프라이버시 분야의 커다란 사건, 왓츠앱 대 NSO그룹 법적 공방 돌아보기

2025-01-01 13:27
  • 카카오톡
  • 네이버 블로그
  • url
왓츠앱과 NSO그룹이 5년 간 싸워왔는데, 최근 드디어 결말에 이르렀다. 아무리 좋은 의도로 만들어진 것이라 하더라도 실제적으로 프라이버시 침해에 이용될 경우 법에 저촉될 수 있음이 분명해졌다.

3줄 요약
1. 왓츠앱과 NSO그룹 간 5년에 걸친 법적 공방이 마무리 됨.
2. 아직 형량(즉 벌금의 규모)이 결정되어야 하지만 승자가 나왔다는 것만으로 의의가 큼.
3. 프라이버시 업계에 있어 커다란 승리, 스파이웨어 업계는 위축될 수도.


[보안뉴스 문가용 기자] 최근 미국에서는 사이버 보안, 더 나아가서는 프라이버시 보호의 역사에 있어 상당한 의미를 가지고 있는 재판이 끝났다. 왓츠앱(WhatsApp)과 그 모회사인 페이스북(Facebook)이 이스라엘의 스파이웨어 개발사인 NSO그룹(NSO Group)을 고소하면서 시작된 재판이었다. 왓츠앱 측은 “NSO그룹이 1400여개의 모바일 기기를 감염시켜 왓츠앱 사용자를 감시했다”고 주장했다. NSO그룹은 “우리가 한 게 아니라 우리 고객들이 한 것이고, 그것을 우리가 통제할 수 없기 때문에 우리는 무죄”라고 주장했지만 법원은 이를 받아들이지 않았다. 그렇게 해서 시작된 재판이 5년여의 시간을 지나 드디어 결론에 이르렀다.


[이미지 = gettyimagesbank]

몇 가지 사실들
먼저 재판과 관련된 몇 가지 사실들을 정리해보고자 한다.
1) 원고 : 암호화 통신 서비스를 제공하는 왓츠앱과 그 모회사인 페이스북
2) 피고 : 이스라엘의 스파이웨어 및 소프트웨어 개발사인 NSO그룹과 대주주인 큐사이버테크놀로지스(Q Cyber Technologies)
3) 혐의 : 피고가 모바일 감시 기술을 개발, 배포, 운영했다.
4) 원고의 주장 : 2019년부터 4월부터 2019년 5월 사이 왓츠앱의 일부 서버(미국에 위치해 있음)를 이용해 약 1400명의 왓츠앱 사용자의 휴대전화와 기기에 악성 코드인 페가수스(Pegasus)를 전송했다. 페가수스는 왓츠앱 사용자를 감시하는 기능을 가졌으며, 이 사용자들 중에는 100여 명의 인권 운동가, 언론인, 시민 단체 구성원들이 포함되어 있었다.

왓츠앱은 NSO그룹이 왓츠앱의 컴퓨터 시스템에 접근하지 못하도록 하는 영구 금지 명령을 내려달라고 법원에 요구했다. 동시에 손해배상을 청구하기도 했다. 고소장을 통해 주장한 청구 내용은 다음과 같았다.
1) NSO그룹이 컴퓨터 사기 및 남용법을 위반했다.
2) NSO그룹이 캘리포니아 포괄적 컴퓨터 데이터 접근 및 사기법을 위반했다.
3) NSO그룹이 왓츠앱과의 계약을 위반했다.
4) NSO그룹이 왓츠앱의 재산을 부당하게 침해했다.

NSO그룹은 이 모든 게 부당한 혐의라고 주장했다. “페가수스는 오로지 정부 및 법 집행 기관이 테러와 중범죄를 방지하는 데에 도움을 주기 위해 개발된 소프트웨어”이며, “왓츠앱의 암호화 서비스를 우회하는 게 아니라, 그런 보안 서비스를 통해서 기술이 발현된다”는 것이 NSO 측의 주장이었다.

판결의 과정
NSO그룹은 이 사건에 대한 연방 주제 관할권이 부족하다고 주장했다. 왜? 왓츠앱이 주장하는 잘못된 행위는 NSO그룹의 소프트웨어를 구매한 구매자들이 한 것인데, 그들은 대부분 외국 주권 국가들의 공무원들과 정부 요원들이었기 때문이다. 외국 공무원은 면책된다는 법리가 있어 가능한 주장이었다. 하지만 왓츠앱 측이 반박했다. 언론인과 변호사들에 대한 공격이, NSO그룹이 주장하는 ‘테러와 중범죄와의 전쟁’이 아닐 뿐더러, 이번 재판의 범위는 NSO그룹까지만이지 그 고객들까지 아우르는 게 아니라는 것이었다. 금지 명령이 내려진다 하더라도 NSO그룹에게까지만이고, 그 고객들에게는 적용되지 않는다는 게 여기서 분명히 정해지기도 했다.

그 다음으로 개인 관할권 문제가 고려됐다. 개인 관할권이란 법원이 해당 관할권 내의 다른 법적 주체에 대해 판결을 내릴 수 있는 권한을 말한다. 관할권을 입증할 책임은 연방 법원의 개인 관할권을 요청하는 당사자에게 있는 것으로 통상 알려져 있고, 법원에서도 이 점을 지적했다. “왓츠앱은 NSO그룹을 고소하며 캘리포니아 주의 법을 언급했는데, NSO그룹의 어떤 행위가 캘리포니아의 법과 관련이 있는지를 판단해야 했다는 뜻입니다. NSO그룹의 행위가 캘리포니아와 관련이 없다면 캘리포니아 주법과 관련된 사안은 기각될 수 있었습니다.”

결과적으로 법원은 NSO그룹의 개발자들이 캘리포니아에 거주하지 않지만, 서비스와 IT 기술을 통해 캘리포니아에 거주하고 있는 자들과 의도적으로 연결되어 있었으므로(특히 왓츠앱의 약관을 NSO그룹이 동의했기 때문에) 캘리포니아 법에 의거해 재판을 진행할 근거가 충분하다고 판단했다. 또한 왓츠앱 서버 침해 사건이 캘리포니아 법원의 관할권 내에서 발생했으며, 이런 관할권의 주장이 공정성과 실질적 정의에 부합한다고도 판단했다.

“왓츠앱의 재산을 NSO그룹이 침해했다”는 주장이 말도 되지 않을 경우에도 사건은 기각될 수 있었고 NSO그룹은 실제 이 주장은 성립되지 않는다고 주장했다. 이를 살펴보려면 왓츠앱이 주장한 원래의 내용과도 연결이 되어 있는데, 이는 위에 명시된 네 가지 “NSO그룹이 컴퓨터 사기 및 남용법을 위반했다”, “NSO그룹이 캘리포니아 포괄적 컴퓨터 데이터 접근 및 사기법을 위반했다”, “NSO그룹이 왓츠앱과의 계약을 위반했다”, “NSO그룹이 왓츠앱의 재산을 부당하게 침해했다”이다. 이 중 두 번째와 세 번째 주장은 다툴 여지가 없었고, 첫 번째와 네 번째가 주요 쟁점이 됐다.

판사는 일단 “NSO그룹이 왓츠앱 계정을 생성하고 서비스 약관에 동의함으로써 허가된 접근을 받은 것은 맞다”고 판단했다. 그러나 “NSO그룹이 왓츠앱의 릴레이 서버를 허가 없이 사용해 암호화 된 데이터 패킷을 전송하고, 이 패킷이 악성 코드를 활성화 하는 데 사용되었으며, 이것이 NSO그룹의 의도라는 것은 분명해 보였다”고 말했다. 그러므로 컴퓨터 사기 및 남용 방지법에 의거해 NSO그룹을 재판할 근거가 충분하다는 것이었다.

또, 자산 중에서도 동산 침해를 입증하려면 다음 두 가지를 왓츠앱이 밝혀내야 했다.
1) NSO그룹이 고의적이고 허가 없이 왓츠앱의 컴퓨터 시스템에 대한 점유권을 침해했다.
2) NSO그룹의 비승인 활동 행위가 왓츠앱의 손해를 초래했다.
이 두 가지가 입증까지 된다면 손해 배상을 청구해 비용을 받아낼 수 있다.

하지만 NSO그룹은 왓츠앱이 실질적인 손해를 입증하지 못했고, 따라서 동산 침해에 대한 청구를 제기할 수 없다고 주장했다. 조사와 수정 때문에 들어간 비용은 서버에 대한 실질적 손해라고 할 수 없다는 주장도 여기에 포함되었다. 이 경우 법원은 NSO그룹의 손을 들어주었다. NSO그룹의 불법적 침해 행위가 왓츠앱 서버를 손상시키거나 저하시킨 증거가 충분치 않다고 한 것이다.

판결의 내용과 의의
한 마디로, NSO그룹은 5년 동안 끊임없이 왓츠앱의 주장을 하나하나 꺾으려 애썼다. 그리고 왓츠앱과 법원은 이를 계속해서 검토하며 다시 한 번 반박의 기회를 잡았다. 그러면서 타국의 스파이웨어 개발사들과 그 고객들이 미국의 IT 기업들과 어떤 관계 아래서 재판을 이어갈 수 있는지, 미국에서 벌어지는 재판이 초연결 시대에 어디까지 관할권의 범위를 확장시킬 수 있는지가 보다 분명해졌다. 다만 아직까지 NSO그룹에 어느 정도의 벌금형이 주어질지는 아직 결정되지 않았다.

레코디드퓨처의 블로그를 통해 보안 업체 액세스나우(Access Now)의 법률 고문인 나탈리아 크라피바(Natalia Krapiva)는 “스파이웨어가 디지털 인프라를 훼손한 사실이 법적으로 인정된 첫 번째 사례”라며 “손해 배상액을 결정하는 첨예한 문제가 아직 남아있긴 하지만, 이번 판결만으로도 이미 스파이웨어에 의해 사생활 침해를 심각하게 받았던 사람들에게는 승리가 주어진 것이나 다름 없다”고 주장했다. 그러면서 “스파이웨어 회사들이 책임을 교묘히 피해갈 수 있던 시기가 지나갔다”고 덧붙이기도 했다.

그래서?
하지만 이번 판결로 인해 염탐의 위험이 상당히 줄어들 것이라고 내다보기는 힘들다. 세상에는 여러 스파이웨어 제조사들이 존재하고, 따라서 페가수스에 준하는 다른 여러 가지 스파이웨어들이 사이버 공간을 돌아다니고 있다. 물론 이번 판결 때문에 이런 스파이웨어 제조사들이나 사용자들의 활동이 다소 위축될 수는 있겠지만 그것만으로 완전한 중단으로 이어지지는 않을 것이다. 심지어 페가수스조차도 이번 판결을 교묘히 피해가며 활동을 이어갈 가능성이 높다.

페가수스는 특수한 위치에 있는 사람들에게나 위협이 되는 것이니 일반인들과는 큰 상관이 없는 이야기라고 여기는 것도 꼭 사실이라고만은 할 수 없다. 그렇게 생각하는 당사자들이 스스로가 인식하지 못할 뿐 생각보다 더 염탐의 가치가 높은 인물일 수도 있고, 정치적 상황이 언제 갑자기 바뀌어 누가 주요 감시 대상이 되어도 이상하지 않은 세상이기 때문이다.

물론 NSO그룹과 같은 전문가들이 컴퓨터 보안 지식과 기술이 없는 일반인을 마음 먹고 뚫어낸다면 누가 나를 염탐하려 한다는 걸 알고 주의를 한다 해도 막기는 힘들다. 페가수스에 당한 사람들 태반이 신변의 위협을 느끼거나 의심하고 있었음에도 자신이 이미 감시당하고 있었다는 걸 모르고 있는 것만 봐도 이는 알 수 있다.

이런 상황에서 가장 위험한 결론은 ‘자포자기’라고 보안 전문가들은 말한다. 누군가 나를 감시해야만 하는 상황이 되도록 세상이 바뀌는 것도, 누군가 전문 기술을 가지고 나의 방어막을 뚫어내려고 애쓰는 것도 막을 수 없으니, 그냥 포기하겠다고 한다면 어떻게 될까? 그런 세상이 오기도 전에, 지독한 전문성이 발휘되기도 전에 침해당하고 감시당하게 된다. 즉 별다른 노력 없이도 얼마든지 감시하고 뚫어낼 수 있는 ‘쉬운 먹잇감’이 된다는 것이다.

왓츠앱과 NSO그룹 간 벌어진 5년 간의 법적 공방이라든가, 프라이버시 보호 분야의 커다란 승리라든가 하는 거대한 표현들이 귀에 들릴 때마다 재미있고 흥미로운 이야기라고만 넘겨 듣지 않으려면 ‘나는 적어도 쉬운 먹잇감이 되지는 않아야 한다’는 마음을 되새기는 게 중요하다. 언젠가 뚫리더라도, 누군가의 감시가 나도 모르게 진행되더라도, 그쪽에서 적잖은 시간과 돈을 투자해야만 하도록 해야 한다. 그래야 단순 호기심과 얕은 전문성을 가진 아마추어에게 소중한 정보와 프라이버시를 허용하는 일이 없어진다.

이번 사건의 보다 상세한 법적 공방 과정과 결과가 갖는 의의, 그 외 자잘한 세부 사실들은 이번 주 1월 2일에 발간되는 프리미엄 리포트를 통해 공개됩니다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 핀텔

    • KCL

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비전정보통신

    • 원우이엔지

    • 지인테크

    • 아이원코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 아이리스아이디

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 트루엔

    • 인터엠

    • 경인씨엔에스

    • 한국씨텍

    • 성현시스템

    • 프로브디지털

    • 투윈스컴

    • 스피어AX

    • 다후아테크놀로지코리아

    • 한결피아이에프

    • 세연테크

    • 디비시스

    • 주식회사 에스카

    • 구네보코리아주식회사

    • 위트콘

    • 넥스트림

    • 포엠아이텍

    • 동양유니텍

    • 엔피코어

    • 휴네시온

    • 한싹

    • 앤앤에스피

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에이티앤넷

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 모스타

    • 두레옵트로닉스

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 엘림광통신

    • 메트로게이트
      시큐리티 게이트

    • 엔에스티정보통신

    • 레이어스

    • 보문테크닉스

    • 포커스에이치앤에스

    • 엔시드

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기