이스라엘NSO매타왓츠앱서버탈취핸드폰해킹1억7천만달러배상

Israeli NSO to pay $170 million in damag

이스라엘 NSO 매타 왓츠앱 서버 탈취로 핸드폰 해킹 배상금 1억7천만달러

이스라엘의 사이버 보안회사인 NSO가 매타의 왓츠앱 서버를 탈취해 해킹 장사한 것에 대해 미국 법원이 벌금 1억6800만달러를 선고했다.

메타는 6일 캘리포니아의 배심원단은 NSO가 메타에 444,719달러의 보상적 손해배상과 1억 6,730만 달러의 징벌적 손해배상을 지불해야 한다고 판결했다고 밝혔다.(사건 번호, C-19-07123 PJH)

메타 소송은 앞서 지난해 12월 NSO가 메시징 서비스인 왓츠앱(WhatsApp)의 버그를 불법적으로 악용해 사용자의 휴대폰에 스파이 소프트웨어를 심었다고 승소 판결에 이어 4월 28일 판결과 배심원단 배상 평결이 나왔다.

메타는 스파이웨어를 사용하여 언론인, 반체제 인사 등의 왓츠앱 계정 1,400개를 해킹한 혐의로 NSO 그룹을 2019년 고소했고, 지난해 12월 캘리포니아 북부 지방법원의 필리스 해밀턴(Phyllis Hamilton) 판사는 NSO 그룹이 자사의 인기 있는 페가수스 스파이 소프트웨어를 사용해 20개국에 설치된 왓츠앱을 이용해 사이버 보안법을 위반했다고 판결했다.

메타는 3월에 NSO 그룹에게 손해 배상을 요구하는 소장을 제출했고, 지난주 배심원단은 잠재적 처벌에 대한 메타측의 주장을 청취하고, 최종 2일간의 심의 끝에 6일 최종 손해 배상을 결정했다.

Meta는 20억 명이 넘는 사용자가 사용하는 암호화된 메시징 앱인 WhatsApp과 Facebook 및 Instagram을 소유하고 있다.

왓츠앱은 손배 결정에 대해 “사람들을 보호하는 디지털 권리 단체에 손해를 기부할 것”이라고 이날 성명으로 밝혔다.

애플은 애초 2021년 NSO그룹에 대해 메타와 마찬기지로 기기 해킹 혐의로 고소했지만 그해 9월에 소송을 취하했다.

캘리포니아 연방법원은 2018년에서 2020년 사이에 이스라엘 스파이웨어 회사 NSO는 수천 대의 장치에 침입한 책임이 있으며 유럽 정부 고객에게 플랫폼을 사용하여 한 번에 15개의 다른 장치를 해킹하는 대가로 700만 달러의 "표준 가격"을 청구했고, 고객의 국가 밖에서 전화기를 해킹할 수 있는 능력은 약 100만 달러 또는 200만 달러 상당의 별도 추가 기능을 인정해 6년간의 소송 끝에 배심원단이 고액 벌금을 평결했다.

로이터는 법원 기록을 인용해 “미국 중앙정보국(CIA)과 연방수사국(FBI)은 이스라엘 NSO에 총 760만 달러를 지불했다”며 “이 기관들이 이스라엘 스파이웨어 회사와 과거 거래한 내역은 이전에도 이뤄졌다”고 6일 보도했다.

뉴욕타임스는 “스파이웨어는 휴대폰, 랩톱 및 기타 전자 장치에 설치되어 순진한 피해자를 감시하는 소프트웨어 유형으로, 성장하는 분야”라며 “NSO 그룹의 초기 스파이웨어는 사람들이 WhatsApp을 통해 전송된 문자 메시지나 이미지를 클릭하기만 하면 자신도 모르게 휴대폰에 다운로드될 수 있었다”고 6일 밝혔다.

재판에서 제시된 증거를 인용해 NYT는 “새로운 버전은 전송된 문자 메시지를 통해 전화기를 해킹할 수 있으며, 수신자의 조치가 필요하지 않다”며 “재판에서 NSO 그룹이 다른 메시징 앱을 해킹할 수 있는 기술을 개발했다는 사실도 밝혀졌다”고 보도했다.

왓츠앱이 사람들에게 NSO 그룹 스파이웨어가 그들을 표적으로 삼았다는 사실을 알리는 데 도움을 준 외부 전문가 존 스콧-레일턴(John Scott-Railton)은 배상 판결에 대해 “배상 결정이 회사에 해를 끼칠 것”이라고 NYT에 말했다.

토론토 대학의 사이버 보안 감시 그룹인 시티즌 랩(Citizen Lab)의 선임 연구원 스콧-레일턴(Scott-Railton)은 "NSO의 사업은 미국 기업을 해킹하는 것에 기반을 두고 있다"며 "이번 판결은 ‘독재자는 반체제 인사를 해킹할 수 있다’고 분명한 신호를 보내고 있다"고 NYT에 밝혔다.

이스라엘 NSO가 메타 와츠앱을 탈취해 해킹 장사에서 주요 고액인 미 FBI와의 거래 내역에 대해 뉴욕타임스가 2022년 1월 28일자로 보도한 내용은 다음과 같다.

2019년 6월, 이스라엘 컴퓨터 엔지니어 3명이 FBI가 사용하는 뉴저지 건물에 도착했다. 그들은 수십 대의 컴퓨터 서버를 풀어 외딴 방의 높은 선반에 정리했다.

장비를 설치하는 동안 엔지니어들은 텔아비브 교외의 헤르츨리야에 있는 세계에서 가장 악명 높은 스파이웨어 제조업체인 NSO 그룹의 본사에 있는 상사에게 여러 차례 전화를 걸었고, 그런 다음 장비를 갖추고는 테스트를 시작했다.

FBI는 NSO의 최고 수준의 스파이 도구인 페가수스 버전을 구입했다.

거의 10년 동안 이 이스라엘 회사는 전 세계의 법 집행 기관 및 정보기관에 구독 기반으로 감시 소프트웨어를 판매해 왔으며, 민간 기업이나 국가 정보기관조차도 다른 누구도 할 수 없는 일인 ‘모든 iPhone과 Android 스마트폰’의 암호화된 통신을 일관되고 안정적으로 해독할 수 있다고 약속했다.

메타는 판결에 대해 성명으로 "왓츠앱 사건에 대한 오늘의 평결은 모든 사람의 안전과 프라이버시를 위협하는 불법 스파이웨어의 개발과 사용에 대한 첫 번째 승리로서 프라이버시와 보안을 위한 중요한 진전"이라고 6일 밝혔다.

NSO는 성명을 통해 "판결의 세부 사항을 주의 깊게 검토하고 추가 절차와 항소를 포함한 적절한 법적 구제책을 추구할 것"이라고 6일 밝혔다.

인권단체 '액세스 나우'의 선임 변호사 나탈리아 크라피바는 승소 설명에서 “2016년 처음으로 전 세계의 이목을 끈 이스라엘 기업 NSO는 ‘감시 산업과 그들의 학대와 처벌을 보여주는 전형적 자식’이 됐다"며 "이것은 스파이웨어 회사들이 만약 당신이 부주의하고, 뻔뻔하고, 만약 당신이 NSO가 이런 경우에 했던 것과 같은 방식으로 행동한다면 결과가 있을 것이라는 것을 보여줄 수 있기를 바란다"고 로이터에 말했다.

왓츠앱 소송은 2019년에 제기돼 대법원까지 갔고 소송으로 인해 인권운동가들이 감시 기술 분야에서 NSO의 경쟁사들과 업계에 대해 추적으로 계속했고 마침내 승소했다.

미국 법원은 NSO가 가동하는 140명의 강력한 연구팀과 5천만 달러의 거대 예산이 스마트폰의 보안 취약점을 악용하는 데 부분적으로 할당됐다고 밝혔고, NSO측 변호사들은 주요 고객에서 우즈베키스탄, 사우디 아라비아, 멕시코가 포함된 것만 밝히고 NSO의 철저하게 보호되는 고객 목록은 제외했다.

핸드폰 해킹에 대해 NYT는 멕시코는 갱단뿐만 아니라 언론인과 반체제 인사에게도 이 소프트웨어를 배포했고, 아랍 에미리트가 이 소프트웨어를 사용하여 정부가 감옥에 던진 시민 운동가의 전화를 해킹했으며, 사우디아라비아는 여성 인권 운동가들을 상대로 이 무기를 사용했다고 밝혔다.

사우디 반체제 인사가 제기한 소송에 따르면 2018년 이스탄불에서 사우디 공작원이 살해하고 사지를 절단한 워싱턴 포스트의 칼럼니스트 자말 카슈끄지와의 통신을 염탐하기 위해 이를 사용했다.

NYT는 “이 중 어느 것도 미국을 포함한 새로운 고객이 NSO에 접근하는 것을 막지 못했다”며 “FBI의 페가수스 구매 및 테스트에 대한 세부 사항은 이전에 공개된 적이 없으며, 카슈끄지가 살해된 같은 해에 미국 CIA는 언론인 탄압과 정부 반대파에 대한 고문 등 지부티의 인권 유린에 대한 오랜 우려에도 불구하고 지부티 정부가 테러와의 전쟁에서 미국 동맹국을 돕기 위해 페가수스를 인수하도록 주선하고 비용을 지불했다”고 밝혔다.

미 국무부(DEA), 비밀경호국(Secret Service), 미군 아프리카 사령부(US Army's Africa Command)는 모두 NSO와 논의를 가졌으로 FBI는 다음 단계로서 FBI 직원들은 지역 상점에서 새 스마트폰을 구입하고 다른 나라의 SIM(유심) 카드를 사용하여 더미 계정으로 설정했으며, 그런 다음 페가수스 엔지니어는 전 세계의 이전 시연에서와 마찬가지로 인터페이스를 열고 전화번호를 입력하고 공격을 시작했다고 NYT가 밝혔다.

이 버전의 페가수스는 "제로 클릭"으로 일반적인 해킹 소프트웨어와 달리 사용자가 악성 첨부 파일이나 링크를 클릭할 필요가 없었기 때문에 전화기를 모니터링하는 미국인들은 지속적인 침해의 증거를 볼 수 없었다.

도청에 대해 NYT는 “페가수스 컴퓨터가 전 세계 서버 네트워크에 연결하고, 전화기를 해킹한 다음, 뉴저지 시설의 장비에 다시 연결하는 것”이고 “몇 분 후 볼 수 있었던 것은 전화기에 저장된 모든 데이터, 즉 페가수스 컴퓨터의 대형 모니터로 풀리면서 모든 이메일, 모든 사진, 모든 문자 스레드, 모든 개인 연락처였다”고 밝혔다.

핸드폰 추적에 의해 전화기의 위치를 볼 수 있고 카메라와 마이크를 제어할 수도 있으며, 페가수스를 사용하는 FBI 요원들은 이론적으로 미국을 제외한 모든 곳의 휴대전화를 거의 즉각적으로 전 세계의 휴대전화를 강력한 감시 도구로 바꿀 수 있다고 NYT가 밝혔다.

NYT는 2022년 1월 18일자에 “NSO는 최근 FBI에 대안을 제시하며, 워싱턴의 관리들에게 프리젠 테이션을 하는 동안, NSO는 FBI가 표적으로 결정한 미국의 모든 번호를 해킹 할 수 있는 팬텀(Phantom)이라는 새로운 시스템을 시연했다”면서 “이스라엘은 NSO에 특별 허가를 내렸고, 이 허가는 자국의 팬텀 시스템이 미국 숫자를 공격할 수 있도록 허용한 것이며, 이 라이선스는 한 가지 유형의 고객으로 미국 정부 기관에만 허용됐다”고 밝혔다.

바이스(Vice)가 처음 발행한 NSO의 미국 자회사가 잠재 고객을 위해 만든 화려한 소개책자(브로셔)에 따르면 팬텀은 미국 법 집행 기관과 스파이 기관이 "모바일 장치에서 중요한 데이터를 추출하고 모니터링하여" 정보를 얻을 수 있으며, 미국 통신사인 AT&T, Verizon, Apple 또는 Google의 협력이 필요하지 않은 "독립적인 솔루션"으로서, 이 시스템은 "목표물의 스마트폰을 지능의 금광으로 바꿀 것"이라고 적혀 있다.

소송 소장을 인용한 로이터는 "NSO는 이 소송이 제기된 후에도 원고, 원고의 서버, 원고의 모바일 클라이언트를 반복적으로 표적으로 삼았다"고 밝혔다. kimjc00@hanmail.net

Israeli NSO to pay $170 million in damages for hijacking Meta's WhatsApp server

A US court has sentenced Israeli cybersecurity company NSO to a fine of $168 million for hijacking Meta's WhatsApp server and hacking it.

Meta announced on the 6th that a California jury ruled that NSO must pay Meta $444,719 in compensatory damages and $167.3 million in punitive damages.(C-19-07123 PJH)

The Meta lawsuit followed a ruling in December last year that NSO had illegally exploited a bug in the messaging service WhatsApp to plant spy software on users' phones, and the jury's verdict and award were delivered on April 28. Meta sued NSO Group in 2019 for allegedly using spyware to hack into 1,400 WhatsApp accounts belonging to journalists, dissidents, and others, and in December, Judge Phyllis Hamilton of the Northern District of California ruled that NSO Group had violated cybersecurity laws by using its popular Pegasus spy software to access WhatsApp in 20 countries.

Meta filed a lawsuit in March seeking damages from NSO Group, and last week, a jury heard Meta’s arguments on potential penalties and made a final decision on the damages on Tuesday after two days of deliberation.

Meta owns WhatsApp, an encrypted messaging app with over 2 billion users, as well as Facebook and Instagram.

WhatsApp said in a statement that it would “donate the damages to digital rights organizations that protect people.” Apple initially sued NSO Group in 2021 for hacking devices, similar to Meta, but dropped the suit in September of that year.

A California federal court ruled that between 2018 and 2020, Israeli spyware company NSO was responsible for hacking thousands of devices, charging European government customers a “standard price” of $7 million to use its platform to hack 15 different devices at a time, and the ability to hack phones outside the customer’s country was a separate add-on worth about $1 million or $2 million, and the jury awarded the company a hefty fine after six years of litigation.

Citing court records, Reuters reported on the 6th that “the U.S. Central Intelligence Agency (CIA) and the Federal Bureau of Investigation (FBI) paid a total of $7.6 million to Israel’s NSO,” adding that “these agencies’ past dealings with the Israeli spyware company were not new.” The New York Times reported on the 6th that “spyware is a type of software that is installed on phones, laptops and other electronic devices to spy on unsuspecting victims, and it is a growing field,” and that “NSO Group’s early spyware could be downloaded to phones without people’s knowledge simply by clicking on text messages or images sent via WhatsApp.” Citing evidence presented at trial, the NYT reported that “the new version can hack phones through sent text messages, requiring no action on the part of the recipient,” and that “the trial also revealed that NSO Group had developed technology that could hack other messaging apps.” John Scott-Railton, an outside expert who helped WhatsApp alert people that NSO Group spyware was targeting them, told the NYT that the compensation decision “will be damaging to the company.” Scott-Railton, a senior researcher at Citizen Lab, a cybersecurity watchdog group at the University of Toronto, told the Times that NSO’s business was “based on hacking American companies,” and that the ruling “sends a clear signal that dictators can hack dissidents.”

Here’s what the New York Times reported on Jan. 28, 2022, about the Israeli NSO’s hijacking of Meta WhatsApp and its high-stakes deal with the FBI:

In June 2019, three Israeli computer engineers arrived at a New Jersey building used by the FBI. They unpacked dozens of computer servers and organized them on high shelves in a remote room.

While they were setting up the equipment, the engineers made several calls to their superiors at the NSO Group headquarters in Herzliya, a suburb of Tel Aviv, the world’s most notorious spyware maker, and then they set up the equipment and began testing it. The FBI has purchased a version of NSO’s best-selling spy tool, Pegasus.

For nearly a decade, the Israeli company has sold its surveillance software to law enforcement and intelligence agencies around the world on a subscription basis, promising that it can consistently and reliably decrypt encrypted communications from “every iPhone and Android smartphone,” something no one else, not even private companies or national intelligence agencies, can do.

“Today’s verdict in the WhatsApp case is a significant step forward for privacy and security, as it is the first victory against the development and use of illegal spyware that threatens everyone’s safety and privacy,” Mehta said in a statement about the ruling on the 6th.

NSO said in a statement on the 6th that it “will carefully review the details of the ruling and pursue appropriate legal remedies, including further proceedings and appeals.” “NSO, an Israeli company that first caught the world’s attention in 2016, has become the poster child for the surveillance industry and its abuses and impunity,” Natalia Krapiva, a senior staff attorney for the human rights group Access Now, told Reuters in a statement of the victory. “This is a case that spyware companies hope will show that if you are careless, if you are brazen, if you act in the way NSO did in this case, there will be consequences.” The WhatsApp lawsuit was filed in 2019 and went all the way to the Supreme Court, where human rights activists continued to pursue NSO’s competitors in the surveillance technology industry and ultimately won. The US court said NSO’s 140-strong research team and $50 million budget were partly allocated to exploiting security vulnerabilities in smartphones, while NSO’s lawyers only listed Uzbekistan, Saudi Arabia and Mexico as major clients, omitting a list of NSO’s heavily guarded clients. The Times reported that Mexico distributed the software to journalists and dissidents as well as gangs, that the United Arab Emirates used it to hack the phones of civil rights activists imprisoned by the government, and that Saudi Arabia used it against women’s rights activists.

According to a lawsuit filed by a Saudi dissident, it was used to spy on the communications of Washington Post columnist Jamal Khashoggi, who was murdered and dismembered by Saudi agents in Istanbul in 2018.

“None of this has stopped new customers, including the United States, from accessing NSO,” the Times said. “Details of the FBI’s purchase and testing of Pegasus have never been made public before, and the same year Khashoggi was killed, the CIA arranged and paid for the Djiboutian government to acquire Pegasus to help U.S. allies in the war on terror, despite longstanding concerns about human rights abuses in Djibouti, including the crackdown on journalists and the torture of government opponents.” The DEA, Secret Service, and the U.S. Army's Africa Command have all had discussions with NSO, and the FBI says the next step was for FBI agents to buy new smartphones at a local store and set them up with dummy accounts using SIM cards from other countries. Pegasus engineers would then open the interface, enter a phone number, and begin the attack, just as they have in previous demonstrations around the world, the Times said.

This version of Pegasus was "zero-click," meaning that unlike typical hacking software, it didn't require users to click on malicious attachments or links, so Americans monitoring the phones saw no evidence of a persistent compromise.

The Times said of the wiretapping, "Pegasus computers connected to a network of servers around the world, hacked the phones, and then reconnected to equipment at the New Jersey facility," and "after a few minutes, all the data on the phones was visible, unleashed on the Pegasus computer's large monitor: every email, every photo, every text thread, every personal contact." By tracking the phone, you can see the location of the phone, control the camera and microphone, and FBI agents using Pegasus could theoretically turn any cell phone in the world, except the United States, into a powerful surveillance tool almost instantly, the NYT reported.

“During a recent presentation to officials in Washington, NSO demonstrated a new system called Phantom that can hack any number in the United States that the FBI decides to target,” the NYT reported on January 18, 2022. “Israel granted NSO special permission to use its Phantom system to attack U.S. numbers, and the license is limited to one type of customer: U.S. government agencies,” the company said. According to a glossy brochure put together for potential customers by NSO's US subsidiary, first reported by Vice, Phantom is described as a "standalone solution" that allows US law enforcement and spy agencies to "extract and monitor sensitive data from mobile devices" and that does not require the cooperation of US carriers AT&T, Verizon, Apple or Google, saying the system will "turn a target's smartphone into a goldmine of intelligence."

Reuters, citing the lawsuit, said that “NSO continued to target the plaintiffs, their servers and their mobile clients repeatedly after this lawsuit was filed.”

FBI, NSO, CIA, wiretapping, meta, server hijacking, spyware, WhatsApp, Israeli security firm, hacking, cell phone, SIM hacking