WhatsApp와 NSO Group 스파이웨어 소송에서 배운 8가지 사항
스마트폰만으로도 해킹이 가능한 시대, 우리는 얼마나 안전한 걸까요? 최근 고소득 사이버 기업인 NSO 그룹이 WhatsApp 사용자 1,400명을 대상으로 스파이웨어 공격을 벌였다는 사실이 법정에서 명확히 드러났습니다. 그리고 놀랍게도, 법원은 NSO 그룹에 1억 6,700만 달러의 손해배상을 판결했죠. 단순한 해커 이야기가 아니라, 전 세계 정부들이 연루된 첩보전입니다.
WhatsApp vs NSO Group: 법정에서 밝혀진 충격적인 진실
2025년 5월 6일, WhatsApp은 이스라엘 보안 업체 NSO 그룹과의 5년간의 법적 공방에서 마침내 승소했습니다. NSO는 Pegasus라는 악명 높은 스파이웨어를 이용해 WhatsApp의 보안 취약점을 공격했고, 이로 인해 적어도 1,400명의 사용자가 피해를 입었습니다.
- 공격 방식: ‘제로 클릭(Zero-click)’ 방식으로, 사용자가 아무것도 클릭하지 않아도 소프트웨어가 설치됨
- 사용된 기술: 위장 전화 발신 → WhatsApp 서버 통해 메시지 전송 → 감염된 서버와 연결 → Pegasus 다운
- 피해 국가: 멕시코, 사우디아라비아, 우즈베키스탄 등
1. 제로 클릭 해킹: 사용자 모르게 감염되는 시대
이번 사건에서 가장 주목할 점은 제로 클릭 공격입니다. 정말 놀랍게도, 이 방식은 사용자의 어떤 동작도 필요하지 않습니다. WhatsApp의 음성 통화 기능의 취약점을 이용해, 단순히 통화 시도를 하는 것만으로 피해자의 스마트폰이 감염될 수 있었죠.
예시: 특정 번호에 전화가 걸리면, 피해자 폰은 자동으로 공격자의 서버와 통신을 시작하고, Pegasus라는 스파이웨어를 다운로드하게 됩니다. 단 하나의 정보만 필요했죠 — 폰 번호.
2. 윤리와 법의 사이: 정부까지 연루된 스파이웨어 시장의 민낯
이번 소송에서 밝혀진 또 다른 점은 여전히 많은 정부들이 Pegasus를 사용하고 있다는 사실입니다. NSO 그룹은 최소한 10개의 정부 고객을 Pegasus 사용 남용으로 서비스 차단한 적이 있으며, 어떤 고객들은 수백 억 원을 주고 해당 스파이웨어를 구매했다고 합니다.
가격만 봐도 놀라운데요:
- 유럽 고객: 기본 $7백만 + 은밀한 공격 기능(Covert Vector): $1백만 추가
- 사우디아라비아: 사용료 $5,500만 (보고된 바)
- 멕시코: $6,100만 지출 (PBS 리포트)
결국엔, 사업의 윤리적 기준보다 정보 수집의 효율성이 우선된 시스템인거죠…
3. 기업의 윤리 vs 생존: NSO의 허덕이는 재무 상태
판결에 따라 1억 6,700만 달러를 배상해야 할 NSO는 사실 지금도 재정난에 시달리고 있습니다. 살펴보면:
- 2023년: $9백만 손실
- 2024년: $1,200만 손실
- 은행 잔액(2024): $5.1백만
- 월 소진 비용: 약 $1,000만 (주로 인건비)
회사의 연구개발(R&D) 비용도 상당히 높았는데, 2024년 한 해 동안에만 $5,900만을 썼다고 합니다. 이 정도면 생존을 위해 불법과 합법의 경계를 넘나드는 이유가 어느 정도 이해되기도 합니다.
4. 보안 개발자로서의 인사이트: 무엇을 배워야 하는가?
이번 사건을 계기로 우리는 몇 가지 중요한 사실을 다시금 확인할 수 있습니다.
- 제로 클릭 보안 위협은 현실이다: 단순한 클릭 방지로는 부족하며, 운영 체제와 앱의 근본적인 보안 설계가 중요하다.
- 사이버 무기 시장은 실제로 존재한다: 정부도 고객이 되는 스파이웨어 시장은 엄청난 규모와 파급력을 가짐.
- 법제화와 윤리가 중요하다: 보안 기술자와 개발자는 기능보다 사용자 보호를 먼저 고려해야 할 시점.
결론: 우리가 무엇을 할 수 있을까?
이번 WhatsApp 대 NSO 판결은 단순한 이슈가 아니라, 향후 스파이웨어 산업 전체에 경고가 되는 사건입니다. 기술이 발전하면서 우리는 더욱 강력한 보안 체계를 구축해야 하고, 동시에 윤리적 판단을 내릴 수 있어야 합니다.
이럴 땐 이렇게 해봅시다:
- 보안 뉴스와 법적 판결을 지속적으로 확인하세요.
- 회사에서는 제로 클릭 방지를 위한 보안 아키텍처 재정비가 필요합니다.
- 개인 사용자도 최신 OS 업데이트, 보안 앱 설치 등 기본적인 보안 수칙을 실천하세요.
- 기술 커뮤니티 내에서도 윤리에 대한 토론을 활발히 해야 할 때입니다.
한 줄 요약하자면, 보안은 기술보다 마음가짐이 먼저입니다.
관련 키워드: WhatsApp 제로 클릭, NSO 스파이웨어, Pegasus 판결, 보안 윤리, 정부 감시 기술, 사이버 보안 위협
출처: TechCrunch 뉴스 (2025년 5월 10일 보도)
본 기사(Eight things we learned from WhatsApp vs. NSO Group spyware lawsuit)의 출처를 확인 해보세요.