정부 스파이웨어에 노출된 해킹 도구 개발자에게 Apple이 경고 알림 전송

 (techcrunch.com)
1P by GN⁺ 9시간전 | ★ favorite | 댓글 1개
  • Apple이 한 익스플로잇 개발자에게 그의 iPhone이 정부 스파이웨어 타깃이 되었다고 경고 알림을 보낸 이슈 발생
  • 해당 개발자는 이전에 Trenchant에서 iOS 제로데이 취약점 및 도구를 개발하던 전문가임
  • 최근 몇 달간 비슷한 스파이웨어 경고 알림을 받은 익스플로잇·스파이웨어 개발자들이 추가 확인됨
  • Spyware제로데이 공격 도구의 확산으로 다양한 보안 전문가까지 피해 대상이 확대되는 양상 확인됨
  • 회사 내 해킹 도구 유출 의혹과 해고 과정도 중첩되어 억울한 희생양이 되었을 가능성 제기됨

사건 개요

  • 올해 초, 한 해킹 도구 개발자는 자신의 개인 iPhone에서 “Apple에서 귀하의 iPhone이 표적형 용병 스파이웨어 공격의 타깃이 되었다는 사실을 감지하였습니다”라는 메시지를 받고 큰 충격을 받음
  • 해당 인물은 보복 위험을 우려해 실명을 밝히지 않고 Jay Gibson이라는 가명을 사용함
  • Gibson은 최근까지 Trenchant라는 서방 정부 대상 해킹 도구 개발 업체에서 iOS 제로데이 취약점 및 익스플로잇 개발을 담당함
  • 그는 스파이웨어 및 익스플로잇 개발자가 직접 이들 공격의 대상이 된 사례로 관련업계 최초로 문서화된 인물임

사건 발생 이후

  • Gibson은 “이게 무슨 일인지 모르겠는 극심한 당혹감과 함께, 극도의 공포를 느꼈음”이라 전하며 즉시 휴대폰을 꺼서 치우고 새로운 폰을 구매함
  • 그는 아버지에게 전화를 거는 등 당황스러운 대응을 했으며, 당시 상황이 매우 혼란스러웠음을 언급함
  • Gibson은 TechCrunch와의 인터뷰에서 “이런 단계까지 상황이 진행되면 앞으로 무슨 일이 일어날지 아무도 알 수 없음”이라며 우려를 표명함

업계 내 유사 피해자 등장

  • Gibson 사례 외에도, 최근 몇 달 사이에 Apple로부터 스파이웨어 경고 알림을 받은 다른 스파이웨어·익스플로잇 개발자들이 추가로 존재한다는 사실이 취재를 통해 확인됨
  • Apple은 TechCrunch의 논평 요청에 응답하지 않음

스파이웨어와 제로데이 도구의 확산 피해

  • Gibson의 사례는 제로데이 및 스파이웨어 도구가 폭넓게 배포되며 공격 대상이 다양화되는 현상을 보여줌
  • 스파이웨어·제로데이 개발사들은 공식적으로 “도구는 신뢰 가능한 정부기관만이 범죄자 혹은 테러리스트를 겨냥해 사용한다” 주장해왔음
  • 그러나 Toronto 대학 산하 Citizen Lab, Amnesty International 등 여러 연구 그룹이 지난 10년간 정부가 이 도구를 반체제 인사, 언론인, 인권 옹호자, 정치적 경쟁자 등을 대상으로 반복적으로 사용했다는 수십 건의 사례를 확인함
  • 이전에도 보안 연구자가 해커 그룹의 공격 타깃이 된 경우(North Korea의 사례 등)가 있었으나, 스파이웨어 개발자 자체가 타깃이 된 사건은 드문 편임

유출 혐의 수사 및 내부 조사

Apple 경고 알림 이후

  • 경고 알림을 받은 뒤 Gibson은 스파이웨어 공격 포렌식 분석 경험이 풍부한 전문가에게 연락함
  • 1차 분석 결과 명확한 감염 흔적은 없었으나, 전문가가 더 정밀한 포렌식 분석을 권고함
  • 정확한 분석을 위해서는 Gibson의 전체 기기 백업이 필요했으나, Gibson은 개인정보 및 보안 우려로 추가 조사를 거부함
  • 최근 일부 스파이웨어 공격의 경우 포렌식 분석상 명확한 흔적을 찾지 못하는 사례도 증가함

해고 및 내부 갈등

  • Gibson은 Apple 경고 알림 약 한 달 전, 회사 내 팀 빌딩 행사 참여차 Trenchant London 사무소 방문
  • 입장 직후, 회사 매니저로부터 이중 취업 의혹으로 업무정지 및 모든 회사 기기 압수 및 분석 통보를 받음
  • 약 2주 뒤 Gibson은 회사에서 공식적으로 해고 통보 및 합의금 제안을 받음
  • Gibson은 회사가 자사 해킹 도구 유출 사건의 희생양(scapegoat)으로 자신을 지목했다고 주장함
  • Gibson 및 동료 3인은 Chrome 관련 제로데이 개발과는 무관함을 밝혔으며, 내부 팀은 엄격히 플랫폼별로 분리되어 있음
  • 세 명의 전 Trenchant 동료들에 의하여 Gibson 해고와 그 이유, 팀 내 의혹 및 루머가 사실임이 독립적으로 입증됨

시사점 및 추가 정보

  • 본 사건은 스파이웨어 기술의 확산이 보안업계 내 전문가 자신까지 공격 위협에 노출시키고 있음을 보여주는 신호탄 역할을 함
  • 정부 및 기관이 사용하는 보안 취약점 무기화 현상, 내부 보안 리스크, 개발자 보호 문제 등 다양한 시사점 제공함
  • L3Harris(Trenchant 모회사) 대변인은 공식 논평을 거부함
  • Gibson 및 전 동료들은 그가 Leak 사건의 책임자가 아니며, 회사의 판단이 잘못되었다는 입장임
GN⁺ 9시간전  [-]
Hacker News 의견

  • 나는 이런 류의 회사들과 면접을 본 적이 있음(기사에서 언급된 회사는 아님) 실제로 내가 오퍼를 받은 후 그들이 내게 취약점을 활용하는 모습을 포착한 경험이 있음 이 상황 역시 그런 맥락이라 추정함 이런 취약점들을 재판매 목적으로 개발하는 걸 양심적으로 할 수 있다고 생각하지 못하겠음 이런 회사들이 자사 직원에게까지 공격 도구를 쓰는 걸 거리낌 없이 한다면, 의회, 법원, 투자은행, IT 리더 등 실제 권력자들을 상대로 쓰는 데도 아무런 제약이 없을 것임 그 결과 세계에서 가장 영향력 있는 사람들을 협박할 수 있는 능력이 생김 참고로 이 회사들이 반체제 인사나 기자에게 쓰려 계획 중이라는 점은 언급도 안 했음

    • 이런 회사들은 기본적으로 윤리적 가치관이 강한 사람들을 알아서 걸러내고, 최악의 경우 "남을 몰래 감시하고 싶다"고 생각하는 사람들을 끌어들임 이런 현실이 무서움

    • 이런 일이 양심적으로 개발될 수 없겠냐고 묻는다면, 반확산 정보 활동은 어떤 식으로든 이뤄질 테고, CNE(컴퓨터 네트워크 활용 활동)은 인간 정보 활동보다 비용과 피해가 적다는 점을 말하고 싶음 물론 전 세계적으로 이 기술이 반체제 인사와 기자 등에게 악용되는 현실은 심각한 문제임 나 역시 이런 분야에 일하고 싶지는 않음(그리고 이제는 그런 역량도 없음) 하지만 NATO 소속 국가들을 위해 이 업계에서 일하는 것에 안심하는 사람들은 논리적 근거를 가지고 있음 사법·정보기관을 근본적으로 불신하는 건 극소수이고 이 분야에 종사하는 가족을 자랑스러워하는 집안도 많음 여기서 정말 중요한 포인트는 "우리 의견은 아무런 의미가 없음"이라는 것임 지금 시장 가격이라면 거의 모든 국가가 CNE 기술을 살 수 있고, NATO 외 업체들도 이 시장을 충분히 공급하고 있음

    • 그들이 실제로 공격 시도까지 했다는 건 정말 충격적임 구체적으로 어떻게 공격당했는지 궁금함 문자 메시지로 링크를 보냈다든지, 다른 어떤 방식이었는지 알려줬으면 좋겠음

    • 혹시 이게 그냥 면접의 한 과정이었을 수도 있음

    • 이런 이유 때문에 나는 사이버보안 업계에서 일하고 싶지 않음 너무 위험한 분야임, 정말 무법지대 같음

  • 기사에 나온 "Gibson이 취약점·스파이웨어를 직접 개발하다가, 스파이웨어 공격을 직접 당한 첫 번째 문서화된 사례일 수 있다"는 구절을 봤음 그런데 최근 몇 달 동안 Gibson 외에도 공격을 당한 다른 스파이웨어 및 취약점 개발자들이 있었던 것으로 보임

  • 나는 개발자와 전 직장 사이의 드라마보다 Apple이 이런 결정을 내리는 방식에 더 관심이 감

    • 이전 직장이 와이파이 샌드박스거나 Stingray류 기기를 썼을 수 있는데, Apple에서는 이 트래픽이 iMessage/PushNotification 공식 채널을 통해 이뤄졌다는 걸 파악할 수 있음

  • "나는 공황 상태였다"라는 Gibson의 말에서, 혹시 진짜 이름이 Jay Gibson인데 기자가 몰라서 저렇게 썼나 하는 상상에 웃음이 났음

  • "Apple exploits developer에게 알림"이라는 기사를 여러 번 다시 읽어야 의미를 이해할 수 있었음 처음엔 "Apple의 알림이 어떻게든 개발자를 공격하다"로 읽혔고, 나중엔 "Apple 알림이 보안 취약점 만드는 개발자에게 보내지는구나"로 해석했음

    • 그러면 Apple이 개발자에게 "취약점"을 알려줬다는 의미인가? :)

  • 결국 누군가 그 조직 내에서 Chrome 취약점을 유출했고, 이 사람이 일종의 희생양으로 선택된 느낌임 물론 이 모든 상황이 진짜라기보다는 꾸며낸 이야기처럼 느껴지기도 함

  • 이 사람은 자신이나 (또는 그 윗선의 대형 고객들이) 자기가 뭔가를 유출했는지 확인 가능할 도구가 있음에도, 그들이 굳이 "정말 그랬는지" 제대로 확인하지 않을 거라고 생각했다니 정말 순진한 생각임 아마도 경고의 의미로 보여주기식 움직임도 있었을 것임

  • "나는 공황 상태였다"라는 Gibson의 인용문을 보고, 나중에는 "정밀 포렌식 분석 없이는 왜 공격당했는지 알 수 없다", "본인은 Apple의 위협 알림이 Trenchant 퇴사 상황과 관련 있다고 믿는다" 이런 흐름이 기사에 담겼음 재미있는 점은 (1) 이런 일이 자기에게 일어날 거라 한 번도 예상하지 못했다는 것, (2) 그런 상황에 언론 인터뷰는 하면서 보복은 두려워한다는 점임 솔직히 이미 이 정도면 알고 싶은 사람들은 진짜 이름 다 알고 있을 텐데 말임

    • 이 이야기는 솔직히 꽤나 허구 냄새가 강하게 남 아니면 이 사람이 업계에서 그렇게 유명하지 않은 저격수급 인물일 수도 있음 보통 취약점 연구 일을 한다면 모든 공격 벡터를 명확히 파악해야 하며, Trenchant처럼 민감한 회사에 있다면 Apple 기기를 업무에 (적어도 완전히) 사용하지는 않을 것임 일반적으로 본인은 공개용 일반 폰과, 아주 보안이 강화된 사설 폰을 따로 구비해 운영함 Apple폰은 라우터에 연결해 패킷 트래픽을 보면 Apple로 가는 수많은 데이터가 나와 통제 불가 상태임 반면, 내가 해외 갈 때 들고 다니는 커스텀 루팅 및 de-googled 안드로이드 폰으로 같은 실험을 하면 ntp 트래픽밖에 안 남음 그나마도 인증서 시간 오차 방지를 위함임

    • 이런 상황에서 언론에 나서는 것도 본인이 실종되는 걸 막기 위한 전략 차원의 선택일 수 있음

  • "감시용 소프트웨어를 만든 Gibson 스스로 스파이웨어의 표적이 된 첫 문서 사례"라는 대목에서, "레오파드가 내 얼굴을 먹었다(leopards ate my face)" 밈이 떠오름 결국 이런 도구들은 실제로 사용하려고 개발하는 것임

    • 이미 20여 년 전부터 취약점 개발자들이 스파이웨어의 주 표적이 되어 온 건 업계에 너무나 잘 알려진 사실임 기자가 이쪽 업계 사정을 잘 모르는 듯함

    • "레오파드가 내 얼굴을 먹었다" 밈이 궁금하다면 여기에서 볼 수 있음

    • 기사 전체가 Gibson이 Trenchant/L3Harris에서 해고당한 다음에 나온 "네 말, 내 말" 식 논란처럼 느껴짐

  • 나 역시 방산 계약직에서 옛날에 비슷하게 당한 적 있어서 Gibson에게 어느 정도 공감함 이런 회사들은 근사한 연봉과 “좋은 일” 하게 해준다는 약속으로 사람을 끌어들인 다음, 결국은 직원의 에너지를 다 쥐어짜 수익을 뽑고, 문제가 생기면 책임을 다 떠넘김(특히나 내부 비리나 잘못을 양심적으로 보고하려 하면 즉시 쫓아내고, 업계에서 완전히 찍히게 만들음) 이런 사람들에게 일하지 않는 게 최선이지만, “선한 일”이나 “나쁜 놈 잡겠다”는 나이브한 생각으로 계속 이런 회사에 속는 사람들이 나옴 결국엔 “레오파드가 내 얼굴을 먹었다” 밈이 됨

    • “입대해서 탑시크릿 클리어런스 받고 LAN 관리와 장교들에게 PowerPoint에 이미지 넣는 법을 가르쳐주면 절대 실직하지 않는다”는 말을 믿고 시작했음 하지만 실제 일은 결국 누군가의 파워포인트 전쟁에서 쉽사리 교체 가능한 부품 취급만 받는 게 전부였음 모든 회의가 “네, 알겠습니다”만 반복하는 고위험 연극 같은 느낌이고, 책임감은 선택이고, 목소리 내면 바로 잘림 수십억 달러 실수도 “배운 교훈”이라며 넘어가고 내겐 오히려 정직함 타령임 이건 마치 “임금님이 알몸” 게임인데 다들 목끈 달고 기밀 불안감만 떨고 있음
답변달기