페가수스 스파이웨어 (타겟과 피해, 목표, 감염 경로 등)

페가수스 스파이웨어 악성코드 바이러스 (타겟과 피해, 목표, 감염 경로 등)

 

2021년 7월 18일 10개국 17개 언론사가 협력하는 파리에 본사를 둔 미디어 비영리 단체인 페가수스 프로젝트는 이스라엘 기술회사인 NSO 그룹 고객의 잠재 고객 대상 전화 번호 5만여개를 획득했다고 보다했습니다. 이 목록에는 유명 언론인을 비롯하여 활동가, 학자, 변호사, 정치인 및 공무원, 사업가, 의사, 검사를 비롯하여 NSO 고객에게 관심이 있는것으로 보이는 사람들의 친구 및 친인척이 포함되었습니다 .

 

1. 페가수스 스파이웨어란??
2. 페가수스 스파이웨어의 타깃, 피해자는??
3. 데이터 누출의 원인은 무엇?
4. 누출은 무엇을 의미할까?
5. 포렌식 결과로 밝혀진것은?
6. NSO Group의 입장.
7. HLR 조회 데이터란?

---

페가수스 스파이웨어란??

스파이웨어가 모두 그러하겠지만 사용자가 모르는 사이에 사용자의 기기에 웜이 들어가 24시간 감시장치로 바뀌는 스파이웨어 중 '페가수스 스파이웨어'는 민간 회사에서 개발한 가장 강력한 스파이웨어일 것입니다.

 

사용자의 기기에서 보내거나 받는 메시지를 복사하고, 사진을 수집하고, 통화를 녹음할 수 있습니다. 그뿐 아니라 휴대전화 카메라를 통해 몰래 사용자를 촬영하거나 마이크를 활성화하여 대화를 녹음할 수도 있습니다. 잠재적으로 사용자가 어디에 있는지, 어디에 있었는지, 누구를 만났는지 정확히 찾아낼 수 있습니다.

페가수스는 이스라엘의 NSO 그룹에 의해 개발 및 마케팅되고, 전세계 정부에 침투가능한 해킹 소프트웨어, 즉 스파이웨어입니다. 모바일 운영체제인 iOS나 안드로이드 를 실행하는 수십억 대의 휴대전화를 감염 시킬 수있는 기능을 갖고있습니다.

2016년 포착된 최초의 페가수스 버전은 대상이 악성 링크를 클릭하도록 속이는 문자 메시지 또는 이메일인 스피어 피싱을 통해 휴대폰을 감염시켜왔습니다.

하지만 이후 NSO의 공격 능력은 한층 고도화 되었고 이른바 '제로클릭'이라는 공격으로 휴대기기의 소유자가 어떠한 상호 작용도 필요없는 방법으로 공격을 하는 수준까지 올라왔습니다. 이들은 흔히 "제로데이" 취약성을 이용하는데, 이는 휴대폰 제조사가 아직 알지 못하는 운영체제의 결함이나 버그여서 고칠 수 없는 부분을 파고드는 것입니다.

페가수스 공격방법 (이미지출처 bbc)

 

2019년 왓츠앱(Whatsapp)은 제로데이 취약점을 악용해 1400여 대의 기기가 악성코드를 전송하는 데 NSO 소프트웨어가 사용됐다고 밝혔습니다. 이때는 대상 장치에 WhatsApp 전화를 걸기만 하면 대상이 전화에 응답하지 않더라도 악성 페가수스 코드가 전화기에 설치될 수 있었습니다. 보다 최근에 NSO는 애플의 iMessage 소프트웨어의 취약점을 이용하기 시작했고, 수억 대의 iPhone에 대한 백도어 액세스를 제공했습니다. 애플은 이러한 공격을 막기 위해 지속적으로 소프트웨어 업데이트와 보안업데이트를 하고있습니다.

페가수스에 대한 기술적 이해와 성공적인 감염 후 휴대전화에 남겨진 증거 이동 경로를 찾는 방법은 국제앰네스티 베를린 보안 연구소를 운영하는 클라우디오 구아르니에리(Claudio Guarnieri)가 수행한 연구에 의해 향상되었습니다.

 

NSO 클라이언트가 더 미묘한 제로 클릭 공격을 위해 의심스러운 SMS 메시지를 대부분 포기했다고 설명한 Guarnieri는 "목표물이 알아차릴 수 있는 상황이 훨씬 더 복잡해지고 있다."라고 말했습니다.

NSO와 같은 회사들은 iMessage와 같이 기본적으로 기기에 설치되거나 왓츠앱과 같이 매우 널리 사용되는 소프트웨어를 이용하기 때문에 특히 매혹적입니다. 왜냐하면 페가수스가 성공적으로 공격할 수 있는 휴대폰의 수를 급격하게 증가시키기 때문이죠.

엠네스티의 연구소는 최신 버전의 애플 iOS를 실행하는 아이폰에서 페가수스 고객들의 공격이 성공한 흔적을 발견했습니다. 이번 공격은 2021년 7월에 이루어졌습니다.

피해자의 전화에 대한 포렌식 분석은 NSO의 지속적인 약점 탐색이 다른 일반적인 앱으로 확대되어 이르어지고 있을수 있음을 시사하는 증거도 확인되었습니다. 애플의 사진 및 음악 앱과 관련된 독특한 네트워크 트래픽은 감염 당시 볼 수 있으며, 이는 NSO가 새로운 취약성을 활용하기 시작했음을 보여주는것이라고 할 수있습니다.

스피어 피싱이나 제로 클릭 공격이 성공하지 못하는 경우, 페가수스는 목표물 근처에 위치한 무선 송수신기 상에 설치될 수 있으며, NSO 브로셔에 따르면, 목표 대상의 휴대전화를 전화를 훔칠 수 있는 경우 수동으로 설치하기만 하면 된다고합니다.

일단 전화기에 설치되면 페가수스는 정보를 수집하거나 파일을 추출할 수 있습니다. SMS 메시지, 주소록, 통화 내역, 캘린더, 이메일 및 인터넷 검색 기록은 모두 지워질 수도있습니다.

페가수스가 휴대전화에 침투하는 방법

페가수스는 일반 앱의 취약성을 통하거나 대상을 속여 악의적인 링크를 클릭함으로써 휴대기기에 설치 될 수있습니다.

 

Guarnieri는 "아이폰이 손상되면 공격자가 디바이스에서 이른바 루트 권한, 즉 관리 권한을 얻을 수 있는 방식으로 이뤄진다"라고 설명했습니다.

 

"페가수스는 기기 주인이 할 수 있는 것보다 더 많은 것을 할 수 있습니다."

NSO는 소프트웨어를 발견하기 어렵게 만드는 데 상당한 노력을 기울였고 페가수스 감염은 이제 식별하기 매우 어렵습니다. 보안 전문가들은 페가수스의 최신 버전은 휴대전화의 하드 드라이브가 아닌 휘발성 임시 메모리에만 저장된 것으로 의심하고 있는데 이는 일단 전화기의 전원이 꺼지면 소프트웨어의 모든 흔적이 사라지게 된다는 것을 의미합니다.

페가수스의 가장 중요한 도전과제 중 하나는 소프트웨어가 발견되지 않은 취약점을 악용한다는 점인데, 이는 보안을 가장 의식하는 휴대전화 사용자도 공격을 막을 수 없다는 것을 의미합니다.

---

페가수스 스파이웨어의 타겟, 피해자는??

조사를 진행 중인 언론 매체는 50개국 이상에 걸쳐 1,000명 이상의 사람들이 목록에 포함되어 있다고 밝혔습니다.

여기에는 정치인과 국가 원수, 기업 임원, 활동가 및 여러 아랍 왕실 구성원이 포함됩니다. CNN, 뉴욕타임즈, 알자지라 등의 언론인 180여명도 명단에 이름을 올렸다.

보고서에 따르면 많은 숫자가 아제르바이잔, 바레인, 헝가리, 인도, 카자흐스탄, 멕시코, 모로코, 르완다, 사우디아라비아 , 아랍에미리트 등 10개 국가에 집중되어 있습니다.

멕시코 언론인 Cecilio Pineda Birto 의 전화 도 그가 살해되기 한 달 전을 포함하여 목록에 두 번 나타났습니다. 그의 휴대전화는 범행 현장에서 사라져 법의학 수사가 불가능했다. NSO는 그의 전화가 표적이 되더라도 수집된 데이터가 그의 살인과 관련이 있다는 의미는 아니라고 말했다.

 

데이터는 개별 NSO 클라이언트를 나타내는 클러스터로 구성되지만, 어떤 NSO 클라이언트가 주어진 숫자를 선택했는지에 대해서는 언급하지 않습니다. NSO는 40개국의 60개 고객에게 도구를 판매한다고 주장하지만, 그들의 정보를 밝히는것은 거부하고 있습니다.

유출된 자료에서 개별 의뢰인의 타깃 패턴을 면밀히 검토함으로써 미디어 파트너들은 아제르바이잔, 바레인, 카자흐스탄, 멕시코, 모로코, 르완다, 사우디아라비아, 헝가리, 인도, 아랍에미리트 등 대상 선정의 책임이 있는 것으로 추정되는 10개 정부를 식별할 수 있었습니다. 또한 이들 10개 국가 모두가 NSO의 고객이라는 증거를 확인했습니다.

---

데이터 누출의 원인은 무엇?

이번 데이터 유출은 2016년부터 보안 감시 소프트웨어를 판매하는 NSO그룹의 정부 의뢰인이 관심 있는 전화번호로 선정한 것으로 추정되는 5만여 개의 전화번호 목록입니다.

페가수스 스파이웨어 세계 현황 (출처 트위터 amnesty)

 

이 데이터에는 또한 번호가 선택되었거나 시스템에 입력된 시간과 날짜도 포함되어 있습니다. 파리에 본사를 둔 비영리 저널리즘 단체인 Forbidden Stories와 국제앰네스티는 처음에 이 목록에 접근할 수 있었고 가디언을 포함한 16개 미디어 단체와 접속을 공유했습니다. 80명 이상의 기자들이 페가수스 프로젝트의 일환으로 수개월 동안 함께 일했습니다. 엠네스티의 보안 연구소는 이 프로젝트의 기술적 파트너로 법의학적 포렌식 분석을 담당했습니다.

---

누출은 무엇을 의미할까?

이 자료가 잠재적인 목표물인 NSO의 정부 고객들을 감시하기 전에 미리 파악한 것으로 보고 있습니다.

 

데이터는 의도를 나타내는 것이지만 데이터에 숫자가 있다고 해서 회사의 시그니처 감시 도구인 페가수스와 같은 스파이웨어로 기기를 감염시키려는 시도가 있었는지 또는 시도가 성공했는지 여부를 나타내지는 않습니다. NSO가 자사의 도구로는 "기술적으로 불가능하다"고 말하는 극소수의 유선전화와 미국 번호의 데이터에는 페가수스에 감염될 수 없음에도 불구하고 NSO 고객들에 의해 몇몇 목표물이 선택되었음을 알 수 있습니다.

 

그러나 리스트에 번호가 있는 휴대폰의 작은 샘플에 대한 포렌식 검사 결과, 데이터에 있는 숫자의 시간과 날짜와 페가수스 활동의 시작 사이의 밀접한 상관관계가 발견되었으며, 경우에 따라서는 몇 초도 되지 않는 경우도 있었습니다.

---

포렌식 결과로 밝혀진것은?

앰네스티는 공격이 의심되는 스마트폰 67대를 갖지고 확인했는데 이 중 23명이 감염됐고 14명이 침투 시도 징후를 보였습니다. 나머지 30개의 경우 단말기가 교체되었기 때문에 확실한 결과를 얻지는 못했습니다. 그 중 15개는 안드로이드 기기였는데, 그 중 어느 것도 감염에 성공했다는 증거를 보여주지 못했습니다. 그러나 아이폰과 달리 안드로이드를 사용하는 폰은 엠네스티의 탐색 작업에 필요한 종류의 정보를 기록하지 않습니다. 안드로이드폰 3대는 페가수스 연동 SMS 메시지 등 타깃팅 징후를 보였습니다.

 

엠네스티는 페가수스 연구를 전문으로 하는 토론토 대학의 연구 단체인 시티즌 랩(Citizen Lab)과 아이폰 4대의 '백업 카피'를 공유했는데, 이들이 페가수스 감염의 징후를 보인 것을 확인했습니다. 연구소는 또한 앰네스티의 포렌식 방법에 대한 검토를 실시했고, 검토 결과 결과값이 타당하다고 나타냈습니다

---

NSO Group의 입장.

NSO 그룹의 전체 성명은 여기 에서 읽을 수 있습니다.

 

항상 고객 대상의 데이터에 접근할 수 없다고 말해 왔습니다. NSO는 변호사들을 통해 어떤 고객들이 이 회사의 기술을 사용하는지에 대해 "잘못된 가정"을 했다고 말했습니다. 5만 개라는 숫자는 "과대하다"라고 밝혔으며, 이 목록은 "페가수스를 사용하는 정부가 목표로 삼은" 숫자의 목록이 될 수 없다고 밝혔습니다.

 

변호사들은 NSO가 컨소시엄에 의해 접속한 리스트가 "페가수스를 이용하는 정부들이 목표로 삼은 숫자의 리스트가 아니라, 그 대신 다른 목적으로 NSO그룹 고객들이 사용했을 수 있는 더 큰 숫자의 리스트의 일부일 수도 있다"라고 믿을 이유가 있다고 했습니다.

 

또한 오픈 소스 시스템에서 누구나 검색할 수 있는 숫자의 목록이라고 말했고, 추가 질문 후, 변호사들은 컨소시엄이 "고객의 페가수스나 다른 NSO 제품의 목표 목록과는 아무런 관계가 없는 HLR Lookup Service와 같은 접근 가능하고 명백한 기본 정보에서 유출된 데이터를 잘못 해석한 것에 근거하고 있다"고 말합니다.

 

이 목록과 NSO 그룹 기술의 사용과 관련된 어떠한 연관성도 아직 보이지 않고있습니다." 출판 이후 그들은 페가수스의 성공 또는 시도되었지만 실패 한 감염의 주체가 되는 전화기로 '표적'을 고려했다고 설명했으며, 5만 대의 전화기 목록이 너무 커서 재위탁할 수 없다고 재차 강조했습니다. 그들은 목록에 숫자가 있다는 사실이 페가수스를 사용한 감시 대상으로 선택되었는지 여부를 나타내는 것은 결코 아니라고 말했습니다.

---

HLR 조회 데이터란?

HLR 또는 홈 위치 레지스터라는 용어는 이동 전화 네트워크를 운영하는 데 필수적인 데이터베이스를 나타냅니다. 이러한 레지스터는 통화 및 문자 라우팅에 일상적으로 사용되는 기타 식별 정보와 함께 전화 사용자의 네트워크 및 일반적인 위치에 대한 기록을 유지합니다.

 

통신 및 감시 전문가들은 HLR 데이터가 때때로 감시 시도의 초기 단계에서 전화 연결 가능 여부를 식별할 때 사용될 수 있다고 말합니다. NSO 클라이언트의 페가수스 시스템은 인터페이스를 통해 HLR 조회 조회를 수행할 수 있는 기능이 있는것이 확인되었습니다. 페가수스 운영자가 소프트웨어를 사용하기 위해 인터페이스를 통해 HRL 조회 조회를 수행해야 하는지 여부는 불분명합니다.