-saudi-arabia-united-arab-emirates-dubai-c6cb6fc304aff092a88dd87b5c19e4fe

Report: gov't spyware targets phones of Al-Jazeera reporters

'Pegasus'가 이용하는 취약점을 수정해야 갈 수밖에 없게 된 이유로는, iOS 14에서는 'BlastDoor'라는 보안대책이 도입되었기 때문입니다. 'BlastDoor'는 앱을 효과적으로 분석하고 신뢰할 수 없는 데이터를 검출하며 앱간의 상호작용을 방지하는 보안 샌드박스입니다. 'BlastDoor'는 iOS 13 기기를 대상으로 하는 'Pegasus'가 악용했던 제로클릭 공격을 막는 데 성공했기 때문에 개발사인 NSO Group은 다른 취약점을 이용하여 iOS 14 기기를 대상으로 하는 'Pegasus'를 만들지 않을 수 없게 된 것입니다.

워싱턴포스트는 모로코에 수감된 정치운동가의 아내인 클로드 만긴 씨의 소유인 iPhone 11가 iOS 14가 탑재된 단말기를 대상으로 설계된 'Pegasus'에 감염된 것을 발견하였고 그것이 어떤 식으로 기능하고 있는지를 독자적으로 조사했습니다. 단말기 조사에서 데이터가 도난되었는지 여부는 확인할 수 없었지만 'Pegasus'는 메일 · 통화기록 · 소셜미디어 게시물 · 암호 · 연락처 · 사진 · 동영상 · 녹음파일 검색기록 등 데이터를 수집하고 있는 것으로 밝혀졌습니다. 또 카메라와 마이크를 마음대로 활성화하거나 통화 및 음성메일의 내용을 감청하거나 위치정보를 수집할 수 있다는 것.

만긴 씨의 경우 'Linakeller2203'이라는 Gmail 사용자로부터 보내져 온 메일을 통해 'Pegasus'에 감염된 것으로 알려졌습니다. 만긴 씨의 iPhone 11이 'Pegasus'에 감염된 것은 2020년 10월경으로 이 시기부터 2021년 6월 사이에 몇 번이나 단말기를 해킹당했다고 보도되었습니다.

감염된 iOS 단말기에서 'Pegasus'를 일시적으로 제거하려면 iPhone을 다시 시작하는 것만으로 OK. 보안연구소인 Citizen Lab의 Bill Marczak 씨는 "iPhone을 다시 시작하면 제로클릭 공격이 발생할 때까지 'Pegasus'가 활성화되지 않는다"고 트위터로 전했습니다. 그러나 'Pegasus'의 감지는 매우 어려워지고 있다고도 보고되고 있습니다.

'Pegasus'가 iOS 단말기를 모니터링하는 데 사용되고 있다는 보도에 대해 Apple에서 보안엔지니어링 및 아키텍처 담당이사인 Ivan Krstić 씨는 "Apple은 언론인과 인권운동가, 세상을 더 좋게 하려고 활동하는 모든 사람에 대한 사이버공격을 명확하게 비난합니다. Apple은 10년 이상 보안을 혁신해가며 업계를 선도해 왔습니다. 그 결과, 보안연구자들은 iPhone이 시장에서 가장 안전한 소비자 모바일 단말기라는데 동의합니다. 보도되고 있는 사이버공격은 매우 정교한 것으로, 개발에 수십억 원의 비용이 투입된 것으로 보이고, 많은 경우 특정 개인을 대상으로 하는 데 사용되는 것입니다. 즉, 대다수의 사용자에게는 위협이 아니라는 것입니다. 그러나 우리는 모든 사용자를 보호하기 위해 끊임없는 노력을 계속하고 있으며 사용자의 단말기와 데이터를 보호하기 위한 시책을 새롭게 추가하고 있다"라는 성명을 발표했습니다.

Apple은 2021년 7월 20일에 iOS 14.7을 출시하며 동시에 보안 업데이트도 발표했습니다만, 이 업데이트가 'Pegasus'에 관련된 것인지 여부는 현시점에서는 알 수 없습니다.

'Pegasus'의 개발원인 NSO Group은 지금까지 기자와 변호사, 활동가, 검사, 외교관, 교사, 판사, 학자, 정치인 등을 감시해 온 것으로 밝혀졌습니다. 새롭게 멕시코의 안드레스 마누엘 로페스 오브라도르 대통령과 관계자 50명을 감시하고 있던 점이나 인도의 정치인인 나렌드라 모디 총리의 정치적 라이벌로 알려진 라훌 간디 씨 등도 감시대상인 것으로 드러났습니다.

또 미국정부의 글로벌 감시실태를 폭로한 전 NSA 직원 에드워드 스노든 씨는 'Pegasus'와 같은 스파이웨어에 대해 "이런 종류의 기술거래를 금지하기 위해 움직이지 않으면 모니터링 표적이 더욱 증가해 수만 명 규모를 넘어 수천만이 대상이 될 것입니다. 이것은 우리의 상상보다 훨씬 일찍 일어날 것"이라며 한시라도 빨리 스파이웨어의 확산을 막을 수 있는 대책을 강구해야 한다고 경고합니다.