`페가수스 해킹` 명단에 마크롱도 올랐다는데…“국내는 대상자 없어”

(사진=AFP)

[이데일리 이후섭 기자] 이스라엘 보안기업 NSO그룹의 스파이웨어 프로그램 `페가수스`의 공격 대상에 에마뉘엘 마크롱 프랑스 대통령 등 국가정상급 인사도 포함돼 논란이 커지고 있다. 다만 아직 국내에서는 페가수스에 노출된 대상자는 없는 것으로 파악되고 있다.

보안업계·KISA “국내 대상자 포함 안돼…피해사례 보고도 無”

22일 한국인터넷진흥원(KISA), 보안업계 등에 따르면 페가수스의 해킹 목록에 국내 인사나 기업 등이 포함되지는 않았으며, 해킹으로 인한 피해사례도 보고된 바 없다.

최상명 NSHC 수석연구원은 “페가수스 공격에 노출된 국내 대상자는 없는 것으로 알고 있다”며 “국내에서 페가수스 프로그램을 도입해 쓰는 곳도 없는 것으로 파악되고 있다”고 말했다. 지난 2015년 논란이 됐던 이탈리아의 해킹팀 감시툴 사건 이후 한국에선 이런 프로그램을 도입하고 있지 않다는 얘기도 나온다.

KISA 관계자는 “아직까지 (페가수스 관련)알려진 피해사례나 신고접수가 이뤄진 건 없다”고 밝혔다.

앞서 지난 18일(현지시간) 워싱턴포스트(WP)는 페가수스와 관련된 5만개 이상의 전화번호 목록을 입수한 뒤 전 세계 다른 16개 언론사와 공동 취재를 통해 이 프로그램이 언론인과 인권 운동가, 기업인 등의 해킹에 사용됐다고 보도됐다. 이 중에는 마크롱 대통령 뿐만 아니라 이라크의 바르함 살리, 남아프리카공화국의 시릴 라마포사 등 3명의 대통령과 10명의 전·현직 총리, 1명의 국왕이 포함돼 충격을 줬다.

“카톡 감청은 과거 사례”…카카오에 보안강화 요청

페가수스는 NSO가 테러범과 중범죄자를 추적하기 위해 10년 전 개발한 프로그램으로, 40개국 60곳가량의 정보기관이나 법집행 기관에 수출된 상태다. 페가수스를 사용하면 목표 스마트폰에 침투해 개인과 위치 정보를 입수하고 스마트폰의 마이크와 카메라를 몰래 조종할 수 있다. 보안성이 높다고 알려진 애플 아이폰도 페가수스에 해킹당한 것으로 드러났다.

페가수스의 공격 대상에 국내 메신저 카카오톡도 포함됐다는 보도가 나오기도 했으나, 과거 사례라는 분석이 나온다. 최 연구원은 “카톡을 감청하는 기능은 페가수스 프로그램에 2016년부터 원래 있던 기능이었다”며 “과거에는 카톡 대화 내용이 노출되는 사례가 있을 수 있었겠으나, 국내에서 사찰 문제가 크게 터진 이후로 그런 기능을 못 쓰는 것으로 알고 있다”고 설명했다.

KISA는 카카오에 관련 정보를 공유하고 보안 강화를 요청했다. 추후 이상이 있거나 문제 발생 시 KISA에 바로 신고해달라고 안내했고, 카카오도 협조를 약속했다는 설명이다.

적대세력 감시 위해 악용…“검수 기술력 높여 걸러내야”

페가수스를 둘러싼 논란이 커지자 이스라엘 정부는 “사이버보안 제품의 경우 범죄 조사 등 적법한 목적을 가진 정부 기관에만 판매된다”며 문제가 발견될 경우 적절한 조처를 취하겠다고 밝혔다. NSO는 일상적 사업활동을 하며 법을 준수하는 시민을 페가수스의 목표물로 삼는 것을 금지하고 있다는 입장이다.

하지만 정부 기관에서 적대 세력을 감시하는 데 무차별적으로 악용됐을 가능성이 높다. 김승주 고려대 정보보호대학원 교수는 “에드워드 스노든이 폭로한 `프리즘` 프로젝트처럼 국가의 이익에 반하는 모든 경쟁 국가들을 감시 대상으로 했을 것”이라며 “정보 파트에서 우리가 미국의 절대 우방이 아니듯이 이스라엘도 마찬가지다. 우리도 충분히 감시 대상이 될 수 있다”고 경계했다.

이러한 해킹 공격에 대항하기 위해서는 보안성 평가인증 등 검수 기술력을 키워야 한다는 제언이다. 김 교수는 “보안 관제를 통해 걸러질 영역이 아니기에 보안성 평가인증 등 검수 기술력을 키워야 한다. 모든 제품에 대한 검수 및 보안성 확인 단계에서 이상한 부분을 걸러낼 수 밖에 없다”며 “우리나라의 현재 검수 기술은 상중하로 치면 `중` 수준에 머무르고 있다. 미국·프랑스 등 `상`의 그룹과 경쟁할 만한 검수 기술력을 확보해야 한다”고 강조했다.