|
3일(현지시간) 로이터통신, 파이낸셜타임스(FT) 등에 따르면, 미 상무부는 이날 이스라엘의 NSO그룹과 칸디루, 러시아의 포지티브테크놀러지스, 싱가포르의 컴퓨터 시큐러티 이니셔티브 컨설턴시(Computer Security Initiative Consultancy) 등 총 4개 보안 관련 업체를 무역거래 블랙리스트에 등재했다고 밝혔다.
미 상무부는 NSO그룹과 칸디루에 대해 “이들 두 업체가 스파이웨어를 개발해 외국 정부에 공급, 정부 관리, 언론인, 기업인, 활동가, 학계 및 대사관 직원을 악의적으로 표적으로 삼았다는 ‘증거’에 근거해 (블랙리스트에) 등재했다”고 설명했다.
그러면서 “외국 정부들은 이러한 스파이웨어를 통해 초국가적 탄압을 수행할 수 있었다. 독재 정부는 주권 밖의 반체제 인사, 언론인 및 활동가들의 반대 의견을 침묵시키는데 활용했다. 이러한 관행은 법치에 기반한 국제질서를 위협한다”고 지적했다.
테러리스트와 범죄자들을 추적하기 위한 기존 목적과는 다른 용도로 쓰였기 때문이다. 페가수스를 사용하면 목표 스마트폰에 침투해 개인과 위치 정보를 입수하고 스마트폰의 마이크와 카메라를 몰래 조종할 수 있다. NSO그룹은 40개국 60곳의 정보 및 군사 기관, 법 집행 기관 등을 고객으로 두고 있다.
프랑스 비영리 단체 ‘포비든 스토리즈’와 인권단체 국제 앰네스티는 지난 7월 페가수스와 관련된 휴대전화 목록 5만개를 확보해 16개 언론사와 공유했다. 휴대전화번호 소유자들 중 1000명 이상이 50개국에서 신원이 확인됐고, 여기엔 언론인 189명, 정치인 및 정부 관계자 600명 이상, 기업 임원 65명, 인권운동가 85명, 국가지도자 다수가 포함됐다.
또 페이스북은 과거 미 연방법원에 제기한 소송에서 NSO그룹이 아마존웹서비스(AWS) 등과 같은 회사로부터 서버를 임대해 몰래 전화와 컴퓨터에 침입했다고 지적했다. 스파이웨어를 퍼뜨리기 위해 자회사인 왓츠앱의 보안 취약점을 악용했다는 게 페이스북 측의 주장이다.
칸디루는 마이크로소프트(MS), 구글의 보안 취약점을 파고들어 해킹이 가능한 프로그램을 개발에 각국 정부에 판매했다. MS와 언론인과 반체제 인사를 대변하는 토론토대 시민연구소의 연구에 따르면 언론인, 인권운동가, 반체제 인사 등 전 세계적으로 100여명 이상이 이 프로그램에 해킹당한 것으로 추정된다.
토론토대 시민연구소의 존 스콧-레일턴은 미 상무부의 결정에 대해 “미 정부가 NSO그룹을 어떻게 바라보는지 가장 강력하게 보여준다”며 “이 기업의 활동이 잠재적으로 미국의 국가안보에 반하는 것으로 간주하고 있는 것”이라고 말했다.