애플, 자사 서비스 악용 혐의로 NSO 그룹 고소, 승소 가능성은 “불확실”

애플이 이번주, 이스라엘 스파이웨어 개발사인  NSO 그룹(NSO Group)을 고소한 것에 대해 ‘애플 사용자를 감시하고 공격한 것에 대해 책임을 묻기 위한 조치’라고 밝혔다. 애플은 NSO 그룹이 독재 정부에 감시용 소프트웨어를 판매한 것을 비난하면서 분노를 드러냈다. NSO 그룹이 반체제 인사와 언론인, 활동가를 표적으로 삼아 이 소프트웨어를 사용했는지 여부는 따지지 않았다.
 

NSO 그룹은 2019년 메신저 플랫폼 서비스 업체 왓츠앱(WhatsApp)이 이번과 비슷한 이유로 제소한 이후, 이미 법적 분쟁에 휘말린 상태였다. 이번 달 초 미국 제9순회 항소법원은 NSO 그룹의 주권면책법에 따른 보호 청구를 기각했다. 세간의 이목을 끈 이 소송 사건에서 왓츠앱은 NSO 스파이웨어가 왓츠앱 사용자 1,400명의 해킹에 사용됐다고 주장했다.

NSO 그룹은 여태껏 비즈니스 관행을 기밀로 유지할 수 있었지만 이번 2건의 소송이 진행되면 수색 요청에 응해야 한다.
 

NSO 그룹에 제기된 애플 서비스 악용 혐의

올해 9월, 캐나다 토론토대학 사이버연구팀 시티즌 랩(Citizen Lab)은 다양한 전자 기기와 디지털 문서를 대상으로 한 NSO 그룹 페가수스(Pegasus) 스파이웨어의 제로데이 제로클릭(zero-click) 악용 프로그램의 개요를 소개한 보고서를 공개했다.

전자 프런티어 재단(EFF) 전무이사 신디 콘은 ”특히 지난 1~2년 사이에 시티즌 랩과 기타 단체가 소프트웨어 악용 사례를 문서화했다는 점을 고려하면, NSO 그룹이 자사 소프트웨어의 악용 사실을 전혀 몰랐고 이를 통제할 능력이 없었을 것이라고 생각하지 않는다. 더군다나 사우디아라비아의 유명 언론인인 자말 카쇼기가 암살됐는데 어찌 의심하지 않을 수 있을까?”라고 말했다.

많은 매체가 사우디아라비아 언론인이자 반체제 인사인 자말 카쇼기가 살아있을 때는 물론, 2018년 이스탄불에 있는 사우디아라비아 영사관에서 사망한 이후에도 카쇼기와 가까운 관계에 있는 사람들을 감시하기 위해 NSO 그룹의 해킹 멀웨어가 사용됐다는 의혹을 제기했다.

NSO 그룹은 자사의 정부 고객이 자말 카쇼기와 그의 가족을 감시하기 위해 스파이웨어를 사용했다는 혐의를 강하게 부인했다.

콘은 “이 소프트웨어는 사우디아라비아 정부에 판매될 경우, 반체제 인사를 표적으로 사용될 가능성이 매우 높다는 것은 누구나 다 아는 사실이다”라고 강조했다.

애플은 NSO 그룹에 컴퓨터 사기 및 악용 금지법 위반, 캘리포니아 비즈니스 및 직업 코드 섹션17200 위반, 아이클라우드 사용 약관 위반, 부당 이득에 대해 구제를 청구했다.

NSO 그룹은 애플의 소송 문서에서 ‘규칙적이고 노골적인 악용을 부추기는, 고도로 정교화된 사이버 감시 시스템을 만든 악명 높은 해커 집단이자 도덕 관념이 없는 21세기 용병 집단이며, 애플과 애플 사용자, 애플 제품에 공격과 위협을 가하는 데 사용되는 모욕적이고 파괴적인 멀웨어 및 스파이웨어 제품과 서비스를 설계, 개발, 판매, 제공, 배치, 운영, 관리하는 집단’으로 묘사됐다.

애플은 NSO 그룹이 자사의 상업적 이득을 위해 스파이웨어를 취급하기 때문에 고객은 NSO 그룹이 제공하는 제품과 서비스를 악용해 국가 공무원과 언론인, 사업가, 활동가, 학자는 물론 미국 시민을 비롯한 개인을 공격할 수 있다고 지적했다. NSO 그룹의 ‘포스드엔트리(FORCEDENTRY)’ 악용 프로그램이 애플 고객의 기기에 침입해 페가수스 최신 버전을 설치하는 목적으로도 사용된 사실을 폭로하기도 했다.

또, NSO 그룹의 소프트웨어가 애플 서버에 저장된 데이터를 침해하지는 않았지만 사용자 기기에 저장된 데이터를 공격할 목적으로 애플 서비스와 서버를 악용했다고 주장했다. NSO 그룹은 정부와 보안 담당자가 아이폰을 해킹할 수 있는 소프트웨어를 판매한다.

EFF는 현재 진행 중인 소송이 기술 기업의 부당 행위를 조사하는 시티즌 랩 등 합법적인 행위자에 불리하도록 컴퓨터 사기 및 악용 금지법이 적용되는 판례를 남길 지에 대해 궁금증을 제기했다.

콘은 “검찰관과 사기업이 많이 악용하는 이 법은 모호하다. 우리는 이 판례를 면밀히 관찰해 판례로 인한 영향이 악성 행위자에게만 미치고, 시티즌 랩과 같은 연구팀에는 불똥이 튀지 않도록 주의할 것이다. 하지만 안타깝게도, 이 법은 당연히 그럴 것이라고 안심할 수 있는 수준으로 잘 규정돼 있지는 않다”라고 덧붙였다.
 

아직은 불분명한 애플의 승소 가능성

J. 골드 어소시에이츠(J. Gold Associates) CEO 잭 골드는 애플이 승소하면 NSO의 주요 제품은 ‘무용지물’이 될 가능성이 있다고 말했다. NSO 그룹 주요 제품의 목적은 고객에게 공격 대상 스마트폰에 대한 ‘전면적인 접근’을 제공하는 것이기 때문이다. 하지만 승소의 궁극적인 실효성에도 의문을 제기했다. NSO 그룹의 본사는 미국이 아닌 이스라엘에 있고, 애플은 NSO 그룹의 지사가 있는 각 국가에서 소송을 제기해야 하기 때문이다.

골드는 “애플은 미국 법원에서 승소할 수도 있지만 NSO 그룹이 미국에 있지 않기 때문에 그 효력은 미국에서만 인정된다”라고 지적했다. 또, “EU와 다른 국가는 모든 소송에 응해야 할 것이다. 애플이 NSO 그룹 지사가 있는 모든 국가에서 소송을 진행할 것인지는 확실하지 않다. NSO가 애플 장치를 건드릴 수 없도록 막기 위해서는 소송이 불가피하다”라고 말했다.

또한, “애플이 회사 차원에서 어떻게 피해를 입었는지도 분명하지 않다. 일부 애플 사용자가 피해를 입었지만 애플이 자사 평판에 입은 피해를 입증하기는 어려울 것이다. 따라서 애플은 본질적으로 사용자를 대신해 소송을 진행 중인 것이며, 성공할 지는 알 수 없다”라고 말했다.

콘에 따르면, 컴퓨터 사기 및 악용금지법의 재판 관할 범위가 넓다. 미국 정부는 미국에 소재하지 않은 단체를 상대로 국제 소송을 제기할 때 이 법을 사용하는 경우가 많다.

콘은 “그래서 관할권에 대해서는 크게 걱정하지 않는다. 컴퓨터 사기 및 악용금지법과 그 외 애플의 주장이 과도하게 해석될 위험이 있지만, 제대로만 한다면 실효성이 매우 높을 것으로 보인다”라고 말했다.

또, 어떤 면에서는 애플의 소송 결과는 스파이웨어가 금전적으로 애플의 손익에 미칠 영향에 따라 달라질 수 있다고 덧붙였다.

콘은 “애플을 비롯한 많은 기업은 악성 행위자 차단에 많은 리소스를 투자해야 한다. 애플이 NSO그룹을 상대로 제기한 소송에서는 이들이 궁극적으로 사용자 인권을 옹호한다는 점에서는 고마울 따름이지만, 애플이 손익은 물론, 이런 악성 프로그램을 차단하는 데 드는 돈을 절감함으로써 금전적 이익을 얻은 것이 명백히 드러났다”라고 말했다.
 

애플을 옹호한 EFF

EFF는 그동안 애플의 자체적인 감시 활동을 크게 비판해 왔는데, 이번에 애플을 응원하는 것은 의외다.

EFF는 사용자의 장치에 아동 성착취물(CSAM)이 없는지 검사하는 애플의 새로운 시스템에 대한 항의를 지난 몇 달 동안 계속해 왔다. 지난 9월, 캘리포니아 쿠퍼티노에 있는 애플 본사에 사용자의 아이폰 검사를 중단할 것을 요구하는 항의 현수막을 내걸기도 했다.

콘은 “애플은 늘 사용자의 마음에 안 드는 행동을 하지만, 이번에는 그렇지 않다. 따라서 애플을 비판만 하기 보다는 가끔 칭찬할 필요도 있다”라고 말했다. editor@itworld.co.kr