NSO 그룹(NSO Group)이 최근 발표한 2025년 투명성 보고서를 둘러싸고 보안 업계와 인권 단체의 비판이 거세지고 있습니다. 이번 보고서는 이스라엘의 악명 높은 스파이웨어 '페가수스(Pegasus)' 제작사인 NSO가 미국 시장 진출을 위해 'Entity List(거래 제한 목록)' 해제를 노리는 시점에서 발표되어 더욱 주목받고 있습니다.
"NSO의 제품이 적절한 국가의 적절한 손에 있을 때 세상은 훨씬 더 안전한 곳이 될 것입니다. 이것이 우리의 최우선 사명입니다." - David Friedman, NSO 그룹 회장
1. 투명성 없는 투명성 보고서
이번 2025년 보고서는 과거 NSO가 발표했던 보고서들에 비해 구체적인 수치가 현저히 부족하다는 지적을 받고 있습니다. 2021년과 2024년 보고서에서는 인권 침해 우려로 인해 거부한 신규 사업 규모(약 2,000만 달러)나 계약이 해지된 정부 고객 수 등을 명시했으나, 올해 보고서는 이러한 정량적 데이터 대신 추상적인 인권 존중 약속과 내부 통제 강화만을 언급하고 있습니다.
이번 2025년 보고서는 과거 NSO가 발표했던 보고서들에 비해 구체적인 수치가 현저히 부족하다는 지적을 받고 있습니다. 2021년과 2024년 보고서에서는 인권 침해 우려로 인해 거부한 신규 사업 규모(약 2,000만 달러)나 계약이 해지된 정부 고객 수 등을 명시했으나, 올해 보고서는 이러한 정량적 데이터 대신 추상적인 인권 존중 약속과 내부 통제 강화만을 언급하고 있습니다.
2. 미국 시장 재진입을 위한 전략적 행보
NSO는 최근 전 트럼프 행정부 인사인 데이비드 프리드먼(David Friedman)을 이사회 의장으로 영입하고, 경영진을 대거 교체하는 등 대대적인 리브랜딩을 시도하고 있습니다. 이는 바이든 행정부에서 지정된 거래 제한 목록에서 벗어나 미국 시장 내 신규 투자자와의 협력을 이끌어내기 위한 포석으로 해석됩니다. 하지만 전문가들은 이를 '눈가림식(Window dressing)' 대응이라며 비판의 목소리를 높이고 있습니다.
NSO는 최근 전 트럼프 행정부 인사인 데이비드 프리드먼(David Friedman)을 이사회 의장으로 영입하고, 경영진을 대거 교체하는 등 대대적인 리브랜딩을 시도하고 있습니다. 이는 바이든 행정부에서 지정된 거래 제한 목록에서 벗어나 미국 시장 내 신규 투자자와의 협력을 이끌어내기 위한 포석으로 해석됩니다. 하지만 전문가들은 이를 '눈가림식(Window dressing)' 대응이라며 비판의 목소리를 높이고 있습니다.
3. 스파이웨어 시장의 지각변동
최근 트럼프 행정부가 들어서며 스파이웨어 기업들에 대한 제재가 완화될 조짐이 보이고 있습니다. 실제로 Intellexa 컨소시엄 관계자들에 대한 제재가 해제된 사례는 NSO 그룹에게도 긍정적인 신호로 작용하고 있습니다. 그러나 Zero-click 공격과 같은 고도화된 기술력을 가진 스파이웨어가 민간 영역에 미치는 위협은 여전히 해결되지 않은 과제입니다.
최근 트럼프 행정부가 들어서며 스파이웨어 기업들에 대한 제재가 완화될 조짐이 보이고 있습니다. 실제로 Intellexa 컨소시엄 관계자들에 대한 제재가 해제된 사례는 NSO 그룹에게도 긍정적인 신호로 작용하고 있습니다. 그러나 Zero-click 공격과 같은 고도화된 기술력을 가진 스파이웨어가 민간 영역에 미치는 위협은 여전히 해결되지 않은 과제입니다.
[아키텍트의 분석: 기술적 관점에서의 고찰]
시니어 아키텍트의 관점에서 볼 때, NSO 그룹의 논란은 단순한 정치적 이슈를 넘어 글로벌 보안 아키텍처의 취약성을 시사합니다.
첫째, NSO의 페가수스는 HTTP/HTTPS 프로토콜 상의 제로데이 취약점과 모바일 OS의 커널 수준 취약점을 파고듭니다. 이는 아무리 견고한 WAF나 CDN 보안 계층을 구축하더라도, 엔드포인트 디바이스의 무결성이 붕괴되면 전체 신뢰 체인(Chain of Trust)이 무너질 수 있음을 보여줍니다.
둘째, 투명성 보고서에서 구체적인 '조사(Investigation)' 데이터가 사라졌다는 것은 기술적 오남용을 모니터링하는 내부 가시성(Visibility) 체계가 불투명해졌음을 의미합니다. 클라우드 네이티브 환경에서 보안 거버넌스를 구축할 때 가장 중요한 것은 '검증 가능한 로그'와 '정량적 지표'입니다. NSO의 이번 보고서는 기술 기업이 갖춰야 할 최소한의 기술적 책임성(Accountability)을 충족하지 못하고 있습니다.
결국, 이러한 스파이웨어 기술이 Cloud 인프라와 결합되어 국가 단위의 감시 도구로 활용될 때, 우리가 구축한 개방형 웹(WWW)의 보안 표준은 심각한 도전에 직면하게 될 것입니다. 기술은 중립적일 수 있으나, 그 기술을 운용하는 거버넌스는 투명한 데이터에 기반해야만 신뢰를 얻을 수 있습니다.
시니어 아키텍트의 관점에서 볼 때, NSO 그룹의 논란은 단순한 정치적 이슈를 넘어 글로벌 보안 아키텍처의 취약성을 시사합니다.
첫째, NSO의 페가수스는 HTTP/HTTPS 프로토콜 상의 제로데이 취약점과 모바일 OS의 커널 수준 취약점을 파고듭니다. 이는 아무리 견고한 WAF나 CDN 보안 계층을 구축하더라도, 엔드포인트 디바이스의 무결성이 붕괴되면 전체 신뢰 체인(Chain of Trust)이 무너질 수 있음을 보여줍니다.
둘째, 투명성 보고서에서 구체적인 '조사(Investigation)' 데이터가 사라졌다는 것은 기술적 오남용을 모니터링하는 내부 가시성(Visibility) 체계가 불투명해졌음을 의미합니다. 클라우드 네이티브 환경에서 보안 거버넌스를 구축할 때 가장 중요한 것은 '검증 가능한 로그'와 '정량적 지표'입니다. NSO의 이번 보고서는 기술 기업이 갖춰야 할 최소한의 기술적 책임성(Accountability)을 충족하지 못하고 있습니다.
결국, 이러한 스파이웨어 기술이 Cloud 인프라와 결합되어 국가 단위의 감시 도구로 활용될 때, 우리가 구축한 개방형 웹(WWW)의 보안 표준은 심각한 도전에 직면하게 될 것입니다. 기술은 중립적일 수 있으나, 그 기술을 운용하는 거버넌스는 투명한 데이터에 기반해야만 신뢰를 얻을 수 있습니다.
원문 출처: Critics pan spyware maker NSO’s transparency claims amid its push to enter US market
댓글
댓글 쓰기