사우디아라비아가 세계적 이동 통신망의 취약점을 이용해 미국을 여행하는 자국 시민들의 위치를 추적해온 것으로 보인다고 영국 일간 가디언이 29일(현지시간) 공익제보자를 인용해 단독 보도했다.
보도에 따르면 공익제보자가 공개한 데이터는 지난해 11월부터 4개월 동안 사우디로부터 수백만건의 은밀한 위치 추적 요청이 있었던 사실을 보여준다. 사우디에서 등록된 휴대전화의 미국 내 위치를 알기 위한 추적 요청은 사우디의 3대 이동 통신사로부터 나온 것으로 보인다고 가디언은 전했다. 특히 사우디 통신사들은 가입자들이 미국에 들어서자마자 명백히 높은 빈도로 그들의 휴대전화 위치 데이터를 요청한 것으로 알려졌다. 통신·보안 전문가들은 사우디 왕가의 조직적 스파이 활동을 시사하는 것으로 보인다고 평가했다.
데이터를 공개한 공익제보자는 ‘SS7’이라고 불리는 세계적 메시징 시스템의 취약성을 경고했다. 수십 년 된 세계적 메시징 시스템인 SS7은 전 세계 사용자들이 이동 통신사와 연결할 수 있도록 해준다. 독일을 여행하는 미국 모바일 사용자는 SS7 네트워크를 통해 미국에 연결돼 전화를 걸 수 있다. SS7을 통하면 휴대전화의 추적도 가능하다. 버라이즌 같은 이동 통신사가 외국 통신사로부터 가입자 정보가 담긴 SS7 메시지를 받을 때 사실상 추적 요청을 받고 있다는 것이다. 이러한 추적 요청은 합법적으로 외국 통신사가 로밍 요금을 기록하는 것을 돕는 데 이용된다. 그러나 이동 통신 업계에서는 이러한 메시지의 과도한 사용은 위치 추적 가능성을 암시하는 것으로 알려져 있다.
내부고발자는 사우디의 위치 정보에 대한 요구가 많은 것에 대한 어떠한 정당한 이유도 찾을 수 없었다고 가디언에 말했다. 그는 “다른 설명도 없고, 이러한 일을 할 다른 기술적 이유도 없다”며 “사우디는 모바일 기술을 무기화하고 있다”고 주장했다.
가입자에 대한 많은 양의 위치 추적 데이터를 요청해온 사우디 이동 통신사가 정부가 운영하는 감시 프로그램에 고의로 관여했는지는 확인되지 않았다.
사우디의 스파이 행위 논란은 이번이 처음이 아니다. 지난 1월 벤 허버드 미 일간 뉴욕타임스(NYT) 기자는 2018년 자신의 휴대전화가 사우디를 위해 일하는 해커들의 표적이 됐었다고 밝혔다. 당시 허버드 기자는 사우디에 관해 5년 동안 취재를 이어가며 ‘실세’인 무함마드 빈 살만 사우디 왕세자에 초점을 맞추고 있던 때였다. 사우디는 또 미국 유력지인 워싱턴포스트(WP)를 소유하고 있는 제프 베이조스 아마존 최고경영자(CEO)의 휴대전화를 해킹했다는 의혹도 받고 있다.
지난해 11월에는 사우디 정부가 두 명의 전직 트위터 직원을 고용해 반체제 인사를 포함한 수천명의 계정에서 민감한 개인정보를 수집했다고 미국 검찰이 혐의를 제기하기도 했다. 사우디가 미국에서 스파이 혐의로 기소된 것은 당시가 처음인 것으로 알려졌다. 미국에 사우디는 핵심 산유국이자 주요 무기 수입국임과 동시에 중동에서 이란을 견제하기 위한 ‘전략적 축’ 역할을 하는 핵심 동맹국이다. 도널드 트럼프 미국 대통령은 2018년 사우디 출신 반체제 언론인 자말 카슈끄지 피살 사건 이후에도 사우디와 가까운 관계를 유지해오고 있다.
임국정 기자 24hour@segye.com