2019년 전 세계를 충격에 빠뜨린 NSO 그룹의 스파이웨어 ‘페가수스(Pegasus)’ 해킹 사건과 관련해, 피해자 1,223명의 국가별 위치 정보가 담긴 법원 문서가 새롭게 공개됐습니다. 해당 문서는 메타(Meta) 산하의 왓츠앱(WhatsApp)이 NSO 그룹을 상대로 2019년 제기한 소송의 일환으로 금요일 법원에 제출되었습니다. 왓츠앱은 당시 NSO가 자사의 보안 취약점을 악용해 1,400명가량의 사용자에게 무단 침입했다고 밝힌 바 있으며, 이들 중에는 100명 이상의 인권운동가, 언론인, 시민사회 인사가 포함되어 있었습니다. 이번 문서를 통해, 그중 1,223명의 피해자가 해킹 당시 어떤 국가에 있었는지가 구체적으로 드러났습니다. 이 정보는 NSO 그룹의 고객 활동 범위와 실제 피해자 분포를 드러내는 매우 이례적인 자료로 평가됩니다.
피해자 수 가장 많은 국가는 멕시코… 미국에도 피해자 존재
왓츠앱이 제출한 “피해자 국가별 수(Victim Country Count)” 차트에 따르면, 피해자가 가장 많이 발생한 국가는 멕시코(456명)**이며, 그 뒤를 인도(100명), 바레인(82명), 모로코(69명), 파키스탄(58명), 인도네시아(54명), 이스라엘(51명)이 이었습니다.
서구권 국가들도 예외는 아니었습니다.
스페인(12명), 네덜란드(11명), 헝가리(8명), 프랑스(7명), 영국(2명), 미국(1명) 등에서도 피해자가 발생한 것으로 나타났습니다. 이 문서는 이스라엘 매체 CTech가 처음 보도했으며, 이번에 법적 증거물 형태로 공식 제출되었습니다.
“실제 피해 규모는 훨씬 더 클 수 있다”
사이버 보안 전문가 루나 샌드빅(Runa Sandvik)은 “수년간 수많은 언론 보도가 페가수스의 위험성을 지적해왔지만, 실제로 경고를 받지 못했거나 기기 분석을 받지 않았으며, 자신의 이야기를 공개하지 않은 피해자들도 많다는 점이 항상 빠져 있었다”고 지적했습니다. 그녀는 “특히 멕시코에서만 456명의 피해자가 발생했다는 사실은 스파이웨어 위협의 실질적인 규모를 보여주는 강력한 지표”라고 평가했습니다. 더욱 우려스러운 점은, 이 모든 해킹 시도가 단 두 달인 2019년 4월~5월 사이에 벌어졌다는 점입니다. 단기간에 수천 명의 왓츠앱 사용자가 정부 후원 해킹에 노출된 셈입니다. 다만, 문서에 특정 국가가 명시되어 있다고 해서, 그 나라 정부가 직접 자국 내 피해자를 해킹했다는 의미는 아닙니다. 페가수스를 구매한 정부가 타국의 인사를 원격 감시하는 것도 가능하기 때문입니다. 실제로, NSO 그룹은 수출 제한 국가인 시리아를 기술적으로 지원할 수 없음에도 피해자 국가 목록에 시리아가 포함되어 있다는 점이 이러한 가능성을 보여줍니다.
피해자 수는 ‘고객 규모’ 반영… 멕시코, 6천만 달러 사용
이번 목록은 NSO 그룹의 주요 고객이 누구인지를 유추할 수 있는 단서이기도 합니다. 샌드빅에 따르면 NSO와 같은 감시 기술 회사는 고객이 동시에 몇 명을 감시할 수 있는지에 따라 제품 가격을 정하며, 고객당 타깃 수가 많을수록 지불 금액도 커지는 구조입니다. 뉴욕타임스는 2023년 보도에서, 멕시코 정부가 NSO 스파이웨어 구매에 6,000만 달러 이상을 지출한 것으로 확인되었다고 보도한 바 있으며, 이번 목록에서 멕시코 피해자 수가 압도적인 것도 이와 무관하지 않은 것으로 보입니다.
왓츠앱, 이미 미 법원에서 부분 승소
왓츠앱은 2023년, NSO 그룹이 미국 해킹 금지법을 위반했다고 판결받으며 주요 승리를 거두었고, 현재는 NSO가 왓츠앱에 배상해야 할 손해액을 산정하는 다음 단계 절차가 진행 중입니다. 이번 소송을 통해 드러난 또 다른 사실은, NSO 그룹이 과도한 남용 사례로 인해 10개 정부 고객과 계약을 해지했다는 점, 그리고 NSO가 만든 왓츠앱 전용 해킹 도구의 1년 사용 라이선스 비용이 최대 680만 달러, 이로 인해 2019년 한 해에만 최소 3,100만 달러 이상의 매출을 올렸다는 사실입니다. 왓츠앱 대변인 자드 알사와(Zade Alsawah)는 이번 건에 대한 언급을 거절했으며, NSO 그룹은 테크크런치의 논평 요청에 응하지 않았습니다.
'Tech 뉴스' 카테고리의 다른 글
| TSMC, 화웨이 AI 칩 관련 미 수출 규제 위반으로 최대 10억 달러 벌금 위기 (0) | 2025.04.10 |
|---|---|
| 앤스로픽, 월 200달러짜리 고급 AI 구독 서비스 ‘Claude Max’ 출시 (0) | 2025.04.10 |
| 스레즈, X(구 트위터) 팔로잉 기반 크리에이터 자동 팔로우 기능 테스트 중 (0) | 2025.04.10 |
| 메타 내부고발자, “중국과 공모”… 페이스북 정책 책임자 미 상원서 폭로 (0) | 2025.04.10 |
| 웨이모 로보택시, 치크필레 드라이브스루에 갇혀 교통 혼잡 유발 (0) | 2025.04.10 |
