정부 스파이웨어에 노출된 해킹 도구 개발자에게 Apple이 경고 알림 전송

• Apple이 한 익스플로잇 개발자에게 그의 iPhone이 정부 스파이웨어 타깃이 되었다고 경고 알림을 보낸 이슈 발생
• 해당 개발자는 이전에 Trenchant에서 iOS 제로데이 취약점 및 도구를 개발하던 전문가임
• 최근 몇 달간 비슷한 스파이웨어 경고 알림을 받은 익스플로잇·스파이웨어 개발자들이 추가 확인됨
• Spyware와 제로데이 공격 도구의 확산으로 다양한 보안 전문가까지 피해 대상이 확대되는 양상 확인됨
• 회사 내 해킹 도구 유출 의혹과 해고 과정도 중첩되어 억울한 희생양이 되었을 가능성 제기됨

사건 개요

• 올해 초, 한 해킹 도구 개발자는 자신의 개인 iPhone에서 “Apple에서 귀하의 iPhone이 표적형 용병 스파이웨어 공격의 타깃이 되었다는 사실을 감지하였습니다”라는 메시지를 받고 큰 충격을 받음
• 해당 인물은 보복 위험을 우려해 실명을 밝히지 않고 Jay Gibson이라는 가명을 사용함
• Gibson은 최근까지 Trenchant라는 서방 정부 대상 해킹 도구 개발 업체에서 iOS 제로데이 취약점 및 익스플로잇 개발을 담당함
• 그는 스파이웨어 및 익스플로잇 개발자가 직접 이들 공격의 대상이 된 사례로 관련업계 최초로 문서화된 인물임

사건 발생 이후

• Gibson은 “이게 무슨 일인지 모르겠는 극심한 당혹감과 함께, 극도의 공포를 느꼈음”이라 전하며 즉시 휴대폰을 꺼서 치우고 새로운 폰을 구매함
• 그는 아버지에게 전화를 거는 등 당황스러운 대응을 했으며, 당시 상황이 매우 혼란스러웠음을 언급함
• Gibson은 TechCrunch와의 인터뷰에서 “이런 단계까지 상황이 진행되면 앞으로 무슨 일이 일어날지 아무도 알 수 없음”이라며 우려를 표명함

업계 내 유사 피해자 등장

• Gibson 사례 외에도, 최근 몇 달 사이에 Apple로부터 스파이웨어 경고 알림을 받은 다른 스파이웨어·익스플로잇 개발자들이 추가로 존재한다는 사실이 취재를 통해 확인됨
• Apple은 TechCrunch의 논평 요청에 응답하지 않음

스파이웨어와 제로데이 도구의 확산 피해

• Gibson의 사례는 제로데이 및 스파이웨어 도구가 폭넓게 배포되며 공격 대상이 다양화되는 현상을 보여줌
• 스파이웨어·제로데이 개발사들은 공식적으로 “도구는 신뢰 가능한 정부기관만이 범죄자 혹은 테러리스트를 겨냥해 사용한다” 주장해왔음
• 그러나 Toronto 대학 산하 Citizen Lab, Amnesty International 등 여러 연구 그룹이 지난 10년간 정부가 이 도구를 반체제 인사, 언론인, 인권 옹호자, 정치적 경쟁자 등을 대상으로 반복적으로 사용했다는 수십 건의 사례를 확인함
• 이전에도 보안 연구자가 해커 그룹의 공격 타깃이 된 경우(North Korea의 사례 등)가 있었으나, 스파이웨어 개발자 자체가 타깃이 된 사건은 드문 편임

유출 혐의 수사 및 내부 조사

Apple 경고 알림 이후

• 경고 알림을 받은 뒤 Gibson은 스파이웨어 공격 포렌식 분석 경험이 풍부한 전문가에게 연락함
• 1차 분석 결과 명확한 감염 흔적은 없었으나, 전문가가 더 정밀한 포렌식 분석을 권고함
• 정확한 분석을 위해서는 Gibson의 전체 기기 백업이 필요했으나, Gibson은 개인정보 및 보안 우려로 추가 조사를 거부함
• 최근 일부 스파이웨어 공격의 경우 포렌식 분석상 명확한 흔적을 찾지 못하는 사례도 증가함

해고 및 내부 갈등

• Gibson은 Apple 경고 알림 약 한 달 전, 회사 내 팀 빌딩 행사 참여차 Trenchant London 사무소 방문
• 입장 직후, 회사 매니저로부터 이중 취업 의혹으로 업무정지 및 모든 회사 기기 압수 및 분석 통보를 받음
• 약 2주 뒤 Gibson은 회사에서 공식적으로 해고 통보 및 합의금 제안을 받음
• Gibson은 회사가 자사 해킹 도구 유출 사건의 희생양(scapegoat)으로 자신을 지목했다고 주장함
• Gibson 및 동료 3인은 Chrome 관련 제로데이 개발과는 무관함을 밝혔으며, 내부 팀은 엄격히 플랫폼별로 분리되어 있음
• 세 명의 전 Trenchant 동료들에 의하여 Gibson 해고와 그 이유, 팀 내 의혹 및 루머가 사실임이 독립적으로 입증됨

시사점 및 추가 정보

• 본 사건은 스파이웨어 기술의 확산이 보안업계 내 전문가 자신까지 공격 위협에 노출시키고 있음을 보여주는 신호탄 역할을 함
• 정부 및 기관이 사용하는 보안 취약점 무기화 현상, 내부 보안 리스크, 개발자 보호 문제 등 다양한 시사점 제공함
• L3Harris(Trenchant 모회사) 대변인은 공식 논평을 거부함
• Gibson 및 전 동료들은 그가 Leak 사건의 책임자가 아니며, 회사의 판단이 잘못되었다는 입장임