미국 마약 단속국, 이탈리아 회사로부터 스파이웨어 구매

DEA, 이탈리아 회사로부터 해킹 도구 구매에 수백만 달러 지출

마약 단속국(DEA)은 2012년부터 논란이 많은 이탈리아 감시 기술 회사인 Hacking Team이 생산한 스파이웨어 도구에 수백만 달러를 지출해 온 것으로, Motherboard의 독점 보도에 따르면 밝혀졌다.

이 소프트웨어는 원격 제어 시스템(Remote Control System) 또는 “RCS”로 알려져 있으며, 전화 통화, 문자 메시지 및 소셜 미디어 메시지를 가로채고, 사용자의 웹캠과 마이크를 몰래 켜고 비밀번호를 수집할 수 있다.

정부 기록에 따르면, 이 기관은 용의자의 전화에 삽입될 수 있는 RCS에 대해 240만 달러를 지불했다. 전화가 감염되면, 스파이웨어는 문자, 이메일, 비밀번호를 기록하고, 내장 마이크를 통해 주변 대화를 엿들을 수 있다. 법 집행 기관의 스파이웨어 사용은 논란의 여지가 있으며, 관계자들은 일반적으로 프로그램을 설정하기 전에 영장을 필요로 한다. 그러나 과거 일부 기관은 이 요구 사항을 무시한 적이 있다.

스파이웨어의 출처는 더욱 논란이 된다. 기록에 따르면 DEA는 Cicom USA로부터 스파이웨어를 구매했지만, Motherboard의 소식통은 Cicom이 Hacking Team이 제작한 제품의 단순한 재판매업체에 불과하며, 2011년부터 미국 기관에 마케팅을 시작했다고 전했다. 이 그룹은 YouTube와 Microsoft Live 서비스에 표적 악성 코드를 심어 보안 분야에서 나쁜 평판을 얻었으며, 모로코, 에티오피아, 아랍에미리트 정부에도 판매한 바 있다.

공공 기록과 소식통에 따르면, DEA는 원래 2012년 8월에 소프트웨어 주문을 했다. 기록에 따르면 2015년 8월에 완료될 예정인 계약은 “원격 제어 호스트 기반 가로채기 시스템(Remote Controlled Host Based Interception System)”으로만 식별된다.

이전에 공개된 계약은 FBI가 해킹 전술에 관여한 유일한 미국 정부 기관이 아님을 보여준다. DEA가 의심되는 범죄자를 감시하기 위해 불법적으로 악성 코드를 구매해왔음을 보여주었다.

감시 기술 전문가들에 따르면, DEA와 Hacking Team의 관계는 군대, 정보 기관 및 사이버 범죄자만을 위해 사용되었던 방법과 도구—드론 및 StingRay와 같은—가 이제 법 집행에서도 일상화되고 있다는 충분한 증거이다.

Hacking Team이 미국에 사무소를 두고 있다는 소문에도 불구하고, 이 회사가 미국에서 제품을 판매했다는 증거는 없다. 또한 이탈리아 뉴스 매거진 L’Espresso와의 인터뷰에서 CEO David Vincenzetti는 미국을 포함한 40개국 이상에 고객이 있다고 자랑했다.

그러나 Cicom USA와 Hacking Team 간의 연결은 거래에 대한 지식이 있는 여러 소식통에 의해 Motherboard에 확인되었으며, 이들은 계약 세부 사항을 논의할 권한이 없기 때문에 익명을 요구했다.

Hacking Team의 대변인 Eric Rabe는 DEA와의 계약 존재를 인정하거나 부인하지 않았다.

Hacking Team의 RCS 소프트웨어는 용의자의 컴퓨터나 휴대전화에 몰래 심어져 모든 활동을 모니터링할 수 있으며, 경찰이 암호화된 데이터에 접근할 수 있도록 한다.

DEA에 따르면, Cicom USA는 기관이 내부적으로 수행한 시장 조사에 기반하여 요구되는 서비스를 제공할 수 있는 유일한 회사였다. DEA는 이 조사에 대한 질문에 응답하지 않았다.

감시 전문가들에게 큰 질문은 DEA가 Hacking Team과 같은 스파이웨어를 사용할 법적 권한이 실제로 있는지, 그리고 그것이 정확히 어떻게 사용되는지이다. DEA 대변인은 기관이 “운영하는 관할권의 법률을 항상 준수한다”고 말했다.

또한 “그러나 이 경우, 이는 모든 사람이 구매할 수 있는 기성 기술이며, 전 세계 많은 조직에서 사용되고 있다”고 덧붙였다.

하지만 전문가들은 확신하지 않는다. 그러나 일부 법률 전문가들은 스파이웨어 사용에 불법적인 점이 없다고 지적한다. 해킹을 구체적으로 다루는 특정 법률은 없지만, 스탠포드 대학교의 컴퓨터 과학자이자 변호사인 Jonathan Mayer는 법 집행 기관이 미국에서 검색을 수행할 수 있는 “광범위한 권한”을 가지고 있다고 말했다.

그러나 Soghoian이나 Privacy International과 같은 비판자들은 여전히 더 많은 명확성과 공개 논의가 필요하다고 주장한다.

“법 집행 기관이 당신의 컴퓨터에 해킹하여 웹캠을 켜고, 마이크를 켜고, 당신의 컴퓨터에서 문서를 훔칠 수 있다면,” Soghoian은 말했다, “그것은 특히 이 기술이 지역 법 집행 기관으로 하향 전파되기 전에 의회가 주목해야 할 문제이다.”

출처: Motherboard.Vice.