왓츠앱 스파이웨어 공격 – NSO 그룹, 1억 6800만 달러 벌금

캘리포니아의 미국 연방 배심원단은 화요일 이스라엘 스파이웨어 회사 NSO 그룹에 대해 메타 플랫폼스 주식회사(왓츠앱의 모회사)에 1억 6800만 달러의 징벌적 손해배상을 지급하라고 명령하는 중대한 결정을 내렸습니다.

이 외에도 회사는 왓츠앱 엔지니어들이 공격 벡터를 차단하기 위해 기울인 상당한 노력에 대해 메타에 444,719달러의 보상 손해배상도 지급해야 합니다.

이번 판결은 NSO 그룹이 2019년 4월과 5월 사이의 2주 동안 약 1,400명의 왓츠앱 사용자를 해킹하기 위해 페가수스 스파이웨어를 사용한 것에서 비롯됩니다. 이 결정은 스파이웨어 개발자를 무단 감시 활동에 대해 책임을 지게 하는 중요한 선례를 설정합니다.

“오늘 왓츠앱 사건의 평결은 모든 사람의 안전과 프라이버시를 위협하는 불법 스파이웨어의 개발 및 사용에 대한 첫 번째 승리로서 프라이버시와 보안을 위한 중요한 진전을 의미합니다.”라고 메타는 판결 발표 후 성명에서 밝혔습니다.

“오늘 배심원의 NSO, 악명 높은 외국 스파이웨어 상인을 손해배상하도록 강요하는 결정은 미국 기업과 우리가 제공하는 사람들의 프라이버시와 보안을 겨냥한 불법 행위에 대한 이 악성 산업에 대한 중요한 억제책입니다.”

사건 배경

이 소송은 2019년 10월 29일 캘리포니아 북부 지방법원에서 왓츠앱에 의해 시작되었으며, NSO 그룹이 왓츠앱의 영상 통화 기능의 취약점을 악용하여 사용자들의 기기에 페가수스 스파이웨어를 설치했다고 고발했습니다. 대상에는 인권 활동가, 언론인, 외교관 및 시민 사회 옹호자들이 포함되었습니다.

법원 문서(PDF)에 따르면, NSO의 페가수스 스파이웨어는 수신자가 응답할 필요조차 없는 왓츠앱 전화를 통해 설치되었습니다. 전화가 걸리면 악성 코드가 자동으로 배포되어 전화 통화, 이메일, 암호화된 개인 메시지, 이미지, 지리적 위치 및 기타 민감한 데이터에 대한 접근을 허용했습니다. 이 모든 것은 사용자에게 알리지 않고 이루어졌습니다.

2024년 12월, 미국 지방법원 판사 필리스 해밀턴은 NSO 그룹이 미국 컴퓨터 사기 및 남용 법(CFAA)과 캘리포니아 종합 컴퓨터 데이터 접근 및 사기 법(CDAFA)을 위반했다고 판결했습니다. 또한 NSO의 행동이 스파이웨어를 배포하기 위해 무단으로 서버에 접근함으로써 왓츠앱의 서비스 약관을 위반했다고 판단했습니다.

NSO 그룹의 반응

법원에서 패소한 후, NSO 그룹은 이 결정에 대해 항소할 계획이라고 밝혔으며, 자사의 페가수스 소프트웨어는 전 세계에서 범죄 및 테러 방지 작전을 수행하는 권한 있는 정부에 의해 사용될 의도로 설계되었다고 주장했습니다.

“우리는 평결의 세부 사항을 면밀히 검토하고 추가 절차 및 항소를 포함한 적절한 법적 구제를 추구할 것입니다.”라고 레이너는 덧붙이며, 회사가 “공공 안전을 보호하는 기술을 개발하는 사명에 전적으로 헌신하고 있다”고 밝혔습니다.

한편, 메타는 전 세계에서 이러한 공격으로부터 사람들을 방어하기 위해 노력하는 디지털 권리 단체에 기부하기로 결정했습니다.

“우리의 다음 단계는 NSO가 다시는 왓츠앱을 겨냥하지 못하도록 법원 명령을 확보하는 것입니다.”라고 회사는 결론지었습니다.