마이크로소프트와 구글을 비롯한 글로벌 IT기업들이 개인정보 탈취에 주로 악용되는 스파이웨어의 확산을 막기 위한 법정분쟁 지원에 나섰다.
24일 MS파워유저 등 외신에 따르면 마이크로소프트와 구글은 콜럼비아대학 산하 '나이트 퍼스트 어멘드먼트 인스티튜트(이하 나이트연구소)'에서 NSO그룹을 상대로 제기한 법정 소송에 대해 참고인 의견서를 제출했다.
이번 의견서는 마이크로소프트와 구글을 비롯해 링크드인, 깃허브, 트렌드마이크로, 빅 클라우드 컨설턴트 등 IT기업들이 대거 참여했으며, 나이트연구소를 지지한다는 내용이 담겼다.
마이크로소프트 측은 NSO 그룹 같은 사이버용병 조직이 세계적 보안과 프라이버시를 손상시키고 있지만 책임을 회피하고 있다며 그들의 행동에 대해 법적 결과를 받아야 한다고 주장했다.
또한 이러한 공격이 미국 영토 밖에서 발생하더라도 해킹 방지법에 따라 사이버 공격 피해자가 조치를 취할 수 있도록 더 강력한 법적 지원을 마련할 것을 촉구했다.
이들이 나이트연구소의 법정분쟁 지원에 나선 이유는 이스라엘의 사이버용병 기업인 NSO그룹의 행위가 전 세계적으로 국가와 개인의 자유를 위협하고 있기 때문이다.
사이버용병 기업은 해킹이나 피싱 등 사이버공격 기능을 개발하고 판매하는 기업이나 조직을 말한다. NSO 그룹의 페가수스는 아이폰과 안드로이드 등 모바일장비에 침투해 사용자의 위치 데이터, 통화, 메시지 등을 무단으로 접근하고 감시할 수 있어 높은 악명을 가지고 있다.
NSO그룹에 소송을 제기한 나이트연구소는 언론의 자유를 보장하기 위한 비영리 단체다.
지난 2022년 11월 엘살바도르의 독립 뉴스기관인 엘파로(El Faro)가 NSO그룹의 페가수스를 악용한 해킹에 시달리자 미국 연방 법원에 대신 소송을 제기한 것이다. 당시 엘파로 측은 2020년 6월부터 2021년 11월 사이에 직원들이 226회에 걸쳐 페가수스의 감염을 겪었다고 주장했다.
이러한 공격을 통해 엘파소의 기자들은 아이폰과 안드로이드 등 스마트폰에 저장된 개인데이터를 도난당했으며 통신 및 활동이 감시됐다. 특히 이러한 공격은 엘 파로에서 중요한 조사 보도를 발표했을 때 급증한 것으로 나타났다.
이에 나이트연구소는 미국의 컴퓨터 사기 및 남용법(CFAA)을 위반했다며, 법원에 NSO 그룹이 감시지시한 고객을 식별하고, 공격을 통해 얻은 모든 정보를 식별, 반환 및 삭제할 것을 요구했다.
더불어 해당 사건에 대해 페가수스 같은 스파이웨어 기술이 특정 정부나 조직에서 악용될 경우 언론과 시민의 자유를 위협할 수 있다는 것을 보여주는 사례라고 비판했다.
하지만 피해자가 엘살바도르 기업이고 고소를 당한 조직도 이스라엘 기업이라 미국 내 법안으로 처리하기 어려워 2년 가까이 지연됐다.
이에 마이크로소프트와 구글을 비롯한 IT기업들도 나이트연구소의 의견에 공조하며 소송에 동참한 것이다.
관련기사
- 노드VPN "클론 피싱 주의하세요"2024.07.23
- 후티 반군, 미사일 이어 사이버공격 감행2024.07.11
- 이스라엘서 아이폰 보안 뚫는 스파이웨어 재등장2023.04.13
- 안드로이드·iOS 취약점 이용한 스파이웨어 발견2023.03.30
마이크로소프트 에이미 호건 버니 사이버 보안 정책 및 보호 총괄 관리자는 "사이버 용병에서 개발한 상업용 스파이웨어의 확산은 중대한 국가 안보 위협"이라며 "전 세계 개인 및 조직의 민감한 정보, 위치 데이터 및 통신에 대한 무단 액세스를 가능하게 하여 글로벌 보안 및 개인 정보 보호를 훼손하며 인권과 민주주의를 위협할 수 있다"고 설명했다.
이어서 "우리는 정부, 산업 및 시민 사회의 파트너와 협력해 사이버 용병 회사의 활동을 제한하기 위해 노력해왔다"며 "앞으로도 사이버 용병이 사이버 공간에서 허가 없이 사용자에게 접근해 도청하거나 데이터를 탈취하는 행위를 적극적으로 막을 것"이라고 강조했다.
