이스라엘 스파이웨어, '중동 정권 비판' 인물 해킹 정황

등록 2021.11.17 16:42:48

표적 대상 관심 가질 사이트 공격…출발지로 삼아

사이트 통해 정권 비판자 PC 공격…언론사도 피해

[자카르타(인도네시아)=AP/뉴시스] 지난 9월20일 인도네시아 자카르타에서 한 남성이 해커 커뮤니티 웹사이트를 방문하고 있다. 2021.11.17. *사진은 기사 내용과 관련 없음.

[서울=뉴시스] 이혜원 기자 = 이스라엘 스파이웨어 회사 칸디루의 해킹 프로그램이 중동 등 전제 정권 비판자 감시에 사용된 정황이 드러났다.

16일(현지시간) 영국 일간 가디언에 따르면 슬로바키아 인터넷 보안업체 에셋 연구팀은 최근 보고서를 통해 칸디루와 런던 및 중동 지역 웹사이트 공격 사이 연관성을 발견했다고 발표했다.

보고서에 따르면 칸디루는 중동 관련 웹사이트를 대상으로 '물웅덩이'로 지칭된 해킹 공격을 자행했다. 해킹은 표적 대상이 관심을 가질만한 웹사이트에 악성 프로그램을 설치하는 방식으로 이뤄졌다.

설치된 프로그램을 통해 해당 웹사이트를 방문한 개인 신상이나 사용된 브라우저, OS까지 특정할 수 있었다. 일부 경우 방문자의 컴퓨터까지 해킹 가능했다.

모든 사이트 방문자가 표적이 된 건 아니지만, 사이트를 해킹해 공격 대상을 특정하는 출발지로 삼았다고 보고서는 분석했다.

표적 대상은 사우디아라비아 등 전제 정권 비판 인사인 것으로 파악되며, 런던 기반 온라인 중동 뉴스 매체 '미들이스트아이'를 포함해 이란과 예멘 정부 관련 웹사이트가 피해를 입은 것으로 연구팀은 보고 있다.

지난해 7월 주 아부다비 이란 대사관 웹사이트가 이 공격으로 추정되는 피해를 입기도 했다.

'물웅덩이' 공격은 지난 1월까지 잠잠하다 올해 상반기 활동이 재개됐다. 다만 지난 7월 말 관련 의혹을 제기한 보고서가 나오면서 활동이 중단된 상태다.

2014년 설립된 칸디루는 이후 수차례 사명을 바꿨다. 2017년 중동·서유럽·아시아 국가에 악성 프로그램을 판매했다는 의혹이 보도된 바 있다. 우즈베키스탄, 사우디아라비아, 아랍에미리트(UAE)와 거래했을 가능성이 있다는 2019년 보도도 있다.

칸디루는 아마존에 서식하는 '흡혈 메기'(Candiru)에서 이름을 딴 것으로 파악되며, 이달 초 이스라엘 NSO 그룹과 함께 미국 상무부 수출 제한 제재 대상에 오른 상태다.

데이비드 허스트 미들이스트아이 편집국장은 성명을 통해 "정부와 민간이 사이트를 폐쇄하려는 시도는 낯설지도 않다"며 "그들은 우리의 중동 지역 뉴스 보도를 멈추지 못했고, 앞으로도 못 막을 것"이라고 규탄했다.

이같은 의혹에 대해 칸디루는 입장 표명을 거부했다고 가디언은 전했다.

◎공감언론 뉴시스 [email protected]