주인도 모르게 기기에 설치되고 안에 있는 모든 정보에 접근 가능한 스파이웨어
국제앰네스티 아녜스 칼라마르 사무총장, “사이버 감시 산업에 대한 규제를 강화하고 인권 침해와 인권 유린에 대한 책임성을 증진해야”
페가수스 프로젝트 (출처 – 포비든 스토리즈)
국제앰네스티가 최근 페가수스 프로젝트에서 발표한 비밀 사이버 감시에 관한 조사 브리핑을 발표했다. 빙산의 일각을 폭로하다: 정부와 민간부문이 촉발한 디지털 감시의 위기>라는 제목으로 발표된 이번 조사 브리핑은 규제가 약한 감시 기술 산업으로 인한 전 세계적 인권 피해를 알린다.
페가수스 프로젝트(Pegasus Project)는 17곳의 언론 단체 그리고 80여 명의 언론인이 참여하고 국제앰네스티 테크팀(Amnesty Tech Team)의 지원을 받아 파리에 본부를 둔 비영리 언론기구인 포비든 스토리즈(Forbidden Stories)가 진행한 협력 사업이다. 이번 조사를 통해 페가수스의 잠재적인 감시 대상 연락처 50,000여 건의 명단을 입수했으며, 해당 명단에는 AP 통신, CNN, 뉴욕타임즈, 로이터 통신 소속의 언론인, 정치인, 기업인, 인권 활동가는 물론 프랑스 대통령 에마뉘엘 마크롱과 같은 대통령 및 국가 수장도 포함되어 있었다.
페가수스는 이스라엘 소재 민간 회사 NSO 그룹이 제작한 스파이웨어로, 핸드폰과 컴퓨터에 설치되면 해커는 주인도 모르게 기기 안에 있는 메시지, 이메일, 파일, 마이크, 카메라, 전화 기록, 전화번호 등 모든 정보에 접근하고 확인할 수 있다. 특히 해당 소프트웨어는 부재중 통화를 남기는 것만으로 핸드폰에 설치될 수 있다는 점이 확인됐다. 여러 국가와 및 국가 기관이 안보라는 목적 그리고 범죄를 막는다는 명목으로 페가수스 또는 비슷한 제품을 사용해 왔지만, 일부에서는 이렇게 구매한 기술을 활용해 인권 활동가, 언론인 등 정부를 견제하는 사람들을 감시한 것이 드러난 것이다.
이번 조사 브리핑을 통해 국제앰네스티는 국제인권법상 부적절한 표적 선정, 설계부터 은밀한 페가수스 기술의 본질, 심각한 인권 침해로 이어진 결과, 수년간 확인된 문제를 방관한 정부과 기업의 면책, 불법적 해킹과 감시로부터 자국민을 보호할 의무가 있는 정부의 실패를 조명한다.
국제인권법에 따라 정부는 국민의 인권을 보호할 의무가 있다. 국제법 기준에 따르면 기업이 인권 침해를 돕거나, 기업 활동이 인권 침해를 악화할 것이라는 사실을 인지했어야 마땅하다고 판단되는 경우는 인권 유린에 해당된다. 이번 페가수스 프로젝트를 통해 밝혀진 인권 침해에 NSO 그룹의 기술이 촉매제가 되었으며, 과거에 유사한 사례가 적발되었던 국가에서 다시 불법 감시가 이뤄진 것에 미뤄 보았을 때 NSO그룹은 자사 기술로 인한 인권 침해가 발생할 가능성에 대해 인지했어야 마땅하다.
전 세계 정부에게 국제앰네스티는 이번 사례에 대한 독립적이며 투명하며 공정한 수사를 즉각 진행하고 감시 기술 회사가 인권을 존중할 수 있다는 것을 증명하기 전까지 관련 기술의 수출, 판매, 이전, 활용을 중단할 것을 촉구했다. 또한 민간 감시 회사가 인권 의무를 다하도록 법적인 체계를 구축하고 적용할 것 또한 요구했다. 더불어, 페가수스를 제작한 NSO 그룹에게는 언론인, 활동가, 시민 사회를 공격하고 억압하는 데 사이버 감시 소프트웨어를 불법적으로 사용한 정부와의 계약을 즉각 중단하고 불법 감시 대상의 피해자가 된 이들에게 적절하고 효과적인 보상과 배상을 제공할 것을 촉구했다.
국제앰네스티 아녜스 칼라마르 사무총장은 “NSO 그룹은 한 기업에 불과하다. 합법과 불법의 경계선을 넘나든 업계의 관행이 지속되도록 허용해서는 안 된다. 그 어느때보다도 사이버 감시 산업에 대한 규제를 강화하고 인권 침해와 인권 유린에 대한 책임성을 증진해야 하며, 이 어두운 업계에 대한 관리·감독을 강화해야 한다”며, “각국 정상과 정치인들도 감시 기술의 표적이 된 만큼 경각심을 갖고 감시 산업에 대한 규제 강화 노력을 배가하길 촉구한다. 세계 지도자들이 스파이웨어 공격을 받았다는 사실은 인권활동가, 언론인, 변호사 등 모두의 인권이 위협될 수 있다는 것을 방증한다.”고 말했다.
NSO 그룹은 특정한 주요 용의자의 휴대폰 데이터를 수집하기 위해 페가수스 소프트웨어가 합법적으로 사용된다고 주장하지만, 최근 조사에 따르면 시민사회단체를 상대로 동일하게 이 소프트웨어가 사용된 증거가 존재한다. 또한, 표적 디지털 감시 기술의 설계와 올바른 사용을 감시하기 위한 점검 제도의 부재로 인해 페가수스는 본질적으로 인권 침해에 취약하다. 연루된 정부는 페가수스 소프트웨어를 사용하여 의도적으로 개인을 스파이웨어로 공격하고 프라이버시에 관한 권리를 침해했다. 페가수스 소프트웨어는 설계 자체가 프라이버시에 타격을 줄 수밖에 없다. 이는 본질적으로 은밀하게 침입하여 개인 혹은 비밀 데이터를 무한정 수집 및 제공할 수 있는 기술이다.