Hacker News 의견들
-
Darknet Diaries가 NSO Group을 직접 상대했거나 표적이 된 사람들 관점에서 다룬 에피소드들을 보면, 이들이 얼마나 끔찍한지 실감됨
미국의 보호 아래 움직이며, 사실상 아무 책임도 지지 않고 미국 시민을 감시할 수 있게 허용된다는 점이 특히 문제임
이스라엘 전쟁범죄 수사를 시작한 뒤 Ben Suda를 불법 도청한 사례가 특히 역겨웠고, 이를 검사 협박에 쓰거나 조사 대상 증거를 숨기는 데 활용했다고 봄
또 사건을 법원에 가져갔다가 취하해 “기소를 시도했다”고 ICC에 말함으로써, ICC가 해당 사건을 맡지 못하게 하는 허점을 이용했다는 점도 심각함
여러 나라가 비슷한 일을 하고 봇넷을 운영하거나 기자를 협박하겠지만, 여기서 특이한 점은 이스라엘 정보조직들이 미국 정부와 나란히 아무 감시나 감독 없이 미국의 완전한 보호를 받는다는 것임
수십 년 전부터 경고하던 디스토피아 속에 이미 살고 있음- 미국은 NSO보다 이 일을 더 잘하는 회사들도 호스팅하고 보호함
단지 그 회사들이 뉴스에 안 나올 만큼 영리해서만은 아님 - ICC의 보충성 원칙은 국내 수사가 명백히 선의가 아니라면 그렇게 쉽게 발동되지 않음
ICC는 진지한 수사 시도가 아니었다고 판단한 국내 수사는 무시할 수 있음
자기들끼리 가짜 수사만 돌리면 모든 책임을 피할 수 있다면 꽤 우스운 법원이 될 것임 - 가능하면 내 스택에는 이스라엘 기술을 쓰지 않으려 함
Snyk 같은 소프트웨어를 쓰면서 자신을 위험에 빠뜨리지 않을 수 있는지 모르겠음. 창업자들이 전 IDF Unit 8200 출신임
특히 보안 영역에서는 이스라엘 기술을 쓰는 게 늑대를 닭장 안으로 들이는 일처럼 보임. 사양함
- 미국은 NSO보다 이 일을 더 잘하는 회사들도 호스팅하고 보호함
-
NSO 소유자나 의사결정권자도 Gary McKinnon과 같은 방식으로 다루는 게 더 적절함
다만 이들은 더 “평등한” 쪽인 듯함 -
변호사는 아니라서 뭔가 오해했을 수 있지만, 원고는 기자들이 아니라 WhatsApp임
이 사건은 NSO Group이 기자를 해킹한 책임을 묻는 소송이라기보다는, Pegasus 설치 벡터를 WhatsApp을 통해 피해자에게 보내면서 WhatsApp에 대한 “권한 초과”를 했는지가 핵심으로 보임
기자들이 침해됐다는 사실은 부수적이고, 판결은 피해자 접근이 무단이었는지보다 WhatsApp 시스템에서 권한을 초과했는지를 다룸
판결문도 모든 WhatsApp 사용자는 메시지 전송 권한이 있으므로 스파이웨어가 들어 있어도 “무단 접근”은 아니고, 다만 “권한 초과” 이론만 뒷받침된다고 봄
피고 측은 Pegasus 설치 벡터가 다른 메시지처럼 WhatsApp 서버를 통과했을 뿐이고, 얻은 정보는 서버가 아니라 표적 사용자 기기에서 나온 것이라고 주장함
원고 측은 조항의 “어떤 보호된 컴퓨터(any protected computer)”라는 표현을 근거로 들었고, 심리에서 WIS가 사용자 기기에서 직접 정보를 얻을 뿐 아니라 WhatsApp 서버를 통해서도 표적 기기 정보를 얻는다는 점이 정리됨
이전 기록까지 보면 NSO Group은 원래 앱으로는 보낼 수 없는 메시지를 보내는 가짜 WhatsApp 클라이언트를 스크립트로 만들었고, 이를 통해 표적 기기 정보를 얻었음
가짜 클라이언트가 실제 클라이언트가 할 수 없는 일을 했고 약관상 금지되어 있으므로 권한을 초과했다는 구조임
이게 의미하는 바를 잠깐 생각해볼 필요가 있음. 뭔가의 대체 클라이언트를 만들어본 사람이 나뿐은 아닐 것임
WhatsApp은 가짜 클라이언트가 취약점을 악용해 정보를 얻었다고 주장하는 것이 아니라, 그냥 가짜 클라이언트였다는 사실만으로 충분하다고 보는 듯함. 다만 이 부분에 관련 있을 수 있는 비공개 처리된 부분이 있긴 함
CFAA는 꽤 모호하고 과거에도 매우 넓게 적용되어 왔으니 놀랍지는 않지만, 몇 년 전 Van Buren 사건 이후 약관 위반을 CFAA 위반으로 만드는 넓은 해석이 조금은 후퇴하길 기대했음
관심 있는 사람을 위한 판결문: https://storage.courtlistener.com/recap/gov.uscourts.cand.35...
양측 주장이 포함된 다른 기록을 보고 싶다면 CourtListener: https://www.courtlistener.com/docket/16395340/facebook-inc-v...- 비공식 클라이언트를 만들어본 적도 있고, 내가 운영하는 서비스에서 악성 비공식 클라이언트와 싸워본 적도 있음
어느 한쪽에 완전한 백지수표를 주는 건 지속 가능하지 않음
잘 동작하는 99.99%의 클라이언트는 묵시적으로 무시되지만, 악성코드 배포나 속도 제한 우회를 하는 쪽이 법정에 서는 것에는 반대하지 않음 - 이해관계자들의 성격을 보면, 목표를 달성하는 가장 깔끔한 방법은 권한 문제를 겨냥하는 것임
누가 무엇을 했는지보다 어떻게 했는지에 초점을 맞추게 됨
이렇게 하면 이해관계자들의 체면 손상을 줄이고, 출처와 수법을 보호하며, 메시지도 보낼 수 있음
법은 가능한 한 넓게 잡혀 있음. NSO Group이 아니라 미국인이었다면, 말도 안 되는 손해액 계산으로 징역 수천 개월 대신 유죄 인정 합의를 끌어냈을 것임 - CFAA는 확실히 개혁할 때가 됐음
광범위하고 모호하다고 주장하기 어렵지 않고, 해롭지 않은 온라인 행동까지 쉽게 포섭될 수 있는 전반적인 범위가 있음 - WhatsApp 사용자가 WhatsApp을 해킹해 자신의 데이터를 가져간 사람들을 상대로 원고 적격을 가지기는 어려울 것 같음
시스템은 WhatsApp 소유이니 소송은 WhatsApp이 해야 함 - “원래 앱으로 보낼 수 없는 메시지를 보내는 가짜 클라이언트로 표적 사용자 기기 정보를 얻었다”는 부분이라면, 권한 초과의 구분은 꽤 분명해 보임
이 판결이 자기 클라이언트를 만들고 싶은 사람들에게 불리하다고 읽히지는 않음
이들은 고의로 악의적인 목적의 서드파티 클라이언트를 만들었음
Discord 클라이언트를 만들어 스팸을 보내거나 사용자에게 해를 끼치려 했다면, 문제가 되는 게 완전히 합리적임
- 비공식 클라이언트를 만들어본 적도 있고, 내가 운영하는 서비스에서 악성 비공식 클라이언트와 싸워본 적도 있음
-
WhatsApp과 Signal은 같은 암호화를 공유한다고 생각했음
- 암호화가 깨졌다는 주장은 아님
앱 자체가 신뢰할 수 없는 입력을 많이 처리하므로, 예를 들어 받은 동영상 파일의 썸네일 생성 같은 부분에서 프로토콜 바깥에도 의미 있는 공격 표면이 있음 - VOIP 스택의 버퍼 오버플로였음
https://www.theverge.com/2019/5/14/18622744/whatsapp-spyware...
흥미롭게도 Signal 등도 Android에서 WebRTC 스택 때문에 비슷한 취약점이 있었음
https://googleprojectzero.blogspot.com/2020/08/exploiting-an...
두 경우 모두 큰 문제는 사용자가 전화를 받기 전에 익스플로잇이 실행됐다는 점임
안전한 메신저라면 사용자가 정말 신뢰하지 않는 주체를 대신해 본질적으로 불안전한 코드, 즉 복잡한 코드를 실행하지 않아야 함
기본값은 항상 일반 텍스트여야 한다고 봄 - 이 그룹은 WhatsApp의 버그를 악용해 스파이웨어를 전달했음
종단 간 암호화 문제가 아니었음
미국 판사는 Israel의 NSO Group이 메시징 앱의 버그를 악용해 무단 감시를 가능하게 하는 스파이 소프트웨어를 설치했다는 소송에서 Meta Platforms의 WhatsApp 손을 들어줬음 - 공격은 WhatsApp의 암호화 부분을 겨냥한 것이 아니었음
암호화는 중요하지만 보안 사슬에서 가장 약한 고리인 경우는 흔치 않음 - 어떤 통신 수단이든 이미 뚫렸다고 가정하기 시작해야 함
NSA 같은 조직이 Signal 같은 앱을 두고 손을 들고 포기할 리가 없음. 가장 많이 다운로드되는 메시징 앱 중 하나라면 뚫는 데 투자할 가치가 매우 큼
휴대폰이나 컴퓨터가 관여된 모든 것은 본질적으로 안전하지 않다고 보는 편이 나음
반면 일회용 암호표나 손으로 입을 가리고 귀에 속삭이는 것 같은 아날로그 방식은, 이미 어떤 식으로든 침해됐을 가능성이 큰 디지털 통신만큼 국가와 개인 사이의 힘의 균형이 일방적이지는 않음
- 암호화가 깨졌다는 주장은 아님
-
“감시 회사들은 불법 감시가 용납되지 않는다는 점을 알아야 한다”는 문구는 좀 웃기면서도 슬픔
뒤집어 보면 Meta는 WhatsApp 사용자가 “합법적으로만 감시”당하는 건 허용한다는 뜻 같음- 모든 소셜 미디어 회사는 합법적 감시를 허용함
미국에서는 영장과 감청 명령이 매일 발부됨 - 당연한 것 아닌가 싶음
Meta는 사용자 감시에 대한 독점권을 원함
Meta 제품으로 사용자를 감시하는 건 허용되지 않음
사용자를 감시하고 싶다면, 수십억 명이 자발적으로 가입해 감시에 동의할 만큼 인기 있는 앱을 직접 만들면 됨
- 모든 소셜 미디어 회사는 합법적 감시를 허용함
-
FBI와 CISA가 바로 오늘 2단계 인증에 SMS를 쓰지 말고 WhatsApp을 쓰라고 발표했다는 점을 생각하면 아이러니함
물론 그들이 지적한 가장 큰 문제는 모바일 사용자가 SMS의 링크를 누른다는 것임
우리는 대부분 포획되고 반소비자적인 환경에 살고 있어서, 훌륭한 조언이라는 게 있는지도 모르겠음
https://www.newsnationnow.com/business/tech/fbi-warns-agains...- 당연히 좋은 조언은 있음
SMS보다 항상 인증 앱을 선호해야 함
Passkeys도 이 면에서 큰 업그레이드가 될 것으로 기대됨 - WhatsApp은 더 이상 그 해킹에 취약하지 않은 것으로 알려져 있고, SMS 앱들도 과거에 비슷한 취약점이 있었음
- 당연히 좋은 조언은 있음
-
이런 회사들과 일반적인 봇넷 운영자나 랜섬웨어 조직 사이에 차이를 둬서는 안 됨
경영진은 20~30년형을 받고 전 세계적으로 송환되어야 함
기자와 정치인을 해킹해 지갑만이 아니라 문자 그대로 생명까지 위험에 빠뜨리는 이들이 사회에 끼치는 해악은 랜섬웨어 조직보다 더 클 수도 있음
공개 법정에서 방어권을 보장받고 이미 유죄 판결을 받은 사람의 데이터 추출을 제외하면, 누군가의 기기를 “합법적으로” 해킹하는 일은 없어야 함- 이건 전통적인 “무기”와 그렇게 다르지 않음
“사이버무기” 비유는 싫지만, 맞아떨어지는 경우임
정부, 심지어 평판이 나쁜 정부에 총을 팔아도 아주 극단적인 경우가 아니면 거의 아무 일도 안 생김
거리 갱단에 총을 팔면 완전히 다른 이야기임
이 상황이 단지 “해킹”이라는 이유로 다르다고 보지는 않음 - 기자를 해킹한 이들은 확실히 감옥에 가야 함
- 첫 번째 부분에는 적어도 취지상 동의함
하지만 두 번째 부분은 말이 안 됨
미국 대통령이 테러리스트를 법정에 세우지 않고 드론으로 죽이라고 명령할 수 있다면, 그들의 휴대폰 해킹도 명령할 수 있을 것임
후자가 절대 괜찮을 수 없다고 본다면, 먼저 전자에 맞서 싸워야 하지 않나 싶음 - 이스라엘인은 어떤 일로도 미국에 송환되지 않을 것임
미국이 사실상 그 나라 전체를 재정적으로 떠받치고 있는데도 그렇다는 점이 우스움
미국이 직접 한 일로 비난받지 않고 “권리 기반 세계질서”를 유지하는 척하기 위해, 이스라엘이 장갑을 벗고 적들을 군사적으로 위협하도록 허용하는 장소처럼 되어 있음 - NSO를 Wikileaks만큼 집요하게 쫓는 모습을 상상해보라
- 이건 전통적인 “무기”와 그렇게 다르지 않음