유럽의회 대상 스파이 활동: Pegasus 조사위원도 해킹됨
(citizenlab.ca)- 그리스 탐사보도 기자 출신 전 유럽의회 의원 Stelios Kouloglou의 iPhone이 PEGA Committee 활동 기간 중 Pegasus에 반복 감염된 것으로 확인됨
- 감염 시점은 2022년 10월 21일과 2023년 3월 6~7일로, 청문회·보고서 초안·국가 방문 준비 등 비공개 의사소통이 많던 시기와 겹침
- 첫 감염은 HomeKit 이메일
rauharepo888[@]gmail.com조회 직후 Pegasus 프로세스가 모바일 데이터를 사용한 흔적과 연결되며, PWNYOURHOME 제로클릭 익스플로잇으로 평가됨 - 특정 정부가 배후로 지목되지는 않았고 그리스 정부 책임을 가리키는 징후도 없지만, 같은 HomeKit 이메일이 러시아·벨라루스어권 망명 언론인·활동가 대상 Pegasus 캠페인에서도 확인됨
- 유럽의회 구성원과 직원 기기에 대한 포괄적 검사가 없으면, PEGA Committee의 기밀 교신과 의회 절차가 용병 스파이웨어에 얼마나 노출됐는지 파악하기 어려움
PEGA Committee 활동 중 확인된 Pegasus 감염
- Stelios Kouloglou는 2015년 유럽의회에 입성한 그리스 탐사보도 기자 출신 정치인임
- 2022년 3월 24일부터 2023년 7월 18일까지 Pegasus 및 유사 감시 스파이웨어 사용을 조사하는 유럽의회 PEGA Committee의 대체 위원으로 활동함
- PEGA Committee는 2021년 Pegasus Project와 관련 보도 이후, 유럽 정부들이 언론인·활동가·정치인·시민을 감시했다는 폭로를 계기로 2022년 3월 10일 설치됨
- 위원회 임무는 EU 법을 위반한 스파이웨어 사용 범위 조사였고, 조사 대상은 “Pegasus and equivalent surveillance spyware”였음
iPhone 포렌식 결과
- 2026년 5월 Kouloglou가 Citizen Lab에 연락했고, iPhone 아티팩트 포렌식 분석에서 Pegasus 감염이 확인됨
- 높은 신뢰도로 확인된 감염 시점은 2022년 10월 21일 전후, 그리고 2023년 3월 6~7일임
-
2022년 10월 21일 감염
- 10:16에 HomeKit 이메일 주소
rauharepo888[@]gmail.com조회가 있었고, 2분 뒤 Pegasus 프로세스가 모바일 데이터를 사용함 - 이 감염은 PWNYOURHOME 제로클릭 익스플로잇을 통한 해킹으로 평가됨
- PWNYOURHOME은 공격자가 특수 제작한 NSKeyedArchive를 HomeKit에 보내고, 이후 악성 콘텐츠가 MessagesBlastDoorService에 도달하는 방식으로 보임
- Apple은 iOS 16.3.1에서 HomeKit 관련 문제를 완화했고, MessagesBlastDoorService 문제는 더 이른 시점, 아마 iOS 16.1에서 수정한 것으로 평가됨
- 10:16에 HomeKit 이메일 주소
-
2023년 3월 6~7일 감염
- 2023년 3월 6일 09:49부터 3월 7일 07:30 사이에도 Pegasus 활동이 확인됐고, 같은 익스플로잇과 관련됐을 가능성이 있음
- 2022년과 2023년 감염 당시 기기는 iOS 15.5 (19F77) 를 실행 중이었던 것으로 평가됨
- 가용 포렌식 데이터의 한계 때문에 포착하지 못한 추가 감염 가능성은 배제되지 않음
Apple 위협 알림과 사용자의 인지 문제
- 포렌식 분석상 Kouloglou는 Apple의 용병 스파이웨어 표적화 위협 알림을 세 차례 받음
- 2023년 3월 2일
- 2023년 8월 29일
- 2024년 4월 10일
- Apple 및 다른 기업의 위협 알림은 실시간 경보가 아니며, 일반적으로 표적화 이후 수개월 이상 지난 뒤 일괄 발송되는 경우가 많음
- Kouloglou는 관찰된 Apple 알림을 받은 기억이 없다고 밝힘
- 여러 차례 위협 알림을 받은 대상자도 실제로 이를 알아차리지 못할 수 있음
첫 감염 시점: 보고서 초안·청문회·국가 방문 준비와 겹침
- 첫 감염일인 2022년 10월 21일은 PEGA Committee의 심의와 조사가 특히 활발하던 시기와 맞물림
- 감염 직후 다음 청문회들이 예정돼 있었음
- “Big Tech and Spyware” — 2022년 10월 26일
- “Spyware and e-privacy” — 2022년 10월 26일
- 스파이웨어와 기본권 관련 청문회 — 2022년 10월 27일
- 위원회는 첫 보고서 초안 발표도 준비 중이었고, 초안은 위원과 보좌진 사이에서 논의·회람되고 있었음
- Kouloglou는 첫 감염일이 문자 메시지와 이메일 중심의 집중 논의·교환 시기와 겹쳤다고 확인함
- 첫 PEGA Committee 보고서 초안은 2022년 11월 8일 Sophie in ’t Veld 의원이 발표함
- 초안은 폴란드, 헝가리, 그리스, 키프로스, 스페인의 스파이웨어 의혹을 다룸
- PEGA Committee는 2022년 11월 1~4일 그리스와 키프로스 방문도 준비 중이었고, Kouloglou는 계획과 방문에 참여함
- 기기는 이 방문 시작 10일 전에 해킹됐으며, 당시 방문 관련 교신이 오가고 있었음
병원 내 감염과 의료 정보 노출 가능성
- 2022년 10월 21일 감염 당일, Kouloglou는 선택 수술을 위해 그리스 병원에 입원 중이었음
- 그리스 탐사보도 기자 Thanasis Koukakis가 병실을 방문함
- Koukakis는 그리스 내 용병 스파이웨어 이슈를 긴밀히 취재해 온 인물임
- 그는 전월 PEGA Committee에서 증언함
- 2022년 3월 Citizen Lab은 Koukakis가 Intellexa의 Predator 스파이웨어 표적이었음을 확인함
- 감염이 병원 입원 중 발생했기 때문에, 병실 내 대화나 의료진과의 대화, 예약·검사 결과·진단 등 건강 관련 정보가 기기에서 가로채졌을 가능성이 있음
- 그리스 법에서 건강 관련 데이터는 특별 범주의 개인정보로 강화된 보호 대상이며, 해킹은 그리스 형법상 Law 4624/2019의 의료정보 비밀보호와 관련될 수 있음
두 번째 감염 시점: 최종 보고서 논의와 겹침
- 두 번째 감염은 2023년 3월 6~7일 발생함
- Kouloglou에 따르면 이 시기 PEGA Committee는 최종 초안 작성 과정과 관련해 집중 논의를 진행 중이었음
- Kouloglou는 2023년 3월 6일 아테네에서 브뤼셀로 이동했고, 감염 기간인 3월 6~7일 브뤼셀에 있었음
- 같은 시기 PEGA rapporteur인 Sophie in ’t Veld 의원은 LIBE Committee 임무로 그리스에 있었음
- LIBE Committee는 인권, 데이터 보호, 망명, 이민, 차별금지 관련 입법과 민주적 감독을 담당하는 유럽의회 상임위원회임
- 해당 임무에서 LIBE 대표단은 그리스 National Transparency Authority 국장과 관계자들에게 그리스 스파이웨어 스캔들을 질의함
- 두 번째 감염 뒤에도 PEGA 청문회와 스페인 조사 방문이 이어졌으나, Kouloglou는 스페인 방문에는 참여하지 않음
- 이 감염은 2023년 5월 8일 첫 PEGA Committee 보고서 채택 약 두 달 전에 발생함
- Kouloglou와 Thanasis Koukakis는 2023년 3월 6~7일 전후 WhatsApp으로 만남을 잠정 계획했지만, 실제 대면은 이뤄지지 않음
유럽의회 의원 대상 스파이웨어 사례들
- PEGA Committee 재직 중 Pegasus 피해자로 공개 확인된 위원은 Kouloglou가 처음임
- PEGA Committee 설치 전에도 유럽의회 의원을 겨냥한 공개 사례가 있었음
- Catalan MEP Diana Riba의 기기는 2019년 10월 감염됨
- Catalan MEP Jordi Solé는 유럽의회 의석을 맡기 직전인 2020년 6월 표적이 됨
- Clara Ponsati와 Carles Puigdemont는 보좌진 또는 가족을 통해 표적이 됨
- Riba, Solé, Puigdemont는 이후 PEGA Committee에 참여했고, PEGA Committee에서 경험을 증언함
- PEGA Committee 외부에서도 유럽의회 대상 사례가 이어짐
- 2024년 2월 Politico는 안보·국방 소위원회 소속 의원들이 두 기기에서 스파이웨어 흔적이 발견된 뒤 휴대전화 검사를 요청받았다고 보도함
- 프랑스 MEP Nathalie Loiseau는 Pegasus 표적이었음을 확인함
- 유럽의회 IT Services는 불가리아 MEP Elena Yoncheva에게 2023년 10월 말 기기가 표적화됐다고 알림
- 2024년 5월 독일 MEP Daniel Freund는 Candiru의 용병 스파이웨어 표적이 됐다고 발표함
배후 판단과 남은 한계
- Kouloglou의 기기가 NSO Group의 Pegasus 용병 스파이웨어에 표적화되고 감염됐다는 판단은 높은 신뢰도를 가짐
- 특정 NSO Group 고객은 배후로 지목되지 않음
- 그리스 정부가 이 해킹의 주체라는 징후는 없음
- 그리스가 NSO Group 고객이거나 Pegasus 사용자였다는 보고는 없음
- 그리스 정부는 Intellexa의 Predator 용병 스파이웨어를 광범위하게 남용한 것으로 알려졌지만, 그리스 보안·정보기관이 Pegasus 접근권을 가졌다는 기술 지표는 없음
- 2022년 Kouloglou 표적화와 2024년 5월 Access Now 공동 보고서의 표적화 사이에는 연결점이 있음
- 해당 보고서는 유럽 기반 러시아·벨라루스어권 독립 언론인과 야권 활동가 7명이 Pegasus로 표적화 또는 감염됐다고 다룸
- 그 보고서에서 익명 처리된 Apple ID 중 하나인
rauharepo888[@]gmail.com이 Kouloglou를 겨냥한 HomeKit 이메일과 동일함 - 이 기간 Pegasus 감염 인프라에 대한 이해상, 이런 이메일은 특정 운영자에게 고유한 것으로 판단됨
- 2023년 두 번째 감염이 같은 운영자와 연결되는지, 다른 운영자인지는 확인할 수 없음
- 감염은 최소 두 유럽 관할권인 그리스와 벨기에에서 존재한 것으로 보임
- NSO Group 라이선스에 대한 기존 지식에 따르면, 이는 여러 EU 관할권에서 감염을 가능하게 하는 라이선스를 가진 고객일 가능성을 시사함
민주적 절차와 의회 기밀에 대한 영향
- PEGA Committee 위원 기기 감염은 위원회 활동 중 엄격히 기밀인 교신과 민감한 의회 절차가 노출됐을 수 있음을 뜻함
- 노출 대상에는 PEGA Committee 구성원과 보좌진 간 교신, 그리고 위원회가 조사하던 당사자와 관련된 민감한 절차가 포함될 수 있음
- 다른 PEGA Committee 위원과 보좌진의 기기 상태를 알 수 없기 때문에, 포괄적 검사가 없으면 유사 감염 여부를 확인할 방법이 없음
- 이 사례는 용병 스파이웨어가 민주적 절차의 무결성에 가하는 위협을 드러냄
- 유럽의회 의원 기기가 용병 스파이웨어에 표적화되거나 해킹된 사례가 처음이 아니며, 규제되지 않은 용병 해킹의 부식적 성격을 보여줌
권고 사항
- EU 기관은 EU 개인정보와 절차 침해의 범위와 규모를 확인하기 위한 즉각적인 조사를 시작해야 함
-
MEP와 보좌진
- PEGA Committee에 참여한 MEP와 보좌진은 즉시 스파이웨어 감염 포렌식 검사를 받고, 표적화됐을 수 있는 업무용·개인용 기기를 보존해야 함
- Directorate-General for Information Technologies and Cybersecurity (DG ITEC)가 스파이웨어 검사를 제공함
- 국가 지원 공격 경고에 주의를 기울이고, 경고를 받으면 신속히 전문가 지원을 받아야 함
- EU MEP는 iPhone의 Lockdown Mode와 Android의 Advanced Protection을 활성화해야 함
- 이 모드는 용병 스파이웨어에 대한 기기 보호를 크게 높임
- DG ITEC가 추가 사이버보안 지침을 제공할 수 있음
-
유럽의회와 EU 기관
- 유럽의회는 MEP와 의회 절차를 겨냥한 스파이웨어 공격을 즉시 조사해야 함
- 시간이 지난 공격이므로 포렌식 흔적 손실을 막기 위한 신속한 조사가 필요함
- 의회는 Parliament와 의원에 대한 사이버·감시 위협을 다루는 연례 보고서를 의뢰해야 함
- European Parliamentary Research Service 또는 다른 기관이 작성할 수 있음
- DG ITEC는 기기 검사율을 크게 높이는 계획을 마련하고, 검사 기기 수와 발견률에 대한 연례 통계를 공개해야 함
- DG ITEC는 Apple·Google 같은 기업의 국가 지원 공격 경고에 대해 MEP와 보좌진에게 구체적 지침을 정기적으로 배포해야 함
- 유럽위원회는 위원과 직원이 용병 스파이웨어 표적이 됐는지 확인하기 위한 자체 조사와 검사를 해야 함
- Commission의 DG DIGIT는 정기 검사와 함께 포괄적인 스파이웨어 검사·대응 역량을 구축해야 함
-
PACE와 각국 의회, 기술 기업
- Parliamentary Assembly of the Council of Europe (PACE)는 과거 유럽 내 용병 스파이웨어 남용 관련 위원회 활동을 고려해, 구성원과 직원이 표적화됐는지 조사해야 함
- Council의 Directorate of Information Technology는 동료 기관과 협의하고 PACE 구성원과 직원의 용병 스파이웨어 표적화 징후를 정기적으로 검사해야 함
- 각국 의회의 보안 서비스와 감독기구는 DG ITEC의 의원 검사 기법 모델을 참고해 의원을 보호해야 함
- 기술 기업은 위협 알림 수신자가 실제로 경고를 보고 이해하며 조치할 수 있도록 UX 연구를 포함해 알림 방식을 개선해야 함
댓글과 토론
Hacker News 의견들
-
2026년 5월 Kouloglou가 Citizen Lab에 연락했고, 그의 iPhone에서 나온 흔적을 포렌식 분석했더니 2022년 10월 21일 전후, 그리고 2023년 3월 6~7일에 Pegasus 스파이웨어 감염이 성공했다는 높은 확신을 얻었다는 내용임
- 우리도 자기 휴대폰을 포렌식 분석해서 Pegasus를 가진 누군가가 표적으로 삼았는지 확인할 수 있는지 궁금함
- Apple 위협 알림이 실시간이 아니라 보통 표적 공격이 벌어진 뒤 몇 달 이상 지나 일괄 발송된다는 설명이 핵심으로 보임
Kouloglou는 Citizen Lab이 확인한 Apple 알림을 받은 기억이 없다고 했는데, 이걸 Apple이 감시당하고 있다고 알렸지만 그가 무시했다는 뜻으로 이해해도 되는지 의문임
-
Apple과 다른 회사들의 위협 알림이 실시간이 아니고, 보통 표적 공격 뒤 몇 달 이상 지나 묶어서 보내진다는 건 충격적임
Apple이 위협을 탐지할 수 있으면서 제거하거나 막지는 않고, 사용자에게 알리기 전까지 몇 달 동안 조용히 기다린다는 뜻이라면 보안 연극이 아니고 뭔지 모르겠음 -
첫 감염이 유럽의 러시아어·벨라루스어권 망명 언론인과 활동가를 겨냥한 기존 Pegasus 캠페인과 겹친다는 점이 흥미로움
“여러 유럽 국가에서 감시할 권한”을 가진 Pegasus 고객이 누구인지가 질문임
언급된 러시아 망명자 사건에 대한 예전 글 [0]에서는 네덜란드와 에스토니아가 국경 밖에서 Pegasus를 썼다고 나오지만, 그런 라이선스를 가진 곳이 더 있을 수도 있음
러시아 망명자 사건과 Kouloglou 사건이 같은 공격 방식으로 연결된다면 에스토니아 같은 나라가 더 그럴듯해 보임. 다만 Pegasus 접근 권한이 있는 기관이 권한 없는 기관과 협력하거나 대신 사용했을 가능성도 항상 있음
[0] https://www.accessnow.org/publication/hacking-meduza-pegasus... -
큰 단일형 커널, 불필요한 원격 측정·마케팅 서비스, 레거시 API, C 같은 안전하지 않은 언어, 정적 분석 부족 같은 소프트웨어 아키텍처 선택의 문제가 아닌가 싶음
휴대폰은 이미 감염된 땅처럼 취급하고 중요한 건 두지 말아야 함
일부 지도자들은 아예 스마트폰을 쓰지 않아서 전자 스파이웨어로부터 보호받음- 스마트폰이 2단계 인증에 쓰이고, 모든 서비스가 웹 인터페이스를 제공하는 것도 아니라서 어렵긴 함
일부 은행, 채팅, 데이팅, Uber 같은 서비스는 모바일만 지원함
- 스마트폰이 2단계 인증에 쓰이고, 모든 서비스가 웹 인터페이스를 제공하는 것도 아니라서 어렵긴 함
-
그 무렵 그리스 정치인들의 휴대폰이 Pegasus로 많이 해킹됐음
그리스에서는 아직 완전히 해결되지 않은 스캔들이고, 모든 증거는 총리실이 현지 정보기관과 조율해 벌인 작전임을 가리킴
그래서 이걸 유럽의회에 대한 공격이라고 부르기는 어렵다고 봄- 작은 정정: 그건 Predator/Intellexa이고 Pegasus/NSO가 아님. 그래서 이 사건과는 다름
- 폴란드도 같은 이야기임
https://notesfrompoland.com/2026/02/26/poland-charges-former...
망치를 들고 있으면 모든 게 못처럼 보임
-
흥미로운 점은 같은 휴대폰을 통해 개인 의료 기밀 정보와 정부 기밀 문서가 둘 다 유출됐을 수 있음을 암시한다는 것임
유럽의회에는 업무용 기기와 개인용 기기를 분리하는 정책이 없나?- 정책이 있는 것과 현실에서 실제로 벌어지는 일은 대부분 매우 다름
업무 시간과 개인 시간이 자주 흐릿해지는 걸 생각하면 이해는 됨 - 내가 이해한 바로는 그가 감염된 업무용 휴대폰을 병원에 가져갔고, 그 휴대폰이 개인 의료 정보가 담긴 대화를 녹음했을 가능성이 우려되는 것임
의료 정보가 휴대폰 안에 들어 있었던 건 아님
- 정책이 있는 것과 현실에서 실제로 벌어지는 일은 대부분 매우 다름
-
카탈루냐 출신 유럽의회 의원들도 Pegasus 표적이 됐고, 세부 사항은 기억나지 않지만 당시 고객은 국가뿐이었으니 스페인이 서비스를 고용한 셈임
아무 일도 일어나지 않았음 -
곧 누군가에게 뭔가를 강제하는 법을 급히 만들거나, 누군가에게 큰 벌금을 때려서 빠르게 정리할 것 같음
누군가는 책임을 져야 함 -
iOS의 Lockdown Mode가 이걸 막을 수 있을까?
- 아마도 가능할 것 같고, 그게 Lockdown Mode의 목적임
다만 공격 표면을 줄이려고 의도적으로 스마트폰이 매우 멍청한 전화기처럼 변함
실용적인 경우는 문자와 일반 전화망 통화를 주고받고 시간을 확인하는 정도의 단순한 단말만 필요할 때임
- 아마도 가능할 것 같고, 그게 Lockdown Mode의 목적임
-
맥락상 일부 유럽 국가들은 Pegasus 같은 스파이웨어를 너무 남용해서 이스라엘 업체들이 관계를 끊을 정도였고, 아래의 이탈리아 사례가 그중 하나임
다른 사람들이 그리스와 폴란드도 언급했음
유럽의회 의원이 무고한 언론인, 활동가, 어쩌면 일반인들이 당하는 것과 같은 감시 대상이 됐다는 게 우스움
그것도 EU 회원국들이 벌이고, 이스라엘 회사들의 악성코드 개발과 확산에 직접 기여하는 방식임
https://www.bbc.com/news/articles/cvgmzdjw24yo- 여론이 들끓은 뒤 관계를 끊는 건 피해 통제에 가깝다고 봄
같은 사람들에게 다른 하위 판매사를 통해 여전히 제품이 제공될 것이라고 예상함
- 여론이 들끓은 뒤 관계를 끊는 건 피해 통제에 가깝다고 봄