숫자 하나에 정신이 번쩍 들 겁니다: 제로. 정부가 자국민, 특히 언론인을 감시하기 위해 어둠 속의 해킹 조직에 돈을 지불할 정당한 이유는 단 하나도 없습니다. 그런데도 Access Now의 디지털 보안 헬프라인의 새로운 조사에 따르면, 바로 그 일이 벌어지고 있다고 합니다. 이집트의 저명한 언론인 및 정부 비판 인사인 무스타파 알-아사르와 아흐메드 탄타위를 표적으로 삼은 정교한 유료 피싱 작전을 지목하고 있죠.
이건 할머니가 보내시는 스팸 메일 수준이 아닙니다. 이건 표적화된 첩보 활동이죠. 보고서에 따르면 공격자들은 신뢰할 수 있는 출처에서 온 것처럼 보이는 메시지를 교묘하게 작성해 희생자가 계정 정보를 넘겨주도록 유도합니다. 나이지리아 왕자 사기 같은 게 동네 어린이 레모네이드 가판대처럼 보이게 만들 정도의 디지털 손재주를 말하는 겁니다.
이 사건들은 2023년과 2024년 사이에 발생했으며, 표적 역시 무작위가 아닙니다. 알-아사르와 탄타위 모두 이집트 정부를 공개적으로 비판했고, 정치적 동기로 인한 체포를 겪었으며, 탄타위는 이전에도 스파이웨어 공격 대상이 된 적이 있습니다. 이건 패턴이고, 솔직히 말해 매우 불길한 패턴입니다.
늘 보던 용의자들 (그리고 자금 흐름)
이 복잡한 문제를 파헤치기 위해 Access Now는 모바일 보안 업체인 Lookout과 협력했습니다. 이들은 기술적 인프라와 공격 경로를 분석한 결과, “미확인 주체”들이 “아시아와 연계된 용병 해킹 조직”을 이용해 이러한 감시 작전을 수행했다고 독립적으로 결론 내렸습니다. 가장 충격적인 점은? 사용된 인프라는 단순히 침투하는 데 그치지 않습니다. 데이터를 훔치고, 파일에 접근하며, 위치를 추적하고, 심지어 휴대폰의 마이크와 카메라까지 켜버릴 수 있는 스파이웨어를 배포할 수 있다는 겁니다. 정말 대단하네요.
여기서 끝나지 않습니다. SMEX(서아시아 및 북아프리카 디지털 권리 증진 단체)의 분석에 따르면, 같은 유형의 정교한 공격 인프라가 2025년 레바논의 한 저명한 익명 언론인을 표적으로 삼았던 유사한 공격 배후에도 있었을 가능성이 높습니다. 분명한 함의는 이것입니다. 우리는 반복되는 문제, 어쩌면 동일한 범죄자 또는 적어도 공유된 공격 전술을 보고 있다는 거죠.
시민 사회가 점점 더 복잡하고 위험한 디지털 공격에 직면하고 있는 상황에서, 이러한 첩보 작전과 방법에 대한 지식을 공유하는 것은 선택 사항이 아니라 필수가 되어가고 있습니다. 그렇다면 우리는 대체 무엇을 보고 있는 걸까요?
그들이 침묵시키려는 사람들은 누구인가?
표적에 대해 구체적으로 알아봅시다. 무스타파 알-아사르는 수상 경력이 있는 이집트 독립 언론인이자 인권 운동가입니다. 그는 자신의 활동 때문에 이집트에서 거의 4년 동안 정치범으로 수감되었다가 국외로 이주했습니다. 또 다른 언론인이자 이집트 언론인 협회 전 회원이던 아흐메드 탄타위는 정치권으로 진출했습니다. 그는 주간 알-카라마 신문에서 국내 문제와 사회경제적 과제를 다루는 보도를 이끌었습니다. 2015년부터 2020년까지 국회의원으로 재직했습니다. 이후 현 대통령 압델 파타 엘시시의 유력한 야당 인물로 부상했습니다. 2023년, 탄타위는 대선 출마 의사를 밝혔지만, 지지자들과 친척 수십 명이 체포되고 선거 운동이 방해받은 후 결국 자신도 구금되면서 경선에서 철수했습니다. 토론토 대학 시티즌 랩의 별도 조사에 따르면, 그의 휴대전화는 2021년 9월과 2023년 5월에서 9월 사이에 인텔렉사(Intellexa)의 프레데터(Predator) 스파이웨어에 의해 표적이 되었습니다.
익명을 원하는 세 번째 인물은 수십 년간 언론, 편집, 정치 문제에 대한 공론 형성에 기여해 온 또 다른 언론인입니다. 그는 SMEX 조사에서 표적이 되었습니다.
‘어떻게’가 더 충격적이다
공격자들은 2023년 10월 알-아사르와 탄타위를 대상으로 피싱 캠페인을 시작했고, 2024년 1월에도 재시도했습니다. 목표는 알-아사르와 탄타위의 디지털 계정, 특히 애플과 구글 계정을 해킹하는 것이었습니다. 앞서 언급했듯이, 그들은 신뢰할 수 있는 개인과 서비스를 사칭하며 다양한 채널을 통해 관계를 구축했습니다.
우리의 조사 결과, 상호 연결된 도메인, 호스팅 제공업체, 스크립팅 회사를 포함한 지속적이고 잘 구축된 공격 인프라가 발견되었습니다. 이 시스템은 파일, 연락처, 문자 메시지, 위치 데이터에 대한 접근 권한을 부여하고 스마트폰의 마이크와 카메라를 활성화할 수 있는 안드로이드 스파이웨어를 배포할 수 있습니다. 공격자들은 실제 인물처럼 보이는 가짜 계정, 메시지, 페이지를 사용하여 신호(Signal)와 같은 인기 있는 서비스를 모방하며 표적에게 멀웨어를 전달하고 있습니다. 이로 인해 Signal 및 기타 회사들은 이러한 피싱 캠페인에 대해 사용자들에게 경고를 발령했습니다.
애플에서 온 것으로 보이는 메시지를 받은 알-아사르는 계정 정보를 입력했습니다. 하지만 이집트의 원격지에서 로그인 시도가 있다는 2단계 인증 알림을 받았을 때 위험을 인지하고 상호작용을 중단했으며 즉시 도움을 요청했습니다. 반면 탄타위는 함정에 빠지지 않았고, 공격자들은 결국 그의 계정이나 알-아사르의 계정을 해킹하는 데 실패했습니다.
만약 그들이 성공했다면, 그들의 가족, 동료, 취재원 등 개인 및 직업 정보가 담긴 애플 또는 구글 계정에 대한 무제한적인 접근 권한을 얻었을 것입니다. 이집트 내 독립 언론과 반대 세력에 대한 수년간의 지속적인 정부 압박, 탄타위 가족 및 지지자들의 체포 등을 고려할 때, 이번 디지털 공격은 두 피해자뿐만 아니라 그들의 가족, 친구, 동료, 지지자 네트워크에도 상당한 위험을 초래했을 것이 분명합니다.
대체 누가 돈을 벌고 있는 걸까?
이 지점에서 제 안의 의구심 경보가 울리기 시작합니다. ‘용병 해킹 조직’과 ‘유료 피싱 작전’이라는 말을 들으면 가장 먼저 던져야 할 질문은 이것입니다. 클라이언트가 누구인가? 그리고 더 중요하게는, 누가 비용을 지불하고 있는가? 이 시나리오에서 가장 유력한 용의자는 예상대로 국가 행위자 또는 그들과 밀접하게 연계된 단체입니다. 인프라와 정교함은 상당한 자금력과 명확한 지시를 시사합니다. 해킹 그룹의 수익 동기는 분명합니다. 그들은 돈을 받습니다. 하지만 언론인과 반체제 인사들의 침묵을 통해 진정으로 이익을 얻는 ‘진짜’ 돈과 권력은 바로 이러한 디지털 암살을 의뢰하는 자들입니다.
이것은 단순한 데이터 도둑질이 아닙니다. 반대 세력을 질식시키고 서사를 통제하는 것입니다. 스파이웨어, 피싱 인프라와 같은 기술 자체는 도구일 뿐입니다. 진짜 이야기는 권력, 억압, 그리고 정치적 이익을 위한 디지털 감시의 상품화에 관한 것입니다.
무엇을 할 수 있을까?
일반적인 조언은 제공되지만, 자신의 개인적인 위험 수준을 이해하는 것이 중요합니다. 만약 당신이 언론인, 활동가, 또는 정교한 위협 행위자의 표적이 될 만한 사람이라면, 전문가의 신뢰할 수 있는 조언을 구하세요. 일반적인 인터넷 팁에만 의존하지 마세요. 당신의 디지털 삶은 생각보다 훨씬 더 가치 있을 수 있습니다.
핵심 요약:
- 표적화된 피싱 공격은 점점 더 정교해지고 있으며, 유료 용병 그룹에 의해 수행되고 있는 것으로 추정됩니다.
- 이집트 언론인과 정부 비판 인사들은 진보된 디지털 첩보 캠페인에 직면하고 있습니다.
- 사용되는 인프라는 모바일 장치에 강력한 스파이웨어를 배포할 수 있습니다.
- 이러한 작전의 궁극적인 자금 제공자를 식별하는 것이 책임 규명을 위해 매우 중요합니다.
🧬 관련 인사이트
자주 묻는 질문
이 보고서는 중동 및 북아프리카 지역의 디지털 보안에 어떤 의미를 가지나요? 이 보고서는 정교하고 잠재적으로 국가가 지원하는 디지털 공격이 시민 사회를 표적으로 삼고 MENA 지역의 반대 의견을 억압하는 데 사용되는 위협 환경의 증가를 강조하며, 디지털 보안 조치 강화와 국제 협력의 필요성을 부각합니다.
이러한 공격이 전통적인 감시 및 억압 방식을 대체할까요? 이러한 첨단 디지털 공격은 증가하는 우려 사항이며 매우 효과적일 수 있지만, 전통적인 감시 및 억압 방식을 완전히 대체하기보다는 종종 보완하여 다층적인 통제 접근 방식을 만듭니다.
이러한 표적 피싱 공격으로부터 자신을 어떻게 보호할 수 있나요? 모든 중요한 계정에 2단계 인증을 활성화하고, 무단 메시지에 극도로 주의하며, 발신자 신원을 확인하고, 의심스러운 링크를 클릭하거나 예상치 못한 첨부 파일을 다운로드하지 않음으로써 자신을 보호하세요. 위험도가 높은 개인의 경우, 전문 보안 컨설팅을 고려하세요.
