default_top_notch
default_setNet1_2

회사·제품명 바꿔 버젓이 재판매

기사승인 [164호] 2023.12.01  

공유
default_news_ad1

- [집중기획] 어둠의 산업 스파이웨어 ③ 불사신 히드라

 
스벤 베커 Sven Becker 등 <슈피겔> 기자
 

   
▲ 에마뉘엘 마크롱 대통령의 전 치안·경호 보좌관 알렉상드르 베날라는 스테판 살리스와 그의 회사들에 다양한 도움을 준 것으로 알려졌다. REUTERS

넥사테크놀로지 임원이 자필로 남긴 기록에 따르면, 넥사는 2018년 4월 엘리제궁(프랑스 대통령실)에 일정이 있었던 것으로 보인다. 전화번호와 이름이 명시된 참석자 중에는 에마뉘엘 마크롱 대통령과 그의 전 치안·경호 보좌관인 알렉상드르 베날라, 고위급 장군이 있었다. 이 일정은 스테판 살리스와 그의 회사 아메스가 논란의 중심에 있는 도·감청 기술을 그렇게 오랫동안 공급하고 독일 플라트그룹이 살리스와 사업했던 이유를 설명하는 열쇠가 된다. 살리스는 엘리제궁의 최고위층과 접촉했고, 결국 대규모 거래 체결에 성공했다.
2021년 1월에 작성한 아메스 자료를 보면 프랑스 군부, 프랑스 국외정보국, 프랑스의 여러 정부 부처와 약 1천만유로(약 142억원) 상당의 거래가 적시돼 있다. 이게 끝이 아니다. 여러 스캔들을 겪으며 2018년 여름 엘리제궁을 떠나야 했던 베날라 전 보좌관은 이후 ‘국제 컨설턴트’로 독립했고, 지금은 넥사를 위해서도 일한다. 베날라는 넥사 경영진과 1년6개월 동안 와츠앱으로 499차례나 연락을 주고받았다. 그는 2020년 넥사 관계자에게 사우디아라비아에서 영향력이 큰 왕자와의 일정을 중개해줬다. 넥사 관계자와 사우디아라비아 왕자는 호텔 로비에서 만났다. “이 남성은 ‘MBS’와 아주 가깝다”고 베날라는 말했다.
MBS로 불리는 무함마드 빈 살만 왕세자 겸 총리는 이 기간에 실질적으로 ‘페르소나 논 그라타’, 즉 외교상 기피 인물이었다. 2018년 사우디아라비아 요원들이 저명한 기자 자말 카슈끄지를 튀르키예 이스탄불에서 살해해 시체를 토막 낸 사건이 발단이었다. 카슈끄지 주변인 몇 명의 휴대전화는 이스라엘의 민간 보안기업 엔에스오(NSO)그룹이 개발한 해킹 소프트웨어 페가수스에 감염됐던 사실이 이후 드러났다.
베날라가 중재한 회동 이후 아메스는 사우디아라비아 쪽에 1400만유로가 넘는 도·감청 기술 제안서를 제출했다. 캐나다 토론토대학의 연구소 시티즌랩 전문가들의 분석에 따르면 사우디아라비아도 프레데터 스파이웨어를 사용했다.

독일 정부도 거래
인텔렉사 얼라이언스를 둘러싼 논란에도 독일 정부 역시 이 그룹과 사업하는 데 거침없었다. 독일 정부는 연정 합의문에서 보안이 취약한 지점의 악용은 “정보기술(IT) 보안과 시민권에 상당한 문제가 된다”며 스파이웨어에 반대하는 입장을 분명하게 취한 바 있다. 독일 정부는 인텔렉사와 프레데터에 관한 <슈피겔>의 문의에, 관련 정보는 “국가 안위를 해칠 수 있다”는 짧은 답변을 내놓았다. 독일 정부는 좌파 정당의 질의에 ‘보안부문 정보기술 중앙국’(Zitis·이하 보안국)이 “제품 포트폴리오 정보 취득을 위해 2021년부터 인텔렉사 얼라이언스 기업들 및 회원사 사이트록스를 접촉했다”고 답했다.
독일 정부의 이런 답변은 짜증스러운데, 넥사의 내부 문건에 따르면 보안국은 2019년부터 인텔렉사 얼라이언스의 고객이었기 때문이다. 보안국은 내부 코드명 ‘바바리아’(Bavaria)로 언급됐다. 넥사는 보안국에 보수·유지까지 포함해 100만유로 상당의 도·감청 스파이웨어 두 개를 공급했다. 연방 내무부는 <슈피겔>의 문의에 “보안당국의 수사에 방해될 수 있다”며 답변을 거부했다.
인텔렉사 얼라이언스 관계자들은 독일 방산업체 헨졸트(Hensoldt)와도 회동했다. 헨졸트 감독이사회에는 독일 정부가 파견한 이사들도 소속됐다. 반관반민 기업 헨졸트는 인텔렉사와 비밀유지협약서를 체결했다. 기밀로 분류된 계약서는 2021년 5년 기한으로 체결됐다. “국가 보안으로 분류되는 기밀정보 역시” 인텔렉사와 공유될 수 있다고 해당 계약서에 명시됐다.
그렇다면 독일 정부는 실제 도·감청 기술에 어떤 입장일까? 2023년 4월, 11개 국가는 ‘안티 스파이웨어’ 성명에서 페가수스, 프레데터 및 유사한 디지털 스파이 도구의 확산을 막겠다고 발표했다. 하지만 독일은 11개국에 없었다.
하지만 보너스도 바닥나는 순간이 오며, 최고위층과 아무리 탄탄한 관계라도 더는 도움이 되지 않는 순간이 오기 마련이다. 그래도 살리스의 넥사는 상당히 오랫동안 최고위층의 도움을 받았다.
카다피와의 첫 리비아 거래 혐의 관련 수사가 2011년 시작됐다. 이집트와의 거래 혐의로 2017년에 재판이 시작됐고, 프랑스 언론이 이를 보도했다. 이에 살리스는 넥사 대표이사직을 내려놓았지만, 두바이에 있는 아메스의 대표직은 유지했다. 살리스는 개인 주소지도 두바이로 옮겼다. 세레브로와 프레데터가 대박이 난 덕택에, 그는 호화로운 삶을 유지할 수 있었다. 그는 월수입 2만5천유로에, 포르셰 마칸과 17만유로 상당의 메르세데스-AMG GT를 몬다고 알려졌다. 또한 두바이에 150만유로 상당의 빌라를 매입했고, 파리 인근에도 400만유로 상당의 대규모 토지를 보유하고 있다.
그러다가 2021년 6월 결국 터질 것이 터졌다. 프랑스 국가헌병대는 넥사 경영진의 업무 공간과 자택을 압수수색했다. 경찰 보고서에 따르면 압수수색은 “상당량의 프린트물 및 디지털 데이터”로 꼬박 이틀이 걸렸다. 살리스는 독일연방범죄수사청(BKA)의 ‘전쟁범죄·반인도적 범죄 근절을 위한 중앙국’ 수사관들에게 체포됐다. 수사관들은 그가 독재정권 하수인으로 한 역할을 집중적으로 심문했다.
살리스는 자신의 사업이 기밀이라 ‘기밀 유지 의무’가 있다며 말하고 싶지 않다고 수사 협조를 거부했다. 살리스는 심문에서 자신은 불법행위를 전혀 하지 않았다고 말한 것으로 알려졌다. 그는 수사받으면서 휴대전화 암호도 풀지 않았고, 프로젝트 코드명 공개도 거부했다고 한다.
하지만 수사관들은 살리스의 유죄를 입증할 증거를 이미 상당량 수집해놓았다. 프랑스 국가헌병대는 독일 변호사 카이 회프트와의 전화 통화 감청을 계기로, 아메스와 칼리파 하프타르(리비아 반군 지도자) 쪽과의 거래를 본격적으로 조사했다. 프랑스 국가헌병대는 하프타르 반군 지도자가 범죄조직의 일원이라고 주장한다. 반면 살리스는 스파이웨어가 리비아에 전달되지 않았다며 혐의를 부인했다.
플라트그룹의 한 변호사는 플라트가 인텔렉사 얼라이언스 소속이었던 적은 한 번도 없다고 주장했다. 플라트는 이미 2018년에 넥사와 아메스 지분을 처분하기로 결정했다는 것이다. 그런데도 플라트가 논란의 중심인 넥사와 아메스에 2년을 더 투자한 이유는 말하지 않았다. 심지어 2021년 2월에야 플라트가 파견한 넥사 감독위원회 이사 두 명이 이사직을 내려놓았다고 등기부에 나온다.
살리스와 그의 두 회사 넥사 및 아메스는 공동성명에서 “모든 규정”을 준수했고 현재 수사 대상인 일부 계약서는 프랑스 정부가 오히려 더 적극적으로 권장했다고 강변했다. 마크롱 대통령과 엘리제궁은 <슈피겔>의 문의에 전혀 답하지 않았다.
 

   
▲ 에마뉘엘 마크롱 대통령의 전 치안·경호 보좌관 알렉상드르 베날라는 스테판 살리스에게 무함마드 빈 살만 사우디아라비아 왕세자 겸 총리 쪽도 연결해준 것으로 전해진다. 빈 살만 왕세자와 마크롱 대통령이 2023년 6월 프랑스 파리에서 정상회담에 앞서 악수하고 있다. REUTERS


매각해도 소유주는 그대로
살리스와 그의 사업에 대한 수사는 무엇을 의미할까? 살리스의 사업은 계속 진행 중이다. 다만 이름이 달라졌고 더욱 복잡해진 구조로 이뤄질 뿐이다. 카다피와의 거래가 폭로돼 프랑스의 아메시스가 두바이의 아메스로 포장만 달라졌던 때와 지금 상황은 별반 다를 바가 없다. 넥사는 2023년 2월 사명을 ‘RB42’로 변경했다. RB42는 방어적인 사이버보안만 취급한다고 자체 설명한다. 아메스는 새 경영진에 매각됐다. 그런데 아메스의 새로운 소유주 중에는 살리스도 있다.
그리고 프레데터 스파이웨어는 여전히 기승을 부린다. 프레데터는 2020년 여름에 탈 딜리안이 대표로 있던 알리아다에서 탈레스트리스(Thalestris)라는 아일랜드 지주회사로 소유권이 이전됐다. 탈레스트리스의 대주주는 안드레아 감바치다. 전직 은행가인 감바치는 스위스에 신탁회사를 운영하는 전형적인 ‘허수아비’다. 그가 탈레스트리스의 의결권 51%를, 나머지는 이름이 알려지지 않은 제3자들이 보유하고 있다. 독일 방산업체 헨졸트와 기밀유지 협약서에 서명한 것도 감바치였다.
플라트그룹의 대출은 탈레스트리스로 흘러갔다. 독일의 문화투자자 요람 로트가 직접 보유한 알리아다의 지분도 2020년 탈레스트리스로 이전됐다고 내부 문건에 나온다. 지금까지 프레데터로 돈을 벌고 있느냐는 <슈피겔>의 문의에 로트는 경악을 금치 못했다. “한마디로 충격이다. 내용을 알았다면 그런 곳에 절대 투자하지 않았을 것이다.”
자신은 알리아다 지분 투자를 “이스라엘 국가 안보에 도움이 되는 테크기업 투자”라고 설명을 들었고 지금까지 “수익이나 배당금을 일절 받은 적이 없다”고 했다. 그리고 자신이 “수차례 문의해도 충분한 사업 정보”를 받지 못했다고 한다. 그는 2021년 8월 관련 투자를 “경제적으로 감가상각했다”고 밝혔다. 자신이 지분을 계속 보유한 것은 지분을 반환하거나 매각하는 방법을 몰라서라고 전했다. 다른 투자자들은 <슈피겔> 문의에 답변하지 않았다.
그렇다면 프레데터의 산파 역할을 했던 딜리안은 뭐라고 답할까? 아일랜드 지주회사 탈레스트리스의 대표이사 사라 하모우는 폴란드 국적의 변호사로 역외 기업 전문가다. 그는 딜리안의 동거녀이기도 하다. 하모우, 딜리안, 감바치는 이들의 혐의 관련 문의에 철저히 함구했다.
유럽 여성 정치인 중에서 스파이웨어와 관련 기술업체를 소피 인트 펠트 유럽연합 의원만큼 집중적으로 다룬 이는 찾아보기 힘들다. 네덜란드 출신의 벨트 의원은 도·감청 산업의 음지 경제를 속속들이 파악하고 있다. 그는 프랑스 비영리 언론단체 포비든스토리즈(Forbidden Stories)의 페가수스 스파이웨어 폭로를 계기로 구성된 유럽의회 조사위원회의 조사위원이었다. 폭로 내용은 가히 충격적이었다. 여러 유럽 국가가 기자, 정치인, 야당 인사를 스파이웨어로 도·감청했다. 폴란드, 헝가리, 스페인이 페가수스 스파이웨어 스캔들에 깊이 연루돼 있었다.
벨트 의원은 딜리안에게 인텔렉사 얼라이언스 사업을 공개하라고 요구했지만, 그 답변을 받기는커녕 오히려 변호사들로부터 협박받았다. 그는 그리스 등 다른 국가들에도 해명을 요청했다. “친절하게 우리에게 커피와 스낵을 내놓은 사람도 있었지만, 어디에서도 의미 있는 답변을 받지는 못했다”고 벨트 의원은 전했다.
 

   
▲ 인텔렉사 얼라이언스 관계자들은 독일 방산업체 헨졸트와도 회동했다. 올라프 숄츠 독일 총리의 방문을 앞둔 2023년 1월16일, 독일 울름의 헨졸트 본사 앞에 우크라이나에서 사용 중인 군 레이더 차량 TRML-4D가 전시돼 있다. REUTERS


악몽에서 벗어나자
벨트 의원은 도·감청 업계의 저항에도 싸움을 포기하지 않는다. 서구 국가들을 포함해 모든 정부가 최신 스파이웨어 구입을 요구하는 정보당국의 압박을 받고 있다. 암호화로 스파이웨어 없이는 테러리스트와 범죄자의 혐의를 입증할 수 없다는 것이 스파이웨어를 구매하는 사유다. 스파이웨어 제작업체들은 일부 구매자만으로는 충분한 매출을 낼 수 없다면서 규제를 최대한 완화하라고 요구한다. 벨트 의원은 “도·감청 스파이웨어는 지옥에서 온 거래다. 지금처럼 심각했던 적이 과거에 단 한 번도 없었다”고 우려했다.
벨트 의원은 유럽연합 차원에서 도·감청 업계와 각 정부를 효율적으로 감독할 것을 요구한다. 유럽은 “부디 잠에서 깨어나 도·감청 스파이웨어의 악몽에서 벗어나야 한다”고 벨트 의원은 호소했다.

ⓒ Der Spiegel 2023년 제41호
Jemand weiß immer, wo Sie sind
번역 김태영 위원

스벤 베커 economyinsight@hani.co.kr

<저작권자 © 이코노미인사이트 무단전재 및 재배포금지>
default_news_ad4
default_side_ad1

인기기사

default_side_ad2

포토

1 2 3
set_P1
default_side_ad3

섹션별 인기기사 및 최근기사

default_setNet2
default_bottom
#top
default_bottom_notch