국제앰네스티는 월요일(12월 16일) 발표한 보고서에서 세르비아 관리들이 수십 명의 언론인과 활동가들의 휴대폰에 자체 개발한 스파이웨어를 설치했다고 밝혔으며, 디지털 포렌식 증거와 최근 몇 달 동안 해킹을 당했다는 활동가들의 증언을 인용했다.
두 가지 사례에서는 이스라엘 감시 회사인 Cellebrite DI Ltd가 제공한 소프트웨어가 감염되기 전에 휴대폰 잠금을 해제하는 데 사용되었다고 보고서는 밝혔습니다.
보고서는 앰네스티가 “NoviSpy”라고 명명한 세르비아 스파이웨어가 모바일 장치의 은밀한 스크린샷을 찍어 연락처를 복사한 후 이를 정부가 관리하는 서버에 업로드했다고 밝혔습니다.
“여러 사례에서 활동가들과 언론인은 세르비아 경찰 및 보안 당국과의 인터뷰 직후 휴대전화에서 의심스러운 활동의 징후를 보고했습니다.”라고 앰네스티는 말했습니다.
세르비아 내무부, 외무부, 정보기관 BIA는 12월 12일 논평 요청에 응답하지 않았습니다.
Cellebrite 제품은 FBI를 포함한 법 집행 기관에서 스마트폰의 잠금을 해제하고 증거를 찾기 위해 널리 사용됩니다. 셀레브라이트의 최고 마케팅 책임자인 데이비드 지(David Gee)는 앰네스티의 혐의를 조사하고 있다고 말했습니다.
“만약 이러한 비난이 정확하다면 잠재적으로 최종 사용자 라이센스 계약을 위반할 수 있습니다.”라고 Gee는 Reuters에 말했습니다. 그렇다면 Gee는 Cellebrite가 세르비아 당국의 기술 사용을 중단할 수 있다고 말했습니다.
장치에 감시 소프트웨어를 설치하는 것은 “절대 우리가 하는 일이 아닙니다”라고 Gee는 말했습니다. 그는 Cellebrite가 세르비아 관리들과 접촉하기 시작했지만 자세한 내용은 제공하지 않았다고 덧붙였습니다.
법의학 전문가
보고서에 앰네스티가 소개한 활동가 중 한 명은 BIA와의 만남 직후 자신의 휴대전화 연락처가 외부로 유출된 것을 발견했다고 말했습니다.
활동가는 NoviSpy 스파이웨어가 연락처를 내보내고 장치의 개인 사진을 BIA 제어 서버로 보낸 것을 발견한 디지털 포렌식 전문가에게 휴대폰을 보여주었다고 로이터에 말했습니다.
국제앰네스티에 따르면 세르비아는 세르비아가 유럽연합으로의 통합 요건을 충족할 수 있도록 돕기 위해 고안된 광범위한 지원 패키지의 일환으로 Cellebrite로부터 전화 해독 장치를 받았습니다.
노르웨이 정부가 자금을 지원하고 유엔 프로젝트 서비스 사무국(UNOPS)이 관리하는 이 패키지는 세르비아의 조직 범죄 퇴치를 돕기 위해 2017년부터 2021년까지 세르비아 내무부에 제공되었다고 보고서는 밝혔습니다.
노르웨이 정부는 2018년 세르비아에 대한 셀레브라이트 기기 배송을 일시적으로 중단했다고 앰네스티가 밝혔다. 보고서는 베오그라드 주재 노르웨이 대사관도 이 프로그램에 대한 우려를 제기했지만 UNOPS는 결국 2019년 6월에 장치를 인도했다고 덧붙였습니다.
노르웨이 외무차관 마리아 바르테레시안은 로이터 통신에 “보고서에 담긴 주장은 놀랍고 만약 사실이라면 받아들일 수 없다”고 말했다. “우리는 이번 달 말에 세르비아 당국과 UNOPS를 만나 이 문제에 대한 추가 정보를 얻을 것입니다.”
“우리는 UNOPS가 혐의를 조사할 것으로 기대합니다.”라고 그녀는 덧붙였습니다.
UNOPS는 성명을 통해 앰네스티의 보고서를 환영하며 2017년부터 “잠재적인 부작용을 평가하고 완화하기 위한 메커니즘을 더욱 강화했다”고 밝혔습니다. 해당 기관은 이러한 조치에 대해 자세히 설명하지 않았습니다.
