셀레브라이트는 왜 태도를 바꿨을까

같은 회사, 다른 반응

작년, 이스라엘 휴대폰 해킹툴 제조사 셀레브라이트는 세르비아 경찰과의 거래를 중단했다. 현지 경찰이 자사 도구로 기자와 활동가의 휴대폰을 해킹하고 스파이웨어를 심었다는 의혹이 제기되자 내린 결정이었다. 국제앰네스티의 기술 보고서를 근거로 한 드문 조치였다.

하지만 최근 요단과 케냐에서 비슷한 의혹이 제기되자, 셀레브라이트의 반응은 정반대였다. 의혹을 일축하며 조사 의지도 밝히지 않았다. 같은 회사가 왜 이렇게 다른 태도를 보이는 걸까?

토론토 대학이 찾아낸 '흔적'

화요일, 토론토대학교 시민연구소(Citizen Lab)는 케냐 정부가 셀레브라이트 도구로 현지 활동가 보니페이스 음완기의 휴대폰을 해킹했다는 보고서를 발표했다. 1월에는 요단 정부가 여러 활동가와 시위자의 휴대폰을 같은 방식으로 침입했다고 고발했다.

연구진은 피해자들의 휴대폰에서 셀레브라이트와 연결된 특정 애플리케이션의 흔적을 발견했다고 밝혔다. 이 애플리케이션은 이전에 악성코드 저장소인 바이러스토털에서도 발견됐으며, 셀레브라이트 소유의 디지털 인증서로 서명된 상태였다.

"우리는 추측에 응답하지 않으며, 구체적이고 증거 기반의 우려사항이 있는 조직은 직접 공유해달라"고 셀레브라이트 대변인 빅터 쿠퍼는 말했다. 세르비아 사건과 다른 이유를 묻자 "두 상황은 비교할 수 없다"며 "높은 신뢰도가 직접적 증거는 아니다"라고 답했다.

7,000개 고객사를 둔 회사의 딜레마

전 세계 7,000개 이상의 법 집행기관을 고객으로 둔 셀레브라이트는 그동안 여러 차례 고객사를 차단한 바 있다. 2021년 방글라데시와 미얀마, 러시아와 벨라루스와의 관계를 끊었고, 미국 정부 규제에 따라 홍콩과 중국 판매도 중단했다.

하지만 최근 들어서는 다른 행보를 보이고 있다. 요단 보고서에 대해서는 "인권이나 현지 법률 위반이 입증되면 즉시 비활성화할 것"이라고 했지만, 구체적인 조사 계획은 밝히지 않았다. 케냐 사건에 대해서는 아예 논평을 거부했다.

"셀레브라이트가 케냐 당국에 대한 판매 승인 시 사용한 구체적 기준을 공개하고, 과거 취소된 라이선스 수를 공개해야 한다"고 시민연구소의 존 스콧-레일턴은 촉구했다. "엄격한 심사를 한다면 공개하는 데 문제없을 것이다."