# 유럽의회 대상 스파이 활동: Pegasus 조사위원도 해킹됨

> Clean Markdown view of GeekNews topic #31120. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=31120](https://news.hada.io/topic?id=31120)
- GeekNews Markdown: [https://news.hada.io/topic/31120.md](https://news.hada.io/topic/31120.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-07-04T21:38:05+09:00
- Updated: 2026-07-04T21:38:05+09:00
- Original source: [citizenlab.ca](https://citizenlab.ca/research/member-of-committee-investigating-spyware-hacked-with-pegasus/)
- Points: 1
- Comments: 1

## Topic Body

- 그리스 탐사보도 기자 출신 전 유럽의회 의원 **Stelios Kouloglou**의 iPhone이 PEGA Committee 활동 기간 중 **Pegasus**에 반복 감염된 것으로 확인됨
- 감염 시점은 2022년 10월 21일과 2023년 3월 6~7일로, 청문회·보고서 초안·국가 방문 준비 등 **비공개 의사소통**이 많던 시기와 겹침
- 첫 감염은 HomeKit 이메일 `rauharepo888[@]gmail.com` 조회 직후 Pegasus 프로세스가 모바일 데이터를 사용한 흔적과 연결되며, **PWNYOURHOME** 제로클릭 익스플로잇으로 평가됨
- 특정 정부가 배후로 지목되지는 않았고 그리스 정부 책임을 가리키는 징후도 없지만, 같은 HomeKit 이메일이 러시아·벨라루스어권 망명 언론인·활동가 대상 Pegasus 캠페인에서도 확인됨
- 유럽의회 구성원과 직원 기기에 대한 포괄적 검사가 없으면, PEGA Committee의 기밀 교신과 의회 절차가 **용병 스파이웨어**에 얼마나 노출됐는지 파악하기 어려움

---

### PEGA Committee 활동 중 확인된 Pegasus 감염
- **Stelios Kouloglou**는 2015년 유럽의회에 입성한 그리스 탐사보도 기자 출신 정치인임
- 2022년 3월 24일부터 2023년 7월 18일까지 Pegasus 및 유사 감시 스파이웨어 사용을 조사하는 유럽의회 **PEGA Committee**의 대체 위원으로 활동함
- PEGA Committee는 2021년 Pegasus Project와 관련 보도 이후, 유럽 정부들이 언론인·활동가·정치인·시민을 감시했다는 폭로를 계기로 2022년 3월 10일 설치됨
- 위원회 임무는 EU 법을 위반한 스파이웨어 사용 범위 조사였고, 조사 대상은 “Pegasus and equivalent surveillance spyware”였음

### iPhone 포렌식 결과
- 2026년 5월 Kouloglou가 Citizen Lab에 연락했고, iPhone 아티팩트 포렌식 분석에서 Pegasus 감염이 확인됨
- 높은 신뢰도로 확인된 감염 시점은 **2022년 10월 21일 전후**, 그리고 **2023년 3월 6~7일**임
- ## 2022년 10월 21일 감염
  - 10:16에 HomeKit 이메일 주소 `rauharepo888[@]gmail.com` 조회가 있었고, 2분 뒤 Pegasus 프로세스가 모바일 데이터를 사용함
  - 이 감염은 [**PWNYOURHOME**](https://citizenlab.ca/research/nso-groups-pegasus-spyware-returns-in-2022/) 제로클릭 익스플로잇을 통한 해킹으로 평가됨
  - PWNYOURHOME은 공격자가 특수 제작한 NSKeyedArchive를 HomeKit에 보내고, 이후 악성 콘텐츠가 MessagesBlastDoorService에 도달하는 방식으로 보임
  - Apple은 iOS 16.3.1에서 HomeKit 관련 문제를 완화했고, MessagesBlastDoorService 문제는 더 이른 시점, 아마 iOS 16.1에서 수정한 것으로 평가됨
- ## 2023년 3월 6~7일 감염
  - 2023년 3월 6일 09:49부터 3월 7일 07:30 사이에도 Pegasus 활동이 확인됐고, 같은 익스플로잇과 관련됐을 가능성이 있음
  - 2022년과 2023년 감염 당시 기기는 **iOS 15.5 (19F77)** 를 실행 중이었던 것으로 평가됨
  - 가용 포렌식 데이터의 한계 때문에 포착하지 못한 추가 감염 가능성은 배제되지 않음

### Apple 위협 알림과 사용자의 인지 문제
- 포렌식 분석상 Kouloglou는 Apple의 용병 스파이웨어 표적화 위협 알림을 세 차례 받음
  - 2023년 3월 2일
  - 2023년 8월 29일
  - 2024년 4월 10일
- Apple 및 다른 기업의 위협 알림은 실시간 경보가 아니며, 일반적으로 표적화 이후 수개월 이상 지난 뒤 **일괄 발송**되는 경우가 많음
- Kouloglou는 관찰된 Apple 알림을 받은 기억이 없다고 밝힘
- 여러 차례 위협 알림을 받은 대상자도 실제로 이를 알아차리지 못할 수 있음

### 첫 감염 시점: 보고서 초안·청문회·국가 방문 준비와 겹침
- 첫 감염일인 **2022년 10월 21일**은 PEGA Committee의 심의와 조사가 특히 활발하던 시기와 맞물림
- 감염 직후 다음 청문회들이 예정돼 있었음
  - “Big Tech and Spyware” — 2022년 10월 26일
  - “Spyware and e-privacy” — 2022년 10월 26일
  - 스파이웨어와 기본권 관련 청문회 — 2022년 10월 27일
- 위원회는 첫 보고서 초안 발표도 준비 중이었고, 초안은 위원과 보좌진 사이에서 논의·회람되고 있었음
- Kouloglou는 첫 감염일이 문자 메시지와 이메일 중심의 **집중 논의·교환** 시기와 겹쳤다고 확인함
- 첫 [PEGA Committee 보고서 초안](https://www.politico.eu/wp-content/uploads/2022/11/08/PEGA-draft-report-final-8-1117473.pdf)은 2022년 11월 8일 Sophie in ’t Veld 의원이 발표함
  - 초안은 폴란드, 헝가리, 그리스, 키프로스, 스페인의 스파이웨어 의혹을 다룸
- PEGA Committee는 2022년 11월 1~4일 그리스와 키프로스 방문도 준비 중이었고, Kouloglou는 계획과 방문에 참여함
- 기기는 이 방문 시작 10일 전에 해킹됐으며, 당시 방문 관련 교신이 오가고 있었음

### 병원 내 감염과 의료 정보 노출 가능성
- 2022년 10월 21일 감염 당일, Kouloglou는 선택 수술을 위해 그리스 병원에 입원 중이었음
- 그리스 탐사보도 기자 **Thanasis Koukakis**가 병실을 방문함
  - Koukakis는 그리스 내 용병 스파이웨어 이슈를 긴밀히 취재해 온 인물임
  - 그는 전월 PEGA Committee에서 증언함
  - 2022년 3월 Citizen Lab은 Koukakis가 Intellexa의 Predator 스파이웨어 표적이었음을 확인함
- 감염이 병원 입원 중 발생했기 때문에, 병실 내 대화나 의료진과의 대화, 예약·검사 결과·진단 등 **건강 관련 정보**가 기기에서 가로채졌을 가능성이 있음
- 그리스 법에서 건강 관련 데이터는 특별 범주의 개인정보로 강화된 보호 대상이며, 해킹은 그리스 형법상 Law 4624/2019의 의료정보 비밀보호와 관련될 수 있음

### 두 번째 감염 시점: 최종 보고서 논의와 겹침
- 두 번째 감염은 **2023년 3월 6~7일** 발생함
- Kouloglou에 따르면 이 시기 PEGA Committee는 최종 초안 작성 과정과 관련해 집중 논의를 진행 중이었음
- Kouloglou는 2023년 3월 6일 아테네에서 브뤼셀로 이동했고, 감염 기간인 3월 6~7일 브뤼셀에 있었음
- 같은 시기 PEGA rapporteur인 Sophie in ’t Veld 의원은 LIBE Committee 임무로 그리스에 있었음
  - LIBE Committee는 인권, 데이터 보호, 망명, 이민, 차별금지 관련 입법과 민주적 감독을 담당하는 유럽의회 상임위원회임
  - 해당 임무에서 LIBE 대표단은 그리스 National Transparency Authority 국장과 관계자들에게 그리스 스파이웨어 스캔들을 질의함
- 두 번째 감염 뒤에도 PEGA 청문회와 스페인 조사 방문이 이어졌으나, Kouloglou는 스페인 방문에는 참여하지 않음
- 이 감염은 2023년 5월 8일 첫 PEGA Committee 보고서 채택 약 두 달 전에 발생함
- Kouloglou와 Thanasis Koukakis는 2023년 3월 6~7일 전후 WhatsApp으로 만남을 잠정 계획했지만, 실제 대면은 이뤄지지 않음

### 유럽의회 의원 대상 스파이웨어 사례들
- PEGA Committee 재직 중 Pegasus 피해자로 공개 확인된 위원은 Kouloglou가 처음임
- PEGA Committee 설치 전에도 유럽의회 의원을 겨냥한 공개 사례가 있었음
  - Catalan MEP **Diana Riba**의 기기는 2019년 10월 감염됨
  - Catalan MEP **Jordi Solé**는 유럽의회 의석을 맡기 직전인 2020년 6월 표적이 됨
  - **Clara Ponsati**와 **Carles Puigdemont**는 보좌진 또는 가족을 통해 표적이 됨
- Riba, Solé, Puigdemont는 이후 PEGA Committee에 참여했고, PEGA Committee에서 경험을 증언함
- PEGA Committee 외부에서도 유럽의회 대상 사례가 이어짐
  - 2024년 2월 Politico는 안보·국방 소위원회 소속 의원들이 두 기기에서 스파이웨어 흔적이 발견된 뒤 휴대전화 검사를 요청받았다고 보도함
  - 프랑스 MEP **Nathalie Loiseau**는 Pegasus 표적이었음을 확인함
  - 유럽의회 IT Services는 불가리아 MEP **Elena Yoncheva**에게 2023년 10월 말 기기가 표적화됐다고 알림
  - 2024년 5월 독일 MEP **Daniel Freund**는 Candiru의 용병 스파이웨어 표적이 됐다고 발표함

### 배후 판단과 남은 한계
- Kouloglou의 기기가 NSO Group의 **Pegasus 용병 스파이웨어**에 표적화되고 감염됐다는 판단은 높은 신뢰도를 가짐
- 특정 NSO Group 고객은 배후로 지목되지 않음
- 그리스 정부가 이 해킹의 주체라는 징후는 없음
  - 그리스가 NSO Group 고객이거나 Pegasus 사용자였다는 보고는 없음
  - 그리스 정부는 Intellexa의 Predator 용병 스파이웨어를 광범위하게 남용한 것으로 알려졌지만, 그리스 보안·정보기관이 Pegasus 접근권을 가졌다는 기술 지표는 없음
- 2022년 Kouloglou 표적화와 2024년 5월 [Access Now 공동 보고서](https://citizenlab.ca/research/pegasus-russian-belarusian-speaking-opposition-media-europe/)의 표적화 사이에는 연결점이 있음
  - 해당 보고서는 유럽 기반 러시아·벨라루스어권 독립 언론인과 야권 활동가 7명이 Pegasus로 표적화 또는 감염됐다고 다룸
  - 그 보고서에서 익명 처리된 Apple ID 중 하나인 `rauharepo888[@]gmail.com`이 Kouloglou를 겨냥한 HomeKit 이메일과 동일함
  - 이 기간 Pegasus 감염 인프라에 대한 이해상, 이런 이메일은 특정 운영자에게 고유한 것으로 판단됨
- 2023년 두 번째 감염이 같은 운영자와 연결되는지, 다른 운영자인지는 확인할 수 없음
- 감염은 최소 두 유럽 관할권인 **그리스와 벨기에**에서 존재한 것으로 보임
- NSO Group 라이선스에 대한 기존 지식에 따르면, 이는 여러 EU 관할권에서 감염을 가능하게 하는 라이선스를 가진 고객일 가능성을 시사함

### 민주적 절차와 의회 기밀에 대한 영향
- PEGA Committee 위원 기기 감염은 위원회 활동 중 엄격히 기밀인 교신과 민감한 의회 절차가 노출됐을 수 있음을 뜻함
- 노출 대상에는 PEGA Committee 구성원과 보좌진 간 교신, 그리고 위원회가 조사하던 당사자와 관련된 민감한 절차가 포함될 수 있음
- 다른 PEGA Committee 위원과 보좌진의 기기 상태를 알 수 없기 때문에, 포괄적 검사가 없으면 유사 감염 여부를 확인할 방법이 없음
- 이 사례는 용병 스파이웨어가 **민주적 절차의 무결성**에 가하는 위협을 드러냄
- 유럽의회 의원 기기가 용병 스파이웨어에 표적화되거나 해킹된 사례가 처음이 아니며, 규제되지 않은 용병 해킹의 부식적 성격을 보여줌

### 권고 사항
- EU 기관은 EU 개인정보와 절차 침해의 범위와 규모를 확인하기 위한 즉각적인 조사를 시작해야 함
- ## MEP와 보좌진
  - PEGA Committee에 참여한 MEP와 보좌진은 즉시 **스파이웨어 감염 포렌식 검사**를 받고, 표적화됐을 수 있는 업무용·개인용 기기를 보존해야 함
  - Directorate-General for Information Technologies and Cybersecurity (**DG ITEC**)가 스파이웨어 검사를 제공함
  - 국가 지원 공격 경고에 주의를 기울이고, 경고를 받으면 신속히 전문가 지원을 받아야 함
  - EU MEP는 iPhone의 **Lockdown Mode**와 Android의 **Advanced Protection**을 활성화해야 함
  - 이 모드는 용병 스파이웨어에 대한 기기 보호를 크게 높임
  - DG ITEC가 추가 사이버보안 지침을 제공할 수 있음
- ## 유럽의회와 EU 기관
  - 유럽의회는 MEP와 의회 절차를 겨냥한 스파이웨어 공격을 즉시 조사해야 함
  - 시간이 지난 공격이므로 포렌식 흔적 손실을 막기 위한 신속한 조사가 필요함
  - 의회는 Parliament와 의원에 대한 사이버·감시 위협을 다루는 **연례 보고서**를 의뢰해야 함
  - European Parliamentary Research Service 또는 다른 기관이 작성할 수 있음
  - DG ITEC는 기기 검사율을 크게 높이는 계획을 마련하고, 검사 기기 수와 발견률에 대한 연례 통계를 공개해야 함
  - DG ITEC는 Apple·Google 같은 기업의 국가 지원 공격 경고에 대해 MEP와 보좌진에게 구체적 지침을 정기적으로 배포해야 함
  - 유럽위원회는 위원과 직원이 용병 스파이웨어 표적이 됐는지 확인하기 위한 자체 조사와 검사를 해야 함
  - Commission의 DG DIGIT는 정기 검사와 함께 포괄적인 스파이웨어 검사·대응 역량을 구축해야 함
- ## PACE와 각국 의회, 기술 기업
  - Parliamentary Assembly of the Council of Europe (**PACE**)는 과거 유럽 내 용병 스파이웨어 남용 관련 위원회 활동을 고려해, 구성원과 직원이 표적화됐는지 조사해야 함
  - Council의 Directorate of Information Technology는 동료 기관과 협의하고 PACE 구성원과 직원의 용병 스파이웨어 표적화 징후를 정기적으로 검사해야 함
  - 각국 의회의 보안 서비스와 감독기구는 DG ITEC의 의원 검사 기법 모델을 참고해 의원을 보호해야 함
  - 기술 기업은 위협 알림 수신자가 실제로 경고를 보고 이해하며 조치할 수 있도록 UX 연구를 포함해 알림 방식을 개선해야 함

## Comments



### Comment 61259

- Author: neo
- Created: 2026-07-04T21:38:06+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=48779683) 
- 2026년 5월 Kouloglou가 Citizen Lab에 연락했고, 그의 iPhone에서 나온 흔적을 **포렌식 분석**했더니 2022년 10월 21일 전후, 그리고 2023년 3월 6~7일에 **Pegasus 스파이웨어** 감염이 성공했다는 높은 확신을 얻었다는 내용임
  - 우리도 자기 휴대폰을 포렌식 분석해서 Pegasus를 가진 누군가가 표적으로 삼았는지 확인할 수 있는지 궁금함
  - Apple 위협 알림이 실시간이 아니라 보통 표적 공격이 벌어진 뒤 몇 달 이상 지나 **일괄 발송**된다는 설명이 핵심으로 보임  
    Kouloglou는 Citizen Lab이 확인한 Apple 알림을 받은 기억이 없다고 했는데, 이걸 Apple이 감시당하고 있다고 알렸지만 그가 무시했다는 뜻으로 이해해도 되는지 의문임

- Apple과 다른 회사들의 위협 알림이 실시간이 아니고, 보통 표적 공격 뒤 몇 달 이상 지나 묶어서 보내진다는 건 충격적임  
  Apple이 **위협을 탐지**할 수 있으면서 제거하거나 막지는 않고, 사용자에게 알리기 전까지 몇 달 동안 조용히 기다린다는 뜻이라면 **보안 연극**이 아니고 뭔지 모르겠음

- 첫 감염이 유럽의 러시아어·벨라루스어권 망명 언론인과 활동가를 겨냥한 기존 Pegasus 캠페인과 겹친다는 점이 흥미로움  
  “여러 유럽 국가에서 감시할 권한”을 가진 Pegasus 고객이 누구인지가 질문임  
  언급된 러시아 망명자 사건에 대한 예전 글 [0]에서는 네덜란드와 에스토니아가 국경 밖에서 Pegasus를 썼다고 나오지만, 그런 라이선스를 가진 곳이 더 있을 수도 있음  
  러시아 망명자 사건과 Kouloglou 사건이 같은 공격 방식으로 연결된다면 에스토니아 같은 나라가 더 그럴듯해 보임. 다만 Pegasus 접근 권한이 있는 기관이 권한 없는 기관과 협력하거나 대신 사용했을 가능성도 항상 있음  
  [0] [https://www.accessnow.org/publication/hacking-meduza-pegasus...](<https://www.accessnow.org/publication/hacking-meduza-pegasus-spyware-used-to-target-putins-critic/>)

- 큰 **단일형 커널**, 불필요한 원격 측정·마케팅 서비스, 레거시 API, C 같은 안전하지 않은 언어, 정적 분석 부족 같은 **소프트웨어 아키텍처 선택**의 문제가 아닌가 싶음  
  휴대폰은 이미 감염된 땅처럼 취급하고 중요한 건 두지 말아야 함  
  일부 지도자들은 아예 스마트폰을 쓰지 않아서 전자 스파이웨어로부터 보호받음
  - 스마트폰이 **2단계 인증**에 쓰이고, 모든 서비스가 웹 인터페이스를 제공하는 것도 아니라서 어렵긴 함  
    일부 은행, 채팅, 데이팅, Uber 같은 서비스는 모바일만 지원함

- 그 무렵 그리스 정치인들의 휴대폰이 Pegasus로 많이 해킹됐음  
  그리스에서는 아직 완전히 해결되지 않은 스캔들이고, 모든 증거는 총리실이 현지 정보기관과 조율해 벌인 작전임을 가리킴  
  그래서 이걸 유럽의회에 대한 공격이라고 부르기는 어렵다고 봄
  - 작은 정정: 그건 **Predator/Intellexa**이고 Pegasus/NSO가 아님. 그래서 이 사건과는 다름
  - 폴란드도 같은 이야기임  
    [https://notesfrompoland.com/2026/02/26/poland-charges-former...](<https://notesfrompoland.com/2026/02/26/poland-charges-former-security-chiefs-over-use-of-pegasus-spyware/>)  
    망치를 들고 있으면 모든 게 못처럼 보임

- 흥미로운 점은 같은 휴대폰을 통해 **개인 의료 기밀 정보**와 **정부 기밀 문서**가 둘 다 유출됐을 수 있음을 암시한다는 것임  
  유럽의회에는 업무용 기기와 개인용 기기를 분리하는 정책이 없나?
  - 정책이 있는 것과 현실에서 실제로 벌어지는 일은 대부분 매우 다름  
    업무 시간과 개인 시간이 자주 흐릿해지는 걸 생각하면 이해는 됨
  - 내가 이해한 바로는 그가 감염된 업무용 휴대폰을 병원에 가져갔고, 그 휴대폰이 개인 의료 정보가 담긴 대화를 녹음했을 가능성이 우려되는 것임  
    의료 정보가 휴대폰 안에 들어 있었던 건 아님

- 카탈루냐 출신 유럽의회 의원들도 **Pegasus** 표적이 됐고, 세부 사항은 기억나지 않지만 당시 고객은 국가뿐이었으니 스페인이 서비스를 고용한 셈임  
  아무 일도 일어나지 않았음

- 곧 누군가에게 뭔가를 강제하는 법을 급히 만들거나, 누군가에게 큰 벌금을 때려서 빠르게 정리할 것 같음  
  누군가는 책임을 져야 함

- iOS의 **Lockdown Mode**가 이걸 막을 수 있을까?
  - 아마도 가능할 것 같고, 그게 Lockdown Mode의 목적임  
    다만 공격 표면을 줄이려고 의도적으로 스마트폰이 매우 멍청한 전화기처럼 변함  
    실용적인 경우는 문자와 일반 전화망 통화를 주고받고 시간을 확인하는 정도의 단순한 단말만 필요할 때임

- 맥락상 일부 유럽 국가들은 Pegasus 같은 **스파이웨어를 너무 남용**해서 이스라엘 업체들이 관계를 끊을 정도였고, 아래의 이탈리아 사례가 그중 하나임  
  다른 사람들이 그리스와 폴란드도 언급했음  
  유럽의회 의원이 무고한 언론인, 활동가, 어쩌면 일반인들이 당하는 것과 같은 감시 대상이 됐다는 게 우스움  
  그것도 EU 회원국들이 벌이고, 이스라엘 회사들의 악성코드 개발과 확산에 직접 기여하는 방식임  
  [https://www.bbc.com/news/articles/cvgmzdjw24yo](<https://www.bbc.com/news/articles/cvgmzdjw24yo>)
  - 여론이 들끓은 뒤 관계를 끊는 건 **피해 통제**에 가깝다고 봄  
    같은 사람들에게 다른 하위 판매사를 통해 여전히 제품이 제공될 것이라고 예상함
