[디지털투데이 황치규 기자] 해킹은 통상 공격자가 보낸 문자 메시지나 이메일에 첨부한 링크나 첨부파일을 무심코 눌렀을 때 당하는 경우가 많다고 알려져 있다.

그러다 보니 요즘은 신원이 불분명한 사람이 보낸 이메일이나 문자 메시지는 그냥 패스하는 것이 기본이라는 인식이 디지털 기기 이용자들 사이에서 어느 정도 자리를 잡았다. 공격자들 입장에선 어지간히 공을 들이지 않으면 누군가를 속이기가 점점 어려워진 셈이다.

하지만 이메일이나 문자 메시지를 받는 사람이 아무 것도 안했는데, 다시 말해 링크를 누르지도, 첨부 파일을 열지도 않았는데 시스템이 뚫리는 공격이라면 얘기가 달라진다. 이건 스마트폰이나 사용자가 평소 보안에 신경을 쓴다고 해서 막아낼 수 있는 성격의 공격이 아니다. 당하는 줄도 모르고 당할 수밖에 없는 공격이다.

환상 또는 상상 속의 보안 위협 아니냐고? 대중화됐다고 보기는 어렵지만 공격 대상이 클릭을 하지 않아도 시스템에 침투할 수 있도록 해주는 이른바 제로클릭(Zero Click) 해킹 기술이 세계 각지로 '은밀하게' 퍼져나가고 있는 건 이미 현실이 됐다.

특히 제로클릭 해킹 기술 주요 구매자들이 정부 기관들인 것으로 나타나면서 국가에 의한 사회 감시와 통제 수단으로 제로 클릭 해킹이 확산되는 것 아니냐는 우려도 확산되는 모양새다. 제로 클릭 해킹은 새로운 도청을 가능케 한다.

제로클릭 해킹에 대한 관심과 우려가 커진 것은 지난해 이스라엘 보안 업체 NSO그룹이 정부기관들에 제로클릭 해킹을 할 수 있는 스파이웨어 도구인 페가수스를 팔아왔다는 사실이 공개되면서부터다. NSO그룹에서 페가수스를 구매한 정부들은 불만을 잠재우기 위해 정부 관리, 비즈니스  종사자, 활동가들을 겨냥해 페가수스를 악의적으로 사용했다. 이 때문에 NSO그룹은 지난해 11월 미국 정부에 의해 블랙리스트 기업이 됐다.

최근 블룸버그통신 보도에 따르면 NSO그룹 외에도 몇몇 이스라엘 보안 업체들이 제로클릭 해킹 기술을 확보했거나 판매하고 있는 것으로 전해지고 있다. 제로클릭 해킹 기술을 사고 파는 마켓플레이스들도 등장했다.

제로클릭 해킹은 애플 iOS나 구글 안드로이드 운영체제 등에 여러 취약점들을 악용해 사용자 몰래 기기에 침투하는 방식으로 진행된다. 공격 대상자가 아무 행동을 하지 않았는데도 침투가 가능하다는 얘기다. 일단 시스템에 들어가면 데이터를 훔치고, 사용자 전화 통화를 몰래 듣고, 위치도 추적할 수 있는 스파이웨어를 설치한다.

감시를 하고 싶은 정부 기관들 입장에선 아주 매력적인 기술이라고 할 수 있다. 실제로 제로클릭 해킹은 활동가들이나 언론인들을 정탐하려는 정부 기관들에 의해 자주 사용되고 있다고 블룸버그통신이 감시 회사 직원들, 보안 연구자들, 해커들을 포함한 10여명 이상을 인용해 전했다.

보안 전문가들이라고 해도 탐지하기 어려운 만큼, 제로클릭 해킹을 막는 건 만만치 않다. 기기 업데이트를 최신 상태로 유지하는 것만으로는 한계가 있다. 공격자들이 기기에 침입하기 위한 관문으로 사용하는 특정 메신저 앱들을 지워버리는 것은 효과적일 수는 있어도 실용성은 떨어진다. 해킹 때문에 커뮤니케이션에 쓰는 메신저와 아예 결별하기는 어려운 법이다.

이와 관련해 블룸버그통신은  아랍 뉴스 네트워크인 알 아라비(Al Arabi) 저널리스트로 제로클릭 해킹 공격을 당한 라니아 드리디의 사례도 공유했다. 아랍 여성들의 권리에 대해 보도한 이유로 해킹을 당했다고 의심하고 있는 드리디는  공격을 받은 이후 일부 소셜 미디어 계정을 폐쇄했고 안전에 대해서도 두려워하고 있다고 블룸버그통신은 전했다.

통상 비밀리에 이뤄지고, 당한 사람들은 당했다는 사실 조차 파악하기 어려운 특성 상, 얼마나 많은 이들이 제로클릭 해킹에 노출됐는지는 확실치 않다.

페이스북을 운영하는 메타는 2019년 자사 왓츠앱 모바일 메신저를 사용하는 1400명들 기기에 스파이웨어를 심기 위해 제로클릭 해킹 기술을 사용했다는 이유로 NSO그룹을 상대로 소송을 제기했지만 피해 상황을 숫자로 표현하기는 여전히 쉽지 않다.

블룸버그통신에 따르면 감시 기술 남용에 초점을 맞춘 캐나다 토론토대학교 연구그룹인 시티즈랩의 빌 마크작 수석 연구 펠로우는 "제로클릭 해킹으로 스마트폰이 해킹되고 아무 흔적도 남지 않는 것이 가능하다"면서 "보안에 대해 인지하고 있는 이들 휴대폰에 침투해도 공격 대상은 그걸 잘 모른다. 공격자는 타깃에 어떤 걸 하라고 할 필요가 없다. 가장 꼼꼼하고 의심이 많은 이들도 스파이웨어에 당할 수 있다는 것을 의미한다"고 말했다.

하지만 제로클릭 해킹이 항상 흔적 없이 이뤄지는 것은 아니다. 계획한 대로 굴러가지 않으면 향후 조사에 활용될 수 있는 단서를 남기는 경우들도 있다. 라니아 드리디 사례도 이를 통해 포착될 수 있었다.

빌 마크작과 그의 시티즌랩 동료들은 드리디 아이폰 XS 맥스를 분석했고 2019년 10월과 2020년 7월 사이에 최소 6번 NSO그룹  페가수스에 감염됐다는 사실을 확인했다. 2020년 2건의 경우 드리디의 스마트폰은 아랍에미레이트연합(UAE) 정부가 진행한 제로 클릭 공격 타깃이 됐다고 시티즌랩은 보고서에서 전했다.

제로클릭 해킹이 얼마나 광범위하게 쓰이고 있는지는 파악하기 어렵지만 나름 시장으로서 구조는 갖춰가는 듯 보인다. NSO그룹 외에도 최소 4개 이상 이스라엘 업체들이 제로클릭 해킹 기술을 확보했거나 개발했다고 블룸버그통신이 이들 회사 전 직원들, 감시 산업 전문가들, 다른 미디어 보도들을 인용해 전했다.

텔아비브에 있는 칸디루(Candiru)는 감시 전문 업체로 같은 이스라엘 회사인 코그나이트(Cognyte)와 협력해 정부들에  안드로이드와 iOS 모바일 기기에 설치될 수 있는 제로클릭 스파이웨어를 제공한다고 블룸버그통신이 두명의 전 칸디루 직원들을 인용해 보도했다. 이에 대해 칸디루 대변인은 코그나이트와 협력하는 것을 검토하기는 했지만 제로클릭 해킹 기술을 개발하거나 판매하지는 않았다고 해명했다고 블룸버그통신은 전했다.

파라곤(Paragon)은 감시기관인 이스라엘 유닛 8200 멤버 출신이 설립한 회사로 자체 제로클릭 해킹 기술을 개발, 이를 유럽과 북미 정부들에 판매해왔다. 이 회사 제로클릭 해킹 기술은왓츠앱, 시그널 같은 암호화된 메시지 앱들에 접근할 수 있게 해준다고  블룸버그통신이 2명의 파라곤 출신 직원들을 인용해 전했다.

로이터통신 보도에 따르면 쿠아드림(QuaDream)은 제로클릭 해킹 기술을 사용해 애플 아이폰을 침투할 수 있는 기술을 제공하는 회사다.

제로클릭 해킹 기술을 거래할 수 있는 마켓플레이스 시장도 성장세다. 익스플로잇 인수(Exploit acquisition) 플랫폼을 표방하는 제로디움은 보안 연구자들로부터 제르 클릭 익스플로잇을 확보해 이를 유럽과 북미 정부들에 판매하고 있다. 

제로디움은 웹사이트를 통해 1500명 이상 보안 연구자들과 협력하고 있으며, 지금까지 5000만달러 이상을 보상으로 지급했다고 전하고 있다. 익스플로잇은 취약점을 이용해 악성코드를 공격 대상자 몰래 설치하고 실행하게 하는 것을 말한다. 

웹사이트를 보면 제로디움은 최신 iOS 소프트웨어에 침투할 수 있 제로 클릭 익스플로잇에 200만달러까지 지급한다고 제안하고 있다. 안드로이드폰 해킹에 쓸 수 있는 제로클릭 익스플로잇은 250만달러, 윈도 컴퓨터 침투에 사용되는 제로클릭 익스플로잇에 대해서는 100만달러까지 지급한다고 돼 있다고 블룸버그통신은 전했다. 

제로클릭 해킹은 보안 전문가라고 해도 탐지하기 어려운 만큼, 구글이나 애플 같은 빅테크 플랫폼 기업들 입장에서도 골칫거리일 수밖에 없다. 지금은 정부 기관들이 주요 구매자들이지만 시장이 정부 밖으로도 확대될 가능성도 충분하다.  알게 모르게 수요가 늘고 있는 건 분명해 보인다.

제로클릭 해킹 기술이  감시 산업으로 계속 커지는 것은 여러 모로 부정적이다. 사용자들 사이에서 IT 활용에 대한 신뢰의 위기가 확산되는 계기가 될 수 있다는 우려가 이미 확산되고 있다.