mSpy, 모바일 스파이웨어 회사 해킹, 수천 고객 데이터가 다크 웹에 유출됨

모바일 스파이웨어 회사 mSpy 해킹, 고객 데이터가 사이버 괴롭힘에 노출됨

mSpy, 다크 웹에 데이터베이스가 나타난 모바일 스파이웨어 회사가 지난주 심각하게 해킹된 것으로 보입니다. KrebsOnSecurity 웹사이트에 보고된 바에 따르면, mSpy 사용자에 대한 문자 메시지, 이메일, Apple ID, 결제 세부정보, 비밀번호, 사진 및 위치 데이터와 같은 대량의 데이터가 다크 웹에 게시되어 노출되었습니다. 이 웹사이트는 확인되지 않은 침해 사건에 대한 이야기를 처음 보도했습니다.

mSpy의 기술은 부모와 고용주가 자녀와 직원들을 비밀리에 감시할 수 있는 수단으로 판매됩니다. 회사의 설명에 따르면:

mSpy는 자녀를 지켜보고, 도난을 방지하며, 직원의 성과를 감독하는 가장 인기 있고 사용자 친화적인 애플리케이션입니다. 이 모바일 모니터링 소프트웨어는 목표 장치에서 보이지 않게 실행되어 모든 활동을 추적합니다. 여기에는 통화 기록, GPS 위치, 일정 업데이트, 문자 메시지, 이메일, 웹 기록 등이 포함됩니다.

200만 사용자에 대해 이야기하는 이 회사는 Windows, iOS, Android 및 Mac PC용 기술을 개발하고 있으며, 명백한 침해 사건에 대해 아직 논평하지 않았습니다. 유출의 배후에 있는 알려지지 않은 해커들은 데이터베이스가 40만 개 이상의 mSpy 세부정보를 포함하고 있으며, 이는 Tor를 통해서만 접근할 수 있고, Apple ID 및 관련 비밀번호, 추적 데이터, 약 145,000건의 성공적인 거래에 대한 결제 세부정보를 포함한다고 제안합니다. Tor는 사용자가 자신의 실제 인터넷 주소를 숨기고 해킹하기 매우 어려운 웹사이트를 호스팅할 수 있게 해주는 기술입니다.

mSpy가 피해자로서 동정심을 느끼기란 어렵습니다. 명백한 침해 사건의 진짜 피해자는 회사 자체가 아닌 스파이의 대상들입니다.

Metasploit 제작사 Rapid7의 글로벌 보안 전략가 Trey Ford는 다음과 같이 언급했습니다: “스파이 당하는 사람들은 한 쪽에 의해 정보가 도난당하고 있으며, 이제는 지하로 빠르게 퍼지고 있습니다.

“이 소프트웨어를 설치하는 것의 합법성(CFAA 등)도 의문이며, 장치에 이 소프트웨어가 있는 사람들은 통제되지 않은 정보 공개로 인해 자신의 삶이 드러났습니다. 이 범죄의 피해자들이 피해의 정도를 이해하는 데는 매우 오랜 시간이 걸릴 것이며, 아마도 이해하지 못할 것입니다.”

“이는 민감한 정보가 반드시 규제 및 감사에 의해 보호되지 않을 수 있음을 강조합니다. 기업 경영진은 수집된 데이터의 소유자로서, 데이터가 어떻게 저장되고 보호되는지, 그리고 무언가가 발생했을 때 어떻게 해야 하는지에 대한 책임이 있습니다.”

데이터 덤프에 대한 조사로 잘 알려진 저널리스트 Brian Krebs는 “이 캐시에는 개인적이고 민감한 데이터가 엄청나게 많이 포함되어 있으며, 사진, 일정 데이터, 기업 이메일 스레드, 매우 개인적인 대화가 포함되어 있습니다. 또한 데이터 덤프에는 mSpy의 감시 소프트웨어에 대해 $8.33에서 $799까지 다양한 구독료를 지불한 전 세계 사람들의 수천 개의 지원 요청 이메일이 포함되어 있습니다.”라고 말했습니다.

mSpy의 본사가 어디에 있는지에 대한 명확한 정보는 없습니다. 회사의 웹사이트에는 공식 물리적 주소가 나와 있지 않으며, 미국, 독일 및 영국에 사무소가 있는 것으로 보입니다. 반면, 역사적인 웹사이트 등록 기록은 이 회사가 영국에 본사를 두고 있는 현재 비기능적인 회사인 MTechnology LTD와 연결되어 있음을 보여줍니다.

영국의 공식 기업 등록소인 Companies House에서 입수한 문서에 따르면, 회사를 설립한 두 명의 회원은 자칭 프로그래머인 Pavel Daletski와 Aleksey Fedorchuk입니다. 이 기록(PDF)은 Daletski가 영국 시민이며, Fedorchuk 씨는 러시아 출신임을 보여줍니다. 그들 모두에게 연락을 시도했으나 응답을 받지 못했습니다.

플로리다주 잭슨빌의 미국 지방 법원에서 mSpy와 Daletski 간의 상표 분쟁에 관한 법원 문서(PDF)에 따르면, mSpy는 캘리포니아주 마운틴 뷰에 있는 800 West El Camino Real의 미국 기반 주소를 가지고 있습니다. 같은 법원 문서는 Daletski가 세이셸에 본사를 둔 Bitex Group LTD라는 회사의 이사임을 명시하고 있습니다. 흥미롭게도 이 소송은 잭슨빌에 본사를 두고 있는 mSpy의 경쟁사인 Retina-X Studios에 의해 제기되었습니다. 이 회사는 MobileSpy라는 제품을 제조합니다.

법 집행 기관과 미국 규제 당국은 mSpy와 같은 모바일 스파이웨어 서비스를 제공하는 회사에 대해 뚜렷한 입장을 취하고 있습니다. mSpy는 또한 자사의 제품이 탈옥되지 않은 iPhone에서도 작동한다고 설명하며, 사용자가 장치 소유자의 연락처, 문자 메시지, 통화 기록, 이벤트, 브라우저 기록 및 메모에 로그인할 수 있도록 합니다.

회사의 FAQ에는 “탈옥 없이 mSpy를 구매하기로 선택한 경우, 모바일 사용자의 iCloud 자격 증명이 있다면 장치에 물리적으로 접근할 필요가 없습니다. 그러나 물리적 접근이 필요할 수 있는 몇 가지 경우가 있을 수 있습니다. 탈옥된 iOS 전화 또는 태블릿에 대해 mSpy를 구매하는 경우, 성공적인 설치를 위해 장치에 5-15분의 물리적 접근이 필요합니다.”라고 명시되어 있습니다.

2015년 3월, mSpy의 홍보 담당자는 KrebsOnSecurity에 약 40%의 사용자가 자녀를 감시하려는 부모라고 말했습니다. 이 진술이 사실이라면, 이렇게 많은 부모들이 이제 무의식적으로 자녀를 괴롭힘, 포식자 및 기타 악의적인 사람들에게 노출시켰다는 것은 우스꽝스러운 일입니다.