티스토리 뷰
- 기사 날짜 : 2021-08-26
- 문가용 기자(globoan@boannews.com) / 보안뉴스(www.boannews.com)
- 기사 출처 : https://www.boannews.com/media/view.asp?idx=100181&kind=&sub_kind=
[기사 요약]
강력한 스파이웨어인 페가수스는 원래 사법 기관과 첩보 기관이 테러리스트나 주요 범죄 용의자의 모바일 장비로부터 몰래 데이터를 훔쳐 각종 피해를 막는 데 도움을 주기 위해 개발된 도구이다. 대부분 취약점 익스플로잇을 통해 표적이 된 장비에 침투해 들어가 각종 문건과 이미지, 위치 정보, 통화 내용 등을 사용자에게 전송하는 식으로 작동한다. 문제는 이 페가수스가 '범인들의 모바일에만' 작동하는 게 아니라 '모든 모바일에서' 작동한다는 것이다.
NSO 그룹은 순수히 방어용으로 개발되었다는 이유로 페가수스가 스파이웨어가 아니라고 주장한다. 테러리스트들이나 강력 범죄자들은 악의적인 모의를 기획할 때 항상 암호화 기술을 사용하는데, 이는 수사 단계에서 큰 방해가 되고, 따라서 그 문제를 해결해 주기 위해 만들어진 것이 페가수스이기 때문이다.
NSO 그룹은 페가수스를 '스파이웨어'로 분류하지 않지만, 그들을 제외한 거의 모든 사람은 페가수스를 스파이웨어라고 부른다. 지금 이 페가수스의 사용자들은 대부분 독재자 혹은 그에 준하는 억압적 군주와 그 수하의 정부들이기 때문이다. 그런 세상의 현실을 알리는 기자들과 운동가들은 피해자가 되고 있다.
따라서 스파이웨어에 대한 사용에 대한 기준을 정할 필요가 있다. 예를 들어 페가수스 고객의 사용 현황에 대해 NSO가 투명하게 전달받아야 한다는 조건이 걸린다거나, 활동 현황을 투명하게 공개해야만 하는 공공 단체들에만 판매하도록 하는 방법도 있다. 다른 방법으로는 산업 내에서 스파이웨어와 관련된 새로운 표준을 수립하는 것도 있다. 취약점 익스플로잇 행위가 연루된 모든 정상적 사업 행위를 파악하고, 산업 내에서 자체적으로 모니터링을 지속하는 식으로 말이다.
방어 의도를 가지고 제작된 솔루션들이지만 공격에도 높은 효과를 발휘할 수 있다면, 그 솔루션 개발사는 적어도 고객에 대해 자세히 파악하는 책임은 져야 한다. 실제로 스파이웨어 시장은 서서히 규모가 커지고 있고, 이 시장이 번창하게 된다면 여기에 뛰어드는 사람들도 늘어날 것이다. 지금이라도 이 문제를 심도 있게 나누고 시장 전체의 성장력을 억제할 방법을 강구해야 한다.
[용어 정리]
스파이웨어 (Spyware) : 사용자의 동의 없이 설치되어 컴퓨터의 정보를 수집하고 전송하는 악성 소프트웨어로, 신용 카드와 같은 금융 정보 및 주민등록번호와 같은 신상 정보, 암호를 비롯한 각종 정보를 수집한다. 처음에는 미국의 인터넷 전문 광고 회사인 라디에이트가 시작했으나 그 뒤로 아이디, 암호 등을 알아낼 수 있도록 나쁜 용도로 변형되었다.
페가수스 (Pegasus) : 2010년 이스라엘 사이버 무기 회사 NSO Group에서 개발한 스파이웨어로, 대부분의 iOS 및 Android 버전을 실행하는 휴대폰(및 기타 장치)에 설치할 수 있다. 페가수스는 특정 익스플로잇이 아니라 시스템의 많은 취약점을 사용하는 익스플로잇 모음이다. 페가수스는 문자 메시지 읽기, 통화 추적, 비밀번호 수집, 위치 추적이 가능하다. 또한, 대상 장치의 마이크 및 카메라에 액세스하고 앱에서 정보를 수집할 수 있다.
[나의 의견]
프랑스, 남아프리카, 이란의 대통령들도 페가수스로 해킹을 당했다는 뉴스 기사를 본 적이 있다. 이처럼 스파이웨어로 인한 피해자가 빈번하게 나타난다고 해도 현실적으로 스파이웨어에 대한 기준을 정립하는 것은 애매하고, 해결 방안을 모색하기도 어렵다. 하지만 좋은 의도로 만들어진 도구라도 악의적인 목적으로 사용될 수 있다면 주의할 필요가 있다. 정보보안에 대한 수업을 듣다 보면 항상 해킹과 보안은 종이 한 장 차이라는 말을 듣는다. 특히 IT 산업에서는 1년 365일 보이지 않는 크고 작은 사이버 공격과 방어가 수없이 발생하는 것을 고려할 때, 편의를 위해 개발한 소프트웨어가 취약점을 갖게 되어 공격의 동기를 제공하거나 그 자체가 불법적인 활동을 위한 공격 도구가 될 가능성이 높은 것 같다. IT 기술들이 급속히 발전해 나가도 이용자들의 보안의식이 뒷받침되지 않는다면, 기술 개발의 방향성은 부정적인 쪽으로 흔들릴 수 있다. IT 기술 및 제품을 개발하고 사용할 때 그것이 사회에 미칠 수 있는 영향에 대해서도 항상 생각해봐야 할 것이다.
'IT 뉴스' 카테고리의 다른 글
| 금융위 FIU, 가상자산 전담 조직 신설...사업자 관리·이용자 보호 (0) | 2021.08.27 |
|---|---|
| [이정규 칼럼] 메타버스와 오염된 피 (0) | 2021.08.25 |
| [보.알.남] 디지털 파일에 희소성을 더하다, 대체 불가능 토큰(NFT) (0) | 2021.08.24 |
| 끊이지 않는 北 소행 추정 해킹··· 이번에는 통일부 사칭 악성 이메일 전파 (0) | 2021.08.17 |
| [최정식 발행인 칼럼] 사이버공격 피해 대응, 현행법 적용으로 충분? (1) | 2021.07.29 |
- Total
- Today
- Yesterday
- window 객체
- Char
- History 객체
- stdio.h
- bom
- 리액트 #React #props #state #javascript
- long
- short
- keyword
- location 객체
- Document Object Model
- gcc
- c언어
- 변수
- int
- Screen 객체
- Navigator 객체
- Browser Object Model
- 키워드
- DOM
- 자료형
- 컴파일
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 |