최근 이탈리아에서 발생한 저널리스트 및 활동가 대상의 스파이웨어 공격 사건이 국제적인 기술 및 정치적 이슈로 부상하고 있습니다. 이번 사건의 중심에는 이스라엘의 사이버 보안 기업인 Paragon Solutions와 그들의 정밀 타격 시스템인 'Graphite'가 있습니다.
"WhatsApp과 Apple은 지난해 이탈리아를 포함한 전 세계 약 90명의 사용자가 정부급 스파이웨어에 타겟팅되었음을 통지했습니다. 특히 WhatsApp은 그 배후로 Paragon Solutions를 지목했습니다."
보도에 따르면, 이탈리아 검찰은 Graphite 스파이웨어를 이용한 해킹 캠페인을 조사하기 위해 Paragon 측에 공식적인 정보 제공을 요청했으나, 회사 측은 1년이 넘도록 응답하지 않고 있습니다. 이는 과거 '윤리적 도구'를 제공한다고 주장하며 타 스파이웨어 기업들과 차별화를 꾀했던 Paragon의 행보와 배치되는 결과입니다.
기술적 배경: Graphite 스파이웨어의 위협
Graphite는 단순한 악성코드를 넘어, 모바일 운영체제의 제로데이(Zero-day) 취약점을 이용해 장치에 침투하는 고도로 설계된 플랫폼입니다. WhatsApp이나 iMessage와 같은 종단간 암호화(End-to-End Encryption) 앱의 보안을 우회하기 위해, 데이터가 암호화되기 전이나 복호화된 후의 엔드포인트(Endpoint) 메모리에 직접 접근하는 방식을 취합니다.
- 이스라엘 정부의 개입 여부: 과거 NSO Group 사례처럼 국가 안보를 이유로 수사 협조를 차단했을 가능성
- 상업용 스파이웨어의 윤리적 가이드라인 부재 및 오남용
- 클라우드 기반 인프라를 활용한 추적 회피 기술
아키텍트의 분석: 엔드포인트 보안과 국가급 위협 모델
시니어 아키텍트 관점에서 이번 Paragon 사태는 현대 보안 아키텍처의 근본적인 취약성을 시사합니다. 우리가 신뢰하는 Cloud 서비스와 암호화 프로토콜이 엔드포인트 장치(스마트폰) 자체의 권한이 탈취되었을 때 얼마나 무력해질 수 있는지를 보여줍니다.
1. 제로데이 취약점과 시스템 콜(System Call) 침투:
Graphite와 같은 도구는 주로 Python이나 Go로 작성된 분석 스크립트를 통해 수집된 취약점을 exploit하며, 최종적으로는 시스템 커널 레벨에서 동작합니다. 이는 샌드박스(Sandbox)를 우회하여 런타임 중에 메모리를 조작하는 고도의 기술적 숙련도를 요구합니다.
2. C2(Command and Control) 인프라의 은폐:
현대 스파이웨어 아키텍처는 탐지를 피하기 위해 CDN이나 범용적인 Cloud 서비스를 프록시로 활용합니다. 트래픽이 정상적인 HTTPS 요청으로 위장되기 때문에, 네트워크 레벨의 WAF나 IDS/IPS만으로는 이러한 정밀 타격형 트래픽을 필터링하기 매우 어렵습니다.
3. 법적 강제력과 기술적 비대칭성:
기술은 국경이 없으나 법적 규제는 국가 단위에 머물러 있습니다. 이스라엘과 같은 사이버 강국이 자국 기업의 기술 자산을 보호하기 위해 사법 공조를 거부할 경우, 디지털 포렌식만으로는 공격의 전모를 밝혀내기 어렵습니다. 아키텍트들은 이제 애플리케이션 보안을 넘어, 하드웨어 신뢰 루트(Root of Trust)와 OS 무결성 검증 아키텍처에 더 집중해야 합니다.
원문 출처: Paragon is not collaborating with Italian authorities probing spyware attacks, report says
댓글
댓글 쓰기