미국 지원 이스라엘 업체 Paragon의 스파이웨어, 유럽 기자들 표적
(apnews.com)- Citizen Lab 포렌식 분석으로 Paragon Solutions의 Graphite 스파이웨어가 유럽의 저명한 기자 최소 3명의 휴대전화를 겨냥한 정황이 확인됨
- 피해 대상 중 2명은 이탈리아 탐사보도 매체 Fanpage.it 편집자였고, 이 사안은 Giorgia Meloni 정부의 언론·시민사회 감시 의혹으로 번짐
- Graphite는 WhatsApp 사용자 약 90명을 대상으로 한 공격에도 쓰였으며, Meta는 취약점을 패치한 뒤 추가 공격을 탐지하지 못했다고 밝힘
- 공격은 링크 클릭이나 파일 열기 없이 기기를 침해할 수 있고, Signal·WhatsApp 같은 암호화 메신저 접근까지 가능하다는 점에서 위험이 큼
- COPASIR는 Cancellato에 대한 이탈리아 정보기관의 사찰은 없었다고 했지만, 시민사회 활동가 감시는 정부 승인을 받아 이뤄졌다고 확인함
Citizen Lab이 확인한 기자 대상 공격
- Citizen Lab의 분석은 Paragon Solutions 스파이웨어가 유럽의 저명한 기자 최소 3명을 겨냥했다는 새 포렌식 증거를 내놓음
- 피해자 중 2명은 이탈리아 탐사보도 매체 Fanpage.it 편집자임
- Ciro Pellegrino는 Fanpage.it 나폴리 뉴스룸을 이끌며, 4월 29일 자신의 iPhone이 표적이 됐다는 알림을 받음
- Francesco Cancellato는 Fanpage.it 편집장으로, Meta로부터 Android 기기가 Paragon 스파이웨어의 표적이 됐다는 알림을 받음
- Citizen Lab에 따르면 Cancellato의 휴대전화가 Graphite에 실제 감염됐다는 포렌식 증거는 아직 나오지 않음
- 세 번째 사례는 익명을 요청한 저명한 유럽 기자이며, Citizen Lab은 포렌식 증거상 이 사례가 이탈리아 클러스터와 연결된다고 봄
- Fanpage.it은 지난해 Giorgia Meloni 총리의 Brothers of Italy 당 청년 조직에 잠입해 일부 구성원이 파시스트·인종차별 발언을 하는 장면을 촬영했음
Graphite와 공격 방식
- Paragon의 Graphite는 사용자의 별도 행동 없이 기기를 침해할 수 있어 은밀성이 높음
- Citizen Lab은 이번 공격이 iMessage를 통해 이뤄졌고, Apple이 취약점을 패치했다고 밝힘
- Graphite는 NSO Group의 Pegasus처럼 운영자가 앱에 은밀히 접근할 수 있게 함
- 접근 대상에는 Signal, WhatsApp 같은 암호화 메신저도 포함됨
- Citizen Lab의 John Scott-Railton은 사용자가 링크를 클릭하거나 파일을 열 필요 없이, 어느 순간부터 휴대전화 데이터가 공격자에게 스트리밍될 수 있다고 설명함
Paragon Solutions와 상업용 스파이웨어 논란
- Paragon Solutions는 용병형 스파이웨어 산업에서 더 책임 있는 업체로 자리매김하려 했고, 미국 정부 계약도 따냈음
- Paragon은 전 이스라엘 총리 Ehud Barak의 지원을 받았으며, Florida 기반 사모투자사 AE Industrial Partners가 최소 5억 달러 규모 거래로 인수한 것으로 알려짐
- 해당 거래는 규제 승인을 기다리는 상태임
- AE Industrial Partners는 거래 관련 논평 요청에 직접 답하지 않음
- Meta는 1월 Paragon의 Graphite가 주로 유럽을 포함한 24개 이상 국가의 WhatsApp 사용자 약 90명을 표적으로 삼는 데 사용됐다고 밝힘
- WhatsApp은 상업용 스파이웨어가 기자와 시민사회를 겨냥하는 무기로 쓰일 수 있으며, 해당 기업들이 책임을 져야 한다고 비판함
- Meta는 취약점을 패치한 뒤 추가 공격을 탐지하지 못했고, Paragon에 중지 요구 서한을 보냄
- 지난달 California 법원은 NSO Group 스파이웨어가 기자, 활동가, 정부 관계자 등을 포함한 WhatsApp 계정 1,400개 해킹에 사용된 사안에서 Meta에 1억 6,800만 달러 손해배상을 인정함
이탈리아 정부와 의회 감독
- 이번 사안은 Giorgia Meloni 총리 정부가 자신을 비판하는 기자와 시민사회 활동가 감시에 어떤 역할을 했는지에 대한 의문을 키움
- 유럽연합 집행위원회는 기자와 정치적 반대자를 포함한 시민 데이터에 불법 접근하려는 시도가 확인되면 용납될 수 없으며, EU 법의 효과적 적용을 위해 가능한 모든 도구를 쓰겠다고 밝힘
- Meloni 총리실은 논평을 거부했지만, 내각의 한 주요 인사는 이탈리아가 법을 엄격히 준수했고 정부가 기자를 불법 사찰하지 않았다고 말함
- 이탈리아 비밀정보기관을 감독하는 의회 위원회 COPASIR는 Paragon 사용 관련 조사 결과를 공개함
- COPASIR 보고서는 이탈리아 정보기관이 Fanpage 편집장 Cancellato를 사찰하지 않았다고 봄
- 다만 Graphite 등 도구를 이용한 시민사회 활동가 감시는 확인함
- 해당 감시는 활동가 지위 때문이 아니라 불규칙 이민과 국가안보 관련 업무 때문이었고, 합법적이며 정부 승인을 받았다는 판단임
- COPASIR 부위원장이자 Brothers of Italy 주요 인사인 Giovanni Donzelli는 의회 보고서가 민간 자금 지원을 받는 캐나다 연구소의 분석보다 더 관련성이 크다고 말함
- Citizen Lab은 자신들이 엄격히 독립적이며 정부나 기업의 연구 자금을 받지 않는다고 밝힘
Paragon과 이탈리아의 결별, 미국 계약 문제
- 이탈리아와 Paragon은 양측 관계를 종료했다고 밝혔지만, 결별 경위에 대해서는 서로 다른 입장을 보임
- Paragon은 Haaretz에 제공한 성명에서 이탈리아 정부가 Cancellato 사건 조사를 돕겠다는 제안을 거부한 뒤 이탈리아에 스파이웨어 제공을 중단했다고 밝힘
- 이탈리아 당국은 국가안보 우려 때문에 Paragon의 제안을 거절했고, 언론 보도 이후 관계를 종료했다고 설명함
- Paragon은 평판 훼손이 미국 정부 계약에 영향을 줄 가능성을 줄이려는 입장임
- 2023년 미국 행정명령은 표현의 자유와 정치적 반대 억압 등 외국 정부에 의해 오용된 상업용 스파이웨어를 연방 부처와 기관이 획득하는 것을 금지함
- 이 행정명령은 Donald Trump 대통령에 의해 아직 뒤집히지 않았음
- 공개 기록에 따르면 미국 국토안보부는 지난해 9월 Paragon에 미국 이민세관단속국 운영·지원 명목의 1년짜리 200만 달러 계약을 수여함
- 미국 마약단속국도 Graphite를 사용한 것으로 알려졌으며, Adam Schiff는 2022년 12월 DEA의 Graphite 사용이 강력한 감시 역량의 광범위한 확산을 억제하려는 노력과 충돌하는지 질의함
댓글과 토론
Hacker News 의견들
-
Fanpage.it의 Naples 탐사보도팀을 이끄는 Ciro Pellegrino가 4월 29일 자기 iPhone이 표적이 됐다는 알림을 받았다고 함
작년에 Fanpage는 Meloni의 Brothers of Italy 청년 조직에 잠입해 일부가 파시즘적·인종차별적 발언을 하는 장면을 촬영했는데, 기자를 겨냥하는 일은 언제나 보기 좋지 않지만 이건 특히 쪼잔해 보임- 정당 행사에 참석해서 그들이 말하고 행동하는 걸 보도하는 게 쪼잔한 일인가?
- 일본 얘기는 많이 하지만, 2차대전에서 자기 역할과 한 번도 제대로 거리를 둔 적 없는 나라가 하나 있다면 Italy라고 봄
물론 수 세기 동안 아무도 Italy를 진지하게 보지 않았기 때문에 그냥 넘어가는 듯함
-
원래라면 불법일 일을, 그게 합법인 다른 나라에 외주화하는 역사는 이제 꽤 깊어졌음
예컨대 CIA의 특별인도는 수감자를 고문이나 처형이 이뤄질 나라로 알고도 보내는 방식이었고, 그런 나라들은 이런 식으로 미국 제국에 쓸모를 증명함
마찬가지로 NSA가 미국 시민을 감시하는 데 걸리는 제한도 다른 Five Eyes 국가에 감시를 맡기는 식으로 우회됨
Israel은 미국과 동맹국들, Saudi Arabia까지 포함해 정치인·반체제 인사·이제는 기자들의 휴대폰 해킹에서 이런 역할을 해왔음
Israeli 회사 NSO Group은 Pegasus 사용으로 WhatsApp에 소송을 당했고, Israel은 이를 막으려 개입하려 했음
Pegasus 같은 것이 기자와 정치인을 표적으로 삼고 죽이는 데 쓰인다는 걸 알면서도 사람들이 어떻게 그런 일을 하는지 정말 모르겠음
[1]: https://www.pbs.org/frontlineworld/stories/rendition701/upda...
[2]: https://www.nytimes.com/2021/07/17/world/middleeast/israel-s...
[3]: https://www.bbc.com/news/articles/c77n76kzmz4o
[4]: https://www.amnesty.org/en/latest/news/2024/07/israels-attem...- Chomsky는 이런 나라들을 용병 국가라고 불렀고, 그의 책 Understanding Power에서 이 주제를 꽤 깊게 다룸
- 명령 아래서는 꽤 많은 사람에게 거의 뭐든 시킬 수 있고, 보상까지 주면 더 많은 사람을 움직일 수 있음
“가족 먹여 살리려고 했을 뿐”이라는 식임
https://en.m.wikipedia.org/wiki/Milgram_experiment - Auschwitz는 Germany 안에 있지 않았음
- Pegasus가 쓰이는 게 전부 기자와 정치인을 표적으로 삼고 죽이는 일뿐인가?
생명을 구하는 데 쓰일 수 있는 상황도 쉽게 떠올릴 수 있고, 그런 경우라면 그 일을 정당화하기 쉬워짐 - 미안하지만, 그냥 사람을 잘 모르는 것처럼 보임
-
출처: https://citizenlab.ca/2025/06/first-forensic-confirmation-of...
-
몇 년 전 Greece에서도 Predator를 써서 야당 대표와 기자들을 상대로 비슷한 일이 벌어졌음
-
Graphite가 Signal이나 WhatsApp 같은 암호화 메신저를 포함해 앱에 은밀히 접근할 수 있다는 건 꽤 당연함
Signal은 기기 전체가 장악되는 상황을 막아주지 않으며, 어떤 앱이든 Signal 대화를 사소하게 추출할 수 있음- 모바일 운영체제에는 보통 그런 일을 허용하지 않는 보안 모델이 내장돼 있음
- 그렇다면 Signal 사용자들이 이걸 이용해 자기 메시지를 내보낼 수도 있나?
- 비기술자에게는 그게 당연하지 않을 것 같음
-
그런데 취약점 공격은 어떻게 작동하는 건가?
기사에서는 “이제 기기가 네 것이고, 이제는 아니다” 같은 부분을 너무 대충 넘김
아주 깊게 들어갈 필요는 없더라도, 기사 그 부분까지 읽는 사람이라면 궁금해하지 않을까?- AP 기사에서 기술 세부사항을 찾을 수는 없을 것임
CitizenLab 보고서에는 있음: https://citizenlab.ca/2025/06/first-forensic-confirmation-of... - 완전한 답은 아니지만, 사건에 관해 CitizenLab 보고서[^1]에서 좀 더 많은 정보를 찾았음
참고로 CitizenLab은 훌륭하고 정말 가치 있는 자료원임
CitizenLab에 따르면 공격 벡터 중 하나로 쓰인 무클릭 iMessage 공격, 즉 CVE-2025-43200은 Apple이 iOS 18.3.1에서 수정했음
Apple의 “About the security content of iOS 18.3.1 and iPadOS 18.3.1”[^2] 페이지에는 다음 내용이 있음
Messages
Available for: iPhone XS and later, iPad Pro 13-inch, iPad Pro 12.9-inch 3rd generation and later, iPad Pro 11-inch 1st generation and later, iPad Air 3rd generation and later, iPad 7th generation and later, and iPad mini 5th generation and later
Impact: A logic issue existed when processing a maliciously crafted photo or video shared via an iCloud Link. Apple is aware of a report that this issue may have been exploited in an extremely sophisticated attack against specific targeted individuals.
Description: This issue was addressed with improved checks.
CVE-2025-43200: Apple
1: https://citizenlab.ca/2025/06/first-forensic-confirmation-of...
2: https://support.apple.com/en-us/122174
- AP 기사에서 기술 세부사항을 찾을 수는 없을 것임
-
기사 거의 끝부분에 있음: “Paragon은 질문을 Israeli 신문 Haaretz에 제공한 성명으로 돌렸고, 그 성명에서 회사는 정부가 Cancellato 사건 조사를 돕겠다는 제안을 거절한 뒤 Italy에 스파이웨어 제공을 중단했다고 밝혔다”
-
주요 관할권이 이런 디지털 용병을 단속하지 않는 한 이런 일은 계속 벌어질 것임
“우리 기관들이 사람 감시를 정말 좋아한다”는 이유 말고는 모든 법을 무시하는 현실이 우스움
말 그대로 대부분 정부가 승인한 범죄 서비스이고, 그런 범죄 조직이 자기 도구로 대상이 될 이유 없는 사람을 감시해도 놀랄 일이 아님- 모든 법을 무시한다고? EU는 이런 범죄 기관의 유용성을 공식 인정했음
물론 늘 그렇듯 “법 집행을 위한 합법적 사용”이라는 우산 아래에서이고, 실제 의미는 “마음껏 써라, 걸리면 손목이나 살짝 때리겠다”에 가까움 - 보안 측면에서 벤더들이 운영체제 개발을 더 진지하게 다룰 가능성이 더 높아 보임
- 모든 법을 무시한다고? EU는 이런 범죄 기관의 유용성을 공식 인정했음
-
짜증나게 다시 상기시키자면, 대부분 들어본 적도 없을 이식형 악성코드/CNE 제품 시장이 전 세계 거의 모든 관할권에 존재함
예전에는 NSO Group이 언론 관심을 다 가져갔고, 지금은 Paragon인데, 이런 회사들에 조명이 비치는 건 좋다고 봄
다만 이건 “Israeli” 현상만은 아님
“Graphite”보다 더 효과적인 도구를 파는 American 회사들도 있고, 그들은 홍보에 더 조심스러울 뿐임
상업화된 CNE에서 America와 Israel보다 도덕적으로 우월하다고 느끼는 나라에 살고 있다면, 아마 놀라게 될 가능성이 큼- 문제는 전 세계에 스파이웨어 회사가 존재한다는 사실 자체가 아님
문제는 특히 Israeli 회사들이 세계 최악의 인권 탄압자들에게 파는 시장을 장악했고, 그 결과가 재앙적이었다는 데 있음
구체적으로 NSO Group은 Pegasus를 Saudi Arabia에 팔았고, Saudi Arabia는 Jamal Khashoggi 암살 전 그의 주변 인물을 추적하는 데 썼음
Mexico에서는 기자들이 살해된 지 며칠 안에 그 가족을 표적으로 삼는 데 쓰였고, Rwanda에서는 가족을 투옥한 뒤 해외 반체제 인사를 사냥하는 데 쓰였음
Citizen Lab이 전 세계 스파이웨어 작전을 분석할 때 Israeli 회사들이 두드러짐: NSO, Candiru, Paragon, QuaDream, 그리고 Macedonian 회사지만 Israeli 리더십과 투자자가 있는 Cytrox까지임
공통점은 전직 Unit 8200 인력이고, 이들은 국가 사이버전 역량을 권위주의자에게 판매하는 사업 모델로 바꿨음
“모두가 한다”는 프레이밍은 문제를 근본적으로 왜곡함
다른 나라에도 감시 회사는 있지만, 역량을 개발하는 것과 기자를 살해하는 정권에 체계적으로 판매하는 것 사이에는 큰 차이가 있음
German이나 French 회사의 도구가 살해된 기자나 수감된 정치 반체제 인사의 휴대폰에서 발견된 게 마지막으로 언제였나?
자료상 Israeli 회사들은 단지 “나쁜 홍보”나 고객 선택에서의 유별난 불운을 겪는 게 아니라, 도덕성이 없을 때 돈이 되는 곳이 권위주의 고객이기 때문에 적극적으로 접근하는 것으로 보임
Israel 인구는 1천만 명 미만, 세계 인구의 0.1%도 안 됨
Citizen Lab 같은 조직이 Israeli 스파이웨어를 반복적으로 발견하고, 그 제품이 파시스트와 권위주의자들에게 유독 인기 있고 성공적인 이유에 대한 설득력 있는 반론이 있다면 듣고 싶음
지금 보기엔 돈만 맞으면 도구가 누구에게 어떻게 쓰일지 전혀 개의치 않는 Israel 민간 정보·사이버보안 부문의 깊고 구조적인 문제가 명백해 보이고, 이런 수출을 승인해야 하는 Israeli 당국이 이를 가능하게 함
스파이웨어 회사가 다른 곳에도 있다는 건 맞지만, 연구자들이 살해된 기자와 수감된 활동가의 휴대폰에서 같은 작은 나라의 제품을 계속 발견한다면 그 감시를 편향이라고 치부하는 것 자체가 편향임
질문은 왜 Israeli 회사가 주목받느냐가 아니라, 왜 계속 반대세력을 짓밟고 더한 일을 벌이는 정권에 판매하느냐임 - 도덕적으로 우월하다고 느끼게 만드는 건 기술 자체나 기술의 부재가 아님
그 기술을 노골적인 파시스트를 지키는 데 쓰기로 선택하는 게 부끄러울 일이라고 봄 - 연구자들이 새 스파이웨어를 찾을 때마다 왜 항상 Israeli 업체가 뒤에 있나?
아마 Israel이 감시를 중심으로 생태계와 산업을 키웠기 때문일 것임
지금 Palestine에서 집단학살을 벌이고 있다는 사실을 고려하면, Israel의 책임을 흐리려는 시도는 악하다고 봄
- 문제는 전 세계에 스파이웨어 회사가 존재한다는 사실 자체가 아님
-
왜 유출됐고, 누가 했고, 왜 지금인가?
Paragon 피해자 전원이 WhatsApp이나 Apple에게 통보받았다는 건 매우 unlikely해 보임
적어도 Israeli 내부나 Paragon 자체가 유출의 출처였을 가능성보다 낮아 보임