---
title: "유럽의회 스파이웨어 조사위원도 Pegasus에 털렸다"
published: 2026-07-03T20:38:26.000Z
canonical: https://jeff.news/article/4606
---
# 유럽의회 스파이웨어 조사위원도 Pegasus에 털렸다

Citizen Lab이 유럽의회 의원 Stelios Kouloglou의 iPhone을 포렌식한 결과, 그가 PEGA 위원회 활동 중 Pegasus 스파이웨어에 감염됐다고 밝혔다. 감염 시점은 2022년 10월 21일, 2023년 3월 6~7일이며, 위원회의 보고서 작성과 청문회 준비가 한창이던 시기와 겹친다.

## 스파이웨어를 조사하던 의원이 스파이웨어에 감염됨

- Citizen Lab이 그리스 출신 유럽의회 의원 Stelios Kouloglou의 iPhone을 분석한 결과, Pegasus 감염 흔적을 높은 신뢰도로 확인함
  - 첫 감염은 2022년 10월 21일 전후
  - 두 번째 감염은 2023년 3월 6~7일 사이
  - 두 시점 모두 기기는 iOS 15.5를 쓰고 있었던 것으로 평가됨

- 이 사건이 유독 심각한 이유는 Kouloglou가 PEGA 위원회 소속이었다는 점임
  - PEGA 위원회는 유럽 각국 정부와 기관의 Pegasus 및 유사 스파이웨어 남용을 조사하기 위해 2022년 3월 만들어진 유럽의회 조사위원회임
  - Kouloglou는 2022년 3월 24일부터 2023년 7월 18일까지 대체위원으로 활동함
  - Citizen Lab에 따르면 PEGA 위원회 구성원이 위원회 활동 중 Pegasus 피해자로 공개 확인된 건 이번이 처음임

> [!IMPORTANT]
> 이건 단순히 한 정치인의 휴대폰이 털린 사건이 아님. 스파이웨어 남용을 조사하던 위원회의 내부 논의, 보고서 초안, 일정, 취재원과의 대화가 공격자에게 노출됐을 수 있다는 얘기임.

## 공격 타이밍이 너무 절묘함

- 2022년 10월 21일 감염은 PEGA 위원회의 주요 일정 직전에 발생함
  - 10월 26일에는 Big Tech와 spyware 관련 청문회, spyware와 e-privacy 청문회가 예정돼 있었음
  - 10월 27일에는 spyware와 기본권 관련 청문회가 이어질 예정이었음
  - 첫 보고서 초안도 이 시기 위원과 보좌진 사이에서 논의·공유되고 있었고, 초안은 2022년 11월 8일 제출됨

- 위원회는 당시 그리스와 키프로스 현장 방문도 준비 중이었음
  - 방문 일정은 2022년 11월 1~4일이었고, Kouloglou도 준비와 방문에 참여함
  - 감염은 이 출장 시작 10일 전에 일어났고, 관련 커뮤니케이션이 문자와 이메일로 오가던 시기였음

- 더 찝찝한 대목은 감염 당일 Kouloglou가 병원에 있었다는 점임
  - 그는 선택적 수술 때문에 그리스 병원에 입원 중이었고, 같은 날 탐사보도 기자 Thanasis Koukakis가 병실을 방문함
  - Koukakis는 그리스의 상업용 스파이웨어 문제를 추적해온 인물이고, 본인도 Intellexa의 Predator 스파이웨어 표적이 된 적이 있음
  - 만약 기기 마이크나 메시지가 노출됐다면 병실 대화, 진료 일정, 검사 결과 같은 민감한 의료 정보까지 걸렸을 가능성이 생김

## 기술적으로는 HomeKit을 거친 제로클릭 공격으로 보임

- Citizen Lab은 2022년 감염에 PWNYOURHOME 제로클릭 익스플로잇이 쓰였다고 평가함
  - 2022년 10월 21일 10시 16분에 HomeKit 이메일 주소 `rauharepo888@gmail.com` 조회가 있었음
  - 2분 뒤 Pegasus 프로세스가 모바일 데이터를 사용한 흔적이 나옴
  - 공격자는 조작된 NSKeyedArchive를 HomeKit으로 보내고, 악성 콘텐츠가 MessagesBlastDoorService에 도달하게 만든 것으로 분석됨

- Apple은 관련 문제를 단계적으로 막은 것으로 보임
  - Citizen Lab은 Apple이 HomeKit 쪽 문제를 iOS 16.3.1에서 완화했다고 평가함
  - MessagesBlastDoorService 쪽 문제는 더 앞서, 아마 iOS 16.1에서 수정됐을 가능성이 있다고 봄
  - Kouloglou의 감염 당시 기기가 iOS 15.5였다는 점이 중요함

```mermaid
sequenceDiagram
    participant 공격자
    participant 홈킷
    participant 메시지격리서비스
    participant 아이폰
    participant 페가수스
    공격자->>홈킷: 조작된 NSKeyedArchive 전송
    홈킷->>메시지격리서비스: 악성 콘텐츠 처리 흐름 유도
    메시지격리서비스->>아이폰: 제로클릭 취약점 트리거
    아이폰->>페가수스: 스파이웨어 프로세스 실행
    페가수스->>공격자: 모바일 데이터로 통신
```

## 2023년 감염도 위원회 최종 논의 시기와 겹침

- 두 번째 감염은 2023년 3월 6일 09시 49분부터 3월 7일 07시 30분 사이에 관찰됨
  - Kouloglou는 이때 아테네에서 브뤼셀로 이동했고, 감염 기간 동안 브뤼셀에 있었음
  - PEGA 위원회는 최종 보고서 작성과 관련해 치열한 논의를 진행 중이었다고 함
  - 첫 PEGA 위원회 보고서는 약 두 달 뒤인 2023년 5월 8일 채택됨

- 같은 시기 PEGA 보고관 Sophie in 't Veld는 LIBE 위원회 임무로 그리스에 있었음
  - LIBE 위원회는 인권, 데이터 보호, 이민, 차별 금지 등을 다루는 유럽의회 상임위임
  - 이 대표단은 그리스 스파이웨어 스캔들과 관련해 국가투명성청장 등 관계자에게 질의함

## 누가 했는지는 못 박지 않았지만, 단서는 있음

- Citizen Lab은 Kouloglou가 NSO Group의 Pegasus에 감염됐다는 점은 높은 신뢰도로 평가하지만, 특정 NSO 고객에게 귀속하진 않음
  - 그리스 정부가 이 사건의 배후라는 증거는 없다고 명시함
  - 그리스 정부는 Intellexa의 Predator 남용 의혹으로 논란이 컸지만, Pegasus를 썼다는 기술적 지표는 Citizen Lab이 알기로 없음

- 다만 2022년 감염에 쓰인 HomeKit 이메일이 다른 사건과 겹침
  - `rauharepo888@gmail.com`은 Citizen Lab과 Access Now가 2024년 5월 보고서에서 다룬 표적 공격에도 등장한 식별자임
  - 그 보고서는 유럽 기반 러시아어·벨라루스어권 독립 언론인과 야권 활동가 7명이 Pegasus 표적이 됐거나 감염됐다는 내용이었음
  - Citizen Lab은 당시 Pegasus 감염 인프라 이해를 바탕으로, 이런 이메일이 특정 운영자에게 고유하다고 봄

- 감염이 그리스와 벨기에 최소 두 EU 관할권에서 존재했던 것으로 보인다는 점도 의미 있음
  - NSO Group 라이선스 구조를 고려하면 여러 EU 관할권에서 감염을 수행할 수 있는 고객이어야 할 가능성이 있음
  - 이 단서는 가능한 운영자 범위를 좁히지만, 그래도 확정 귀속까지는 가지 않음

## 권고는 꽤 직접적임. 검사하고, 보존하고, 경고를 제대로 보라는 것

- Citizen Lab은 PEGA 위원회 참여 의원과 보좌진에게 즉각적인 포렌식 검사를 권고함
  - 감염 가능성이 있는 업무용·개인용 기기를 보존해야 한다고 함
  - 유럽의회 DG ITEC이 스파이웨어 검사를 제공하지만, 이번 사건은 이 기능이 충분히 활용되지 않았을 가능성을 보여줌

- 의원과 직원에게는 iPhone Lockdown Mode와 Android Advanced Protection 사용을 권함
  - 이런 모드는 일반 사용자 경험을 조금 희생하는 대신 상업용 스파이웨어 같은 고급 공격 표면을 줄이는 데 목적이 있음
  - Apple이나 Google의 국가 지원 공격 경고를 받았을 때 즉시 전문가 도움을 받는 것도 강조함

> [!WARNING]
> Citizen Lab은 일부 공격 경고 수신자가 여러 번 경고를 받고도 제대로 인지하지 못했다고 지적함. 고위험 사용자를 위한 보안 알림은 '보냈다'가 아니라 '이해하고 행동하게 만들었다'까지 가야 의미가 있음.

- 기관 차원의 대응도 요구함
  - 유럽의회는 의원과 의회 절차를 겨냥한 스파이웨어 공격 범위와 규모를 즉시 조사해야 함
  - 시간이 지나면 포렌식 흔적이 사라질 수 있으므로 신속성이 중요함
  - EU 집행위원회, 유럽평의회 의회총회, 각국 의회도 유사한 스크리닝과 대응 역량을 갖춰야 한다고 권고함

---

## 기술 맥락

- 이 사건에서 핵심 기술 선택은 공격자가 링크 클릭을 유도하는 대신 제로클릭 경로를 썼다는 점이에요. 정치인, 기자, 활동가처럼 보안 교육을 받은 표적은 피싱 링크를 안 누를 가능성이 높거든요. 그래서 HomeKit이나 메시지 처리 서비스처럼 자동으로 데이터를 파싱하는 경로가 더 위험해져요.

- Apple의 BlastDoor 같은 격리 계층은 이런 공격을 줄이려고 만들어진 방어 장치예요. 그런데 기사에서 보듯 공격자는 단일 앱이 아니라 HomeKit, 메시지 처리, 모바일 데이터 통신으로 이어지는 여러 컴포넌트의 틈을 엮어요. 그래서 패치도 한 번에 끝나기보다 iOS 16.1, 16.3.1처럼 여러 지점에서 나뉘어 들어갈 수밖에 없어요.

- 포렌식 분석이 중요한 이유는 Pegasus 같은 스파이웨어가 사용자 눈에 보이는 앱으로 남지 않기 때문이에요. Citizen Lab은 HomeKit 이메일 조회, 프로세스의 모바일 데이터 사용, 특정 날짜의 시스템 흔적을 맞춰 감염 타임라인을 재구성했어요. 이게 없으면 '감염된 것 같다'는 주장과 '언제 어떤 맥락에서 털렸는지' 사이를 연결하기 어렵거든요.

- Lockdown Mode나 Advanced Protection은 완벽한 방패라기보다 공격 비용을 올리는 선택이에요. 일반 기능 일부를 제한해서 메시지, 첨부파일, 웹 처리 같은 고위험 표면을 줄이는 방식이라 고위험군에게 특히 의미가 있어요. 이 기사처럼 의회 보고서와 내부 커뮤니케이션이 걸린 상황에서는 사용성보다 공격면 축소가 더 큰 가치가 돼요.

## 핵심 포인트

- PEGA 위원회 소속 의원이 위원회 활동 중 Pegasus 감염 피해자로 공개 확인된 첫 사례
- 2022년 감염에는 HomeKit과 MessagesBlastDoorService를 거친 PWNYOURHOME 제로클릭 익스플로잇이 사용된 것으로 평가됨
- 감염 당시 기기는 iOS 15.5였고 Apple은 관련 문제를 iOS 16.1 및 16.3.1 전후로 완화한 것으로 보임
- 동일 HomeKit 이메일 식별자가 러시아어·벨라루스어권 독립 언론인과 활동가 대상 Pegasus 사건에도 등장함
- Citizen Lab은 특정 정부에 귀속하지 않았지만 EU 기관 전반의 즉각적인 포렌식 검사와 대응 체계 강화를 권고함

## 인사이트

스파이웨어 남용을 조사하던 위원회 구성원이 그 조사 기간에 털렸다는 점이 핵심이다. 이건 개인 휴대폰 해킹을 넘어 의회 보고서 초안, 내부 메시지, 청문회 전략 같은 민주적 절차 자체가 감시 대상이 될 수 있다는 경고임.
