이스라엘의 이름이 잘 알려지지 않은 한 스타트업이 애플 아이폰 보안의 중대한 취약점을 발견해 이를 바탕으로 세계 각국 정부의 스파이 행위를 도왔다고 25일(현지시간) 월스트리트저널(WSJ)이 보도했다.
정부 도·감청 행위를 조사하는 단체 시티즌랩과 모바일 보안업체 룩아웃의 보고서에 따르면 이 이스라엘 스타트업은 NSO그룹테크놀로지스다. 이 업체는 아이폰 보안 취약점을 이용해 개인 스마트폰을 추적할 수 있는 소프트웨어를 팔아왔으며 고객 중 상당수가 세계 각국 정부라고 보고서는 지목했다.
애플은 이날 이런 취약점을 해결하는 iOS 업데이트를 배포했다. 애플은 성명에서 “우리는 보안 취약점을 인식하자마자 즉각 이를 고쳤다”며 “아이폰 사용자들이 iOS 새 버전인 9.3.5.를 내려받기를 권고한다”고 밝혔다.
시티즌랩과 룩아웃은 이달 초 아랍에미리트(UAE)의 인권 운동가인 아흐메드 만수르의 아이폰을 조사해 이런 사실을 밝혀냈다. 보고서는 민간보안업체들이 정부의 지원을 받아 스파이 소프트웨어를 만드는 현실을 폭로하는 한편 아이폰 운영체제(OS) iOS가 해킹에 ‘난공불락’이 아니라는 점을 입증했다고 신문은 설명했다.
마이크 머레이 룩아웃 보안 리서치 부사장은 “NSO의 소프트웨어는 ‘페가수스’로 불리며 지금까지 내가 본 스파이웨어 중 가장 전문적인 것”이라며 “배터리가 빨리 닳거나 와이파이 접속 시 데이터 전송속도가 갑자기 빨라지는 등의 징후가 나타나지 않아 사용자가 알아채기 힘들다”고 설명했다.
만수르는 해킹 경위에 대해 “지난 10일 알지 못하는 번호가 찍혀 있는 한 문자 메시지를 받았다”며 “그 메시지의 제목은 ‘에미리트 감옥에서의 고문 실태’였다. 즉각 이상함을 느끼고 시티즌랩과 접촉했다”고 말했다.
시티즌랩은 만수르가 받은 메시지 내 링크를 따라가면 페가수스 스파이웨어가 심어지는 사이트에 들어가게 된다고 밝혔다. 빌 마크작 시티즌랩 선임 연구원은 “이런 스파이웨어는 법 집행기관에만 팔리는 합법적 도구로 선전되고 있지만 일부 정부는 이를 시민운동가와 언론인 감시에 쓴다”고 꼬집었다.