아이폰마저 뚫렸다. 천마라 일컬어지는 ‘페가수스’가 그리했다. 애플이라는 ‘보안의 신‘도 이스라엘의 악명 높은 보안 스타트업 NSO그룹 앞에선 무력했다. 스마트폰 감시의 안전지대는 이로써 사실상 사라졌다. 애플 등은 재빠른 보안 업데이트로 방비책을 내놓겠다고 했지만 믿음은 허물어진 뒤다.
카카오톡, 텔레그램, 시그널 등 강력한 종단 간 암호화도 페가수스 같은 ‘종점’ 공격 방식 앞에선 여지없이 무너져 내렸다. 페가수스는 피싱 메시지처럼 링크를 클릭해야만 감염되는 방식을 이미 뛰어넘었다. 메시지에서 주소를 조회하면 그때부터 스마트폰 내 각종 정보의 탈취가 가능했다. 이를 제로 클릭 기법이라고 한다. 그렇게 ‘털린’ 스마트폰은 전 세계의 시민활동가, 기자, 인권운동가 5만여명의 감시도구로 활용됐다. 사우디 저널리스트 자말 카슈끄지도 그 중 한사람이었던 것으로 추정된다.
이스라엘의 젊은 창업가 2명과 모사드 출신의 보안 전문가 1명이 창업한 NSO그룹은 이스라엘 네타냐후 정부의 두둑한 지원을 업고 빠르게 성장했다. 탁월한 보안 기술 덕에 수출 허가 품목으로 지정된 ‘페가수스’는 멕시코, 사우디 정부 등으로 팔려나가며 큰돈을 거머쥘 수 있었다. 애초 스마트폰 등의 원격제어 기술로 시작됐던 이들의 보안 기술은 정치적 정적을 감시하고 추적하는 무기로 빠르게 돌변했다.
이들의 시장 가능성을 눈여겨본 건 사모펀드였다. NSO그룹에 1억2000만달러를 투자해 다수 지분을 확보한 프란시스코 파트너스라는 이스라엘 사모펀드는 스마트폰 취약점 연구에 상당한 연구개발 비용을 쏟아부었다. 2017년 왓츠앱 감염 성공사례도 이 사모펀드의 대대적인 투자 덕이었다. 사우디 정보기관과 체결한 5500만달러 규모의 공급계약도 대략 이 무렵이다.
NSO그룹의 잠재력을 간파하고 2019년 지분을 넘겨받은 곳도 노발피나라는 유럽 사모펀드였다. 이 과정에서 10억달러에 NSO그룹을 매각한 프란시스코 파트너스는 5년 만에 약 9억달러를 이득으로 챙겼다. 이스라엘 정부와의 우호적 관계를 이용해 페가수스의 판매 대상을 다각화했고, 스마트폰 감시 기술에 집중함으로써 빠르게 몸값을 키웠다. 카슈끄지 암살, 인권 활동가 감시 따위는 그들의 안중에도 없었다.
‘인권 탄압에 활용될 경우 판매를 중지한다’고 선언했던 NSO그룹의 새 주인도 양면적이긴 마찬가지였다. 이사회를 통해 NSO그룹을 직접 통제하고 있지만, 고객 기관의 기술 오남용에 어떠한 판단도 내리지 못하고 있다. 앰네스티의 해명 요구에도 부인으로 일관했다. 사모펀드의 본질적 속성을 거스르긴 어려운 탓이다.
고도화한 기술은 자본을 필요로 하고, 자본은 기술의 시장 확장을 요구한다. 어떤 기술이 어떤 자본을 만나느냐에 따라 기술의 진화 방향은 큰 폭의 수정을 겪게 된다. NSO그룹의 보안 기술도 마찬가지였다. 테러 및 범죄 조직들의 스마트폰 추적을 통해 선한 사회를 만들고자 했던 창업자들의 열망은 새로운 자본의 욕망과 결합하면서 역방향으로 튕겨나갔다. 어떤 이해관계자들의 노드와 연결되느냐에 따라 개발자의 의지와 의도는 인간과 사회를 위협하는 무기로 변모할 수도 있음을 새삼 증명한 셈이다. 기술을 향한 통제는 결국 사람과 사회의 본질에서부터 출발해야 한다는 교훈을 잊어서는 안 된다.
<이성규 미디어스피어 대표>