▲ 이미지투데이

당신을 감시하는 지옥의 비밀거래
스파이웨어가 내 휴대전화에 침투하는 순간, 링크를 한 번 클릭하는 것만으로 내가 어디에서 무엇을 하는지 정보가 털린다. 유리병 안에 갇힌 투명인간이 되는 것이다. 악명 높은 프레데터 스파이웨어는 링크를 누르거나 첨부파일을 열지 않아도 시스템에 침투한다. 수사당국은 중범죄자와 테러리스트 검거에 스파이웨어를 활용해야 한다고 강변하지만, 권위주의 정부나 독재자가 비판 세력을 사찰하는 데 스파이웨어를 악용한다. 인권침해 논란이 끊임없음에도 독일과 프랑스 기업을 주축으로 한 투자자·개발자는 이들에게 스파이웨어를 팔아 떼돈을 번다. 전문가들은 ‘지옥에서 온 거래’를 당장 중단시켜야 한다고 목소리를 높인다. _편집자

스벤 베커 Sven Becker 등 <슈피겔> 기자
 

‘인텔렉사 얼라이언스’(Intellexa Alliance)는 독재정권과 불법을 일삼는 권위주의 정부에 도·감청 스파이웨어를 납품하는 어둠의 기업 연합체이다. 국제 공조로 취재한 결과에 따르면 독일 기업들도 대규모 도·감청 기술로 돈을 벌었다.
‘프레데터 파일’(Predator Files) 프로젝트가 시작된 것은 1년도 더 전이다. 독일 방산업체의 내부 자료에 나오는 대목에 언론은 주목했다. <슈피겔>과 유럽탐사보도협력체(European Investigative Collaborations) 소속 파트너 언론사 아홉 곳 외에 <워싱턴포스트>, 그리스 언론 포털 <리포터스유나이티드>(Reporters United), 스위스의 <보헨차이퉁>(Wochenzeitung), 레바논의 범아랍 뉴스 플랫폼 <다라지미디어>(Daraj Media), 이스라엘 탐사보도매체 <숌림>(Shomrim)이 공동취재에 참여했다.

글 하나, 링크 하나, 혹은 클릭 한 번에 개인의 디지털 인생 통제권을 순식간에 잃을 수 있다. 그리스 아테네에 거주하는 타나시스 쿠카키스 금융 전문기자는 이를 온몸으로 겪었다.
쿠카키스가 받은 문자는 기자들이 흔히 받는 문자와 전혀 다를 바 없었다. “쿠카키스씨, 이 주제를 들어본 적이 있나요?” 쿠카키스가 2021년 여름에 받은 문자의 링크를 클릭하는 순간, 그의 스마트폰에 자신도 모르는 사이에 순식간에 프로그램 하나가 설치됐다. 동시에 ‘프레데터(Predator) 스파이웨어’(이하 프레데터)로 가는 지옥문이 열렸다.
쿠카키스는 그로부터 10주 동안 유리처럼 투명한 존재가 됐다. 쿠카키스의 스마트폰을 감염시킨 공격자는 프레데터로 그가 어디에 가고, 누구와 대화를 나누며, 누구에게 어떤 문자를 보내고, 어떤 주제를 검색하는지 등 모든 것을 투명하게 들여다봤다. 오랫동안 그리스의 부패를 집중 취재했던 쿠카키스는 미국 방송 <시엔엔>(CNN)과 <파이낸셜타임스>를 위해 활동했다. 주요 취재 관심사는 그리스의 권력자들이었다. 쿠카키스의 스마트폰에 스파이웨어 프로그램이 깔리면서 정보원들의 정체가 발각될 위험에 처했다.
 

▲ 이집트의 야당 인사이자 전 대선 주자인 아이만 누르는 2021년 6월 ‘프레데터 스파이웨어’의 공격을 받았다. 공격자들은 누르 스마트폰의 마이크와 카메라를 감염시켜 사진과 영상, 채팅, 와츠앱과 텔레그램의 암호화된 대화를 복사하는 데 성공했다. REUTERS

▲ 프레데터 스파이웨어의 출발점을 추적하다보면 정보 전문가 탈 딜리안과 마주치게 된다. 딜리안은 이스라엘 국방군의 군사정보부 수장으로 활동하다 퇴역 뒤 도·감청 업계에 뛰어들었다. REUTERS

‘그리스판 워터게이트’ 사건
이는 시작에 불과했다. 동료 기자 여러 명을 비롯해 그리스 야당의 현 대표이자 당시 유럽연합 의원, 현직 외무장관, 저명한 사업가도 쿠카키스처럼 스파이웨어 공격을 당했다. 프레데터 사건을 수사하는 그리스 개인정보보호청은 피해자 92명의 신원을 확보했다. 대다수 피해자의 공통점은 보수 성향의 키리아코스 미초타키스 그리스 총리를 비판하는 반대파라는 점이다.
프레데터 스캔들은 언론에서 ‘그리스판 워터게이트’로 불렀고, 그리스 정보기관이 스파이웨어 공격의 배후라는 의혹을 받았다. 미초타키스 총리는 수사의 끝이 자신을 가리키는데도, 스파이웨어 감염과 관련이 없다며 여전히 연루 의혹을 부인한다.
캐나다 토론토대학의 연구소 시티즌랩(Citizen Lab) 분석가들은 쿠카키스의 스마트폰에서 프레데터 흔적을 확인했다. 또한 그리스 외에 오만, 인도네시아, 마다가스카르, 세르비아, 이집트 등지에서도 각국 권력자를 비판하는 인사의 스마트폰 등에서 프레데터 흔적이 확인됐다.
대표 사례는 아이만 누르다. 이집트 야당 인사이자 전 대선 주자인 누르는 현재 튀르키예에 거주하면서 이집트 정부에 비판적인 위성채널을 운영한다. 누르도 2021년 6월 프레데터에 공격당했다. 공격자들은 누르 스마트폰의 마이크와 카메라를 감염시켜 사진과 영상, 채팅, 와츠앱과 텔레그램의 암호화된 대화를 복사하는 데 성공했다.
수사당국은 중범죄자와 테러리스트의 검거에 프레데터 등 스파이웨어를 활용한다. 하지만 스파이웨어는 하루가 멀다고 무고한 사람들의 사찰에도 악용된다고 진보 성향의 소피 인트 펠트(60) 유럽의회 의원은 지적한다. 스마트폰에 저장된 정보 중에서 안전한 것은 더 이상 없고, 유럽 전역이 감시·사찰 산업의 ‘핫스팟’으로 전락했다고 벨트 의원은 비판한다. 도·감청 산업의 스파이웨어 업체들은 금융시스템의 지원과 감세 혜택도 받고 있다. 벨트 의원은 네덜란드, 프랑스, 아일랜드, 룩셈부르크, 키프로스, 불가리아를 비롯해 “수많은 국가가 전세계 사람들의 사찰을 지원하고 있다”며 이를 “유럽의 문제”로 지칭했다.
그렇다면 스파이웨어의 배후 세력은 과연 누구일까? <슈피겔>과 프랑스 독립탐사보도매체 <메디아파르>(Mediapart)가 입수하고 유럽탐사보도협력체 소속의 파트너 매체들과 공유한 문서 덕분에 프레데터 등 공포의 대상인 스파이웨어의 발명가, 투자자, 제작업체의 베일에 가린 세계를 들여다볼 수 있었다.
스파이웨어 제작업체들의 발자취가 정보보호와 정보 자기결정의 자칭 선도 국가인 독일로 향한다는 점은 충격적이다. 독일 정계에 두터운 네트워크를 자랑하는 함부르크의 플라트그룹(Plath Group)은 스파이웨어 제작업체 두 곳의 지분을 매입했으며, 베를린 예술에 정통한 후원가 요람 로트는 스파이웨어 개발에 엄청난 자금을 투입했다.
‘프레데터 파일’(Predator Files)에 대한 수개월간의 취재는 법정 자료, 수사 조서, 기업 프레젠테이션의 기밀 자료 수천 개를 토대로 했다. 이에 따르면 유럽 기업들이 10년 이상 전부터 독재자와 권위주의 국가에 최신 스파이웨어를 제공해 엄청난 수익을 벌었다.
독일 자금을 지원받고 독일로부터 컨설팅을 받은 유럽 업계 기업들이 대규모 도·감청 역량을 갖춘 ‘인텔렉사 얼라이언스’(Intellexa Alliance)를 결성했다. 인텔렉사 얼라이언스는 유럽에서 가장 베일에 싸여 있고 위험한 기업체 중 하나다.
프레데터의 출발점을 추적하다보면, 정보 전문가 탈 딜리안(62)과 마주치게 된다. 딜리안은 이스라엘 국방군(IDF)에서 엄격하게 기밀로 유지되는 군사정보부(Unit81)의 수장으로 활약했다. 이스라엘 국방군에서 25년간 근무하고 퇴직할 무렵, 그는 불법 금품 수수 의혹을 받았다.
수많은 이스라엘 퇴역 군장성처럼 딜리안은 퇴역 뒤 도·감청 업계에 뛰어들었다. 그는 2018년 북마케도니아의 신생 정보기술(IT) 업체 사이트록스(Cytrox)를 주목했다. 사이트록스에서는 재능 있는 프로그래머들이 도·감청 도구를 개발 중이었는데, 개발 작업에 엄청난 자금이 들어갔다. 결국 사이트록스는 직원 급여도 체불할 정도로 자금난에 빠진다. 이에 딜리안이 대표로 있던 알리아다(Aliada)가 사이트록스를 인수했다. 이렇게 알리아다와 사이트록스는 프레데터를 공동 개발한다.
딜리안은 프레데터 개발 자금을 독일 베를린 남부 브란덴부르크주의 소도시 초센에 자리한 ‘데이비슨 테크놀로지 그로스 뎁트’(Davidson Technology Growth Debt)로부터 확보했다. 이 회사의 최고경영자(CEO) 에란 데이비슨은 에스에이피(SAP) 설립자 하소 플라트너의 펀드를 운용하기 위해 2005년 이스라엘 텔아비브에서 독일로 건너왔다. 데이비슨은 2014년 벤처캐피털리스트로 독립했다. 프레데터 제작업체 사이트록스의 시장 전망을 확신한 데이비슨은 그가 운용하던 펀드에서 수천만달러를 사이트록스에 투자했다.
 

▲ 아이만 누르를 공격한 프레데터 스파이웨어의 링크. 이집트 알렉산드리아에서 열차사고가 있었다는 ‘속보’를 보내 클릭을 유도했다. 시티즌랩(Citizen Lab) 누리집

▲ 프레데터나 페가수스 등 스파이웨어는 권위주의 정부나 독재자들이 반정부 인사들을 감시하고 탄압하는 데 종종 악용된다. 빅토르 오르반 헝가리 총리와 헝가리 정부가 페가수스를 동원해 조직적으로 언론인과 정치인에게 도청을 진행했다고 프랑스 비영리 언론단체가 폭로하자, 한 헝가리 시민이 2021년 7월 부다페스트에서 이에 항의하는 시위를 벌이고 있다. REUTERS

제로 클릭 해킹
이 외에 사이트록스의 주요 투자자에는 부동산 기업인 아르투르 쥐스킨트, 호텔 체인 경영인 미하엘 체덴, 부동산 포털 이모스카우트(Immoscout) 공동설립자 롤프 크리스토프 딘스트와 도이체텔레콤 연구개발팀 총괄담당이던 하인리히 아르놀트 등이 있다.
이 중에서 특히 눈길을 끄는 투자자가 있다. 바로 문화투자자 요람 로트다. 그는 독일 베를린 중심가에 있는 유구한 전통의 클례르헨스 발하우스를 매입해 개조한 것으로도 유명하다. 로트는 신규 도·감청 도구에 자금을 지원하는 펀드 투자에 그치지 않았다. 그는 사이트록스의 모회사 알리아다에 150만달러(약 20억원)를 투자했고, 이어 알리아다 지분 2.5%를 확보했다.
로트로부터 자금을 수혈받고 몇 달 뒤 2019년 여름, 딜리안은 미국 경제전문지 <포브스>를 키프로스로 초대했다. 도·감청 업계에서는 보기 드물게 딜리안은 기자들과 깊이 있는 인터뷰를 했고, 심지어 카메라 앞에서 청바지와 와이셔츠의 편안한 복장으로 도·감청 제품 프레젠테이션까지 했다. 딜리안은 기자들에게 밖에서 내부가 보이지 않게 창문을 선팅한 검은색 밴을 보여줬다. 과거에 구급차로 사용했다는 밴은 서버, 모니터, 안테나 등을 완전히 장착한 움직이는 도·감청 센터였다. 밴과 장비에 수백만유로가 들어갔다고 한다.
딜리안은 “우리는 목표물의 장소를 확인하고 추적해 스파이웨어로 감염시킬 것”이라며 회심의 미소를 지었다. 딜리안은 수백m 떨어진 화웨이 스마트폰에 스파이웨어를 침투시키는 모습을 카메라 앞에서 시연해 보였다. 하지만 휴대전화 주인은 전혀 눈치채지 못했다. 심지어 휴대전화 주인은 링크 하나 클릭하지 않았는데도 프레데터는 이미 자동으로 스마트폰에 설치됐다. 공격 대상자가 링크를 누르거나 첨부파일을 열지 않았음에도 시스템에 침투할 수 있는 해킹 기술을 가리키는 ‘제로 클릭 해킹’(Zero Click Hacking)은 디지털 도·감청 기술의 완성판이라고 할 수 있다.
제품에 자부심으로 가득했던 딜리안은 기자들과의 인터뷰에서 평소와 달리 전혀 조심하지 않았고 거리낌이 없었다. <포브스>와의 인터뷰에서 딜리안은 해당 제품으로 최대 5억달러(약 6500억원) 매출을 예상한다고 말했다. “인정하고 싶지 않겠지만, 당신이 지금 이 순간 그리고 24시간 어디에 있는지를 누군가는 항상 알고 있다.”
딜리안이 인터뷰에서 유럽 도·감청 기술기업 컨소시엄인 인텔렉사 얼라이언스를 소개했다. 인텔렉사 얼라이언스 컨소시엄 소속 기업들은 서로 협력하고 각국 정보당국에 최신 도·감청 도구를 공급한다. 딜리안은 “우리는 좋은 기관들과만 협력한다”고 고객사들을 설명하면서 “좋은 기관들이 때로는 못된 행동을 할 때도 있다”고 덧붙였다.
딜리안이 결성한 인텔렉사 그룹의 핵심에 독일 기업이 지분을 보유한 한 프랑스 업체가 속해 있다. 이 프랑스 업체의 공동창업자 중 한 명이 스테판 살리스(59)다. 살리스는 프랑스 파리와 미국 캘리포니아에서 물리학을 전공했다. 입수한 몇 안 되는 그의 사진 중 하나에서 살리스는 짧은 턱수염을 하고 흰색 셔츠의 단추를 푼 친절한 인상의 사람이다. 살리스는 도·감청 기술의 집안에서 태어났다. 그의 어머니도 프랑스 정보기관에 도·감청 기술을 납품했다. 살리스도 아메시스(Amesys)라는 회사를 설립해 국외정보국(DSGE)을 비롯한 프랑스 정부기관에 도·감청 기술을 납품했다.
살리스는 2006년 리비아의 무아마르 카다피 독재정권에 인터넷 도·감청 스파이웨어 이글(Eagle)을 공급했다. 카다피와 측근들은 자국민에게 이글을 투입해 저항하는 국민을 감시하고 체포하며 고문했다. 카다피가 2011년 살해당한 뒤, <월스트리트저널> 기자들이 리비아 수도 트리폴리의 버려진 정보기관 건물에서 전자우편, 채팅 및 기타 소셜미디어의 대대적인 도·감청 가이드라인 문건을 찾아냈다. 프랑스 업체 아메시스가 만든 거였다.
인권감시기구 두 곳은 아메시스를 고문방조 혐의로 고발했다. 관련 재판이 지금도 진행 중인데, 살리스는 모든 의혹을 부인한다. <메디아파르>가 <슈피겔> 및 유럽탐사보도협력체와 공유한 내부 문건에 따르면, 아메시스 경영진은 고객사와 은행들이 아메시스와의 협력을 극히 꺼린다며 회사명을 최대한 이른 시일 안에 변경해야 한다고 강력하게 주장했다. 이후 아메시스는 해체됐다.
살리스를 포함한 경영진은 아메시스 해체 직후 프랑스에 넥사테크놀로지(Nexa Technologies)를, 두바이에 아메스(Ames)라 부르는 ‘어드밴스드 미들 이스트 시스템’(Advanced Middle East Systems)을 설립했다. 두바이에 설립한 아메스는 원래 업체명 아메시스(Amesys)에서 단 두 자가 빠진 것이다.
넥사는 아메시스 제품군을 인수해 새로운 제품명으로 판매했다. 도·감청 스파이웨어 이글은 세레브로(Cerebro)로 이름을 바꾸었다. 직원들도 계속 일했고, 업무 대부분이 그대로 이뤄졌다. 넥사와 아메스는 후일 인텔렉사 얼라이언스의 핵심 양대 기업이 됐다.
중량감 있는 사업 파트너와 투자자를 찾아헤매던 넥사 경영진은 독일 함부르크에서 신규 사업파트너 겸 투자자를 찾아내는 데 성공했다. 플라트그룹은 누리집에서 “한자동맹의 히든챔피언”으로, “데이터에 기반한 위기 조기 감지 분야에 특화된 성공적인 기업”이라고 자사를 소개한다. 플라트 고객사에는 독일연방군과 독일연방네트워크청도 있다. 누리집에는 “전세계 보안당국이 위험을 발생 전에 미리 인지할 수 있도록 지원한다”고 나온다.
 

▲ 탈 딜리안이 결성한 ‘인텔렉사 얼라이언스’의 핵심에는 스테판 살리스가 설립한 프랑스 업체도 속해 있다. 입수할 수 있는 샐리스 사진은 거의 없다. 링크드인

독일 플라트그룹의 투자
하프마라톤을 뛰는 늘씬한 니코 샤르페(52)는 20년 이상 플라트그룹을 이끌었다. 그의 가족은 플라트의 지분 다수를 보유하고 있다. 플라트는 2014년과 2015년에 넥사와 아메스 지분 30%를 각각 확보했다. 플라트 경영진은 살리스의 리비아 사업을 전혀 개의치 않는 것 같았다.
넥사와 아메스가 독일 기업 플라트를 만난 것은 말 그대로 행운이었다. 플라트는 프랑크발터 슈타인마이어(사회민주당) 당시 외무장관의 브라질, 페루, 콜롬비아 순방과 후일 그가 대통령이 된 뒤에는 싱가포르와 인도네시아 순방에 동행했다. 이 회사는 독일 정계와도 탄탄한 네트워크를 자랑한다. 플라트를 방문한 페터 첸처 함부르크시장은 “함부르크 혁신 및 기술 입지의 중요한 부분”이라고 추어올렸다.
샤르페가 대표로 있는 플라트는 프랑스 업체 넥사와 아메스에 투자해 상당한 영향력을 확보했다. 특히 플라트가 확보한 넥사 지분은 얼마 되지 않았지만, 넥사 감독위원회의 이사 자리 네 개 중 무려 두 개를 확보했다. 샤르페 대표이사와 그의 측근 한 명이 이사직을 맡았다. 넥사 쪽은 리비아 사업의 배후인 살리스와 그의 오랜 동료 중 한 명이 맡았다. 이로써 넥사는 플라트의 동의 없이는 어떤 결정도 내릴 수 없었다. 20만유로 이상의 계약 건이나 고위험 고객과의 사업, 심지어 2만유로 이상의 임대계약 건은 모두 플라트의 승인을 받아야 했다. 또한 플라트는 넥사의 모든 중요한 자료를 언제든 요구할 수 있는 권한도 가졌다.
플라트는 넥사의 수출 자료도 들여다볼 수 있게 됐다. 이 문제와 관련해 독일 변호사 두 명이 17쪽 분량의 문건을 작성했다. 문건의 핵심은 무기 수출 엠바고(금지) 대상 국가에는 절대 제품을 공급하지 않는 것을 의무화하는 거였다. 또한 플라트의 변호사가 향후 넥사와 아메스의 모든 수출 과정을 면밀히 들여다볼 수 있게 했다. 샤르페 대표이사는 넥사와 아메스를 독일 특유의 꼼꼼함으로 감독하려 했다. 적어도 문서만으로는 그렇게 보였다.

ⓒ Der Spiegel 2023년 제41호
Jemand weiß immer, wo Sie sind
번역 김태영 위원