스파이웨어 조사하던 의원, 정작 스파이웨어에 두 번이나 당했다

스파이웨어 조사하던 의원, 정작 스파이웨어에 두 번이나 당했다

스파이웨어Pegasus유럽의회NSO사이버보안개인정보

데이터 소스:HN + Citizen Lab + web research · HN

2026년 7월 3일, 캐나다 토론토 대학교 시티즌 랩(Citizen Lab)이 한 보고서를 공개했다. 읽고 난 뒤 필자의 머릿속에는 딱 네 글자만 남았다. 아이러니의 극치.

보고서의 주인공은 스텔리오스 쿨로글루(Stelios Kouloglou)라는 그리스 출신의 전 유럽의회 의원이다. 그는 2022년부터 2023년까지 유럽의회 ‘PEGA 위원회’ 소속으로 활동했다. 이 위원회의 정식 명칭은 “Pegasus 및 동종 감시 스파이웨어 사용 실태 조사 위원회(Committee of Inquiry to investigate the use of Pegasus and equivalent surveillance spyware)”. 쉽게 말해, 그의 당시 일상 업무는 누가 Pegasus 같은 스파이웨어를 이용해 불법 감시를 하고 있는지 조사하는 것이었다.

그리고 그가 이 조사를 진행하는 도중에, 자신의 휴대전화가 Pegasus에 침투당했다. 한 번도 아니고, 두 번이다.

사냥꾼이 사냥감이 되었다.

그리스 언론인이자 유럽의회 의원인 스텔리오스 쿨로글루

▲ 그리스 언론인이자 유럽의회 의원 스텔리오스 쿨로글루. 출처: Citizen Lab

1. 병원 침대에 누워 있는 환자, 그 순간 전화기가 해킹당하고 있었다

시간을 2022년 10월 21일로 되돌려 보자. 이날 쿨로글루는 그리스 아테네의 한 병원에서 예정된 수술을 받고 있었다. 일하는 중도, 회의 중도, 심지어 전화기를 보고 있는 중도 아니었다 — 그는 그저 병상에 누워 있을 뿐이었다.

타나시스 쿠카키스(Thanasis Koukakis)라는 그리스 탐사보도 기자가 병문안을 왔다. 이 기자는 그 자신이 스파이웨어 피해자였다 — 2022년 초, 그가 Predator라는 또 다른 스파이웨어에 감염된 사실이 발견된 것이다. 두 사람은 병실에서 많은 이야기를 나눴다. 스파이웨어 조사 경과, PEGA 위원회의 향후 계획에 대해. 쿠카키스는 기념으로 사진 한 장을 찍었다.

바로 이날, 이 사진이 촬영된 바로 그 시각에, 쿨로글루의 전화기가 Pegasus 스파이웨어에 성공적으로 침투당했다.

쿨로글루의 전화기가 해킹된 바로 그날 쿠카키스가 촬영한 사진

▲ 2022년 10월 21일, 그리스 기자 쿠카키스가 병실에서 쿨로글루를 병문안하며 촬영한 사진. 바로 이 순간, 쿨로글루의 전화기가 Pegasus 스파이웨어에 침투당하고 있었다. 출처: Citizen Lab / Thanasis Koukakis

이 사진을 보면서 필자는 강한 불안감을 느꼈다. 사진 속 두 사람은 스파이웨어에 어떻게 맞서 싸울지 이야기하고 있다. 그리고 그들이 모르는 사실은, 바로 그들이 말을 나누는 그 순간에도 전화기 한 대가 병실 안의 모든 정보 — 대화, 문자, 연락처, 심지어 일정까지 — 를 화면 너머의 어떤 ‘고객’에게 실시간으로 전송하고 있었다는 것이다.

이것이 Pegasus 같은 군사급 스파이웨어의 공포다. 당신은 자신이 감염됐는지 전혀 알 수 없다. 전화기는 평소처럼 완벽하게 작동한다. 이상한 문자도 없고, 팝업도, 끊김 현상도 없다. 하지만 당신의 모든 통화, 모든 사진, 모든 메시지는 이미 누군가에게 원격으로 읽히고 있다.

2. 제로 클릭 공격: 아무것도 안 해도 전화기가 ‘함락’된다

누군가는 이렇게 물을 수 있다. Pegasus가 대체 어떻게 전화기에 들어가는 거죠? 링크 하나 클릭해야 하거나, 파일 하나 다운로드해야 하거나, 적어도 수상한 전화 한 통은 받아야 하는 거 아닌가요?

답은: 전부 필요 없다.

필자는 이 공격 방식을 가장 쉬운 말로 풀어 설명해 보겠다. 당신의 전화기가 하나의 집이라고 상상해 보라. 기존의 바이러스 공격은 누군가 문을 두드리고, 당신을 속여 문을 열게 한 다음, 밀고 들어오는 방식이다. 하지만 Pegasus가 쓰는 방식은 완전히 다르다. 문을 두드릴 필요 자체가 없다. 이 ‘집’의 구조적 균열 자체를 이용하는 것이다 — 예를 들어, 당신조차 몰랐던 벽 속의 갈라진 틈. 공격자가 그 틈새로 무언가를 밀어 넣으면, 내부에서부터 집 전체를 장악해 버린다.

사이버 보안 업계는 이 방식을 ‘제로 클릭 공격(zero-click exploit)‘이라고 부른다. 어떤 것도 클릭할 필요도, 어떤 조작도 필요치 않으며, 심지어 전화기 잠금을 풀 필요조차 없다. 그렇게 공격은 완료된다.

쿨로글루의 사례를 구체적으로 보면, 그의 전화기를 침투한 취약점은 “PWNYOURHOME”이라고 불린다. 이것은 애플의 ‘홈’(HomeKit) 기능의 취약점을 이용한 것이다. 공격자는 특수한 이메일 주소 하나만 HomeKit에 등록하면, 시스템 내부의 오류 하나를 발동시켜 전화기에 대한 제어권을 획득할 수 있었다.

이 모든 과정에서, 쿨로글루는 어떤 알림도 받지 못했고, 어떤 이상 징후도 발견하지 못했다. 그로부터 몇 달이 지나서야 애플은 iOS 16.3.1 버전에서 이 취약점을 수정했다. 쿨로글루가 침투당했을 당시 그의 전화기는 iOS 15.5를 실행 중이었다 — 공격자 입장에서 보면, 이 문은 활짝 열려 있었던 셈이다.

더욱 섬뜩한 것은 두 번째 침투 시점이다. 2023년 3월 6일에서 7일 사이. 이 이틀 동안 쿨로글루는 아테네에서 브뤼셀로 날아가 PEGA 위원회의 집중 토론에 참석했다. 위원회는 최종 보고서의 완성본을 마무리하는 중이었다 — 이 보고서는 어떤 국가 정부가 스파이웨어를 남용하고 있으며 어떤 책임을 져야 하는지에 관한 것이다. 만약 이 기간 동안 그가 전화기로 나눈 보고서 초안 관련 논의, 다른 위원들의 입장, 심지어 투표 전략까지 모두 도청당했다면, 그 결과가 무엇을 의미할지 굳이 필자가 설명할 필요도 없을 것이다.

애플은 실제로 쿨로글루에게 2023년 3월 2일, 2023년 8월 29일, 2024년 4월 10일 이렇게 세 차례 보안 경고를 보냈다. 하지만 쿨로글루는 이런 경고를 받은 기억이 전혀 없다고 말한다. 사실 그리 놀라운 일도 아니다 — 애플의 이 ‘위협 알림’은 조용히 전송되기 때문에, 쉽게 눈에 띄지 않거나 스팸으로 치부되기 십상이다.

3. 이 ‘디지털 무기’를 파는 자들: 수십억 달러짜리 비즈니스

여기서 반드시 Pegasus의 배후에 있는 회사, NSO 그룹을 이야기하지 않을 수 없다.

이스라엘 회사로 2010년 설립됐다. 이들이 파는 제품은 업계에서 ‘사이버 무기’로 통한다. 비즈니스 모델은 단순하고도 거칠다. 정부에만 판매하고, 개인이나 기업에는 팔지 않는다. Pegasus 시스템 한 세트의 구축 비용은 업계 추산 수백만 달러에서 수천만 달러에 이른다.

NSO의 공식 입장은, Pegasus는 “범죄 및 테러 대응 도구”라는 것이다. 듣기만 하면 타당한 말이다 — 경찰이 감시 기술을 이용해 범인을 잡는 것, 이의가 있을 수 없다. 하지만 문제는, 일단 팔고 나면 NSO는 고객사가 제품을 어떻게 쓰는지 통제할 수 없다는 것이다. 그리고 그 ‘고객’ 명단에는 인권 기록이 깨끗하지 않은 국가들도 포함돼 있다.

2021년부터 17개 국제 미디어로 구성된 ‘Pegasus 프로젝트(Pegasus Project)’ 조사 연합이 Pegasus 남용 사례를 대거 폭로해 왔다. 언론인, 변호사, 야당 정치인, 인권 활동가, 심지어 국가 원수까지 모두 표적 명단에 올라 있었다. NSO는 폭로가 나올 때마다 “조사하겠다”, “고객사가 그렇게 쓰는지 몰랐다”고 말하지만, 비슷한 사례는 끊임없이 이어지고 있다.

필자는 관련 법원 서류를 찾아봤다. 2025년 5월, 미국 캘리포니아의 한 법원은 NSO 그룹에 Meta(WhatsApp의 모회사)에 1억 6,800만 달러를 배상하라고 판결했다. NSO가 WhatsApp의 취약점을 이용해 고객사가 전 세계 1,400대의 전화기를 불법 감시하도록 도왔다는 것이 이유였다. 이는 스파이웨어 업계 사상 최대 규모의 벌금이다.

하지만 필자가 가장 우려하는 것은, 이 판결이 NSO의 영업을 멈추게 하지 못했다는 사실이다. 테크 미디어 TechSpot의 보도에 따르면, NSO는 2025년 11월 새 주인 밑에서 재편되어 부활했고, 새로운 구매자를 계속 찾고 있다.

다시 말해, 이 사업은 여전히 진행 중이다.

4. 유럽의회는 처음이 아니다, 마지막도 아닐 것이다

쿨로글루만이 Pegasus의 표적이 된 유럽의회 의원은 아니다.

PEGA 위원회가 설립되기 전, 이미 4명의 카탈루냐 출신 유럽의회 의원이 Pegasus에 감염됐다 — 이후 PEGA 위원회 부의장이 된 디아나 리바(Diana Riba), 그리고 카탈루냐 전 수상 카를레스 푸지데몬(Carles Puigdemont)이 포함된다. 그들은 PEGA 위원회의 구성원인 동시에 Pegasus의 피해자였다. “조사자이면서 동시에 조사 대상자”라는 이 부조리한 상황 자체가 문제의 심각성을 말해 준다.

2024년 2월에는 유럽의회 안보·국방 소위원회 소속 의원 2명의 전화기에서도 스파이웨어 흔적이 발견됐다. 같은 해 5월, 독일 의원 다니엘 프로인트(Daniel Freund)는 Candiru라는 또 다른 스파이웨어에 감염된 것이 확인됐다.

즉, 유럽의회 — “유럽 민주주의의 보루”라 불리는 이 장소 — 는 각종 스파이웨어에 의해 사방에서 잠식당하고 있다.

필자가 주목한 결정적 디테일은 하나다. Citizen Lab은 이번 침투를 그리스 정부가 감행했다는 증거는 없다고 명시했다. 대신 증거는 러시아/벨라루스 망명 언론인 침투 사건과 연관된 동일한 ‘오퍼레이터’를 가리킨다 — 여러 유럽 국가에서 Pegasus 사용 ‘승인’을 받은 어떤 고객 말이다. 다시 말해, 이 사건은 여러 국가의 국경을 넘어서는 감시 작전일 가능성이 높다.

5. 왜 이것이 중요한가? 규칙이 무시되고 있기 때문이다

처음의 그 문장으로 돌아가 보자. 사냥꾼이 사냥감이 됐다. 이것은 단지 머릿속에 남는 제목이 아니다. 더 깊은 문제를 가리킨다 —

스파이웨어 남용을 감시하는 사람조차 스파이웨어에 마음대로 침투당할 수 있다면, 그것은 이 감시 기술이 더 이상 어떤 규칙에도 구속되지 않는다는 뜻이다.

PEGA 위원회의 존재 의미는 바로 스파이웨어 사용에 레드라인을 긋는 것이다. 어떤 경우에 사용할 수 있는가? 누가 승인할 수 있는가? 감시당한 사람에게는 어떤 권리가 있는가? 하지만 위원회 구성원 자신의 전화기가 뚫리고, 위원회의 비밀 논의가 도청당할 가능성이 있는 상황에서, ‘레드라인 긋기’라는 일 자체가 극도로 어려워진다 — 왜냐하면 당신이 제약하려는 그 대상이, 당신이 어떻게 제약할 것인지 이미 미리 알고 있기 때문이다.

이것은 마치 시험과 같다. 출제자가 내는 문제를 응시자가 시험 전에 이미 봤다면, 시험이 무슨 의미가 있겠는가?

Citizen Lab은 보고서 말미에, 필자가 보기에 안타까우면서도 지극히 현실적인 제안을 한다. 그들은 모든 PEGA 위원회 구성원과 스태프들에게 휴대전화 스파이웨어 스크리닝을 서둘러 받으라고 촉구한다. “전면적인 스크리닝이 이루어지지 않는 한, 다른 위원회 구성원이나 스태프가 유사한 침투를 당했는지 알 수 없기 때문이다.”

4년이 지났다. 여전히 얼마나 많은 전화기가 ‘함락’된 상태인지 아무도 모른다.

6. 평범한 사람은 이 사건에서 무엇을 배울 수 있을까

솔직히 말해, 일반인에게 Pegasus 수준의 공격은 사실상 방어가 불가능하다. 이것은 백신 프로그램 하나 깔아서 막을 수 있는 종류의 것이 아니다. 이 공격이 이용하는 취약점은 종종 전화기 제조사 자신조차 모르는 것들이다(보안 업계에서는 이것을 ‘제로데이 취약점’이라고 부른다).

하지만 모든 사람이 알아야 할 몇 가지가 있다.

첫째, 이런 위협이 존재한다는 사실을 인지하는 것. 이것은 할리우드 영화 속 허구가 아니다. 군사급 스파이웨어는 이미 전 세계적으로 광범위하게 배치되어 있으며, 표적 대상은 테러리스트에서 언론인, 변호사, 정치인, 운동가로 — 그리고 그런 스파이웨어를 조사하는 사람들로까지 — 오래전에 확대됐다.

둘째, 전화기 제조사에서 오는 보안 경고를 주의 깊게 살펴볼 것. 애플과 구글은 국가 수준의 공격 표적이 될 수 있는 사용자에게 ‘위협 알림’을 보낸다. 만약 이런 알림을 받았다면, 무시하지 말라. 당신의 전화기가 이미 표적이 되었을 가능성이 있다는 신호다.

셋째, 민감한 업무에 종사한다면 전화기의 ‘잠금 모드’(iOS의 Lockdown Mode 또는 안드로이드의 Advanced Protection)를 켤 것. 이렇게 하면 많은 기능이 제한된다 — 예를 들어 낯선 사람이 iMessage를 보낼 때 특정 첨부 파일은 자동으로 로드되지 않는다 — 하지만 스파이웨어 공격의 난이도를 대폭 높일 수 있다.

맺음말

이 글을 마무리하면서, 필자는 문득 그 병실 사진을 다시 들여다보았다. 사진 속의 두 사람, 한 명은 스파이웨어를 조사 중인 의원, 다른 한 명은 자신이 스파이웨어에 감염된 적이 있는 기자. 그들은 어떻게 감시에 맞서 싸울지 이야기하고 있고, 그들 사이에 놓인 전화기 한 대는 바로 그 감시 소프트웨어에 의해 침투당하고 있었다.

이 장면 자체가, 우리가 살고 있는 시대에 대한 하나의 메타포다.

Citizen Lab의 보고서는 EU 기관과 각국 의회가 구성원들에 대한 전면적인 스파이웨어 스크리닝을 실시할 것을 권고한다. 하지만 필자는 스크리닝보다 더 중요한 것은 반드시 누군가가 답해야 할 이 질문이라고 생각한다. 도대체 누가, 감시자를 감시하고 있는가?

참고 링크: