NoviSpy Spyware Installed on Journalist's Phone After Unlocking It With Cellebrite Tool
- 사건 개요
- 독립 언론인 슬라비샤 밀라노프의 휴대폰이 세르비아 경찰에 의해 셀레브라이트(Cellebrite) 도구로 잠금 해제된 직후 NoviSpy 스파이웨어에 감염
- NoviSpy는 감염된 기기에서 민감 정보를 수집하고, 원격으로 마이크와 카메라를 활성화해 감시 수행
- 이 사건은 고도 침투형 기술 두 가지(포렌식 추출 도구 + 스파이웨어)가 동시에 사용된 이례적 사례로 주목
- 스파이웨어 침투 과정
- 언론인이 구금된 상황에서 Android 디바이스가 물리적으로 확보되어, 셀레브라이트 도구를 통해 잠금 해제
- 이후 ADB(Android Debug Bridge) 명령을 사용해 NoviSpy 설치
- NoviSpyAdmin (com.serv.services) 앱: 통화 기록, 문자, 연락처, 오디오 녹음 등 광범위 권한 요청
- NoviSpyAccess (com.accesibilityservice) 앱: 접근성 서비스를 악용해 이메일 및 메신저(Signal, WhatsApp) 스크린샷 수집, 파일 탈취, 위치 추적, 카메라 활성화 수행
- 언론인이 구금된 상황에서 Android 디바이스가 물리적으로 확보되어, 셀레브라이트 도구를 통해 잠금 해제
- 세르비아 당국의 연관성
- 세르비아 보안정보국(BIA)과 경찰은 과거부터 FinFisher의 FinSpy, Intellexa의 Predator, NSO Group의 Pegasus 등 다양한 스파이웨어를 사용한 전례 존재
- Amnesty International은 해당 도구들의 불법적·무분별한 사용이 언론인·시민사회에 심각한 위협을 초래한다고 지적
- 세르비아 경찰 측은 이러한 주장에 대해 “전 세계 다른 경찰과 동일하게 포렌식 도구를 이용할 뿐”이라고 반박
- 제로데이 취약점 악용
- 이번 사건에서 셀레브라이트 UFED가 이용한 안드로이드 제로데이(CVE-2024-43047)는 Qualcomm DSP의 메모리 관리 결함
- 2024년 10월에 Qualcomm 측에서 보안 패치 제공
- 구글은 커널 패닉 로그 분석 중 유사한 드라이버 결함 6건을 발견하여 수정
- 국제적 반응과 규제 움직임
- CDT(민주주의와 기술 센터) 유럽 지부 및 시민단체들은 상업적 감시 도구 악용 문제를 지적하며 EU 차원의 강력한 규제 요구
- 중국 당국도 EagleMsgSpy 같은 합법 감청 도구를 남용하여 광범위 정보 수집 중이라는 보고
- 러시아에서 우크라이나에 기부한 시민을 구금 후 스파이웨어 앱을 심은 사례 등 글로벌 감시 남용 사례가 속속 보고됨
- 결론
- 이번 사건은 물리적 접근과 포렌식 도구가 결합될 때 발생할 수 있는 스파이웨어 감염 위험을 여실히 보여줌
- 법 집행기관과 관련된 사이버 감시에 대한 투명성·감시체계가 부재할 경우, 언론인·활동가 등 민감 계층에 대한 권리 침해 가능성 높아짐
- 보안 취약점(제로데이)과 전문 감시 소프트웨어 결합으로 사용자 디바이스와 개인 정보의 안전이 심각하게 위협받고 있으므로, 국제사회 차원의 규제 및 보안 대응체계 마련이 시급함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 보안에는 용서하기 힘든 실수가 있다: 경로 조작 취약점 (0) | 2025.01.02 |
|---|---|
| 신규 PHP 기반 백도어 Glutton: Laravel, ThinkPHP 등 인기 프레임워크 악용 (2) | 2025.01.02 |
| 악성광고 캠페인 "DeceptionAds" 광고 네트워크 악용 사례 (1) | 2025.01.02 |
| NodeLoader 악성코드 분석: Node.js 기반 로더로 광범위 공격 (0) | 2025.01.02 |
| 딜로이트, 로드아일랜드 RIBridges 시스템의 대규모 데이터 유출 경고 (0) | 2025.01.02 |