영국 런던 고등법원이 사우디아라비아 정부를 상대로 제기된 해킹 피해 소송에서 인권 활동가 가넴 알-마사리르(Ghanem Al-Masarir)의 손을 들어주었습니다. 이번 판결은 국가 기관이 민간 기업의 스파이웨어를 사용하여 타국에 거주하는 개인을 감시한 행위에 대해 사법적 책임을 물었다는 점에서 기술 및 보안 업계에 중요한 이정표를 제시하고 있습니다.
런던 고등법원의 푸슈핀더 사이니(Pushpinder Saini) 판사는 '원고의 아이폰이 Pegasus 스파이웨어에 의해 해킹되었으며, 이로 인해 모바일 기기 내 데이터가 유출되었다고 결론지을 강력한 근거가 있다'고 판결했습니다.
Pegasus 스파이웨어의 위협 모델
이스라엘의 NSO 그룹(NSO Group)이 개발한 Pegasus는 이른바 '정부급(Government-grade)' 스파이웨어로 분류됩니다. 이는 제로 클릭(Zero-click) 취약점을 활용하여 사용자의 상호작용 없이도 타겟 기기를 감염시킬 수 있는 고도의 기술력을 보유하고 있습니다. 감염 후에는 기기의 마이크, 카메라, 메시징 앱(WhatsApp, Signal 등), 그리고 위치 데이터에 대한 실시간 접근 권한을 획득하며, 수집된 데이터는 공격자의 C2(Command and Control) 서버로 HTTP/HTTPS 터널링을 통해 은밀하게 유출(Exfiltration)됩니다.
법적 논쟁: 국가 면제 특권의 한계
사우디아라비아 정부는 그동안 '국가 면제(State Immunity)'를 주장하며 소송 무효화를 시도해 왔습니다. 하지만 법원은 디지털 공간에서의 해킹과 그로 인해 발생한 심리적·신체적 피해가 해당 국가의 주권적 면제 범위를 벗어난다고 판단했습니다. 이는 사이버 공격이 현실 세계의 물리적 폭력과 결합될 때, 가해 국가는 더 이상 법망 뒤에 숨을 수 없음을 시사합니다.
시니어 아키텍트의 기술 분석
본 사건은 최신 iOS 기기조차 국가 수준의 자본이 투입된 익스플로잇 앞에서는 무력할 수 있음을 보여줍니다. Pegasus와 같은 툴은 시스템의 커널(Kernel) 수준 권한을 획득하기 때문에, 일반적인 모바일 보안 솔루션으로는 탐지가 극도로 어렵습니다. 아키텍트 관점에서는 엔드포인트의 무결성만을 신뢰하는 기존 보안 모델에서 벗어나, 데이터의 흐름과 네트워크 트래픽 패턴을 분석하는 Network Detection and Response(NDR)와 제로 트러스트 아키텍처의 중요성을 재확인하게 됩니다.
스파이웨어는 탈취한 데이터를 외부로 전송할 때 Cloud 인프라와 CDN 등을 활용하여 정상적인 트래픽으로 위장합니다. 특히 HTTP 헤더 변조나 암호화된 페이로드를 통해 WAF와 같은 전통적인 경계 보안 시스템을 우회합니다. 보안 아키텍트는 비정상적인 도메인으로의 대량 데이터 전송이나, 평소와 다른 시간대의 API 호출 패턴을 감지할 수 있는 AI 기반 이상 탐지 모델을 적극 도입해야 합니다.
이번 재판에서 '강력한 증거'가 채택될 수 있었던 이유는 고도의 모바일 포렌식 기술 덕분입니다. Pegasus는 흔적을 지우기 위해 스스로 삭제되거나 로그를 변조하지만, 프로세스 실행 기록이나 암호화된 백업 파일 내의 아티팩트(Artifacts)를 역추적하여 감염 사실을 입증할 수 있습니다. 기업과 개인은 민감한 인프라 접근 시 별도의 하드웨어 보안 키를 사용하고, 정기적으로 기기 무결성을 체크하는 프로세스를 구축해야 합니다.
원문 출처: Saudi satirist hacked with Pegasus spyware wins damages in court battle
댓글
댓글 쓰기