조 바이든 미국 행정부 산하 회사가 2021년 11월 이스라엘 보안기업 ‘NSO 그룹’과 비밀 계약을 체결했다는 외신 보도가 나왔다. 미국 정부에 전 세계 휴대전화를 위치 추적할 수 있는 프로그램에 접근할 수 있도록 권한을 부여한다는 게 주된 계약 내용이다. 바이든 행정부가 NSO그룹을 수출 제한 기업 목록에 등재하는 등 상업용 스파이웨어의 완전 퇴출을 천명한 만큼 파장이 주목된다.
뉴욕타임스(NYT)는 2일(현지시간) 바이든 행정부의 전면에 서있는 회사가 2021년 11월 8일 휴대전화 위치 추적 프로그램의 접근 권한을 얻기 위해 NSO그룹의 미국 계열사와 계약을 맺었다고 보도했다.
NYT가 검토한 계약 내용에 따르면 이 프로그램의 접근 권한을 사들인 회사는 ‘클레오파트라 홀딩스’라는 미국 회사다. 하지만 실제 계약 당사자는 뉴저지주에 본사를 둔 소규모 정부 계약업체 ‘리바 네트워크’다. 이 회사는 미 연방수사국(FBI)이 2019년 비밀리에 NSO의 스파이웨어 ‘페가수스’를 구입할 당시에도 동원된 곳이다.
리바의 최고경영자(CEO)는 계약 당시 가명을 사용했다. 문제의 위치 추적 프로그램은 모하메드 빈 살만 사우디아라비아 왕세자 역시 신변 보호를 위해 접근 권한을 구입한 바 있다고 NYT는 설명했다.
위치 추적 프로그램의 최종 사용자는 ‘미국 정부’로 명시돼 있다. 멕시코 정부가 표적에 심어놓은 스파이웨어를 실험, 배포할 수 있도록 접근 권한을 준 것도 주목할 만한 내용이다. 다만 NYT는 “거래를 승인하고 스파이웨어를 사용할 수 있는 정부 기관이 어떤 곳인지는 불분명하다”고 했다.
NSO그룹은 이스라엘의 민간 정보기술(IT) 기업으로 각국 정부에서 테러 등 범죄 문제를 해결할 때 합법적으로 고용하는 회사다. 지난해 각국 정보기관들은 ‘페가수스’를 이용해 정치인·언론인·시민운동가의 휴대전화를 몰래 들여다봤다는 의혹에 휩싸이기도 했다. 미 상무부는 NSO그룹을 블랙리스트에 올려놓고 자국 기업과의 협업을 금지해 놓은 상태다.
바이든 대통령은 지난 27일 ‘페가수스’를 비롯한 상업적 스파이웨어 기술을 미 국방·정보 기관을 포함한 연방 정부 부처에서 사용하지 못하도록 하는 행정 명령을 발표했다. NYT 보도가 사실이라면 대외적으로는 NSO와 반대 입장을 견지하며 NSO의 해킹 기술을 얻기 위해 ‘뒷계약’을 체결하는 이중적인 면모를 보였다는 얘기가 된다. NYT는 “이번에 공개한 계약은 아직 여전히 활성화된 것으로 보이며 바이든 행정부의 공공 정책을 위반하고 있다”고 지적했다.
백악관은 NYT의 논평 요청에 전혀 알지 못한다는 취지로 답했다. 국가 안보 문제를 이유로 익명을 요구한 미 행정부 고위 관계자는 “우리는 이 계약과 관련해 전혀 알지 못한다. NSO의 프로그램이 (국가 차원에서) 사용되는 건 매우 우려스러운 일”이라고 말했다. 미 국가정보국 역시 답변을 거부했다.
NYT는 이번 계약과 관련해 ①계약이 체결될 당시 미 정보기관이나 사법 당국이 계약 내용을 알고 있었는지 ②정부 기관이 프로그램 배포를 지시한 적이 있는지 ③미 행정부가 바이든 대통령의 정책과 상반된 행보를 보이는 ‘불량 업체’와 거래를 한 건지 ④계약에 멕시코가 명시된 이유는 무엇인지 네 가지 물음을 던졌다.
NYT는 “상업용 스파이웨어의 남용이 만연해지면서 접근 권한을 제한해야 한다는 서방 세계 정치 지도자들의 요구가 커지고 있다”면서도 “스파이웨어의 강력한 힘은 민주주의 국가와 독재 국가의 정보기관, 군대, 법 집행 기관 모두에게 매력적인 도구가 됐다”고 진단했다. 그러면서 NSO그룹과 미국 기업 간의 이번 비밀 계약은 이 같은 딜레마를 증명한다고 평가했다.
송태화 기자 alvin@kmib.co.kr