이스라엘 보안기업 NSO그룹의 스파이웨어 프로그램인 '페가수스'를 활용한 각국 정부의 해킹 의혹을 둘러싼 파장이 갈수록 커지고 있는 가운데 보안이 철저하다는 아이폰도 페가수스에 당했다는 분석이 나왔다.

19일(현지시간) 워싱턴포스트(WP)는 '광고에도 불구하고 아이폰의 보안은 NSO 스파이웨어의 적수가 되지 못했다'는 제목의 기사를 게재했다. WP는 바로 전날 전세계 16개 언론기관이 공동취재한 결과 NSO가 해외 기관에 판매한 페가수스가 언론인과 인권 운동가, 기업인등의 휴대전화를 해킹하는데 사용됐다고 보도했다.

19일(현지시간) 영국 일간 가디언은 2016∼2017년 멕시코 정부가 '페가수스'를 이용해 감시를 시도한 것으로 추정되는 이들 중에 안드레스 마누엘 로페스 오브라도르(AMLO) 대통령의 측근이 50명 이상 포함돼 있다고 보도했다.

2016∼2017년은 엔리케 페냐 니에토 정권 시절로, 로페스 오브라도르 대통령은 당시 야당 대표이자 차기 유력 대선 주자였다.

각국은 정부 고객에게만 판매되는 페가수스를 활용해 언론인과 반체제 인사, 기업인 등의 스마트폰을 해킹해 사찰했다는 것이다. 이번에 유출된 5만 개의 전화번호는 페가수스 '고객'들이 감시 대상으로 선정한 목록으로 추정되지만, 이들 중 얼마가 실제로 해킹을 당했는지는 불분명하다. 5만개 중 가장 많은 1만5000개가 멕시코 인사들의 번호였다.

가디언에 따르면 멕시코는 전 세계에서 가장 먼저 페가수스를 사들인 국가로 2011년 국방부를 시작으로 검찰, 정보기관 등이 페가수스를 구입해 사용했다.

WP는 페가수스와 관련된 5만개 이상의 전화번호 목록 가운데 67대의 스마트폰에 대한 정밀 조사를 진행한 결과 37대가 감염됐거나 침투 시도 흔적이 있었던 것으로 파악됐다고 밝혔다. 또 37대 가운데 34대는 아이폰이었으며, 이 가운데 23대는 페가수스에 감염된 징후를 보였다고 전했다. 나머지 11대는 침투 시도 흔적이 있었다.

아이폰 뿐만이 아니다. 정밀 조사 대상 중 안드로이드 운영체계(OS)를 이용하는 15대의 스마트폰 중 3대에서 해킹 시도 흔적이 있었다. 이는 안드로이드의 로그 기록이 확실한 결론을 내리는 데 필요한 정보를 저장하기에는 충분히 포괄적이지 않기 때문이라고 풀이했다.

WP는 모로코에 수감된 한 정치운동가 아내의 휴대전화가 해킹된 사례를 소개했다.

지난달 이 여성의 아이폰11에 문자 메시지가 전달됐는데, 아무런 소리도, 이미지도 생성하지 않았다. 그녀의 휴대전화는 프랑스에 머물던 지난해 10월부터 지난 6월까지 여러 차례 해킹됐다고 한다.

그녀가 아이폰 해킹 건에 대해 인터뷰할 때 가져왔던 또 다른 아이폰도 페가수스에 감염된 것으로 추후에 드러났다.

애플의 보안공학 책임자인 이반 크리스틱은 WP에 "이런 공격은 매우 정교하고 개발에 수백만 달러가 든다"며 "종종 사용 수명이 짧고 특정 개인을 목표로 하는 데 사용된다"고 말했다.

그는 "이는 우리 사용자의 압도적 다수에 대한 위협이 아니라는 것을 의미하지만, 우리는 고객을 보호하기 위해 쉼 없이 노력하고 새로운 보호 장치를 끊임없이 추가하고 있다"고 밝혔다.

WP는 애플이 지난해 도입한 '블래스트도어'(BlastDoor)가 페가수스와 같은 공격을 더욱 어렵게 만들었다고 전하기도 했다. 그러면서 삼성이나 LG 등 다른 제조업체의 스마트폰을 사용하는 구글의 안드로이드 OS 역시 페가수스의 주요한 목표물이라고 전했다.

케일린 트리컨 구글 대변인은 구글이 NSO 등을 추적할 위협분석팀을 두고 있고 이용자들에게 매달 4000건 이상의 경고를 보냈다고 설명했다.

WP는 아이폰에 내장된 아이메시지 앱이 해킹 공격의 통로로 활용됐다고도 지적했다.

감염된 23대 중 13대의 침투 때 아이메시지가 역할을 한 것으로 조사됐고, 실패한 11대에 대해서도 6대의 경우 공격 모드로 돼 있었다는 것이다.

아이메시지는 수신자에 대한 경고나 승인 없이 낯선 사람도 메시지를 보낼 수 있도록 했는데, 이는 수년간 보안 연구자들이 약점이라고 경고했던 부분이라고 WP는 전했다.