NSO 그룹, 소송에도 불구하고 WhatsApp 제로데이 악용 - 법원 문서에 따르면

NSO 그룹 테크놀로지스(NSO Group Technologies Ltd.)는 즉각 메시징 회사가 이스라엘 감시 회사에 대해 연방 및 주 해킹 법률 위반으로 소송을 제기한 이후에도 여러 제로데이 WhatsApp 취약점을 이용한 스파이웨어 개발을 계속했다고, 목요일에 발표된 메시징 앱과 그 모회사인 메타(Meta)가 제출한 법원 문서에서 밝혀졌습니다.

법원 문서에 따르면 NSO는 메시징 플랫폼이 2019년 5월에 취약점을 감지하고 차단한 이후에도 목표 장치에 전화를 걸어 Pegasus 스파이웨어를 설치하기 위해 WhatsApp 서버를 계속 사용했습니다.

이 혐의는 언론인, 반체제 인사 및 인권 옹호자를 포함한 WhatsApp 사용자에 대한 일련의 사이버 공격에서 비롯됩니다.

“기본적으로 NSO는 소송에서 설명된 스파이웨어를 개발하고 판매했음을 인정하며, NSO의 스파이웨어—특히 ‘Eden’이라고 불리는 제로 클릭 설치 벡터는 ‘Hummingbird’라는 이름으로 알려진 WhatsApp 기반 벡터의 일부로, (총칭하여 ‘악성 코드 벡터’라고 함)—가 소송에서 설명된 공격에 책임이 있음을 인정합니다. NSO의 R&D 책임자는 이러한 벡터가 원고가 주장한 대로 정확히 작동했음을 확인했습니다.”라고 법원 문서에 적혀 있습니다.

NSO는 NSO 고객이 약 1,400개의 장치에 대한 공격에 Eden 기술을 사용했음을 인정했습니다. 공격이 감지된 후 WhatsApp은 Eden 취약점을 패치하고 NSO의 WhatsApp 계정을 비활성화했습니다. 그러나 Eden 취약점은 2019년 5월에 차단될 때까지 활성 상태로 남아 있었습니다.

그럼에도 불구하고, 감시 회사는 WhatsApp 서버를 사용하여 제로 클릭 공격에서 Pegasus 스파이웨어를 설치하는 또 다른 설치 벡터인 ‘Erised’를 개발했다고 NSO는 인정했습니다. 이 취약점은 WhatsApp이 2019년 10월에 회사를 고소한 이후에도 NSO 고객에게 활성 상태로 남아 있었으며, 2020년 5월 이후 메시징 플랫폼에 대한 추가 보안 변경이 이루어질 때까지 접근이 차단되지 않았습니다.

NSO 증인들은 스파이웨어 제작자가 이후에도 WhatsApp 기반 악성 코드 벡터 개발을 계속했는지 확인하는 것을 거부한 것으로 전해졌습니다.

회사는 직원들이 스파이웨어를 개발하기 위해 자신과 고객을 위해 WhatsApp 계정을 생성하고 사용했음을 인정했습니다. 이는 플랫폼을 리버스 엔지니어링하고, 악성 코드를 전송하며, 무단 데이터 수집 및 서비스에 불법적으로 접근하는 등 여러 가지 방법으로 WhatsApp의 서비스 약관을 위반했습니다.

메타는 이러한 행동이 컴퓨터 사기 및 남용 법(CFAA) 및 캘리포니아의 종합 컴퓨터 데이터 접근 및 사기 법(CDAFA)을 위반하여 WhatsApp에 피해를 주었다고 주장했습니다.

NSO는 오랫동안 고객의 운영에 대해 알지 못하며 고객의 스파이웨어 사용에 대한 최소한의 통제만 가지고 있다고 주장하며, 표적 사이버 공격 실행에 대한 어떤 개입도 부인해왔습니다.

그러나 새로 공개된 법원 문서에 따르면 스파이웨어 공급업체는 고객이 단지 목표 번호를 제공하기만 하면 Pegasus 스파이웨어를 운영했습니다.

법원 문서 중 하나에서 WhatsApp은 “NSO 고객의 역할은 최소한이다.”라고 주장했습니다. 정부 고객은 목표 장치의 전화번호만 입력하면 되고, NSO 직원 인용하여 “설치를 누르면 Pegasus가 장치에 원격으로 에이전트를 설치한다.”고 했습니다.

“다시 말해, 고객은 단순히 목표 장치의 데이터에 대한 주문을 하고, NSO는 Pegasus의 설계를 통해 데이터 검색 및 전달 프로세스의 모든 측면을 제어합니다.”라고 WhatsApp은 덧붙였습니다.

법원 문서에는 NSO 직원이 “WhatsApp 메시지를 사용하여 [취약점을] 트리거할지 여부는 우리의 결정이었다.”고 언급한 내용도 인용되었습니다. 이는 회사가 고객에게 제공한 취약점 중 하나를 언급한 것입니다.

방어 측에서 이스라엘 회사의 글로벌 커뮤니케이션 부사장인 길 라니어(Gil Lanier)는 TechCrunch에 대한 성명에서 “NSO는 시스템이 전적으로 고객에 의해 운영된다는 점을 반복적으로 상세히 설명한 이전 성명을 지지합니다. NSO나 그 직원은 시스템에 의해 수집된 정보에 접근할 수 없습니다.”라고 말했습니다.

“우리는 이러한 주장들이 과거의 많은 주장들처럼 법원에서 잘못된 것으로 입증될 것이라고 확신하며, 그렇게 할 기회를 기대합니다.”라고 그는 덧붙였습니다.