1P by GN⁺ | ★ favorite | 댓글 1개
  • Meduza 공동 창립자이자 발행인인 Galina Timchenko의 iPhone이 2023년 2월 10일 Pegasus에 감염됐고, 러시아 언론인을 대상으로 한 첫 확인 사례가 됨
  • Access Now와 Citizen Lab 분석 결과 공격자는 마이크, 카메라, 메모리, 사진, 일정, 주소, 암호화 메신저 대화까지 볼 수 있었으며, 감염은 HomeKit·iMessage를 통한 PWNYOURHOME 취약점과 관련된 것으로 보임
  • 감염 다음 날 Timchenko는 베를린에서 망명 러시아 독립언론 관계자들과 비공개 세미나에 참석했고, 당시 휴대폰은 도청 장치처럼 쓰일 수 있었음
  • NSO Group은 Pegasus를 범죄·테러 대응 목적으로 정부 고객에게만 판다고 밝혔지만, Access Now와 Citizen Lab은 라트비아, 에스토니아, 독일 등 유럽 내 사용 의혹과 국경 밖 감시 가능성을 문제로 봄
  • 공격 주체와 목적은 특정되지 않았으며, Timchenko 사건은 유럽에서 언론인을 국가안보 위협으로 다루는 흐름과 상업용 스파이웨어 규제 공백을 드러냄

Apple 위협 알림에서 감염 확인까지

  • 2023년 6월 22일, Galina Timchenko는 Apple로부터 state-sponsored attackers 관련 위협 알림을 받고 이를 Meduza 기술팀에 전달함
  • Apple의 threat notifications는 사용자가 “누구인지 또는 무엇을 하는지” 때문에 개별 표적이 됐을 때 발송되는 알림임
    • Apple은 국가 지원 공격이 매우 복잡하고 개발에 수백만 달러가 들며 수명이 짧은 경우가 많다고 안내함
    • Timchenko에게 온 알림은 관련 국가를 밝히지 않음
  • Meduza 기술 책임자는 외부 지원을 요청함
    • Access Now는 전 세계 이용자의 디지털 시민권과 보안 관행을 지원하는 비영리 단체임
    • Citizen Lab은 토론토대학교 연구소로, 시민사회 대상 디지털 스파이 활동을 조사함
  • Access Now와 Citizen Lab은 Timchenko의 기기 데이터를 수집해 빠른 검사를 진행했고, iPhone이 2023년 2월 10일 Pegasus에 감염됐다고 확인함

Pegasus가 확보한 접근 권한

  • Pegasus 감염은 공격자에게 Timchenko의 iPhone에 대한 전체 접근권을 제공함
    • 마이크, 카메라, 메모리 접근 가능
    • 집 주소, 일정, 사진, 암호화 메신저 대화 열람 가능
    • 화면을 직접 보며 메시지가 작성되는 순간 읽을 수 있음
    • 이메일, 문자, 이미지, 파일을 내려받을 수 있음
  • 사용자가 감염을 막거나 알아차리기는 어려움
    • Pegasus는 Apple이 기본 설치한 앱을 포함해 취약한 애플리케이션 하나만 있어도 기기를 해킹할 수 있음
    • 감염된 기기를 사용자가 알아차리기도 쉽지 않음
    • Timchenko는 iPhone이 평소보다 따뜻해진 적이 있었지만 새 충전기 때문이라고 생각함
  • Citizen Lab은 공격자가 HomeKit과 iMessage를 통해 침투했을 가능성을 봄
    • 연구진은 Pegasus에 고유한 디지털 흔적을 발견함
    • 사용된 취약점은 iPhone 내장 HomeKit 기능을 표적으로 하고 iMessage를 악용해 스파이웨어를 설치하는 PWNYOURHOME으로 보임
    • John Scott-Railton은 HomeKit을 활성화하지 않은 기기에서도 이 공격이 가능하다고 밝힘

베를린 비공개 회의와 감염 시점

  • 감염일인 2023년 2월 10일은 Timchenko가 베를린에서 비공개 회의에 참석하기 하루 전이었음
  • 2월 11일 Timchenko와 Meduza 편집장 Ivan Kolpakov는 러시아 망명 독립언론 관계자들과 함께 베를린의 비공개 세미나에 참석함
    • 세미나는 Redkollegia 언론상 위원회가 주최함
    • 언론사 관리자와 변호사들은 러시아의 전면적 검열과 언론인·활동가 탄압 속에서 러시아 관련 업무를 운영하는 법적 문제를 논의함
    • 2주 전 러시아 검찰총장은 Meduza를 “undesirable organization”으로 지정해 보도를 불법화함
  • Pegasus는 Timchenko가 회의에 참석했을 때 이미 실행 중이었음
    • 공격자는 휴대폰 마이크를 원격으로 켜서 주변 대화를 녹음할 수 있었음
    • 카메라도 같은 방식으로 켤 수 있었음
    • Access Now의 Natalia Krapiva는 Timchenko의 휴대폰이 러시아 언론인들의 계획을 엿듣는 도청 장치로 쓰였을 수 있다고 봄

러시아 언론인 대상 첫 확인 사례

  • Timchenko 사건은 러시아 언론인을 상대로 Pegasus가 사용된 첫 확인 사례임
  • Access Now는 러시아 출신 언론인과 활동가 약 20명의 휴대폰을 검사해 여러 악성코드를 발견했지만, 이전에는 Pegasus를 확인하지 못함
  • Citizen Lab의 John Scott-Railton은 이런 스파이웨어가 로그 파일을 숨기고 자기 흔적을 감출 수 있어 감염 식별이 어렵다고 설명함
  • Citizen Lab과 Lookout Security는 2016년 Pegasus의 존재 흔적을 처음 공개함
    • 당시 보고서는 NSO Group의 “remote monitoring solution”이 아랍에미리트 인권활동가 Ahmed Mansoor 감시에 쓰였다고 밝힘
  • Citizen Lab은 Pegasus 운영에 필요한 서버와 감염 기기에서 수집된 정보가 도착하는 서버를 추적함
    • Access Now는 Pegasus가 단순 제품보다 서비스에 가깝고, NSO Group이 고객국에 운영 교육을 제공한다고 설명함

NSO Group과 Pegasus의 비용·판매 구조

  • NSO Group은 Pegasus를 “테러리스트, 범죄자, 아동 성범죄자” 감시 전용으로 설계했다고 주장함
  • 회사는 Pegasus를 국가 고객에게만 판매함
    • 공동 창업자들은 이스라엘 군 정보기관과 Mossad 출신을 포함함
    • NSO Group은 엄격한 인권 정책을 내세우지만, 여러 정부가 비판자와 정치적 상대를 표적으로 삼는 데 Pegasus를 사용해 왔음
  • Citizen Lab의 John Scott-Railton은 Pegasus 접근권 비용이 “수천만 달러, 혹은 그 이상”이라고 말함
    • 멕시코 정부는 Pegasus 기술에 최소 6,100만 달러를 지출함
    • 멕시코는 범죄자와 시민사회 인사를 모두 감시하는 데 이를 사용함
  • Access Now의 Natalia Krapiva에 따르면 NSO Group 계약은 일정 수의 동시 감염을 허용하는 방식임
    • 예를 들어 20명 감염 패키지는 한 번에 20명을 감시할 수 있다는 뜻임
  • Biden 행정부는 2021년 11월 NSO Group을 미국 기술을 받을 수 없는 연방 블랙리스트에 올림
    • 이는 Pegasus Project 컨소시엄이 스파이웨어의 광범위한 남용을 폭로한 지 몇 달 뒤의 조치임

러시아·카자흐스탄·아제르바이잔 가능성

  • NSO Group은 Pegasus가 미국이나 러시아 전화번호를 대상으로 쓰이지 않도록 한다고 알려져 있음
    • 2020년 Pegasus 설계자들은 감염된 휴대폰이 미국 안에 물리적으로 위치할 수 없고, 미국 국경 안으로 들어가면 소프트웨어가 자폭하도록 돼 있다고 밝힘
    • 2019년 에스토니아가 Pegasus 접근권을 샀을 때 NSO Group은 러시아 표적에 사용하는 것을 금지했다고 알려짐
  • NSO Group은 러시아와 중국이 “절대 고객이 될 수 없는” 국가라고 주장해 왔음
    • 회사는 잠재 고객의 인권, 부패, 안전, 재정, 남용 이력을 검토한다고 밝힘
    • 2023년 1월 CEO Yaron Shohat은 미국과 이스라엘의 동맹국 정부에 공급하는 핵심 사업에 전념한다고 말함
  • Andrey Soldatov는 러시아 정보기관이 세계 스파이 기술 시장에서 구매자가 아니라 판매자이며, 외국 스파이웨어에 극도로 편집증적이라고 봄
    • Pegasus로 훔친 데이터가 NSO Group 생태계의 서버로 전송된다는 점도 러시아 기관에는 부담이 될 수 있음
    • 러시아 FSB는 Meduza의 Pegasus 관련 질문에 답하지 않음
  • Access Now는 카자흐스탄 또는 아제르바이잔이 모스크바 요청으로 공격했을 가능성을 임시 이론으로 검토함
    • 두 나라는 Pegasus 고객으로 의심되는 국가임
    • 우즈베키스탄은 해당 기간 Pegasus 고객으로 여겨지지 않음
  • 다만 연구자들이 아는 한 카자흐스탄과 아제르바이잔은 유럽에서 Pegasus 공격을 실행한 적이 없고, Timchenko는 감염 당시 독일에 있었음
    • Citizen Lab은 카자흐스탄이 국경 밖에서 Pegasus를 사용한다는 증거를 보지 못함
    • 아제르바이잔은 해외에서 Pegasus를 사용하지만, 연구진이 기록한 국가는 아르메니아뿐임

라트비아·에스토니아·독일의 Pegasus 의혹

  • Timchenko의 감염된 iPhone에는 라트비아 SIM 카드가 들어 있었음
  • Citizen Lab은 2018년 라트비아에서 Pegasus 관련 활동을 처음 기록했고, Riga가 지금도 NSO Group 제품을 사용한다고 전문가들은 봄
    • Access Now는 라트비아 정보기관이 공격했을 가능성도 배제하지 않음
    • 감염 두 달 전 라트비아는 또 다른 러시아 망명 매체 TV Rain을 “국가안보와 공공질서에 대한 위협”으로 보고 현지 방송 면허를 취소함
  • 그러나 Citizen Lab은 Riga가 라트비아 밖 표적을 Pegasus로 공격한 사례를 관찰하지 못했고, Timchenko는 Berlin에 있을 때 감염됨
    • 라트비아 국가안보국은 Timchenko 스마트폰 공격 가능성과 관련한 정보를 보유하지 않았다고 답함
    • Pegasus 사용 여부와 해외 표적 감시 여부 등 다른 질문에는 작전 정보의 기밀성을 이유로 답하지 않음
  • 에스토니아는 2019년 Pegasus 접근권을 구매한 것으로 확인됐고, Citizen Lab도 이를 뒷받침함
    • Scott-Railton은 에스토니아가 독일을 포함한 여러 EU 국가에서 국경 밖 표적을 감염시키는 것을 추적했다고 말함
  • 독일 연방범죄수사청은 2019년 Pegasus 접근권을 확보했고, 2021년에야 구매 사실을 인정함
    • 독일은 남용 방지를 위해 일부 기능이 차단된 버전을 사용한다고 알려졌지만, 실제 작동 방식은 설명하지 않음
    • Krapiva는 유럽데이터보호감독관 보고서가 Pegasus 원형뿐 아니라 어떤 형태의 Pegasus도 EU 법과 근본적으로 양립하기 어렵다고 본다고 말함

유럽의 상업용 스파이웨어 문제

  • Scott-Railton은 Timchenko의 Berlin 감염이 유럽의 Pegasus 문제가 해결되지 않았다는 점을 보여준다고 봄
  • 독일은 상업용 스파이웨어 확산과 남용에 대응하기 위한 공동성명에 서명하지 않음
    • 해당 성명에는 Denmark, France, Sweden을 포함한 11개국이 서명함
  • Access Now는 러시아 반전 이민의 새 중심지가 된 Latvia, Estonia, Germany, Netherlands 네 EU 회원국이 모두 Pegasus 사용자로 의심된다고 지적함
  • EU PEGA Committee는 EU 안에 Pegasus 사용자로 최소 14개 회원국과 22개 운영자가 있다고 밝힘
    • NSO Group의 Hungary 및 Poland 계약만 종료된 상태임
  • Access Now는 Timchenko 공격을 지난 1년간 유럽에서 발생한 유사 사례 최소 네 번째로 봄
    • Meduza는 다른 사건의 세부 사항을 알고 있지만 피해자들이 공개를 원하지 않음
  • Krapiva는 유럽에서 언론인을 위협으로 취급하는 경향이 EU 법에도 나타나기 시작했다고 봄
    • European Media Freedom Act의 일부 문구가 France와 Sweden 등을 중심으로 약화되면서 국가안보를 근거로 언론인 감시를 정당화할 수 있다고 경고함

NSO Group의 대응과 책임 문제

  • NSO Group은 Timchenko 공격을 알고 있었는지, 어떤 고객이 침입을 실행했을 수 있는지에 대한 질문에 답하지 않음
  • 회사 대변인은 Pegasus가 미국과 이스라엘의 동맹국, 특히 서유럽 국가에만 판매되며 목적은 범죄와 테러 대응이라고 밝힘
  • NSO Group은 신뢰할 수 있는 남용 의혹을 모두 조사한다고 강조했지만, Timchenko 사건에 대해 내부 조사를 할 준비가 있는지는 밝히지 않음
  • The New York Times는 2022년 1월 Pegasus 시스템이 불만 제기 시 모든 공격을 기록하며, 고객 허가가 있으면 NSO가 사후 포렌식 분석을 할 수 있다고 보도함
    • 2022년 7월 NSO Group 법무·컴플라이언스 책임자는 유럽의회 위원회에서 내부 조사로 8건의 계약이 종료됐다고 말함
  • Access Now의 Krapiva는 수백 명의 피해자 이후 NSO의 내부 검토 절차가 없거나 보여주기용이라고 결론 내렸다고 말함

Timchenko와 Meduza의 현재 상황

  • Timchenko는 침입 이후 새 휴대폰을 샀고, 감염됐던 iPhone도 함께 들고 다님
    • Citizen Lab은 해당 기기에 Pegasus가 더 이상 설치돼 있지 않다고 확인함
    • Timchenko는 그 기기를 기념품처럼 보관하기로 했다고 말함
  • 2023년 6월 이후 전문가들은 Meduza 직원 수십 명의 휴대폰을 분석함
  • 공격자가 어떤 특정 정보를 노렸는지는 아직 모름
    • Meduza 기술 책임자 Alexey는 동기를 알기 전까지 최악을 가정해야 한다고 말함
    • 그는 러시아가 감염을 주문했을 가능성과 심각한 결과를 배제할 수 없다고 봄
  • Timchenko는 앞으로 변호사 조언에 따라 행동하겠으며 침묵하지 않겠다고 밝힘

감염이 의심될 때의 대응

  • 스파이웨어 감시를 받고 있다고 믿는 경우, 가능한 공격 증거를 보존하기 위해 기기를 백업하고 Access Now에 연락하는 것이 권장됨
  • Access Now는 다음 조건을 스파이웨어 감염 확인의 합리적 근거로 봄
    • 과거 국가기관의 박해를 받은 경우
    • 본인이나 가까운 사람이 이미 디지털 공격 표적이 된 경우
    • Apple, Google, Meta 등 대형 기술기업에서 악성코드 공격 가능성 알림을 받은 경우
    • SMS, 메신저, 이메일로 의심스러운 메시지를 받은 경우
    • 계정에서 “unusual login attempts”를 확인한 경우

댓글과 토론

Hacker News 의견들
  • NSO가 현재 취약점이 발견·패치되는 즉시 투입할 제로데이 20개쯤을 따로 쌓아뒀을 가능성이 얼마나 될지 궁금함
    Apple은 이 문제가 얼마나 심각할 수 있는지 알고 있거나 감이라도 잡고 있을까? NSO가 제로데이를 사는 데 쓰는 돈이 얼마든, Apple 정도면 버그 포상금을 충분히 올려서 그들을 합법적인 쪽으로 끌어올 수 있지 않을까? 기사만 봐서는 설치에 사용자의 행동이 필요했는지도 불명확함. 필요 없다면 국가 지원 감시가 조금이라도 의심되는 사람은 뭘 해야 할까? 차라리 휴대폰을 쓰지 않거나 중고로 산 기기를 계속 갈아타는 편이 더 안전해 보임

    • 예전에 HN에서 본 설명 중 이 댓글이 NSO를 가장 잘 해부한 듯함
      Pegasus는 많은 기사에서 묘사하듯 하나의 해킹 주체가 아니라, 휴대폰 루트 권한이 있을 때 데이터를 내려받는 서비스 묶음과 깊이를 알 수 없는 제로데이 저장고임. 어쩌면 제로데이를 교체하기 전까지 Pegasus가 몇 시간, 며칠, 몇 주 동안 작동하지 않는 때도 있을 수 있음. 유출 자료상 무클릭·클릭형 익스플로잇을 섞어 쓰고 여러 휴대폰 운영체제를 지원한다는 건 알려져 있음
      이들의 해킹 능력은 과장됐을 가능성이 큼. 원활한 고객 지원을 위해 제로데이를 전부 구매하고 직접 찾는 건 하나도 없을 수도 있음. iPhone용 무클릭 제로데이는 약 200만 달러 가치가 있고[1], NSO 같은 계약을 가진 회사라면 그런 걸 많이 살 수 있음. 언론이 이들을 슈퍼 해커처럼 그리는 건 순전한 과장이고, 실제로는 국가에서 돈을 뽑아내는 법을 알아낸 부패한 사업가 집단에 가까움
      [1] https://arstechnica.com/information-technology/2019/01/zerod...
    • NSO가 현재 취약점이 발견·패치되는 날 바로 쓸 제로데이 비축분을 여럿 갖고 있을 가능성은 꽤 높다고 봄
      익스플로잇 개발자 한 명도 1년에 무기화된 제로데이를 여러 개 만들 수 있는데, 그들이 그런 작업을 하는 개발자를 한 명만 둘 리는 없으니 취약점 수십 개를 쌓아뒀을 가능성이 큼. 일부는 공개 취약점과 겹쳐 사라지겠지만, 하나를 막아도 다른 걸 대기시켜놨다고 보는 게 맞음
      Apple이 포상금을 올려 합법 쪽으로 끌어올 수 있느냐는 좋은 질문이지만, NSO 가격대에서는 아마 어렵다고 봄. Apple이 경쟁력 있는 금액을 제시할 수는 있겠지만, 버그 포상금 작업은 훨씬 위험함. 운이 나쁘거나 이미 신고된 취약점과 겹치거나, 벤더가 까다롭게 굴면 오래 일하고도 돈을 못 받을 수 있음. Apple도 그런 면에서 악명 있는 편임
      국가 지원 감시가 의심된다면 일단 휴대폰을 여러 대 쓰는 게 나을 수 있음. SMS/MMS 대신 인증된 프로토콜을 쓰고, 누구나 원치 않는 데이터를 휴대폰에 보낼 수 있다는 것 자체가 말이 안 됨. 나라면 알려진 연락처로 발신 전화를 걸 때가 아니면 셀룰러 서비스도 아예 꺼둘 듯함
    • 기사에서 Lockdown Mode를 전혀 못 봤는데, 이런 위치의 사용자가 공격 표면을 줄이기 위해 쓸 수 있다고 홍보되는 기능임
      고위험 취재를 하는 기자들이 이걸 기본으로 켜두지 않는다는 게 놀라움. 이런 무상호작용 익스플로잇 상당수는 메시지를 받는 순간 실행되는 이미지 디코더 같은 취약점을 통하지만, Lockdown Mode가 켜져 있으면 막힘. Lockdown Mode는 다른 기능도 비활성화함. Lockdown Mode를 켠 휴대폰이 침해된 증거를 본 적 있는지 궁금함. 불가능하다는 뜻은 아니고 단순히 궁금함
    • Laurent Richard의 책 Pegasus는 Pegasus 유출 목록과 5만 명 이상 표적을 세상에 알린 기자들이 겪은 어려움을 다룸
      시간이 지나며 저널리즘에 냉소적이 된 사람도 사우디아라비아나 모로코 같은 정권에 맞서기 위해 기자들이 견디는 죽음과 공포를 보면 겸손해질 수밖에 없음. Pegasus는 Jamal Khashoggi와 그의 연인으로 기억되는 사람의 휴대폰에도 있었음
    • NSO는 아마 무클릭 제로데이를 3~10개 정도 손에 쥐고 있을 가능성이 큼
      NSO가 자체 생산분을 모두 태워도, 내가 아는 취약점 브로커들은 몇백만 달러짜리 재고를 수십 개 준비해두고 있음. 이건 비밀도 아님. 브로커들은 미국에 합법적으로 설립된 회사를 운영하며 정부, 기업, 그리고 Microsoft와 Apple처럼 안전하지 않은 제품을 만드는 벤더에게 판매함. Apple은 자신들이 알려진 치명적 보안 결함 수십~수백 개를 가진 제품을 내놓고 있다는 사실을 알고 있음
      Apple이 제로데이를 모두 사들이지 않는 이유는 두 가지임. 첫째, 돈으로 보안을 살 수 없음. 둘째, 이익이 비용보다 크지 않음
      진지한 보안은 돈으로 해결할 수 없음. Apple은 현재 지속성을 갖춘 무클릭 원격 코드 실행에 100만 달러[1], Lockdown Mode에서 같은 일을 하면 200만 달러를 지급함. Tomahawk 순항미사일 한 발 정도 가격임. 이런 보안 결함을 찾는 데 1~3 엔지니어-년 정도가 걸리기 때문에 포상금이 대략 인건비 수준으로 책정된 것임. 만약 M1 Abrams 전차 한 대 가격쯤인 1천만 달러를 지급하면 투자수익률이 10배가 되면서 새 신고가 폭주할 것임. 1백만 달러 수준에서 탐지되는 결함보다 1천만 달러 수준에서 탐지 가능한 결함이 훨씬 많기 때문임
      하지만 국가를 억제하려면 최소 F-16 한 대 가격인 1억 달러 수준까지 가야 함. 이미 몇백만 달러 수준에서도 알려진 보안 결함이 수십~수백 개이니, 1억 달러 수준에서는 거의 확실히 수천~수만 개의 취약점이 있을 것임. 따라서 국가 지원 공격자에게서 보호받으려고 돈으로 사들이는 방식은 가능하다고 해도 수조~수십조 달러가 들 수 있음. 애초에 iOS나 Windows처럼 보안을 위해 설계되지 않은 시스템을 사후 보강하려는 전략으로 몇백만 달러 범위를 넘어 성공한 곳은 사실상 없음
      Apple이 제로데이를 사들여 얻는 건 뭘까? 보안 결함이 수천 개 보고돼도 사람들은 계속 iPhone을 삼. Apple은 Lockdown Mode 같은 새 마케팅을 만들기만 하면 모두가 안심함. 국가 지원 공격자에게 필요한 수준의 100분의 1에도 못 미치는 제품만 만들어온 회사가 “이번에는 정말 해낼 것”이라는 홍보 문구를 내놓으면 사람들은 그걸 받아들임. Apple도 자기 홍보를 믿지 않는다는 건 Lockdown Mode 포상금을 일반 iOS의 100만 달러의 두 배인 200만 달러로 정한 데서 드러남. 여전히 전차 한 대의 5분의 1 가격임. 국가 지원 공격자가 전차 일부 가격에 겁먹을까? McDonald’s 매장 하나 여는 비용이 더 듦. Apple, Microsoft, Amazon, Google, Cisco, Crowdstrike 같은 회사들은 거짓말만 하면 되고, 이상하게도 사람들은 천 번째에도 믿어줘서 매출이 보호됨
      상용 IT 시스템은 중간 정도 자금을 가진 공격자에게도 완전히 안전하지 않음. 100만 달러 이상의 가치가 있는 작전이 있거나 표적 공격 위험이 있다면, 어떤 시스템을 몇 개 쓰든 100% 취약하다고 봐야 함. 받아들일 수 없다면 연결성을 가진 표준 상용 IT 시스템을 쓰면 안 됨. 안타깝지만 현재 작동하는 유일한 해법임. 그 절충을 감수할지는 각자 판단할 일임
      [1] https://security.apple.com/bounty/categories/
  • 가까운 미래 어느 시점에는 제목의 “휴대폰”이 자동차로 바뀌고 결과는 더 비극적일 것임
    Tesla 제로데이는 얼마일지 궁금함

    • 아마 휴대폰보다 값어치는 낮을 것 같음
      사람들은 휴대폰을 자기 자신의 연장처럼 들고 다니지만, 자동차는 A지점에서 B지점으로 데려다주는 수단임
      그리고 대부분의 현대차에는 인터넷에 거의 연결되지 않은 Secure Gateway[1]가 있어, 연결된 시스템이 엔진·파워트레인·브레이크 같은 차량 나머지 부분에 제한된 네트워크 접근만 하게 함. 그래서 원격 대규모 공격 가능성은 낮다고 봄
      [1] https://blackberry.qnx.com/en/ultimate-guides/software-defin...
    • 이미 일어난 일임: https://www.youtube.com/watch?v=MK0SrxBC1xs
  • 그리스 신화적 의미가 재밌지 않나? Pegasus는 Medusa의 피에서 태어났음

    • 원래는 ‘Meduza’가 러시아어 /meduza/, 즉 해파리에서 온 줄 알았는데, 실제로는 그리스 신화의 Medusa를 뜻한 게 맞았음(1)
      “왜 하필 Meduza인가? 미끄럽고 불쾌한 생물 아닌가?”라는 질문에, 기자는 대체로 불쾌하고 미끄럽고 좋아하는 사람이 거의 없으며 그게 일의 본질이라고 답함. 또 Medusa가 대상을 한눈에 돌로 만든다는 점도 기자와 맞다고 함. 다만 솔직히 말하면 우연히 정한 이름이라고 함. 고대 그리스의 목이 잘렸지만 다시 살아난 괴물 이름을 붙이려 했고, ‘Meduza’를 고른 뒤 그게 사실 Hydra였다는 걸 떠올렸지만 이미 늦었다고 함
      1: https://meduza.io/cards/zaday-vopros-meduze, #75
  • Apple이 Pegasus 같은 악성코드를 감지했을 때 누구에게 알리고 누구에게 알리지 않을지 어떻게 결정하는지 궁금함
    해당 인물에게 알린 건 잘한 일임
    하지만 그 사람이 훨씬 덜 유명했다면 어땠을까? 예를 들어 민주주의 국가에 사는 일반인이라면? Apple은 누가 표적으로 삼았는지 알까? 만약 안다면 “중국이나 러시아면 알린다” 같은 기준이 있을까? 그렇다면 중국이나 러시아가 민주주의 국가의 유료 대리인을 써서 똑같이 하면 어떻게 될까?
    질문이 너무 많아짐. 그리고 Apple이 이런 악성코드를 감지할 수 있다면 왜 로컬 앱에서 즉시 알림이 오지 않을까? 휴대폰용 백신 같은 것 말임. 이미 그런 게 있어야 할 텐데, 아니라면 어떻게 알았겠나?

    • 실제로 어떻게 작동하는지는 모르지만, 기기에서 직접 돌리기에는 비용이 너무 클 것 같음
      아마 악성 메시지를 보낸 것으로 알려진 계정 같은 정보를 전달받고, 서버 로그를 뒤져 누구에게 도달했는지 확인하는 방식일 가능성이 있음
  • 이런 사람들의 표적이라고 믿는 기자나 활동가라면 어떤 실용적 조치를 할 수 있을지 궁금함
    앱마다 다른 기기를 쓰는 방식, 예를 들어 WhatsApp, Telegram, Signal을 따로 두는 방법이 있음. 웹 프런트엔드를 쓰고 휴대폰은 꺼두는 방법도 있는데 모든 앱에서 되는지는 모르겠음. 기기를 주기적으로 버리고 중고로 팔아 새 기기나 중고폰을 사는 방법도 있음. 기기는 더 안전한 환경에서 만날 약속을 잡는 데만 쓰고, 전화기에 대고 말하거나 문자를 보내지 않으며 항상 침해됐다고 가정해야 함
    그리고 NGO가 아니라 NSO에 제재가 있어야 함. 이들은 쓰레기임

    • 그렇게 하면 실제 저널리즘을 할 시간이 별로 남지 않을 것 같음
      다른 장비를 들고 다닐 공간도 부족할 것임. 국경을 넘을 때 그 많은 휴대폰을 국경 통제나 세관에 설명해야 해서 꽤 흥미로운 일이 벌어질 듯함
    • iOS에서 Lockdown Mode만 켜면 됨
      정확히 이런 공격을 막기 위해 설계됐고, 이 공격도 Lockdown Mode가 켜져 있었다면 실패했을 것이라고 확인됐음
      더 확실히 하려면 iMessage를 끄고 iCloud도 전혀 쓰지 않으면 됨
    • 이런 건 오픈소스 프로젝트로도 나쁘지 않아 보임
      GrapheneOS와 비슷하게 공격 표면을 계속 줄이되, 앱 설치나 Google 서비스 관련 양보도 완전히 제거하는 형태임
      기본적으로 암호화 메시징과 카메라·마이크에 매우 통제된 조건에서만 접근할 수 있는 휴대폰, 그 정도가 전부임
      제약이 크면 인기도 제한되어 표적으로 삼을 비용 대비 가치가 거의 없고, 정말 보호가 필요한 소수에게는 그런 희생을 감수할 만큼 더 강한 보호를 제공할 수 있음
    • 감염을 빠르게 감지하는 방법도 있을 가능성이 큼. 모든 네트워크 트래픽을 계속 보는 방식임
      모든 메시지를 빼내고 자주 화면 캡처를 한다면 나가는 트래픽을 숨기기 꽤 어려울 것임. 암호화는 하겠지만 데이터 양은 숨기기 힘듦
      애초에 휴대폰을 최소 구성으로 잠가두면 더 쉬움. 외부로 트래픽을 발생시킬 앱이 적기 때문임
  • “유럽 국가가 이 일을 했을 수 있다는 걸 진지하게 논의하고 있다는 사실에 정말 충격받았다”는 Ivan Kolpakov의 말은 순진하다기보다, 그 사건 전에 유럽 국가들이 실제로 이런 맥락에서 무엇을 하는지 조사하지 않았던 게 핵심 문제라고 봄
    미리 조사했다면 충격이 아니라 걱정했을 것임
    또 다른 가능성은 이 “충격”이 영화 Casablanca식 충격이라는 것임
    Rick: 무슨 근거로 날 폐쇄할 수 있지?
    Captain Renault: 여기서 도박이 벌어지고 있다니 충격이군, 충격이야!
    [크루피에가 Renault에게 돈뭉치를 건넴]
    Croupier: 따신 돈입니다, 선생님
    Captain Renault: 아, 정말 고맙네

  • Pegasus가 스스로 퍼지지 못하게 막는 게 있는지, 아니면 반드시 표적 공격으로 설치돼야 하는지 궁금함
    감염 여부를 확인하기 위해 스캔하는 방법도 있을까?

    • Pegasus가 스스로 퍼지는 것을 막는 기술적 이유는 없음
      관련됐다고 알려진 취약점 일부는 웜화 가능할 수도 있음. 다만 실제로는 Pegasus 같은 악성코드 운영자가 통제되지 않는 확산을 피할 실용적 이유가 있음. 발견되지 않고 패치되지 않은 취약점이 계속 숨겨져 있어야 하는데, 무제한 확산은 발견·분석될 가능성을 크게 높여 “황금알을 낳는 거위”를 죽이는 셈임
      따라서 적어도 현재로서는 모든 Pegasus 설치가 표적 공격의 결과일 것으로 예상함. 반면 도구가 유출되어 여러 행위자가 쉽게 사용할 수 있게 되면 유인이 바뀌고, 그중 누군가가 패치하지 않은 전 세계 기기를 감염시키는 웜을 만들 수도 있음
    • Pegasus에는 자가 전파 코드가 내장되어 있지 않음
      그런 코드를 작성하는 건 비교적 단순할 것임. 표적의 모든 연락처에 iMessage로 익스플로잇을 보내고 반복하면 됨
      하지만 이는 역효과임. Pegasus의 핵심 판매 포인트는 표적 감시이고, 이런 익스플로잇은 매우 비쌈. 통제되지 않는 확산은 더 빨리 탐지되어 귀중한 자원을 태워버림
      만약 이런 익스플로잇이 싸다면 표적의 전체 주소록을 자동 공격해 사회적 관계망을 캐는 변종을 정당화할 수도 있겠지만, 그 다음에는 대부분 쓸모없는 엄청난 데이터를 분석해야 하는 문제가 생김
    • NSO의 사업 모델은 초고급 독점성과 아주 적은 수의 기업 고객에 기반한 것 같음
      기술적으로 Pegasus가 자신을 다시 전송해 다른 기기를 감염시킬 수는 있겠지만, 사업 모델과 맞지 않으니 NSO가 정기적으로 그렇게 할 것 같지는 않음
    • 이전에 읽은 바로는 Pegasus는 스스로 퍼지는 능력이 없고 표적 공격으로 설치돼야 함
      Amnesty International이 이를 탐지할 수 있거나 한때 탐지할 수 있었던 도구도 있음: https://github.com/mvt-project/mvt
      다만 이것은 경쟁이므로 과거 정보가 더 이상 유효하지 않을 수 있음. 그래도 감염에 매우 비싼 제로데이를 쓰고, 발견되면 빠르게 패치될 것이기 때문에 앞으로도 스스로 퍼지는 기능을 넣을 가능성은 낮다고 봄
    • 내가 알기로는 전화번호가 진입점임
      누군가를 표적으로 삼는 가장 쉽고 빠른 방법이기 때문임. 그 외에는 표적을 분리해내는 과정이 더 복잡해질 것임. 따라서 Lockdown Mode에 더해 휴대폰에 어떤 번호도 활성화하지 않고 일반적인 보안 예방책을 지키면 이론상 충분히 보호될 수 있음. 궁극적으로는 스마트폰을 쓰지 않는 게 답임
  • 해당 휴대폰이 Lockdown Mode였는지 궁금함
    Lockdown Mode가 이런 제로데이 대부분을 막는 데 얼마나 효과적인지 아는 사람 있나?

    • 그 휴대폰은 Lockdown Mode가 아니었음. 켜져 있었다면 공격을 막았을 것이기 때문임
      https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zer...
      “우리는 Apple의 Security Engineering and Architecture 팀도 확인했듯, Lockdown Mode가 이 특정 공격을 차단한다고 믿는다”
      https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-ret...
      “짧은 기간 동안 iOS 16의 Lockdown Mode 기능을 켠 표적은 PWNYOURHOME 익스플로잇 시도가 기기에서 발생했을 때 실시간 경고를 받았다. NSO Group이 이후 이 실시간 경고를 우회하는 방법을 고안했을 수는 있지만, Lockdown Mode가 활성화된 기기에서 PWNYOURHOME이 성공적으로 사용된 사례는 보지 못했다”
  • 이런 공격은 라우터 수준에서 동작하는 개인용 심층 패킷 검사기나 단순 패킷 캡처 도구로 감지할 수 있지 않을까?
    또 다른 단순한 해법은 심층 패킷 검사나 네트워크 분석기가 내장된 DIY 휴대용 라우터일 수 있음