왓츠앱(WhatsApp)이 스파이웨어 개발사 NSO 그룹(NSO Group)이 법원 명령을 어기고 자사 사용자들을 대상으로 새로운 해킹 캠페인을 벌였다고 밝혔습니다. 왓츠앱은 NSO 그룹이 악성 링크를 이용한 스피어 피싱(spear phishing) 공격을 시도한 정황을 포착했으며, 이에 따라 NSO 그룹을 법정 모독죄로 고소했습니다. 이는 전 세계적으로 인권 침해 논란을 빚어온 NSO 그룹의 스파이웨어 남용 사례에 또 하나가 추가된 것입니다.
왓츠앱은 사용자 제보를 바탕으로 한 조사 끝에 NSO 그룹이 사용자들을 속여 악성 링크를 클릭하게 하고 외부 웹사이트로 유도하려 했다고 설명했습니다. 또한, NSO 그룹이 왓츠앱에 테스트 계정과 그룹을 생성한 사실도 확인하여 모두 폐쇄 조치했습니다. 이번 공격은 2024년 요르단에서 보고된 스피어 피싱 캠페인과 유사하며, 당시에도 NSO 그룹의 악명 높은 스파이웨어 페가수스(Pegasus)가 사용된 것으로 알려졌습니다. 왓츠앱은 2019년 NSO 그룹의 대규모 해킹 캠페인으로 1,400명 이상의 사용자가 피해를 입은 후 NSO 그룹을 고소했으며, 법원은 NSO 그룹에 왓츠앱 및 사용자 공격 금지 명령을 내린 바 있습니다. 왓츠앱은 이번 공격이 이 영구 금지 명령을 위반한 것이라고 주장하고 있습니다.
이번 사건은 정부 고객을 대상으로 스파이웨어를 판매하는 NSO 그룹과 같은 기업들의 윤리적, 법적 문제점을 다시 한번 부각시킵니다. 테크 기업들은 이러한 해킹 캠페인을 공개하고 피해자에게 알리며, 스파이웨어 개발사를 고소하는 등 적극적으로 대응하고 있습니다. 또한, 강력한 스파이웨어로부터 기기와 앱을 보호하기 위한 새로운 보안 기능을 도입하고 있습니다. 미국 정부 역시 NSO 그룹을 블랙리스트에 올리고 다른 스파이웨어 개발사에 제재를 가하는 등 압력을 가하고 있지만, NSO 그룹은 미국 시장 진출을 모색하며 기업 이미지 개선을 시도하고 있어 향후 귀추가 주목됩니다.