이스라엘 보안기업 NSO그룹이 개발한 스파이웨어 '페가수스'가 전 세계 언론인과 인권운동가 등의 스마트폰을 해킹하는 데 사용됐다. 스파이웨어는 스파이와 소프트웨어의 합성어로 이용자 동의없이 스마트폰에 설치돼 개인정보를 빼내는 프로그램이다.
페가수스와 관련된 5만개 이상 전화번호 중 67대 스마트폰을 정밀 조사한 결과 37개가 페가수스에 감염됐거나 침입 흔적이 발견됐다. 이 중 34대가 아이폰이었는데, 아이폰12 프로맥스와 아이폰SE 2세대 등 최신 모델도 포함됐다. 34대 중 실제 감염된 아이폰은 23대이며 11대는 침입 흔적만 발견됐다.
페가수스가 정확히 어떤 방식으로 스마트폰에 침투하는지는 알려지지 않았다. 다만 국제사면위원회는 이용자가 특정한 링크를 누르거나 파일을 다운로드 받도록 유도하는 일반 해킹과 달리 페가수스는 스마트폰 취약점을 통해 침투한 것으로 분석했다. 페가수스는 전화번호와 위치 데이터, 통화기록, 연락처를 빼내는 것은 물론 카메라와 마이크를 원격으로 조작할 수도 있다.
WP는 페가수스가 퍼진 통로로 아이폰의 아이메시지(iMassage)를 꼽았다. 아이메시지는 별도의 경고나 승인 과정 없이도 낯선 사람에게서 메시지를 받을 수 있다. WP에 따르면 페가수스의 공격이 성공한 23대 중 13대에서 아이메시지를 이용한 흔적이 드러났으며, 침입에 실패한 11대 중 6대에서도 비슷한 증거가 발견됐다. 글로벌 보안기업 시티즌랩에 따르면 지난해 12월 NSO그룹은 아이메시지 취약점을 이용해 아랍권 매체인 알자지라의 기자와 PD, 앵커의 스마트폰 36대를 해킹하기도 했다.
전문가들은 다소 까다롭긴 하지만 아이폰 역시 안드로이드폰처럼 해킹이 충분히 가능하다고 설명한다. iOS가 폐쇄형 OS라는 특성상 더 큰 피해를 야기할 수 있다는 지적도 있다. 한 번 뚫리면 모바일 백신 앱이 없어 속수무책인데다, 해킹을 당한 사실조차 인지하지 못하고 넘어갈 수도 있다는 것이다. 해킹으로부터 안전한 스마트폰은 사실상 없다는 얘기다.