[디지털투데이 황치규 기자]퍼블릭 클라우드 서비스 아마존웹서비스(AWS)가 이스라엘 스파이웨어 개발 업체 NSO그룹과 관련된 계정과 인프라를 폐쇄조치했다고 19일(현지시간) 바이스가 보도했다.

NSO그룹이 제작한 스파이웨어 페가수스가 NSO그룹 정부 고객들이 잠재적으로 타깃 공격을 하는데  선택됐다는 국제 앰네스티(Amnesty International) 포렌식 조사 결과가 18일 공개된 직후 AWS는 NSO와 관련한 인프라와 계정을 빠르게 폐쇄했다.

국제 앰네스티에 따르면 NSO그룹 고객들은 올해까지도 애플 아이메시지(iMessage)를 통해 제로데이 공격에 액세스할 수 있었다고 바이스는 전했다.

바이스 보도에 따르면 NSO그룹 페가수스에 감염된 전화는 정보를 AWS 콘텐츠 전송 네트워크(CDN) 서비스인 아마존 클라우드 프론트로 향하는 서비스로 보냈다. 이것은 최근 몇개월 동안 NSO그룹이 AWS로 전환했음을 의미하는 것이라고 바이스는 전했다.

국제 앰네스티 조사 결과를 독립적으로 리뷰한 시티즌랩도 NSO그룹이 2021년 클라우드 프론트를 포함해 AWS 서비스들을 광범위하게 쓰고 있다는 것을 확인했다.

클라우드 프론트와 같은 CDN는 기업들이 사용자들에게 콘텐츠를 빠르고 안정적으로 제공하기 위해 사용된다.

NSO그룹과 관련해선 클라우드 프론트는 프랑스 한 인권 변호사를 포함해 공격 대상들을 상대로 페가수스 악성코드를 배치하는데 사용됐다.  클라우드 프론트로 서비스를 전환한 것은  외부에서 인프라가 어디에 있는지 찾는 것으로부터 NSO그룹을 보호해줬다고 바이스는 전했다.

또 AWS는 2020년 5월 마더보드가 NSO그룹이 악성코드를 전달하기 위해 AWS 인프라를 사용했다는 증거를 찾았다고 보도했을  당시에는 침묵을 지켰다고 지적했다.

국제 엠네스티에 따르면 NSO는 AWS 외에 디지털 오션, OVH, 린코드같은 회사들 서비스도 이용하고 있다.