유럽 의회를 향한 스파이 행위: PEGA 위원회 위원이 페가수스로 해킹당함

유럽 의회를 향한 스파이 행위: PEGA 위원회 위원이 페가수스로 해킹당함

페가수스 스파이웨어가 유럽 의회 조사관을 표적

전 유럽 의회 의원(MEP) 스텔리오스 쿠로글루는 PEGA 위원회 위원으로 재직하면서 NSO Group의 페가수스 스파이웨어에 반복적으로 감염되었습니다. PEGA 위원회는 EU 내 스파이웨어 남용을 조사하는 책임을 맡고 있습니다. 이번 침해는 민주적 절차의 무결성에 중대한 위협을 제기하며, 감염을 통해 위원회 활동에 관한 비공개 정보가 포착되고 EU 의회 기밀 유지 체계가 위반되었을 가능성이 있습니다.

감염에 대한 포렌식 증거

2026년 5월 Citizen Lab이 수행한 포렌식 분석은 쿠로글루의 아이폰이 두 차례에 걸쳐 페가수스에 성공적으로 감염되었음을 높은 신뢰도로 확인했습니다:

  • 2022년 10월 21일: PWNYOURHOME 제로클릭 익스플로잇을 이용해 HomeKit을 표적으로 해킹되었습니다. 감염은 쿠로글루가 선택적 수술을 위해 그리스 병원에 입원해 있던 중 발생했습니다.
  • 2023년 3월 6†7일: 두 번째 감염은 쿠로글루가 아테네에서 브뤼셀로 이동 중에 발생했습니다.

이 감염 시점에 기기는 iOS 15.5를 실행 중이었습니다. 또한 포렌식 데이터는 쿠로글루가 2023년 3월 2일, 2023년 8월 29일, 2024년 4월 10일에 Apple 위협 알림을 받았지만, 피해자는 해당 알림을 기억하지 못한다고 보고했음을 보여줍니다.

PEGA 위원회 활동과의 연관성

페가수스 감염 시점은 PEGA 위원회 조사 단계와 정확히 일치합니다:

첫 번째 감염: 보고서 초안 작성 및 현지 방문

2022년 10월 21일 감염은 PEGA 위원회의 그리스·키프로스 현지 조사 방문 10일 전이었습니다. 또한 폴란드, 헝가리, 그리스, 키프로스, 스페인에서의 스파이웨어 의혹을 다루는 첫 번째 초안 보고서 준비와도 겹쳤습니다. 이 기간 동안 위원들은 민감한 초안을 교환하고 문자와 이메일을 통해 청문회를 계획하고 있었습니다.

두 번째 감염: 최종 논의

2023년 3월 6†7일 감염은 PEGA 보고서 최종 초안 작성 과정에 대한 격렬한 논의가 진행 중이던 시점에 발생했습니다. 동시에 PEGA 보고관인 소피 인 ’t 벨드 MEP는 LIBE 위원회와 함께 그리스 스파이웨어 스캔들을 조사하기 위해 그리스에 파견돼 있었습니다.

귀인 및 운영자 분석

Citizen Lab은 아직 특정 정부에 공격을 귀인하지 않았지만, 알려진 운영자와의 기술적 연관성을 확인했습니다:

  • 인프라 중복: 첫 번째 감염에 사용된 HomeKit 이메일 주소(rauharepo888 [@]gmail.com)는 2024년 5월 보고서에서 러시아·벨라루스어 사용 망명 언론인 및 활동가들을 표적으로 한 사례에서 이전에 식별된 바 있습니다.
  • 라이선스 함의: 감염이 그리스와 벨기에 모두에서 발생했으므로, 공격자는 여러 EU 관할 구역에 걸친 감시를 허가하는 페가수스 라이선스를 보유했을 가능성이 높습니다.
  • 그리스 정부 배제: Citizen Lab은 그리스 정부가 책임이라는 증거를 찾지 못했으며, 그리스는 NSO Group의 고객으로 알려져 있지 않고 일반적으로 Intellexa의 Predator 스파이웨어를 사용한다는 점을 언급했습니다.

MEP 표적화의 광범위한 패턴

이번 사례는 PEGA 위원회 위원이 위원회 활동 중 해킹된 최초의 공개 사례이지만, 유럽 입법자를 표적으로 하는 용병 스파이웨어의 패턴을 따르고 있습니다:

  • 카탈루냐 MEP: 다이아나 리바, 조르디 솔레, 클라라 폰사티, 카를레스 푸이그데몬트가 모두 페가수스 표적이었습니다.
  • 안보·방위 소위원회: 2024년 2월, 프랑스 MEP 나탈리 루소와 불가리아 MEP 엘레나 욘체바가 페가수스 표적이 되었다는 보도가 있었습니다.
  • 다른 스파이웨어: 독일 MEP 다니엘 프루엔드가 2024년 5월 Candiru의 용병 스파이웨어 표적이 되었다고 보고했습니다.

EU 기관을 위한 권고사항

지속적인 감시 위험을 완화하기 위해 Citizen Lab은 다음과 같은 즉각적인 조치를 권고합니다:

  • 포렌식 스크리닝: PEGA 위원회에 참여한 모든 MEP와 직원은 정보기술 및 사이버보안 총국(DG ITEC)을 통해 즉시 포렌식 스크리닝을 받아야 합니다.
  • 보안 프로토콜 강화: EU MEP는 아이폰에서 Lockdown mode를, 안드로이드 기기에서는 Advanced Protect를 활성화해 제로클릭 익스플로잇에 대비해야 합니다.
  • 기관 감시: 유럽 의회는 사이버 및 감시 위협에 관한 연례 보고서를 위임하고, DG ITEC을 통한 스파이웨어 스크리닝 비율의 투명성을 높여야 합니다.
  • 플랫폼 UX 개선: 기술 기업은 국가 지원 위협 알림의 사용자 경험을 개선해 대상자가 실제로 경고를 인지하고 이해하도록 해야 합니다.

요약: 전 MEP 스텔리오스 쿠로글루는 스파이웨어 남용을 조사하는 위원회에서 활동하던 중 NSO Group의 페가수스 스파이웨어에 반복적으로 감염되어, EU 의회 기밀 절차가 노출될 위험에 처했습니다.

제목: 유럽 의회를 향한 스파이 행위: PEGA 위원회 위원이 페가수스로 해킹당함

Sources